Webdesign

EU-US Privacy Shield – Data Privacy Framework | 10 Tipps

Privacy Shield oder Data Framework – ein Datentransfer in die USA auch von Websites ist nach wie vor problematisch. Wertvolle Hinweise zu alternativen Lösungen.

von Ellena -

Privacy Shield und Datenschutz

Schon das Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) stellte zahlreiche Unternehmen und auch Website-Betreiber vor große Probleme. Einerseits betraf das die Verarbeitung von personenbezogenen Daten im Allgemeinen sowie die Aufklärung darüber. Andererseits aber auch den Datentransfer in Staaten außerhalb der EU. Angefangen bei einfachen Statistik- oder Social-Media-Tools bis hin zu Cloud-Diensten oder der automatischen Speicherung von Unternehmens- und darunter auch personenentzogenen Daten, sind dabei häufig US-Unternehmen involviert.

Um DSGVO-konform zu arbeiten, müsste der Datentransfer und die -verarbeitung der aus der EU in die USA übertragenen Daten dort ebenfalls entsprechend den europäischen Schutz-Vorschriften erfolgen. Nur gilt das europäische Recht naturgemäß nicht in Ländern außerhalb der EU. So sind für US-Unternehmen die US-amerikanischen Datenschutz-Bestimmungen relevant. Und diese unterscheiden sich teilweise gravierend von denen der EU.

Da der europäische Markt für US-Unternehmen jedoch sehr lukrativ ist und sie dort weiter agieren wollten, konnten ab 2016 US-Unternehmen eine Vereinbarung unterzeichnen, in der sie zusicherten, sich bei der Verarbeitung von Daten aus der EU an die Vorschriften der DSGVO zu halten – das Privacy Shield.

Im Juli 2023 wurde dieses durch das EU-US Data Privacy Framework DPF, das Privacy Shield 2.0 ersetzt, was aber an der grundlegenden Problematik nichts Wesentliches ändert. Eine Datenübertragung ist weiterhin nur bei Nachweis eines Berechtigten Interesses erlaubt. Das bedeutet, dass keine datenschutzrechtlich unproblematischeren Alternativlösungen vorhanden sind. Ansonstens ist der Transfer nur zu Unternehmen, die sich in die Liste zertifizierter Unternehmen, die › Data Privacy Framework Gov List, eingetragen lassen haben, möglich. Leider haben dies auch einige größere, recht beliebte Anbieter wie beispielsweise Pinterest bisher nicht gatan.

EU-US Privacy Shield - Data Privacy Framework - 10 Tipps
Grafik: eb

Was ist / war das Privacy Shield?

2016 hatten sich ca. 4000 US-Unternehmen zertifizieren und in eine Liste des US-Handelsministeriums eintragen lassen. Unter anderem arbeiteten so bekannte Unternehmen wie Adobe Inc., Amazon.com Inc., Dropbox Inc., Facebook Inc., Google LLC, Microsoft Corporation, Twitter, Wix.com Inc. oder Zoom Video Communications Inc. unter dem Privacy Shield. Und es gibt wohl kaum jemanden, der nicht die Dienste eines oder mehrerer dieser Anbieter nutzt.

Insofern war das Privacy Shield eine willkommene Lösung, den Datentransfer in die USA trotz DSGVO sozusagen zu legalisieren und eine Win-Win-Situation zu schaffen. Europäische Verbraucher konnten weiterhin die zweifellos praktischen US-Dienste nutzen und die US-Anbieter mussten nicht auf ihre Kunden aus der EU verzichten. Darüber hinaus investierten inzwischen einige der US-Unternehmen zunehmend auch in eine deutsche oder europäische Infrastruktur.

Doch so gut die vor allem auf Vertrauen aufgebaute Privacy Shield Vereinbarung für den Datentransfer auch gedacht war, hatte sie doch einige gravierende Schwächen:

  • Eine Einhaltung der DSGVO durch US-Unternehmen ist von EU-Behörden kaum kontrollierbar.
  • US-Unternehmen unterliegen in erster Linie der US-amerikanischen Gesetzgebung und können, unter anderem aufgrund des Cloud Acts trotz Privacy Shield beispielsweise einen Zugriff auch auf Daten von EU-Bürgern durch US-Behörden nicht wirksam verhindern.
  • Darüber hinaus besteht keine Möglichkeit für EU-Bürger, umfassende Auskunft über die Verarbeitung ihrer Daten in den USA zu erhalten oder ihre diesbezüglichen Rechte einzuklagen.

Diese Problematik hat den Europäischen Gerichtshof (EuGH) im Juli 2020 dazu veranlasst, das EU-US Privacy Shield für ungültig zu erklären. Die Standardvertragsklauseln (SDK) zum Datenschutzes beim Datentransfer in Drittländer bleiben aber grundsätzlich weiterhin gültig.

„Bei der Prüfung kam der EuGH zu dem Ergebnis, dass die SDK weiter zulässig bleiben. Voraussetzung sei jedoch, dass die Personen, deren Daten in andere Länder übermittelt werden, ein Schutzniveau genießen müssen, „das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist“. Praktisch bedeutet dies, dass das Zielland geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe bieten muss“
Quelle: heise online

Da, zumindest zum jetzigen Zeitpunkt, das Datenschutz-Niveau in den USA wesentlich niedriger ist als in der EU, bewegen sich EU-Unternehmen hinsichtlich des Datentransfers in die USA nach dem Aus für das Privacy Shield trotz Berufung auf die Standardvertragsklauseln auf sehr dünnem Eis. So erklärte die Bitcom-Expertin Dehmel:

„Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen. Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit. Pauschale Lösungen sind bisher kaum in Sicht.“
Quelle: Handelsblatt

Darüber hinaus appellierte der ECO-Geschäftsführer Rabe an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen.“

Websites und Privacy Shield

Zwar handelt es sich beim Datentransfer von Websites nicht um riesige Mengen personenbezogener Daten, wie dies bei vielen Unternehmen der Fall ist. Dennoch findet er aber von vielen, wenn nicht den meisten Websites statt. Somit liegt das Problem weniger in der Menge der Daten, sondern darin, dass der Datentransfer von den Besuchern einer Website meistens unbemerkt abläuft. Denn die wenigsten Besucher rechnen damit, dass ihre, auf einer deutschen Website hinterlassenen, Daten in die USA übermittelt werden.

Und genau in dieser Nichtwahrnehmbarkeit liegt das Problem. Zwar könnte ein Blick auf die gesetzten Cookies wie beispielsweise solche von Google, einen Hinweis auf einen Datentransfer in die USA geben, aber welcher Website-Besucher schaut sich schon die Liste der Cookies an. Des Weiteren muss der Website-Betreiber eine Nutzung von US-Diensten in der Datenschutzerklärung angeben. Jedoch lesen diese auch die wenigsten. Abgesehen davon mangelt es bei vielen Website-Betreibern selbst Jahre nach dem endgültigen Inkrafttreten immer noch an der Umsetzung der DSGVO, was sich zum Beispiel in ihrer Datenschutzerklärung zeigt.

Doch selbst wenn der Datentransfer zu allen auf der Website verwendeten US-Unternehmen und dessen Zweck ausführlich in der Datenschutzerklärung dargelegt wird, reicht das nun nicht mehr aus. Um in Zukunft wirklich datenschutzrechtlich korrekt zu arbeiten, müssen auch Website-Betreiber neue oder andere Lösungen finden und Änderungen auf ihren Websites vornehmen.

Mögliche Lösungsansätze

Natürlich wird es, wie auch schon bei Einführung der DSGVO, nicht wenige Website-Betreiber geben, die nichts tun. Frei nach dem Motto: „Wo kein Kläger, da kein Richter“ – also ist doch alles gut. Allerdings zeugt das nicht von einem besonderen Verantwortungsbewusstsein gegenüber den Besuchern ihrer Website und der eigenen Seriosität. Außerdem riskieren sie bei einer rechtswidrigen Übertragung von Daten in die USA hohe Bußgelder und eine Schonfrist wie bei der Einführung der DSGVO gibt es in diesem Fall nicht. Deshalb ist Abwarten und den Kopf in den Sand stecken keine Alternative.

Denkbar wäre auch die Aufklärung der Besucher vergleichbar mit dem Cookie-Hinweis beispielweise für Tracking-Cookies, welcher im Übrigen auf vielen Websites auch noch nicht vorschriftsmäßig angelegt ist. Dieser Hinweis müsste für jedes US-Unternehmen, zu dem ein Datentransfer stattfindet, genau die Art der übermittelten Daten sowie das berechtigte Interesse an der Übermittlung enthalten. Außerdem müsste für jedes einzelne Unternehmen jeweils eine eigene Schaltfläche für das Einverständnis und für die Ablehnung vorgesehen werden.

Jedoch wird kaum ein Besucher den sehr textlastigen Hinweis tatsächlich lesen. Entweder er verlässt die Website sofort wieder oder er klickt wahllos auf die Buttons, um endlich den eigentlichen Inhalt der Website zu sehen. Dies wäre aber kein rechtswirksames Einverständnis.

Außerdem lässt sich ein weiteres Problem durch einen solchen Hinweis ohnehin nicht lösen. Denn einige der auf Websites verwendete Dienste übertragen die Daten bereits in dem Moment, in dem der Besucher die Website im Browser aufruft und somit bevor er überhaupt die Möglichkeit hat, dem Datentransfer zuzustimmen oder diesen abzulehnen. Infolgedessen ist diese Lösung unter datenschutzrechtlichen Gesichtspunkten auch nicht zu empfehlen.

Website checken
Deshalb gibt es eigentlich nur einen sicheren Weg. Du musst deine Website dahingehend überprüfen, ob und welche Services du nutzt und ob durch diese ein Datentransfer in die USA stattfindet. Sollte dies der Fall sein, solltest du umgehend handeln.

Welche Dienste sind betroffen?

Um herauszufinden, welche rechtlichen Schwachstellen es auf deiner Website gibt, solltest du zunächst jeden von dir genutzten Dienst nach folgenden Gesichtspunkten überprüfen – Quelle der Matrix: › Datenschutzkanzlei:

  1. Server, Anbieter und Konzernmutter in der EU: kein Handlungsbedarf [1]
  2. Server und Anbieter in der EU, aber Nutzung von US-Diensten: Nach Deaktivierung der Dienste unkritisch
  3. Server und Anbieter in der EU, aber Konzernmutter in den USA oder einem anderen Nicht-EU-Land: kritisch
  4. Server auch in der EU, Anbieter in den USA: unbedingt handeln
  5. Server in den USA, Anbieter in der EU: unbedingt handeln
  6. Server und Anbieter in den USA: unbedingt handeln

[1] Farbgebung der Einstufungsübersichten: 1 – grün; 2 – Lavendel; 3 – Pink; 4 bis 6 – Violett

Anbieter übermitteln Daten an den Mutterkonzern
Falls Punkt 3 zutrifft, ist zu prüfen, ob die Tochter, der Anbieter sich auf das Privacy Shield bezehungsweise das Data Privacy Framework beruft, um Daten an die Konzernmutter in den USA zu übermittelt, obwohl sich ihr Server in der EU befindet und die Tochter ihren Sitz in der EU hat. Ein Beispiel hierfür wäre Facebook als US-Konzern mit einer Tochter in Irland. Sowohl bei den unter 3 und verschärft den unter 4, 5 und 6 genannten Konstellationen, solltest du dementsprechend unbedingt vorsichtig sein.

Kritische Dienste und Alternativen

Da jede Website anders ist, ist es natürlich nicht möglich, alle in Frage kommenden Dienste, die unter dem Privacy Shield beziehungsweise dem DPF Daten in Staaten außerhalb der EU oder in die USA übermitteln, aufzuführen. Deshalb erhebt meine Zusammenstellung von Informationen und Tipps keinen Anspruch auf Vollständigkeit. Zur besseren Übersicht habe ich die Dienste in Kategorien aufgeteilt:

Als Bewertungskriterien sind in der folgenden Reihenfolge angegeben:

  • Serverstandorte
  • Sitz und Name der Konzernmutter
  • Vertretungen des Unternehmens [2]
  • Datentransfer in die USA oder andere Nicht-EU-Länder

[2] Ist bei Nicht-EU-Unternehmen ein EU-Land angegeben, handelt es sich in der Regel um einen Firmensitz vor allem aus steuerlichen Gründen.
Falls seitens des Anbieters keine genauen Informationen zu den jeweiligen Punkten erhältlich sind, steht dort ein Fragezeichen. Für nicht zutreffendes steht ein Minus-Zeichen.

Web-Hosting und CDN

Insbesondere bei Blogging-Anfängern und kleineren Unternehmen ist das Hosting bei vermeintlich günstigen bis kostenlosen Anbietern recht beliebt. Einerseits ist die Nutzung von deren weitgehend vorgefertigten Templates und Themes, meistens in Form von Baukastensystemen für Laien bequem. Andererseits erhältst du als Adresse deiner Website unter Umständen keine eigene Domain, sondern eine Subdomain des jeweiligen Anbieters, zum Beispiel meine-seine.wordpress.com. Beides kann problematisch sein.

Blogger

Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
USA
Datentransfer: Ja

Jimdo

Server: Deutschland ?
Sitz: Deutschland
entfällt
Datentransfer: Ja [3]

wix

Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
USA
Datentransfer: Ja

WordPress.com

Server: USA
Sitz: USA – Automattic Inc.
USA
Datentransfer: Ja

Cloudflare

Server: Weltweit, auch in der EU
Sitz: USA – Cloudflare Inc.
USA
Datentransfer: Ja

[3] Übertragung von Daten durch eingebundene Dienste auch von Drittanbietern.

Deutsches Hosting
Lass deine Website von einem deutschen Anbieter hosten.
– Versichere dich, dass dessen Server ausschließlich in Deutschland und eventuell zusätzlich in der EU stehen und das Unternehmen unabhängig von US-Unternehmen agiert.
– Überprüfe, ob deine Website automatisch eine Verbindung zu US-Diensten herstellt, zum Beispiel durch vom Hoster oder über den Page Builder vorinstallierte Dienste.
– Da fast alle CDN-Anbieter ihren Sitz außerhalb der EU haben, wäre ohne Privacy Shield momentan nur › keycdn von Prionity LCC aus der Schweiz akzeptabel
Natürlich ist sowohl für das Hosting als auch für das CDN der Abschluss eines AV-Vertrags vorgeschrieben.

Cloud-Dienste

Bezogen auf Websites können Cloud-Dienste in zweierlei Hinsicht von Bedeutung sein. Einerseits könnte deine Website Verlinkungen zu in einer externen Cloud gespeicherten Inhalten wie PDFs enthalten. Andererseits werden automatische Backups deine Website vorzugsweise in einer externen Cloud gesichert, da eine Sicherung auf deinem Server bei dessen Ausfall wenig sinnvoll wäre. Das gilt sowohl für die Datensicherung seitens des Hosters als auch mittels eines Plug-ins auf deiner Website. Auch hier berufen sich die Anbieter der populärsten Clouds auf das Privacy Shield beziehungsweise das DPF.

AWS [4]

Server: Weltweit, auch in der EU
Sitz: USA – Amazon.com Inc.
EU – Luxemburg
Datentransfer: Ja

Dropbox [4]

Server: USA [5]
Sitz: USA – Dropbox Inc.
EU – Irland
Datentransfer: Ja

Google Drive [4]

Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
EU – Irland
Datentransfer: Ja

One Drive

Server: Weltweit, auch in der EU
Sitz: USA – Microsoft Corporation
Mehrere Länder in der EU
Datentransfer: Ja

[4] auch als Backup-Server
[5] für Business-Nutzer auch in Deutschland

Nur deutsche oder EU Cloud Dienste nutzen,
… deren Server auch in Deutschland stehen und die keine Verbindung zu US-Unternehmen herstellen.
– Speichere Backups entweder lokal auf deinem Gerät, deiner Festplatte oder bei einem deutschen Anbieter mit Servern in Deutschland oder zumindest in der EU, wei zum Beispiel › Hetzner.
– Geht es gar nicht ohne automatische Backups bei US-Unternehmen, sollten deren Server zumindest auch in Deutschland oder in der EU stehen, der Anbieter nach dem DPF zertifiziert und die Daten komplett verschlüsselt sein.

Soziale Netzwerke

Da mit Ausnahme von Xing alle größeren sozialen Netzwerke ihren Sitz in den USA oder in Nicht-EU-Staaten haben, findet auch ein Datentransfer dorthin unter dem Privacy Shield beziehungsweise dem DPF statt. Darüber hinaus übermitteln diese Dienste unter Umständen auch Daten von Besuchern deiner Website, die gar nicht bei den jeweiligen Netzwerken registriert sind.

Facebook

Server: Weltweit, auch in der EU
Sitz: USA – Meta Platforms
EU – Irland
Datentransfer: Ja

Instagram

Server: Weltweit, auch in der EU
Sitz: USA – Meta Platforms
EU – Irland
Ja

Linkedin

Server: USA, ?
Sitz: USA – LinkedIn Corporation
EU – Irland
Datentransfer: Ja

Pinterest

Server: USA, ?
Sitz: USA – Pinterest Inc.
EU – Irland
Datentransfer: Ja

Tumblr

Server: USA, ?
Sitz: USA – Automattic Inc.
USA – Tumblr Corporation
Datentransfer: Ja

X / Twitter

Server: USA, ?
Sitz: USA – X Corp.
EU – Irland
Ja

Unproblematische Plugins wären:

Better Click to Tweet, jQuery Pin It Button for Images, Easy Social Icons, Lightweight Social Icons, Simple Social Icons, Social Icons, WP Social Icons, Shariff Wrapper, Mekka Smart Social Widget, Social Slider Widget, Social Icons Widget by WPZOOM, sowie Social Count Plus.

Nicht DSGVO-konforme Codes
Entferne alle von den Netzwerken zur Verfügung gestellten, fertigen Code-Schnipsel von deiner Website.
– Verweise auf deine Profile, indem du einen Link mit der URL deiner jeweiligen Profilseite(n) einsetzt.
– Verwende keine Plug-ins der Netzwerke, sondern nur Social Media Plug-ins, die keine personenbezogenen Daten verarbeiten.
– Binde nur Teilen-Buttons ein, die erst eine Verbindung zu dem jeweiligen Netzwerk herstellen, nachdem der Besucher auf sie geklickt hat.

Werbe-Netzwerke

Neben den Verknüpfungen mit sozialen Netzwerken geht ein großer Teil des Datentransfers in die USA von der in Websites eingebetteten Werbung aus. Wie die Namen der meistgenutzten Programme bereits vermuten lassen, haben die meistens Anbieter ihren Sitz in den USA. Dementsprechend sind sie nach dem Aus für das Privacy Shield und trotz des Data Privacy Frameworks kaum noch datenschutzkonform einsetzbar.

Google – Facebook – Amazon

Ads, Adsense, Doubleclick, Remarketing, Conversion Tracking – Facebook Pixel – Amazon Partnerprogramm

Vermeide Ads und Online-Werbe-Services von US-Anbietern
Die einzige Alternative wäre, mittels eines gekennzeichneten Links zur Homepage der Unternehmen für deren Produkte zu werben und mit den jeweiligen Partnern einen Vertrag über eine bestimmte Provision-Zahlung abzuschließen. Ob dieses Verfahren praxistauglich ist, sei dahingestellt.
Zwar könnte die Nutzung, zum Beispiel von Google Ads, mit der notwendigen Monetarisierung eines Blogs begründet werden, jedoch sind in dieser Grauzone trotzdem einige aufwendigere Maßnahmen zur Minimierung des Datentransfer und Aufklärung der Besucher notwendig.

Newsletter-Dienste

Da Newsletter ein gern genutztes Mittel zur Eigenwerbung sind, werden entsprechende Abonnement-Aufforderungen auf vielen Websites eingeblendet. Zum Sammeln von E-Mail-Adressen und zur Automatisierung des E-Mail-Versands nutzen viele Website-Betreiber vor allem zwei Anbieter, die sich beim Datenschutz ebenfalls auf das Privcy Shield berufen:

MailChimp

Server: USA
Sitz: USA – Rocket Science Group LLC
USA
Datentransfer: Ja

ActiveCampaign

Server: ?
Sitz: USA – ActiveCampaign
USA
Datentransfer: Ja

Deutsche Newsletter-Dienste verwenden
Alternative Newsletter-Dienste wären die deutschen Anbieter › RapidMail oder › CleverReach mit Serverstandort EU, mit denen du jeweils einen AV-Vertrag abschließen musst.

Weiterlesen – Sonstige Dienste und WP-Plugins

EU-US Privacy Shield ist ungültig | Teil 2

Seiten: 1 2

NEUESTEr / Aktualisierter BEITRag

WP-Plugins - 12 empfehlenswerte Erweiterungen

WP Plug-ins | 13 empfehlenswerte Erweiterungen

BEITRagskategorien und Lexikon

Webdesign Reviews How To Allgemein Digitales von A bis Z
Fragen oder Anmerkungen? Kontaktiere mich

Blog

DIGITALES VON A BIS Z: Lexikon

Social Media:

Auf Mastodon folgen

Support

KONTAKT

Mo.-Fr. 9:00 - 19:00 Uhr

Mo.-Fr. 9:00 - 20:30 Uhr

Hilfecenter / FAQs

Über eb Webdesign

Cookie-hinweis

Um eine optimale Nutzung zu gewährleisten, setzt meine Website COOKIES, die jedoch nicht an Dritte übermittelt werden. Bei deinem Besuch erfasse und verarbeite ich keine personenbezogenen Daten.

© 2025 eb Webdesign

AGB/Dokumente Impressum Datenschutz Barrierefreiheit