EU-US Privacy Shield – Data Framework | 10 Tipps

Privacy Shield oder Data Framework – ein Datentransfer in die USA auch von Websites ist nach wie vor problematisch. Wertvolle Hinweise zu alternativen Lösungen.

EU-US Privacy Shield ist ungültig - was nun?
Grafik: eb

Privacy Shield und Datenschutz

Schon das Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) stellte zahlreiche Unternehmen und auch Website-Betreiber vor große Probleme. Einerseits betraf das die Verarbeitung von personenbezogenen Daten im Allgemeinen sowie die Aufklärung darüber. Andererseits aber auch den Datentransfer in Staaten außerhalb der EU. Angefangen bei einfachen Statistik- oder Social-Media-Tools bis hin zu Cloud-Diensten oder der (automatischen) Speicherung von Unternehmens- (darunter auch personenentzogenen) Daten, sind dabei häufig US-Unternehmen involviert.

Um DSGVO-konform zu arbeiten, müsste der Datentransfer und die -verarbeitung der aus der EU in die USA übertragenen Daten dort ebenfalls entsprechend der europäischen Schutz-Vorschriften erfolgen. Nur gilt das europäische Recht naturgemäß nicht in Ländern außerhalb der EU. So sind für US-Unternehmen die US-amerikanischen Datenschutz-Bestimmungen relevant. Und diese unterscheiden sich teilweise gravierend von denen der EU.

Da der europäische Markt für US-Unternehmen jedoch sehr lukrativ ist und sie dort weiter agieren woll(t)en, konnten ab 2016 US-Unternehmen eine Vereinbarung – Privacy Shield – unterzeichnen, in der sie zusicherten, sich bei der Verarbeitung von Daten aus der EU an die Vorschriften der DSGVO zu halten.

Im Juli 2023 wurde dieses durch das EU-US Data Privacy Framework ersetzt, was aber an der grundlegenden Problematik nichts Wesentliches ändert. Eine Datenübertragung ist weiterhin nur beim Nachweis eines „Berechtigten Interesses“ (z. B. keine datenschutzrechtlich unproblematischeren Alternativlösungen vorhanden) sowie zu Unternehmen, die sich in die Liste zertifizierter Unternehmen eingetragen lassen haben, möglich.

Seite 2 – EU-US Privacy Shield ist ungültig, was nun?

  1. Analyse und Statistik
    • Sonstige Dienste
  2. WP-Plugins
    • Sicherheit
      • Schutz vor Spams / … von E-Mail-Adressen
    • Caching / SEO
    • Gestaltung / Editor
      • Bilder und Medien
    • Kontakt-Formulare / Mitgliedschaft, Foren
    • Kommentare / Benachrichtigungen
  3. Privacy Shield 2.0
    • Ist der Datentransfer jetzt wieder erlaubt?
    • Was bedeutet das für Website-Betreiber?
  4. EU-US Privacy Shield – Zusammenfassung
    • Auswirkungen auf das „Internet“
    • Zum Schluss der vielleicht wichtigste Tipp
  5. Fazit

Was ist / war das Privacy Shield?

2016 hatten sich ca. 4000 US-Unternehmen zertifizieren und in eine Liste des US-Handelsministeriums eintragen lassen. Unter anderem arbeite(te)n so bekannte Unternehmen wie Adobe Inc., Amazon.com Inc., Dropbox Inc., Facebook Inc., Google LLC, Microsoft Corporation, Twitter, Wix.com Inc. oder Zoom Video Communications Inc. unter dem Privacy Shield. Und es gibt wohl kaum jemanden, der nicht die Dienste eines oder mehrerer dieser Anbieter nutzt.

Insofern war das Privacy Shield eine willkommene Lösung, den Datentransfer in die USA trotz DSGVO sozusagen zu legalisieren und eine Win-Win-Situation zu schaffen. Europäische Verbraucher konnten weiterhin die zweifellos praktischen US-Dienste nutzen und die US-Anbieter mussten nicht auf ihre Kunden aus der EU verzichten. Darüber hinaus investierten inzwischen viele (auch) in eine deutsche / europäische Infrastruktur.

Doch so gut die vor allem auf Vertrauen aufgebaute Privacy Shield Vereinbarung für den Datentransfer auch gedacht war, hatte sie doch einige gravierende Schwächen:

  • Eine Einhaltung der DSGVO durch US-Unternehmen ist von EU-Behörden kaum kontrollierbar.
  • US-Unternehmen unterliegen in erster Linie der US-amerikanischen Gesetzgebung und können trotz Privacy Shield beispielsweise einen Zugriff auch auf Daten von EU-Bürgern durch US-Behörden nicht wirksam verhindern.
  • Darüber hinaus besteht keine Möglichkeit für EU-Bürger, Auskunft über die Verarbeitung ihrer Daten in den USA zu erhalten bzw. ihre diesbezüglichen Rechte einzuklagen.

Diese Problematik hat den Europäischen Gerichtshof (EuGH) im Juli 2020 dazu veranlasst, das EU-US Privacy Shield für ungültig zu erklären. Die Standardvertragsklauseln (SDK) zum Datenschutzes beim Datentransfer in Drittländer bleiben aber grundsätzlich weiterhin gültig.

„Bei der Prüfung kam der EuGH zu dem Ergebnis, dass die SDK weiter zulässig bleiben. Voraussetzung sei jedoch, dass die Personen, deren Daten in andere Länder übermittelt werden, ein Schutzniveau genießen müssen, „das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist“. Praktisch bedeutet dies, dass das Zielland geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe bieten muss.“ » Heise online)

Da zumindest zum jetzigen Zeitpunkt das Datenschutz-Niveau in den USA wesentlich niedriger ist als in der EU, bewegen sich EU-Unternehmen hinsichtlich des Datentransfers in die USA nach dem Aus für das Privacy Shield trotz Berufung auf die Standardvertragsklauseln auf sehr dünnem Eis. So erklärte die Bitcom-Expertin Dehmel:

„Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen. Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit. Pauschale Lösungen sind bisher kaum in Sicht.“ » Handelsblatt

Darüber hinaus appelliert der ECO-Geschäftsführer Rabe an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen.“

Websites und Privacy Shield

Zwar handelt es sich beim Datentransfer von Websites nicht um riesige Mengen personenbezogener Daten, wie dies u. U. bei Unternehmen der Fall ist. Dennoch findet er aber von vielen, wenn nicht den meisten Websites statt. Somit liegt das Problem weniger in der Menge der Daten, sondern darin, dass der Datentransfer von den Besuchern einer Website i. d. R. unbemerkt abläuft. Denn die wenigsten Besucher rechnen damit, dass ihre, auf einer deutschen Website hinterlassenen, Daten in die USA übermittelt werden.

Und genau in dieser „Nichtwahrnehmbarkeit“ liegt das Problem. Zwar könnte ein Blick auf die gesetzten Cookies einen Hinweis auf einen Datentransfer in die USA geben (z. B. Cookies von Google), aber welcher Website-Besucher schaut sich schon die Liste der Cookies an. Des Weiteren muss der Website-Betreiber eine Nutzung von US-Diensten in der Datenschutzerklärung angeben. Jedoch lesen diese auch die wenigsten. Abgesehen davon haben viele Website-Betreiber selbst Jahre nach dem endgültigen Inkrafttreten der DSGVO ihre Datenschutzerklärung immer noch nicht ausreichend angepasst.

Doch selbst wenn der Datentransfer zu allen auf der Website verwendeten US-Unternehmen und dessen Zweck ausführlich in der Datenschutzerklärung dargelegt wird, reicht das nun nicht mehr aus. Denn nachdem das Privacy Shield ungültig geworden ist, dürfen eigentlich gar keine Daten mehr in die USA übermittelt werden. Um weiterhin ohne Privacy Shield datenschutzrechtlich korrekt zu arbeiten, müssen auch Website-Betreiber (neue) Lösungen finden und Änderungen auf ihren Websites vornehmen.

Mögliche Lösungsansätze

Natürlich wird es, wie auch schon bei Einführung der DSGVO, nicht wenige Website-Betreiber geben, die nichts tun. Frei nach dem Motto: „Wo kein Kläger, da kein Richter.“ – also ist doch alles gut. Allerdings zeugt das nicht von einem besonderen Verantwortungsbewusstsein gegenüber den Besuchern ihrer Website und der eigenen Seriosität. Außerdem riskieren sie bei einer rechtswidrigen Übertragung von Daten in die USA hohe Bußgelder und eine „Schonfrist“ wie bei der Einführung der DSGVO gibt es beim ungültigen Privacy Shield nicht › edbp europa. Deshalb ist Abwarten und den Kopf in den Sand stecken keine Alternative.

Denkbar wäre auch die Aufklärung der Besucher vergleichbar mit dem Cookie-Hinweis z. B. für Tracking-Cookies, welcher im Übrigen auf vielen Websites auch noch nicht vorschriftsmäßig angelegt ist. Dieser Hinweis müsste für jedes US-Unternehmen, zu dem ein Datentransfer stattfindet, genau die Art der übermittelten Daten sowie das berechtigte Interesse an der Übermittlung enthalten. Außerdem müsste für jedes einzelne Unternehmen jeweils eine eigene Schaltfläche für das Einverständnis und für die Ablehnung vorgesehen werden.

Jedoch wird kaum ein Besucher den sehr textlastigen Hinweis tatsächlich lesen. Entweder er verlässt die Website sofort wieder oder er klickt wahllos auf die Buttons, um endlich den eigentlichen Inhalt der Website zu sehen. Doch dies wäre strenggenommen nicht als rechtswirksames Einverständnis zu werten.

Außerdem lässt sich ein weiteres Problem durch einen solchen Hinweis ohnehin nicht lösen. Denn einige der auf Websites verwendete Dienste übertragen die Daten bereits in dem Moment, in dem der Besucher die Website im Browser aufruft und somit bevor er überhaupt die Möglichkeit hat, dem Datentransfer zuzustimmen oder diesen abzulehnen. Infolgedessen ist diese Lösung unter datenschutzrechtlichen Gesichtspunkten auch nicht zu empfehlen.

Website checken

Dementsprechend gibt es eigentlich nur einen sicheren Weg. Du musst deine Website dahingehend überprüfen, ob und welche Services du nutzt und ob durch diese ein Datentransfer in die USA stattfindet. Sollte dies der Fall sein, solltest du umgehend handeln.

Welche Dienste sind betroffen?

Um herauszufinden, welche Schwachstellen es auf deiner Website gibt, solltest du zunächst jeden von dir genutzten Dienst nach folgenden Gesichtspunkten überprüfen (Quelle der Matrix: › Datenschutzkanzlei):

  1. Server, Anbieter und Konzernmutter = EU: kein Handlungsbedarf (grün)
  2. Server und Anbieter = EU, aber Nutzung von US-Diensten = nach Deaktivierung der Dienste: unkritisch (gelb)
  3. Server und Anbieter = EU, aber Konzernmutter = USA: kritisch (orange)
  4. Server = EU, Anbieter = USA / Server USA, Anbieter = EU / Server und Anbieter = USA: unbedingt handeln (rot)

Anbieter übermittelt Daten an Mutterkonzern

Falls Punkt 3 zutrifft, ist zu prüfen, ob die Tochter (Anbieter) sich auf das Privacy Shield beruft, um Daten an die Konzernmutter in den USA zu übermittelt, obwohl sich ihr Server in der EU befindet und die Tochter (Anbieter) ihren Sitz in der EU hat (ein Beispiel hierfür wäre Facebook).

Anbieter übermittelt Daten an Mutterkonzern

Falls Punkt 3 zutrifft, ist zu prüfen, ob die Tochter (Anbieter) sich auf das Privacy Shield beruft, um Daten an die Konzernmutter in den USA zu übermittelt, obwohl sich ihr Server in der EU befindet und die Tochter (Anbieter) ihren Sitz in der EU hat (ein Beispiel hierfür wäre Facebook).

Kritische Dienste und Alternativen

Da jede Website anders ist, ist es natürlich nicht möglich, alle in Frage kommenden Dienste, die unter dem Privacy Shield Daten in Staaten außerhalb der EU / in die USA übermitteln, aufzuführen. Deshalb erhebt meine Zusammenstellung von Informationen und Tipps keinen Anspruch auf Vollständigkeit. Zur besseren Übersicht habe ich die Dienste / Anbieter in Kategorien aufgeteilt:

Als Bewertungskriterien sind Serverstandort(e) Anbieter und Sitz (EU-Land = nur steuerrechtlich Adresse) – Sitz der KonzernmutterDatentransfer in die USA oder andere Nicht-EU-Länder in dieser Reihenfolge angegeben. Falls seitens des Anbieters keine genauen Informationen zu den jeweiligen Punkten erhältlich sind, steht dort ein Fragezeichen. Für nicht zutreffendes steht ein Minus.

Web-Hosting und CDN

Insbesondere bei Blogging-Anfängern und kleineren Unternehmen ist das Hosting bei vermeintlich günstigen bis kostenlosen Anbietern recht beliebt. Einerseits ist die Nutzung von deren weitgehend vorgefertigten Templates / Themes, meistens in Form von Baukastensystemen (Page Buildern) für „Laien“ bequem. Andererseits erhältst du als Adresse deiner Website u. U. keine eigene Domain, sondern eine Subdomain des jeweiligen Anbieters (z. B. meine-seine.wordpress.com). Beides kann ohne Privacy Shield problematisch sein.

Blogger

Weltweit, auch in der EU
USA
USA (Google LLC)
Ja

Jimdo

Deutschland?
Deutschland

Ja [1]

wix

Weltweit, auch in Irland
Israel

Ja (auch [1])

WordPress .com

USA
USA
USA (Automattic Inc.)
Ja

Cloudflare

Weltweit, auch in der EU
USA
USA (Cloudflare Inc.)
Ja

[1] Übertragung von Daten durch eingebundene Dienste auch von Drittanbietern.

Hosting in Deutschland

Lass deine Website von einem deutschen Anbieter hosten. – Versichere dich, dass dessen Server (ausschließlich) in Deutschland stehen und das Unternehmen unabhängig von US-Unternehmen agiert. – Überprüfe, ob deine Website automatisch eine Verbindung zu US-Diensten herstellt (durch vom Hoster oder über den Page Builder vorinstallierte Dienste). – Da (fast) alle CDN-Anbieter ihren Sitz außerhalb der EU haben, wäre ohne Privacy Shield momentan nur › keycdn von Prionity LCC aus der Schweiz akzeptabel (AV-Vertrag notwendig).

Cloud-Dienste

Bezogen auf Websites können Cloud-Dienste in zweierlei Hinsicht von Bedeutung sein. Einerseits könnte deine Website Verlinkungen zu in einer externen Cloud gespeicherten Inhalten (z. B. PDFs) enthalten. Andererseits werden automatische Backups deine Website i. d. R. in einer externen Cloud gesichert, da eine Sicherung auf „deinem“ Server bei dessen Ausfall wenig sinnvoll wäre. Das gilt sowohl für die Datensicherung seitens des Hosters als auch mittels eines Plugins auf deiner Website. Auch hier berufen sich die Anbieter der populärsten Clouds auf das Privacy Shield.

AWS [2]

Weltweit, auch in der EU
EU (Luxemburg)
USA (Amazon.com Inc.)
Ja

Dropbox [2]

USA [3]
EU (Irland)
USA (Dropbox Inc.)
Ja

Google Drive [2]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

One Drive

Weltweit
?
USA (Microsoft Corporation)
Ja

[2] auch als Backup-Server / [3] für Business-Nutzer auch in Deutschland

Nur deutsche / EU-Cloud-Dienste

Benutze deutsche Cloud-Dienste, deren Server auch in Deutschland stehen und die keine Verbindung zu US-Unternehmen herstellen. – Speichere Backups entweder lokal auf deinem Gerät / deiner Festplatte oder bei einem deutschen Anbieter mit Servern in Deutschland oder zumindest in der EU, z. B. › Hetzner. – Geht es gar nicht ohne automatische Backups bei US-Unternehmen, sollten deren Server zumindest in Deutschland / in der EU stehen und die Daten sollten komplett verschlüsselt sein.

Soziale Netzwerke

Da mit Ausnahme von Xing alle größeren sozialen Netzwerke ihren Sitz in den USA oder in Nicht-EU-Staaten haben, findet auch ein Datentransfer dorthin „unter dem Privacy Shield“ statt. Darüber hinaus übermitteln diese Dienste u. U. auch Daten von Besuchern deiner Website, die gar nicht bei den jeweiligen Netzwerken registriert sind.

Facebook

Weltweit, auch in der EU
EU (Irland)
USA (Facebook Inc.)
Ja

Instagram

Weltweit, auch in der EU
EU (Irland)
USA (Facebook Inc.)
Ja

LinkedIn

USA,?
EU (Irland)
USA (LinkedIn Corporation)
Ja

Pinterest

USA,?
EU (Irland)
USA (Pinterest Inc.)
Ja

Tumblr

USA,?
USA (Tumblr Corporation)
USA (Automattic Inc.)
Ja

Twitter

USA,?
EU (Irland)
USA (Twitter Inc.)
Ja

[4] Unproblematische Plugins wären:

Better Click to Tweet, jQuery Pin It Button for Images, Easy Social Icons, Lightweight Social Icons, Simple Social Icons, Social Icons, WP Social Icons, Shariff Wrapper, Mekka Smart Social Widget, Social Slider Widget, Social Icons Widget by WPZOOM, sowie Social Count Plus.

Nicht DSGVO-konforme Codes

Entferne alle von den Netzwerken zur Verfügung gestellten, fertigen Code-Schnipsel von deiner Website. – Verweise auf dein/e Profil/e, indem du einen Link mit der URL deiner jeweiligen Profilseite(n) einsetzt.
Verwende keine Plugins der Netzwerke, sondern nur Social Media Plugins [4], die keine personenbezogenen Daten verarbeiten.
Binde nur Teilen-Buttons ein, die erst eine Verbindung zu dem jeweiligen Netzwerk herstellen, nachdem der Besucher auf sie geklickt hat.

Werbe-Netzwerke

Neben den Verknüpfungen mit sozialen Netzwerken geht ein großer Teil des Datentransfers in die USA von der in Websites eingebetteten Werbung aus. Wie die Namen der meistgenutzten Programme bereits vermuten lassen, haben die Anbieter alle ihren Sitz in den USA. Dementsprechend sind sie nach dem Aus für das Privacy Shield nicht mehr datenschutzkonform einsetzbar.

Google – Facebook – Amazon

Ads, Adsense, Doubleclick, Remarketing, Conversion Tracking – Facebook Pixel – Amazon Partnerprogramm

Keine Ads / Online-Werbe-Services von US-Anbietern

Die einzige Alternative wäre, mittels eines gekennzeichneten Links zur Homepage der Unternehmen für deren Produkte zu werben und mit den jeweiligen Partnern einen Vertrag über eine bestimmte Provision-Zahlung abzuschließen. Ob dieses Verfahren praxistauglich ist, sei dahingestellt.
Zwar könnte die Nutzung von z. B. Google Ads mit der notwendigen Monetarisierung eines Blogs begründet werden, jedoch sind in dieser „Grauzone“ trotzdem einige aufwendigere Maßnahmen zur Minimierung des Datentransfer und Aufklärung der Besucher notwendig.

Newsletter-Dienste

Da Newsletter ein gern genutztes Mittel zur Eigenwerbung sind, werden entsprechende Abonnement-Aufforderungen auf vielen Websites eingeblendet. Zum Sammeln von E-Mail-Adressen und zur Automatisierung des E-Mail-Versands nutzen viele Website-Betreiber vor allem zwei Anbieter, die sich beim Datenschutz ebenfalls auf das Privcy Shield berufen:

MailChimp

USA
USA
USA (Rocket Science Group LLC)
Ja

ActiveCampaign

?
USA
USA (ActiveCampaign)
Ja

Deutschen Newsletter-Service verwenden

Alternative Newsletter-Dienste wären die deutschen Anbieter › RapidMail oder › CleverReach (Serverstandort EU), mit denen du jeweils einen AV-Vertrag abschließen musst.

Weiterlesen – Sonstige Dienste und WP-Plugins

EU-US Privacy Shield ist ungültig | Seite 2

Auch Interessant

Aktuelle Störungen - Mobilfunk und Internet

Aktuelle Störungen | Mobilfunk, Internet, Onlinedienste

Der schnelle Überblick: Aktuelle Störungen bei den wichtigsten Anbietern von Mobilfunk, Internet, Netzwerken, Streaming, Mails, Onlinebanking