EU-US Privacy Shield ist ungültig, was nun? | 10 Tipps für Websites

Da das Privacy Shield nicht mehr wirksam ist, ist ein Datentransfer in die USA auch von Websites rechtswidrig. Wertvolle Hinweise zur Lösung des Problems.

Ellena

Da das Privacy Shield nicht mehr wirksam ist, ist ein Datentransfer in die USA auch von Websites aktuell rechtswidrig. Hier finden Sie wertvolle Hinweise zur Lösung des Problems.

Privacy Shield
Inhalt

Privacy Shield und Datenschutz

Schon das Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) stellte zahlreiche Unternehmen und auch Website-Betreiber vor große Probleme. Einerseits betraf das die Verarbeitung von personenbezogenen Daten im Allgemeinen sowie die Aufklärung darüber. Andererseits aber auch den Datentransfer in Staaten außerhalb der EU. Angefangen bei einfachen Statistik- oder Social-Media-Tools bis hin zu Cloud-Diensten oder der (automatischen) Speicherung von Unternehmens- (darunter auch personenentzogenen) Daten, sind dabei häufig US-Unternehmen involviert.

Um DSGVO-konform zu arbeiten, müsste der Datentransfer und die -verarbeitung der aus der EU in die USA übertragenen Daten dort ebenfalls entsprechend der europäischen Schutz-Vorschriften erfolgen. Nur gilt das europäische Recht naturgemäß nicht in Ländern außerhalb der EU.

So sind für US-Unternehmen die US-amerikanischen Datenschutz-Bestimmungen relevant. Und diese unterscheiden sich teilweise gravierend von denen der EU. Ähnliches dürfte in Zukunft auch für Unternehmen mit Sitz in Groß-Britannien zutreffen. Nach dem Verlassen der EU hat die britische Regierung bereits angekündigt, auch beim Datenschutz u. U. eigene Wege gehen zu wollen.

Da der europäische Markt für US-Unternehmen jedoch sehr lukrativ ist und sie dort weiter agieren woll(t)en, konnten ab 2016 US-Unternehmen eine Vereinbarung – Privacy Shield – unterzeichnen, in der sie zusicherten, sich bei der Verarbeitung von Daten aus der EU an die Vorschriften der DSGVO zu halten.

Was ist / war das Privacy Shield?

Seitdem haben sich ca. 4000 US-Unternehmen zertifizieren und in eine › Liste des US-Handelsministeriums eintragen lassen. Unter anderem arbeite(te)n so bekannte Unternehmen wie Adobe Inc., Amazon.com Inc., Dropbox Inc., Facebook Inc., Google LLC, Microsoft Corporation, Twitter, Wix.com Inc. oder Zoom Video Communications Inc. unter dem Privacy Shield. Und es gibt wohl kaum jemanden, der nicht die Dienste eines oder mehrerer dieser Anbieter nutzt.

Insofern war das Privacy Shield eine willkommene Lösung, den Datentransfer in die USA trotz DSGVO sozusagen zu legalisieren und eine Win-Win-Situation zu schaffen. Europäische Verbraucher konnten weiterhin die zweifellos praktischen US-Dienste nutzen und die US-Anbieter mussten nicht auf ihre Kunden aus der EU verzichten oder in eine europäische / deutsche Infrastruktur investieren.

Doch so gut die vor allem auf Vertrauen aufgebaute Privacy Shield Vereinbarung für den Datentransfer auch gedacht war, hatte sie doch einige gravierende Schwächen:

  • Eine Einhaltung der DSGVO durch US-Unternehmen ist von EU-Behörden kaum kontrollierbar.
  • US-Unternehmen unterliegen in erster Linie der US-amerikanischen Gesetzgebung und können trotz Privacy Shield beispielsweise einen Zugriff auch auf Daten von EU-Bürgern durch US-Behörden nicht wirksam verhindern.
  • Darüber hinaus besteht keine Möglichkeit für EU-Bürger, Auskunft über die Verarbeitung ihrer Daten in den USA zu erhalten bzw. ihre diesbezüglichen Rechte einzuklagen.

Diese Problematik hat den Europäischen Gerichtshof (EuGH) im Juli 2020 dazu veranlasst, das EU-US Privacy Shield für ungültig zu erklären. Die Standardvertragsklauseln (SDK) zum Datenschutzes beim Datentransfer in Drittländer bleiben aber grundsätzlich weiterhin gültig.

„Bei der Prüfung kam der EuGH zu dem Ergebnis, dass die SDK weiter zulässig bleiben. Voraussetzung sei jedoch, dass die Personen, deren Daten in andere Länder übermittelt werden, ein Schutzniveau genießen müssen, „das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist“. Praktisch bedeutet dies, dass das Zielland geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe bieten muss.“

Quelle: › HEISE online

Da zumindest zum jetzigen Zeitpunkt das Datenschutz-Niveau in den USA wesentlich niedriger ist als in der EU, bewegen sich EU-Unternehmen hinsichtlich des Datentransfers in die USA nach dem Aus für das Privacy Shield trotz Berufung auf die Standardvertragsklauseln auf sehr dünnem Eis. So erklärte die Bitcom-Expertin Dehmel:

„Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen. Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit. Pauschale Lösungen sind bisher kaum in Sicht.“ .

Quelle: › HANDELSBLATT

Darüber hinaus appelliert der ECO-Geschäftsführer Rabe an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen.“ Wann mit einer akzeptablen und rechtssicheren Lösung zu rechnen ist, bleibt abzuwarten.

Websites und Privacy Shield

Zwar handelt es sich beim Datentransfer von Websites nicht um riesige Mengen personenbezogener Daten, wie dies u. U. bei Unternehmen der Fall ist. Dennoch findet er aber von vielen, wenn nicht den meisten Websites statt. Somit liegt das Problem weniger in der Menge der Daten, sondern darin, dass der Datentransfer von den Besuchern einer Website i. d. R. unbemerkt abläuft. Denn die wenigsten Besucher rechnen damit, dass ihre, auf einer deutschen Website hinterlassenen, Daten in die USA übermittelt werden.

Und genau in dieser „Nichtwahrnehmbarkeit“ liegt das Problem. Zwar könnte ein Blick auf die gesetzten Cookies einen Hinweis auf einen Datentransfer in die USA geben (z. B. Cookies von Google), aber welcher Website-Besucher schaut sich schon die Liste der Cookies an. Des Weiteren muss der Website-Betreiber eine Nutzung von US-Diensten in der Datenschutzerklärung angeben. Jedoch lesen diese auch die wenigsten. Abgesehen davon haben viele Website-Betreiber selbst zwei Jahre nach dem endgültigen Inkrafttreten der DSGVO ihre Datenschutzerklärung immer noch nicht ausreichend angepasst.

Doch selbst wenn der Datentransfer zu allen auf der Website verwendeten US-Unternehmen und dessen Zweck ausführlich in der Datenschutzerklärung dargelegt wird, reicht das nun nicht mehr aus. Denn nachdem das Privacy Shield ungültig geworden ist, dürfen eigentlich gar keine Daten mehr in die USA übermittelt werden. Um weiterhin ohne Privacy Shield datenschutzrechtlich korrekt zu arbeiten, müssen auch Website-Betreiber (neue) Lösungen finden und Änderungen auf ihren Websites vornehmen.

Mögliche Lösungsansätze

Natürlich wird es, wie auch schon bei Einführung der DSGVO, nicht wenige Website-Betreiber geben, die nichts tun. Frei nach dem Motto: „Wo kein Kläger, da kein Richter.“ – also ist doch alles gut. Allerdings zeugt das nicht von einem besonderen Verantwortungsbewusstsein gegenüber den Besuchern ihrer Website und der eigenen Seriosität. Außerdem riskieren sie bei einer rechtswidrigen Übertragung von Daten in die USA hohe Bußgelder und › eine „Schonfrist“ wie bei der Einführung der DSGVO gibt es beim ungültigen Privacy Shield nicht. Deshalb ist Abwarten und den Kopf in den Sand stecken keine Alternative.

Denkbar wäre auch die Aufklärung der Besucher vergleichbar mit dem Cookie-Hinweis, welcher im Übrigen auf vielen Websites auch noch nicht vorschriftsmäßig angelegt ist. Dieser Hinweis müsste für jedes US-Unternehmen, zu dem ein Datentransfer stattfindet, genau die Art der übermittelten Daten sowie das berechtigte Interesse an der Übermittlung enthalten. Außerdem müsste für jedes einzelne Unternehmen jeweils eine eigene Schaltfläche für das Einverständnis und für die Ablehnung vorgesehen werden.

Wenn es sich nur um ein US-Unternehmen handelte, wäre das vielleicht machbar. Da häufig aber ein Datentransfer zu mehreren unterschiedlichen US-Unternehmen stattfindet, wäre diese Lösung wenig praxistauglich. Einerseits müsste der Programmierung der Website zur wirksamen Funktion der Schaltflächen relativ viel Code hinzugefügt werden, was sich z. B. wiederum negativ auf die Ladezeit auswirken würde.

Andererseits wird kaum ein Besucher den sehr textlastigen Hinweis tatsächlich lesen. Entweder er verlässt die Website sofort wieder oder er klickt wahllos auf die Buttons, um endlich den eigentlichen Inhalt der Website zu sehen. Doch dies wäre strenggenommen nicht als rechtswirksames Einverständnis zu werten.

Außerdem lässt sich ein weiteres Problem durch einen solchen Hinweis ohnehin nicht lösen. Denn einige der auf Websites verwendete Dienste übertragen die Daten bereits in dem Moment, in dem der Besucher die Website im Browser aufruft und somit bevor er überhaupt die Möglichkeit hat, dem Datentransfer zuzustimmen oder diesen abzulehnen. Infolgedessen ist diese Lösung unter datenschutzrechtlichen Gesichtspunkten auch nicht zu empfehlen.

Tipp 1
Website-Check: Dementsprechend gibt es bis auf Weiteres nur einen Weg. Sie müssen Ihre Website dahingehend überprüfen, ob und welche Services Sie nutzen und ob durch diese ein bisher durch das Privacy Shield „legalisierter“ Datentransfer in die USA stattfindet. Sollte dies der Fall sein, sollten Sie umgehend handeln.

Welche Dienste sind betroffen?

Um herauszufinden, welche Schwachstellen es auf ihrer Website gibt, sollten Sie zunächst jeden von Ihnen genutzten Dienst nach folgenden Gesichtspunkten überprüfen (Quelle der Matrix: › Datenschutzkanzlei):

  1. Server, Anbieter und Konzernmutter = EU: kein Handlungsbedarf
  2. Server und Anbieter = EU, aber Nutzung von US-Diensten = nach Deaktivierung der Dienste: unkritisch
  3. Server und Anbieter = EU, aber Konzernmutter = USA: kritisch
  4. Server = EU, Anbieter = USA / Server USA, Anbieter = EU / Server und Anbieter = USA: unbedingt handeln

Tipp 2
Falls Punkt 3 zutrifft, sollten Sie prüfen, ob die Tochter (Anbieter) sich auf das Privacy Shield beruft, um Daten an die Konzernmutter in den USA zu übermittelt, obwohl sich ihr Server in der EU befindet und die Tochter (Anbieter) ihren Sitz in der EU hat (ein Beispiel hierfür wäre Facebook).

Kritische Dienste und Alternativen

Da jede Website anders ist, ist es natürlich nicht möglich, alle in Frage kommenden Dienste, die unter dem Privacy Shield Daten in Staaten außerhalb der EU / in die USA übermitteln, aufzuführen. Deshalb erhebt meine Zusammenstellung von Informationen und Tipps keinen Anspruch auf Vollständigkeit. Zur besseren Übersicht habe ich die Dienste / Anbieter in Kategorien aufgeteilt:

  • Web-Hosting und CDN
  • Cloud-Services
  • Soziale Netzwerke
  • Werbe-Netzwerke
  • Newsletter-Anbieter
  • Analyse- und Tracking
  • Sonstige Dienste
  • WordPress-Plugins

Als Bewertungskriterien sind Serverstandort(e) Anbieter und Sitz (EU-Land = nur steuerrechtlich Adresse) – Sitz der KonzernmutterDatentransfer in die USA oder andere Nicht-EU-Länder in dieser Reihenfolge angegeben. Falls seitens des Anbieters keine genauen Informationen zu den jeweiligen Punkten erhältlich sind, steht dort ein Fragezeichen. Für nicht zutreffendes steht ein Minus.

Web-Hosting und CDN

Insbesondere bei Blogging-Anfängern und kleineren Unternehmen ist das Hosting bei vermeintlich günstigen bis kostenlosen Anbietern recht beliebt. Einerseits ist die Nutzung von deren weitgehend vorgefertigten Templates / Themes, meistens in Form von Baukastensystemen (Page Buildern) für „Laien“ bequem. Andererseits erhalten Sie als Adresse Ihrer Website u. U. keine eigene Domain, sondern eine Sub-Domain des jeweiligen Anbieters (z. B. meine-seine.wordpress.com). Beides kann ohne Privacy Shield problematisch sein.

CDN

Bei Content Delivery Networks handelt es sich um Server-Netzwerke, die es ermöglichen Ihre Website nicht nur von Ihrem Ausgangsserver, sondern weiteren weltweit stehenden Servern abzurufen, was die Ladezeit der Website für internationale Besucher verkürzen kann. Einer der größten Anbieter in diesem Bereich neben AWS, Google und Microsoft (s. unter Cloud-Dienste) ist Cloudflare.com.

Blogger

Weltweit, auch in der EU
USA
USA (Google LLC)
Ja

Jimdo

Deutschland?
Deutschland

Ja [1]

wix

Weltweit, auch in Irland
Israel

Ja (auch [1])

WordPress .com

USA
USA
USA (Automattic Inc.)
Ja

Cloudflare

Weltweit, auch in der EU
USA
USA (Cloudflare Inc.)
Ja

[1] Übertragung von Daten durch eingebundene Dienste auch von Drittanbietern.

Tipp 3
Hosting: Lassen Sie Ihre Website von einem deutschen Anbieter hosten. – Versichern Sie sich, dass dessen Server (ausschließlich) in Deutschland stehen und das Unternehmen unabhängig von US-Unternehmen agiert. – Überprüfen Sie, ob Ihre Website automatisch eine Verbindung zu US-Diensten herstellt (durch vom Hoster oder über den Page Builder vorinstallierter Dienste). – Da (fast) alle CDN-Anbieter ihren Sitz außerhalb der EU haben, wäre ohne Privacy Shield momentan nur › keycdn von Prionity LCC aus der Schweiz akzeptabel (AV-Vertrag notwendig).

Cloud-Dienste

Bezogen auf Websites können Cloud-Dienste in zweierlei Hinsicht von Bedeutung sein. Einerseits könnte Ihre Website Verlinkungen zu in einer externen Cloud gespeicherten Inhalten (z. B. PDFs) enthalten. Andererseits werden automatische Backups Ihrer Website i. d. R. in einer externen Cloud gesichert, da eine Sicherung auf „Ihrem“ Server bei dessen Ausfall wenig sinnvoll wäre. Das gilt sowohl für die Datensicherung seitens des Hosters als auch mittels eines Plugins auf Ihrer Website. Auch hierberufen sich die Anbieter der populärsten Clouds auf das Privacy Shield.

AWS [2]

Weltweit, auch in der EU
EU (Luxemburg)
USA (Amazon.com Inc.)
Ja

Dropbox [2]

USA [3]
EU (Irland)
USA (Dropbox Inc.)
Ja

Google Drive [2]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

One Drive

Weltweit
?
USA (Microsoft Corporation)
Ja

[2] auch als Backup-Server / [3] für Business-Nutzer auch in Deutschland

Tipp 4
Benutzen Sie deutsche Cloud-Dienste, deren Server auch in Deutschland stehen und die keine Verbindung zu US-Unternehmen herstellen. – Stellen Sie sicher, dass automatische Backups nicht bei US-Unternehmen oder auf US-Servern gespeichert werden. – Sichern Sie Backups entweder lokal auf Ihrem Gerät / Ihrer Festplatte oder bei einem deutschen Anbieter mit Servern in Deutschland oder zumindest in der EU, z. B. › Hetzner

Soziale Netzwerke

Da mit Ausnahme von Xing alle größeren sozialen Netzwerke ihren Sitz in den USA oder in Nicht-EU-Staaten haben, findet meistens auch ein Datentransfer dorthin „unter dem Privacy Shield“ statt. Darüber hinaus übermitteln diese Dienste auch Daten von Besuchern Ihrer Website, die sich gar nicht bei den jeweiligen Netzwerken angemeldet haben.

Facebook

Weltweit, auch in der EU
EU (Irland)
USA (Facebook Inc.)
Ja

Instagram

Weltweit, auch in der EU
EU (Irland)
USA (Facebook Inc.)
Ja

LinkedIn

USA,?
EU (Irland)
USA (LinkedIn Corporation)
Ja

Pinterest

USA,?
EU (Irland)
USA (Pinterest Inc.)
Ja

Tumblr

USA,?
USA (Tumblr Corporation)
USA (Automattic Inc.)
Ja

Twitter

USA,?
EU (Irland)
USA (Twitter Inc.)
Ja

[4] Unproblematische Plugins wären:

Better Click to Tweet, jQuery Pin It Button for Images, Easy Social Icons, Lightweight Social Icons, Simple Social Icons, Social Icons, WP Social Icons, Shariff Wrapper, Mekka Smart Social Widget, Social Slider Widget, Social Icons Widget by WPZOOM, sowie Social Count Plus.

Tipp 5
Entfernen Sie alle von den Netzwerken zur Verfügung gestellten fertigen Code-Schnipsel von Ihrer Website. – Verweisen Sie auf Ihre Profile, indem Sie einen Link mit der URL Ihrer Profilseite(n) setzen. – Verwenden Sie keine Plugins der Netzwerke, sondern nur Social Media Plugins [4], die keine personenbezogenen Daten verarbeiten. – Binden Sie nur Teilen-Buttons ein, die erst eine Verbindung zu dem jeweiligen Netzwerk herstellen, nachdem der Besucher auf sie geklickt hat.

Werbe-Netzwerke

Neben den Verknüpfungen mit sozialen Netzwerken geht ein großer Teil des Datentransfers in die USA von der in Websites eingebetteten Werbung aus. Wie die Namen der Programme bereits vermuten lassen, haben die Anbieter alle Ihren Sitz in den USA. Dementsprechend sind sie nach dem Aus für das Privacy Shield nicht mehr datenschutzkonform einsetzbar.

Google – Facebook – Amazon

Ads, Adsense, Doubleclick, Remarketing, Conversion Tracking – Facebook Pixel – Amazon Partnerprogramm

Tipp 6
Die einzige Alternative wäre, mittels eines gekennzeichneten Links zur Homepage der Unternehmen für deren Produkte zu werben und mit den jeweiligen Partnern einen Vertrag über eine bestimmte Provision-Zahlung abzuschließen. Ob dieses Verfahren praxistauglich ist, sei dahingestellt.

Newsletter-Dienste

Da Newsletter ein gern genutztes Mittel zur Eigenwerbung sind, werden entsprechende Abonnement-Aufforderungen auf vielen Websites eingeblendet. Zum Sammeln von E-Mail-Adressen und zur Automatisierung des E-Mail-Versands nutzen viele Website-Betreiber vor allem zwei Anbieter, die sich beim Datenschutz ebenfalls auf das Privcy Shield berufen:

MailChimp

USA
USA
USA (Rocket Science Group LLC)
Ja

ActiveCampaign

?
USA
USA (ActiveCampaign)
Ja

Tipp 7
Alternative Newsletter-Dienste wären die deutschen Anbieter › RapidMail oder › CleverReach (Serverstandort EU), mit denen Sie jeweils einen AV-Vertrag abschließen.

Teil 2 – Sonstige Dienste und WP-Plugins

EU-US Privacy Shield ist ungültig | Teil 2