EU-US Privacy Shield ist ungültig, was nun? | 10 Tipps für Websites

Aktualisiert am 15-09-2020, von Ellena

Nachdem der EuGH das EU-US Privacy Shield für ungültig erklärt hat, ist ein Datentransfer in die USA nicht mehr legal möglich. Inwieweit betrifft das Urteil auch Websites und was ist zu tun?

Privacy Shield und Datenschutz

Schon das Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) stellte zahlreiche Unternehmen und auch Website-Betreiber vor große Probleme. Einerseits betraf das die Verarbeitung von personenbezogenen Daten im Allgemeinen sowie die Aufklärung darüber. Andererseits aber auch den Datentransfer in Staaten außerhalb der EU. Angefangen bei einfachen Statistik- oder Social-Media-Tools bis hin zu Cloud-Diensten oder der (automatischen) Speicherung von Unternehmens- (darunter auch personenentzogenen) Daten, sind dabei häufig US-Unternehmen involviert.

Um DSGVO-konform zu arbeiten, müsste der Datentransfer und die -verarbeitung der aus der EU in die USA übertragenen Daten dort ebenfalls entsprechend der europäischen Schutz-Vorschriften erfolgen. Nur gilt das europäische Recht naturgemäß nicht in Ländern außerhalb der EU. So sind für US-Unternehmen die US-amerikanischen Datenschutz-Bestimmungen relevant. Und diese unterscheiden sich teilweise gravierend von denen der EU.

Da der europäische Markt für US-Unternehmen jedoch sehr lukrativ ist und sie dort weiter agieren woll(t)en, konnten ab 2016 US-Unternehmen eine Vereinbarung – Privacy Shield – unterzeichnen, in der sie zusicherten, sich bei der Verarbeitung von Daten aus der EU an die Vorschriften der DSGVO zu halten.

Was ist / war das Privacy Shield?

Seitdem haben sich ca. 4000 US-Unternehmen zertifizieren und in eine Liste des US-Handelsministeriums eintragen lassen. Unter anderem arbeite(te)n so bekannte Unternehmen wie Adobe Inc., Amazon.com Inc., Dropbox Inc., Facebook Inc., Google LLC, Microsoft Corporation, Twitter, Wix.com Inc. oder Zoom Video Communications Inc. unter dem Privacy Shield. Und es gibt wohl kaum jemanden, der nicht die Dienste eines oder mehrerer dieser Anbieter nutzt.

Insofern war das Privacy Shield eine willkommene Lösung, den Datentransfer in die USA trotz DSGVO sozusagen zu legalisieren und eine Win-Win-Situation zu schaffen. Europäische Verbraucher konnten weiterhin die zweifellos praktischen US-Dienste nutzen und die US-Anbieter mussten nicht auf ihre Kunden aus der EU verzichten oder in eine europäische / deutsche Infrastruktur investieren.

Doch so gut die vor allem auf Vertrauen aufgebaute Privacy Shield Vereinbarung für den Datentransfer auch gedacht war, hatte sie doch einige gravierende Schwächen:

  • Eine Einhaltung der DSGVO durch US-Unternehmen ist von EU-Behörden kaum kontrollierbar.
  • US-Unternehmen unterliegen in erster Linie der US-amerikanischen Gesetzgebung und können trotz Privacy Shield beispielsweise einen Zugriff auch auf Daten von EU-Bürgern durch US-Behörden nicht wirksam verhindern.
  • Darüber hinaus besteht keine Möglichkeit für EU-Bürger, Auskunft über die Verarbeitung ihrer Daten in den USA zu erhalten bzw. ihre diesbezüglichen Rechte einzuklagen.

Diese Problematik hat den Europäischen Gerichtshof (EuGH) im Juli 2020 dazu veranlasst, das EU-US Privacy Shield für ungültig zu erklären. Die Standardvertragsklauseln (SDK) zum Datenschutzes beim Datentransfer in Drittländer bleiben aber grundsätzlich weiterhin gültig.

„Bei der Prüfung kam der EuGH zu dem Ergebnis, dass die SDK weiter zulässig bleiben. Voraussetzung sei jedoch, dass die Personen, deren Daten in andere Länder übermittelt werden, ein Schutzniveau genießen müssen, „das dem in der Union durch die DSGVO im Licht der Charta garantierten Niveau der Sache nach gleichwertig ist“. Praktisch bedeutet dies, dass das Zielland geeignete Garantien, durchsetzbare Rechte und wirksame Rechtsbehelfe bieten muss.“

Quelle: HEISE online

Da zumindest zum jetzigen Zeitpunkt das Datenschutz-Niveau in den USA wesentlich niedriger ist als in der EU, bewegen sich EU-Unternehmen hinsichtlich des Datentransfers in die USA nach dem Aus für das Privacy Shield trotz Berufung auf die Standardvertragsklauseln auf sehr dünnem Eis. So erklärte die Bitcom-Expertin Dehmel:

„Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen. Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit. Pauschale Lösungen sind bisher kaum in Sicht.“ .

Quelle: Handelsblatt

Darüber hinaus appelliert der ECO-Geschäftsführer Rabe an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen.“ Wann mit einer akzeptablen und rechtssicheren Lösung zu rechnen ist, bleibt abzuwarten.

Privacy unwirksam - 10 Tipps
Privacy Shield unwirksam / Grafik: eb

Websites und Privacy Shield

Zwar handelt es sich beim Datentransfer von Websites nicht um riesige Mengen personenbezogener Daten, wie dies u. U. bei Unternehmen der Fall ist. Dennoch findet er aber von vielen, wenn nicht den meisten Websites statt. Somit liegt das Problem weniger in der Menge der Daten, sondern darin, dass der Datentransfer von den Besuchern einer Website i. d. R. unbemerkt abläuft. Denn die wenigsten Besucher rechnen damit, dass ihre, auf einer deutschen Website hinterlassenen, Daten in die USA übermittelt werden.

Und genau in dieser „Nichtwahrnehmbarkeit“ liegt das Problem. Zwar könnte ein Blick auf die gesetzten Cookies einen Hinweis auf einen Datentransfer in die USA geben (z. B. Cookies von Google), aber welcher Website-Besucher schaut sich schon die Liste der Cookies an. Des Weiteren muss der Website-Betreiber eine Nutzung von US-Diensten in der Datenschutzerklärung angeben. Jedoch lesen diese auch die wenigsten. Abgesehen davon haben viele Website-Betreiber selbst zwei Jahre nach dem endgültigen Inkrafttreten der DSGVO ihre Datenschutzerklärung immer noch nicht ausreichend angepasst.

Doch selbst wenn der Datentransfer zu allen auf der Website verwendeten US-Unternehmen und dessen Zweck ausführlich in der Datenschutzerklärung dargelegt wird, reicht das nun nicht mehr aus. Denn nachdem das Privacy Shield ungültig geworden ist, dürfen eigentlich gar keine Daten mehr in die USA übermittelt werden. Um weiterhin ohne Privacy Shield datenschutzrechtlich korrekt zu arbeiten, müssen auch Website-Betreiber (neue) Lösungen finden und Änderungen auf ihren Websites vornehmen.

Mögliche Lösungsansätze

Natürlich wird es, wie auch schon bei Einführung der DSGVO, nicht wenige Website-Betreiber geben, die nichts tun. Frei nach dem Motto: „Wo kein Kläger, da kein Richter.“ – also ist doch alles gut. Allerdings zeugt das nicht von einem besonderen Verantwortungsbewusstsein gegenüber den Besuchern ihrer Website und der eigenen Seriosität. Außerdem riskieren sie bei einer rechtswidrigen Übertragung von Daten in die USA hohe Bußgelder und eine „Schonfrist“ wie bei der Einführung der DSGVO gibt es beim ungültigen Privacy Shield nicht. Deshalb ist Abwarten und den Kopf in den Sand stecken keine Alternative.

Denkbar wäre auch die Aufklärung der Besucher vergleichbar mit dem Cookie-Hinweis, welcher im Übrigen auf vielen Websites auch noch nicht vorschriftsmäßig angelegt ist. Dieser Hinweis müsste für jedes US-Unternehmen, zu dem ein Datentransfer stattfindet, genau die Art der übermittelten Daten sowie das berechtigte Interesse an der Übermittlung enthalten. Außerdem müsste für jedes einzelne Unternehmen jeweils eine eigene Schaltfläche für das Einverständnis und für die Ablehnung vorgesehen werden.

Wenn es sich nur um ein US-Unternehmen handelte, wäre das vielleicht machbar. Da häufig aber ein Datentransfer zu mehreren unterschiedlichen US-Unternehmen stattfindet, wäre diese Lösung wenig praxistauglich. Einerseits müsste der Programmierung der Website zur wirksamen Funktion der Schaltflächen relativ viel Code hinzugefügt werden, was sich z. B. wiederum negativ auf die Ladezeit auswirken würde.

Andererseits wird kaum ein Besucher den sehr textlastigen Hinweis tatsächlich lesen. Entweder er verlässt die Website sofort wieder oder er klickt auf die Buttons, um endlich den eigentlichen Inhalt der Website zu sehen. Doch dies wäre strenggenommen nicht als rechtswirksames Einverständnis zu werten.

Außerdem lässt sich ein weiteres Problem durch einen solchen Hinweis ohnehin nicht lösen. Denn einige der auf Websites verwendete Dienste übertragen die Daten bereits in dem Moment, in dem der Besucher die Website im Browser aufruft und somit bevor er überhaupt die Möglichkeit hat, dem Datentransfer zuzustimmen oder diesen abzulehnen. Infolgedessen ist diese Lösung unter datenschutzrechtlichen Gesichtspunkten auch nicht zu empfehlen.

Dementsprechend gibt es bis auf Weiteres nur einen Weg. Sie müssen Ihre Website dahingehend überprüfen, ob und welche Services Sie nutzen und ob durch diese ein bisher durch das Privacy Shield „legalisierter“ Datentransfer in die USA stattfindet. Sollte dies der Fall sein, sollten Sie umgehend handeln.

Welche Dienste sind betroffen?

Um herauszufinden, welche Schwachstellen es auf ihrer Website gibt, sollten Sie zunächst jeden von Ihnen genutzten Dienst nach folgenden Gesichtspunkten überprüfen (Quelle der Matrix: Datenschutzkanzlei):

  1. Server, Anbieter und Konzernmutter = EU: kein Handlungsbedarf
  2. Server und Anbieter = EU, aber Nutzung von US-Diensten = nach Deaktivierung der Dienste: unkritisch
  3. Server und Anbieter = EU, aber Konzernmutter = USA: kritisch
  4. Server = EU, Anbieter = USA / Server USA, Anbieter = EU / Server und Anbieter = USA: unbedingt handeln

Falls Punkt 3 zutrifft, müssen Sie prüfen, ob die Tochter (Anbieter) sich auf das Privacy Shield beruft, um Daten an die Konzernmutter in den USA zu übermittelt, obwohl sich ihr Server in der EU befindet und die Tochter (Anbieter) ihren Sitz in der EU hat (ein Beispiel hierfür wäre Facebook).

Kritische Dienste und Alternativen

Da jede Website anders ist, ist es natürlich nicht möglich, alle in Frage kommenden Dienste, die unter dem Privacy Shield Daten in Staaten außerhalb der EU / in die USA übermitteln, aufzuführen. Deshalb erhebt meine Zusammenstellung von Informationen und Tipps keinen Anspruch auf Vollständigkeit. Zur besseren Übersicht habe ich die Dienste / Anbieter in Kategorien aufgeteilt:

  • Web-Hosting und CDN
  • Cloud-Services
  • Soziale Netzwerke
  • Werbe-Netzwerke
  • Newsletter-Anbieter
  • Analyse- und Tracking
  • Sonstige Dienste
  • WordPress-Plugins

Als Bewertungskriterien sind Serverstandort(e) Anbieter und Sitz (EU-Land = nur steuerrechtlich Adresse) – Sitz der KonzernmutterDatentransfer in die USA oder andere Nicht-EU-Länder in dieser Reihenfolge angegeben. Falls seitens des Anbieters keine genauen Informationen zu den jeweiligen Punkten erhältlich sind, steht dort ein Fragezeichen. Für nicht zutreffendes steht ein Minus.

Web-Hosting und CDN

Insbesondere bei Blogging-Anfängern und kleineren Unternehmen ist das Hosting bei vermeintlich günstigen bis kostenlosen Anbietern recht beliebt. Einerseits ist die Nutzung von deren weitgehend vorgefertigten Templates / Themes, meistens in Form von Baukastensystemen (Page Buildern) für „Laien“ bequem. Andererseits erhalten Sie als Adresse Ihrer Website oft keine eigene Domain, sondern eine Sub-Domain des jeweiligen Anbieters (z. B. meine-seine.wordpress.com). Beides kann ohne Privacy Shield problematisch sein.

Bei Content Delivery Networks (CDN) handelt es sich um Server-Netzwerke, die es ermöglichen Ihre Website nicht nur von Ihrem Ausgangsserver, sondern weiteren weltweit stehenden Servern abzurufen, was die Ladezeit der Website für internationale Besucher verkürzen kann. Einer der größten Anbieter in diesem Bereich neben AWS, Google und Microsoft (s. unter Cloud-Dienste) ist Cloudflare.com.

Blogger.com

Weltweit, auch in der EU
USA
USA (Google LLC)
Ja

Jimdo.com

Deutschland?
Deutschland

Ja [1]

wix.com

Weltweit, auch in Irland
Israel

Ja (auch [1])

WordPress.com

USA
USA
USA (Automattic Inc.)
Ja

Cloudflare.com

Weltweit, auch in der EU
USA
USA (Cloudflare Inc.)
Ja

[1] Übertragung von Daten durch eingebundene Dienste auch von Drittanbietern.

  1. Lassen Sie Ihre Website von einem deutschen Anbieter hosten.
  2. Versichern Sie sich, dass dessen Server (ausschließlich) in Deutschland stehen und das Unternehmen unabhängig von US-Unternehmen agiert.
  3. Überprüfen Sie, ob Ihre Website automatisch eine Verbindung zu US-Diensten herstellt (durch vom Hoster oder über den Page Builder installierter Dienste).
  4. Da (fast) alle CDN-Anbieter ihren Sitz außerhalb der EU haben, wäre ohne Privacy Shield momentan nur keycdn von Prionity LCC aus der Schweiz akzeptabel (Auftragsdatenverarbeitungsvertrag notwendig).

Cloud-Dienste

Bezogen auf Websites können Cloud-Dienste in zweierlei Hinsicht von Bedeutung sein. Einerseits könnte Ihre Website Verlinkungen zu in einer externen Cloud gespeicherten Inhalten (z. B. PDFs) enthalten. Andererseits werden automatische Backups Ihrer Website i. d. R. in einer externen Cloud gesichert, da eine Sicherung auf „Ihrem“ Server bei dessen Ausfall wenig sinnvoll wäre. Das gilt sowohl für die Datensicherung seitens des Hosters als auch mittels eines Plugins auf Ihrer Website.

AWS [2]

Weltweit, auch in der EU
EU (Luxemburg)
USA (Amazon.com Inc.)
Ja

Dropbox [2]

USA [3]
EU (Irland)
USA (Dropbox Inc.)
Ja

Google Drive [2]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

OneDrive

Weltweit
?
USA (Microsoft Corporation)
Ja

[2] auch als Backup-Server / [3] für Business-Nutzer auch in Deutschland

  1. Benutzen Sie deutsche Cloud-Dienste, deren Server auch in Deutschland stehen und die keine Verbindung zu US-Unternehmen herstellen.
  2. Stellen Sie sicher, dass automatische Backups nicht bei US-Unternehmen oder auf US-Servern gespeichert werden.
  3. Sichern Sie Backups entweder lokal auf Ihrem Gerät / Ihrer Festplatte oder bei einem deutschen Anbieter mit Servern in Deutschland oder zumindest in der EU, z. B. Hetzner

Soziale Netzwerke

Da mit Ausnahme von Xing alle größeren sozialen Netzwerke ihren Sitz in den USA oder in Nicht-EU-Staaten haben, findet meistens auch ein Datentransfer dorthin statt. Darüber hinaus übermitteln diese Dienste auch Daten von Besuchern Ihrer Website, die sich gar nicht bei den jeweiligen Netzwerken angemeldet haben.

Facebook

Weltweit, auch in der EU
EU (Irland)
USA (Facebook Inc.)
Ja

Instagram

Weltweit, auch in der EU
EU (Irland)
USA (Facebook Inc.)
Ja

LinkedIn

USA,?
EU (Irland)
USA (LinkedIn Corporation)
Ja

Pinterest

USA,?
EU (Irland)
USA (Pinterest Inc.)
Ja

Tumblr

USA,?
USA (Tumblr Corporation)
USA (Automattic Inc.)
Ja

Twitter

USA,?
EU (Irland)
USA (Twitter Inc.)
Ja

[4]Unproblematische WP-Social Plugins wären:

Better Click to Tweet, jQuery Pin It Button for Images, Easy Social Icons, Lightweight Social Icons, Simple Social Icons, Social Icons, WP Social Icons, Shariff Wrapper, Mekka Smart Social Widget, Social Slider Widget, Social Icons Widget by WPZOOM, sowie Social Count Plus.

  1. Entfernen Sie alle von den Netzwerken zur Verfügung gestellten fertigen Code-Schnipsel von Ihrer Website.
  2. Verweisen Sie auf Ihre Profile, indem Sie einen Link mit der URL Ihrer Profilseite(n) setzen.
  3. Verwenden Sie keine Plugins der Netzwerke, sondern nur Social Media Plugins [4], die keine personenbezogenen Daten verarbeiten.
  4. Binden Sie nur Teilen-Buttons ein, die erst eine Verbindung zu dem jeweiligen Netzwerk herstellen, nachdem der Besucher auf sie geklickt hat.

Werbe-Netzwerke

Neben den Verknüpfungen mit sozialen Netzwerken geht ein großer Teil des Datentransfers in die USA von der in Websites eingebetteten Werbung aus. Wie die Namen der Programme bereits vermuten lassen, haben die Anbieter alle Ihren Sitz in den USA. Dementsprechend sind sie nach dem Aus für das Privacy Shield nicht mehr datenschutzkonform einsetzbar.

Google: Ads, Adsense, Doubleclick, Remarketing, Conversion Tracking; Facebook Pixel; Amazon Partnerprogramm

  1. Die einzige Alternative wäre, mittels eines gekennzeichneten Links zur Homepage der Unternehmen für deren Produkte zu werben und mit den jeweiligen Partnern einen Vertrag über eine bestimmte Provision-Zahlung abzuschließen.
  2. Ob dieses Verfahren praxistauglich ist, sei dahingestellt.

Newsletter-Dienste

Da Newsletter ein gern genutztes Mittel zur Eigenwerbung sind, werden entsprechende Abonnement-Aufforderungen auf vielen Websites eingeblendet. Zum Sammeln von E-Mail-Adressen und zur Automatisierung des E-Mail-Versands nutzen viele Website-Betreiber vor allem zwei Anbieter, die sich beim Datenschutz ebenfalls auf das Privcy Shield berufen:

MailChimp

USA
USA
USA (Rocket Science Group LLC)
Ja

ActiveCampaign.com

?
USA
USA (ActiveCampaign)
Ja

  1. Alternativen wären die deutschen Anbieter RapidMail oder
  2. CleverReach (Serverstandort EU), jeweils mit Auftragsdatenverarbeitungsvertrag.

Analyse- und Statistik

Auch bei Diensten, die die Anzahl der Besucher auf Ihrer Website sowie deren Verhalten analysieren, ist der Wegfall des Privacy Shields relevant. Denn sie sind wahre Sammler personenbezogener Daten, allen voran Google Analytics. Wobei hier noch dazu kommt, dass Sie den Dienst gar nicht selbst auf Ihrer Website installiert haben müssen. Wenn Sie beispielsweise Kunde eines der unter „Hosting und CDN“ genannten Anbieter sind, sammelt u. U. das Analyse-Tool des Anbieters automatisch auch die Daten der Besucher Ihrer Website.

Google Analytics

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

WP Stat(istic)s

USA
USA
USA (Automattic Inc.)
Ja

  1. Falls Ihnen ein Überblick über die Besucher, die besuchten Inhalte und die Referrer ausreicht, wäre das WP-Plugin Statify eine Alternative. Es werden keine IP-Adressen oder andere personenbezogenen Daten verarbeitet.
  2. Sollten Sie eine detailreichere Analyse benötigen, steht Ihnen mit Matomo ein mit Google Analytics vergleichbarer Dienst zur Verfügung. Im Gegensatz zu Google Analytics installieren Sie Matomo direkt auf Ihrem Server und es werden keine Daten zu anderen Servern oder Unternehmen übertragen.

Sonstige Dienste

Einerseits handelt es sich hierbei um Dienste, die zur Gestaltung der Website beitragen bzw. einen diesbezüglichen speziellen Service zur Verfügung stellen und dazu mit externen Servern kommunizieren. Andererseits zählen dazu auch in die Website eingebettete Videos, Musik oder Video-Konferenz-Tools.

Adobe Fonts

USA,?
EU (Irland)
USA (Adobe Inc.)
Ja

Google Fonts [5]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

YouTube [6]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

Vimeo [7]

USA,?

USA (Vimeo Inc.)
Ja

SoundCloud

EU,?
EU (Deutschland)
UK (SoundCloud Ltd.)
Ja [1]

Spotify

EU,?
EU (Luxemburg)
Schweden (Spotify Technology SA)
Ja [1]

[5] Das gilt auch für Google Maps und reCAPTCHA; [6] auch mit erweitertem Datenschutz; [7] mit und ohne Tracking

  1. Laden Sie Adobe oder Google Fonts herunter und installieren Sie sie auf Ihrem Server.
  2. Nutzen Sie kein reCAPTCHA, sondern verwenden Sie andere Lösungen wie Honeypot oder ein Anti-Spam-Plugin (s. u.).
  3. Betten Sie Google Maps nicht mittels eines Plugins oder eines fertigen Code-Schnipsels ein. Fügen Sie stattdessen einen Link / Button / eine verlinkte Grafik mit der URL, die Ihre Besucher zu Ihrem Standort auf Google Maps weiterleiten, ein.
  4. Dasselbe gilt für die Einbettung von Videos oder Musik. Erstellen Sie z. B. eine statische Grafik / eine Abbildung und verlinken Sie diese mit dem gewünschten Video oder Musiktitel.
  5. Leider gibt es momentan keine empfehlenswerten Alternativen zu den US-Video-Konferenz-Tools wie Google Meet, Microsoft Teams, Skype für Business, Zoom etc.

WP-Plugins

Auf die Privacy Shield Problematik von WordPress.com bin ich bereits im Abschnitt über das Hosting eingegangen. Aber auch wenn Sie Ihre Seite „selbst“ hosten und nur das Redaktionssystem (CMS) von WordPress.org nutzen, sind Sie nicht immer auf der sicheren Seite. Denn einer der Vorteile des WordPress-CMS ist die Möglichkeit, für fast alle Funktionen Plugins einsetzen zu können und diese so nicht selbst programmieren zu müssen.

Obwohl das CMS von WordPress.org zunächst von WordPress.com unabhängig arbeitet, da es sich auf Ihrem Server befindet und keine Verbindung zu WordPress.com aufbaut, gilt das nicht uneingeschränkt für alle Plugins. Einerseits stammen viele Plugins ebenfalls von Automattic Inc. Andererseits findet auch von vielen Plugins externer Entwickler ein Datentransfer in Nicht-EU-Staaten statt, der nun nicht mehr durch das Privacy Shield geschützt ist.

Aufgrund des riesigen Plugin-Angebots beschränke ich mich an dieser Stelle wiederum auf die auch auf deutschen Websites häufig genutzten. Die bereits oben erwähnten Social-Media-, Analyse-, Newsletter- und Werbe-Plugins lasse ich in der folgenden Zusammenstellung weg. Auch für die Bewertung der Plugins verwende ich drei Kategorien:

  • Nicht verwenden, denn es findet immer ein Datentransfer statt, der ohne Privacy Shield nicht mehr erlaubt ist.
  • Kritisch, obwohl Sie das Übermitteln bestimmter Daten in den Einstellungen untersagen können.
  • Unproblematisch, weil keine Daten zu externen Servern übertragen werden.
Sicherheit

Wordfence Security (Defiant Corp., USA) = Datentransfer zu Servern in den USA

iThemes Security (iThemes Media LLC, USA) • Sucuri Security (GoDaddy Media Temple Inc., USA) = u. U. werden bestimmte Daten (z. B. IP-Adressen) übertragen.

BBQ (Block Bad Queries)

Schutz vor Spams / … von E-Mail-Adressen

Aksimet = Datentransfer zu Servern in den USA / –

WPBruiser = speichert IP-Adressen in der WordPress-Datenbank • WP-SpamShield / –

Antispam Bee / Email Encoder (Ironikus FZE)

Caching / SEO

– / Redirection • SEO Redirection = IP-Protokollierung muss in den Einstellungen ausgeschaltet werden

Alle übrigen gängigen Caching- bzw. SEO-Plugins übertragen und speichern keine Daten auf externen Servern / 301 Redirects, Eintrag in die htaccess-Datei.

Gestaltung / Editor

Better Font Awesome • Elementar Page Builder; Page Builder by SiteOrigin; Popup Builder; WP Bakery Page Builder = Datentransfer an Server außerhalb der EU, teilweise bevor die Besucher der Website ihr Einverständnis erklären können / –

Alle gängigen Editor-Plugins, sofern keine Sie keine problematischen Einbettungen (s. Soziale Medien, Videos, etc.) einfügen, sind auch ohne Privacy Shield rechtskonform.

Bilder und Medien

Compress JPEG & PNG images; EWWW Image Optimizer Cloud; Kraken.io Image Optimizer; NextGEN Gallery; ShortPixel Image Optimizer; Smush Image Compression and Optimization • WordPress File Upload = Datenverarbeitung auf externen Servern, auch außerhalb der EU

Keine unkritischen Plugins bekannt. Deshalb bearbeiten, optimieren und komprimieren Sie Bilder und Grafiken, bevor Sie sie zu WP hochladen.

Kontakt-Formulare / Mitgliedschaft, Foren

Super Forms = Datentransfer zu Servern außerhalb der EU möglich / BuddyPress; Digimember; Ultimate Member; OptimizePress; Simple:Press; = Verarbeitung von Daten auf Servern in den USA spätestens dann, wenn Sie sie in Verbindung mit Newsletter- oder Social-Media-Plugins verwenden.

Contact Form by WP; Flamingo; Gravity Forms = speichern Daten in der WordPress-Datenbank • Contact Form 7; Ninja Forms = DSGVO-Anpassung in den Einstellungen der Plugins vornehmen / –

Für beide Anwendungsbereiche gibt es bisher keine gleichwertigen Alternativ-Plugins.

Kommentare / Benachrichtigungen

Disqus Comment System; wpDiscuz = Verarbeitung von Daten auf Servern in den USA • Jetpack = enthält einige problematische Funktionen. / OneSignal

Subscribe to Comments Reloaded = Anpassung in den Einstellungen unbedingt notwendig! / –

Disable Comments / –

  1. Prüfen Sie jedes Plugin, das Sie installieren möchten oder installiert haben (auch wenn es oben nicht aufgeführt wurde).
  2. Besuchen Sie die Website des Entwicklers (so vorhanden): Wo hat das Unternehmen / die Konzernmutter seinen/ihren Sitz?
  3. Lesen Sie die Datenschutzerklärung und die AGB: Beruft sich das Unternehmen auf das Privacy Shield?
  4. Informieren Sie sich über die Qualität eines Plugins nicht (ausschließlich) auf außereuropäischen Websites, da für sie i. d. R. die Einhaltung der EU-DSGVO bzw. das Privacy Shield kein Bewertungskriterium ist.
  5. Überprüfen Sie die Einstellungen des Plugins und passen Sie es DSGVO-konform an. Sollte dies bei einem als kritisch eingestuften Plugin nicht möglich sein, deinstallieren Sie das Plugin.
  6. Verzichten Sie auf jeden Fall bis auf Weiteres auf alle Plugins, die in der Kategorie „Nicht verwenden“ genannt sind.

Fazit

Zweifelsohne stellt das Privacy Shield Urteil des EuGH deutsche Unternehmen vor eine kurzfristig kaum lösbare Aufgabe. Und das selbst dann, wenn sie ihren Datentransfer bereits über Standardvertragsklauseln und Auftragsdatenverarbeitsungsverträge „abgesichert“ haben. Aber auch auf vergleichsweise kleine Website-Betreiber kommt eine Menge Arbeit zu. Zumal diese i. d. R. mit den in Frage kommenden US-Diensten weder Auftragsdatenverarbeitsungsverträge noch Verträge mit den Standard-Datenschutz-Klauseln abgeschlossen haben.

Es ist davon auszugehen, dass es noch eine ganze Weile dauern wird, bis die zuständigen EU-Behörden eine neue rechtliche Basis für den Datentransfer insbesondere in die USA als Ersatz für das Privacy Shield geschaffen haben. Wobei im Moment auch noch vollkommen offen ist, wie eine rechtssichere Vereinbarung überhaupt aussehen soll.

Einerseits kann ein Staat einem anderen wohl kaum vorschreiben, wie „dessen“ Unternehmen z. B. personenbezogene Daten zu schützen haben. Andererseits kann es aber auch nicht im Sinne des Gesetzgebers sein, eine Missachtung der in der EU geltenden Gesetze mittels einer, mit dem ungültigen Privacy Shield vergleichbaren, Vereinbarungen zwischen einzelnen Unternehmen zuzulassen.

Auswirkungen auf das „Internet“

Bedeutet das nun das Ende des freien Internets und der freien Wirtschaft, wie es manche befürchten? Vermutlich nicht, denn das wurde schon häufiger vorausgesagt und ist bisher nicht eingetreten. Zwar mag das auch auf die Trägheit des Internets selbst sowie auf die Ignoranz vieler Unternehmen / Website-Betreiber zurückzuführen sein, aber wohl nicht nur. So ist das Internet ständig Veränderungen unterworfen, auch wenn dies vielen Benutzern nicht auffällt.

Darüber hinaus ist das (auch internetbasierte) internationale Geschäft viel zu lukrativ, als dass alles von jetzt auf gleich zum Erliegen käme. So werden Unternehmen wohl kaum sofort ihre Geschäftsbeziehungen zu den USA kappen. Sondern sie werden massiv darauf drängen, Lösungen zu finden.

Neben den Gesetzgebern sind da jedoch auch die deutschen / europäischen Unternehmen selbst gefragt, die sich bisher viel zu sehr in die Abhängigkeit von US-Konzernen begeben haben. Da ja alles so schön komfortabel war, wurde nicht in ausreichendem Maße an deutschen / europäischen Alternativen zu den US-Diensten gearbeitet. Vielleicht führt der durch das EuGH-Urteil ausgelöste „Privacy Shield Schock“ endlich dazu, eigene, gleichwertige Dienste zu entwickeln. Schön wäre es ja.

Bis es soweit ist …

Hosten Sie Ihre Website(s) bei deutschen Anbietern und auf deutschen Servern und sichern Sie Ihre Daten in einer deutschen Cloud. Außerdem sollten Sie alle von Ihnen / auf Ihrer Website verwendeten Dienste kritisch überprüfen. Sind Dienste, die Daten in Staaten außerhalb der EU übermitteln, nicht durch datenschutzkonforme Alternativen ersetzbar, verzichten Sie ganz darauf.

Da es sich meistens um nicht absolut notwendige Zusatzfunktionen handelt, bedeutet das nicht das Ende Ihrer Website. So geht ohne die Verwendung der bequemen Page Builder mit Ihren fast unendlichen Möglichkeiten vielleicht ein bisschen der „Wow-Effekt“ verloren. Solange die Inhalte, auf die es doch letzten Endes ankommt, interessant sind, wird auch Ihre Website weiterhin Besucher haben.

Zum Schluss der vielleicht wichtigste Tipp:

Alle Dienstleister und Entwickler, unabhängig davon, wo sie arbeiten, wollen auch leben – müssen also Geld verdienen.

Für Dienstleistungen, die Sie kein Geld kosten (wie dies bei den Angeboten der US-Anbieter oft der Fall ist), bezahlen Sie immer mit Ihren Daten und den Daten Ihrer Kunden / der Besucher Ihrer Website.

Und im Gegensatz zu Ihnen selbst können letztere noch nicht einmal wirksam etwas dagegen unternehmen – außer Ihre Website nicht mehr aufzurufen.

Fragen oder Anmerkungen » Kontakt

Weiterlesen

EU Recht
DSGVO – Tipps für eine rechtssichere Website
luckycloud
luckyWeb – DSGVO-konformes Web-Hosting