Webdesign

EU-US Privacy Shield – Data Privacy Framework | 10 Tipps

Privacy Shield oder Data Framework – ein Datentransfer in die USA auch von Websites ist nach wie vor problematisch. Wertvolle Hinweise zu alternativen Lösungen.

von Ellena -

Teil 2

EU-US Privacy Shield - Data Privacy Framework - 10 Tipps
Grafik: eb

Analyse und Statistik

Auch bei Diensten, die die Anzahl der Besucher auf deiner Website sowie deren Verhalten analysieren, ist der Wegfall des Privacy Shields relevant. Denn sie sind wahre Sammler personenbezogener Daten, allen voran Google Analytics. Wobei hier noch dazu kommt, dass du den Dienst manchmal gar nicht selbst auf deiner Website installiert hast. Wenn du beispielsweise Kunde eines der unter Hosting und CDN genannten Anbieter oder eines deutschen Anbieters der Cloudflare nutzt, bist, sammelt unter Umständen das Analyse-Tool des Anbieters automatisch auch die Daten der Besucher deiner Website.

DSGVO-konforme Statistik
Falls dir ein Überblick über die Besucher, die besuchten Inhalte und die Referrer ausreicht, wäre das › WP-Plugin Statify eine Alternative. Es werden keine IP-Adressen oder andere personenbezogenen Daten verarbeitet.
Solltest du eine detailreichere Analyse benötigen, steht dir mit › Matomo ein mit Google Analytics vergleichbarer Dienst zur Verfügung. Im Gegensatz zu Google Analytics installierst du Matomo direkt auf deinem Server und es werden keine Daten zu anderen Servern oder Unternehmen übertragen. Eine weitere Option wäre noch › etracker.

Sonstige Dienste

Einerseits handelt es sich hierbei um Dienste, die zur Gestaltung der Website beitragen wie Fonts, die einen diesbezüglichen speziellen Service zur Verfügung stellen und dazu, unter Berufung auf das Privacy Shield, mit externen Servern kommunizieren. Andererseits zählen dazu auch in die Website eingebettete Videos, Musik oder Video-Konferenz-Tools.

Adobe Fonts

Server: USA, ?
Sitz: USA – Adobe Inc.
EU – Irland
Datentransfer: Ja

Google Fonts [6]

Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
EU – Irland
Datentransfer: Ja

YouTube [7]

Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
EU – Irland
Datentransfer: Ja

Vimeo [8]

Server: USA, ?
Sitz: USA – Vimeo Inc.

Datentransfer: Ja

SoundCloud

Server: EU, ?
Sitz: UK – SoundCloud Ltd.
EU – Deutschland
Datentransfer: Ja [9]

Spotify

Server: EU, ?
Sitz: Schweden – Spotify Technology SA
EU – Luxemburg
Datentransfer: Ja [9]

[6] Das gilt auch für Google Maps und reCAPTCHA
[7] auch mit erweitertem Datenschutz
[8] mit und ohne Tracking
[9] Übertragung von Daten durch eingebundene Dienste auch von Drittanbietern

Inzwischen maskieren einige Plug-ins die Schaltflächen für Google Maps oder YouTube, so dass du zunächst nur eine graue Fläche mit einem Button und einem Hinweis zum Datentransfer siehst. Erst nachdem du darauf geklickt hast, wird eine Verbindung zum Anbieter hergestellt, wo du dann in die Datenübertragung auf deren Website einwilligen kannst. Da die Darstellung nicht besonders ansprechend ist, bevorzuge ich die im Folgenden beschriebenen Methoden.

Keine Einbettung – Schriften selbst hosten
Bette Google Maps nicht mittels eines Plug-ins oder eines fertigen Code-Schnipsels ein. Füge stattdessen einen Link, einen Button oder eine verlinkte Grafik mit der URL ein, die deine Besucher zu deinem Standort auf Google Maps weiterleiten.
– Dasselbe gilt für die Einbettung von Videos oder Musik. Erstelle eine statische Grafik oder verwende ein passendes Foto und verlinke diese mit dem gewünschten Video oder Musiktitel.
Nutze kein reCAPTCHA, sondern andere Lösungen wie Honeypot oder ein Anti-Spam-Plug-in.
– Lade Adobe oder Google Fonts herunter und installiere sie auf deinem Server.

WP-Plugins

Auf die Privacy Shield Problematik von WordPress.com bin ich bereits im Abschnitt über das Hosting eingegangen. Aber auch wenn du deine Seite auf deutschen Servern hostest und nur das Redaktionssystem – CMS – von WordPress.org nutzt, bist du nicht immer auf der sicheren Seite. Denn einer der Vorteile des WordPress-CMS ist die Möglichkeit, für fast alle Funktionen Plug-ins einsetzen zu können und diese somit nicht selbst programmieren zu müssen.

Obwohl das CMS von WordPress.org zunächst von WordPress.com unabhängig arbeitet, da es sich auf deinem Server befindet und keine Verbindung zu WordPress.com aufbaut, gilt das nicht uneingeschränkt für alle Plug-ins. Einerseits stammen viele ebenfalls von Automattic Inc., also WordPress.com. Andererseits findet auch von vielen Plug-ins externer Entwickler ein Datentransfer in Nicht-EU-Staaten statt, der weder durch das Privacy Shield noch durch das Privacy Shield 2.0 DPF legitimiert ist.

Aufgrund des riesigen Angebots beschränke ich mich an dieser Stelle wiederum auf die, auch auf deutschen Websites, häufig genutzten. Die bereits oben erwähnten Social-Media-, Analyse-, Newsletter- und Werbe-Plug-ins lasse ich in der folgenden Zusammenstellung weg. Auch für die Bewertung der Plugins verwende ich drei Kategorien:

  • Lavendel: Nicht verwenden, denn es findet immer ein Datentransfer statt, der problematisch ist.
  • Pink: Kritisch, obwohl du das Übermitteln bestimmter Daten in den Einstellungen untersagen kannst.
  • Grün: Unproblematisch, weil keine Daten zu externen Servern übertragen werden.

Sicherheit

Wordfence Security – Defiant Corp., USA: Datentransfer zu Servern in den USA

iThemes Security – iThemes Media LLC, USA
Sucuri Security – GoDaddy Media Temple Inc., USA: Unter Umständen werden bestimmte Daten wie IP-Adressen übertragen.

BBQ – Block Bad Queries

Schutz vor Spams unD von E-Mail-Adressen

Aksimet: Datentransfer zu Servern in den USA

WPBruiser: Speichert IP-Adressen in der WordPress-Datenbank
WP-SpamShield

Antispam Bee
Email Encoder – Ironikus FZE
WP Armour: Überprüfen der Einstellungen notwendig!

Caching / SEO

Redirection
SEO Redirection: IP-Protokollierung muss in den Einstellungen ausgeschaltet werden

301 Redirects: Eintrag in die htaccess-Datei
Alle übrigen gängigen Caching- oder SEO-Plugins übertragen und speichern keine Daten auf externen Servern

Gestaltung / Editor

Better Font Awesome
Popup Builder;
Elementar Page Builder; Page Builder by SiteOrigin;
WP Bakery Page Builder: Datentransfer zu Servern außerhalb der EU, teilweise bevor die Besucher der Website ihr Einverständnis erklären können

Alle gängigen Editor-Plugins, sofern sie keine problematischen Einbettungen einfügen, sind auch ohne Privacy Shield rechtskonform – siehe auch unter « Sonstige Dienste.

Bilder und Medien

Compress JPEG & PNG images; EWWW Image Optimizer Cloud; Kraken.io Image Optimizer;
ShortPixel Image Optimizer; Smush Image Compression and Optimization;
NextGEN Gallery;
WordPress File Upload: Datenverarbeitung auf externen Servern, auch außerhalb der EU

Bildoptimierung nicht mittels Plug-in
Abgesehen vielleicht von Imagify sind keine absolut unkritischen Bildoptimierungs-Plug-ins bekannt. Deshalb bearbeite, optimiere und komprimiere Bilder und Grafiken selbst, bevor du sie zu WordPress hoch lädst. Darüber hinaus ist die Datenverringerung mittels Plug-in oft noch nicht optimal.

Kontakt-Formulare / Mitgliedschaft, Foren

Super Forms: Datentransfer zu Servern außerhalb der EU möglich
BuddyPress; Digimember; Ultimate Member; OptimizePress;
Simple:Press: Verarbeitung von Daten auf Servern in den USA spätestens dann, wenn du sie in Verbindung mit Newsletter- oder Social-Media-Plugins verwendest.

Contact Form by WP; Flamingo;
Gravity Forms: Speichern Daten in der WordPress-Datenbank
Contact Form sowie Ninja Forms: DSGVO-Anpassung in den Einstellungen der Plug-ins vornehmen!

Kontaktformulare anpassen
Für beide Anwendungsbereiche gibt es bisher keine gleichwertigen Alternativ-Plugins, die von Haus aus DSGVO-konform sind. Deshalb denke beim Einsatz von Contact Forms 7 und Ninja Forms in jedem Fall daran, die entsprechende Anpassung vorzunehmen und einen Hinweis auf deren Verwendung in deiner Datenschiutzerklärung hinzuzufügen.

Kommentare / Benachrichtigungen

Disqus Comment System; wpDiscuz: Verarbeitung von Daten auf Servern in den USA
Jetpack: Enthält einige problematische Funktionen
OneSignal

Subscribe to Comments Reloaded: Anpassung in den Einstellungen unbedingt notwendig!

Disable Comments

Informieren dich über die Plug-ins

vor der Installation:

  1. Prüfe jedes Plug-in, das du installieren möchtest oder installiert hast, auch wenn es oben nicht aufgeführt wurde.
  2. Besuche die Website des Entwicklers, sofern vorhanden: Wo haben das Unternehmen sowie die Konzernmutter ihren Sitz?
  3. Lese die Datenschutzerklärung und die AGB: Beruft sich das Unternehmen auf das alte Privacy Shield, das Privacy Shield 2.0 oder Standardvertragsklauseln?
  4. Informiere dich über die Qualität eines Plug-ins nicht ausschließlich auf außereuropäischen Websites, da für sie die Einhaltung der EU-DSGVO und das Privacy Shield kein Bewertungskriterium ist.
  5. Überprüfe die Einstellungen des Plug-ins und passe sie DSGVO-konform an. Sollte dies bei einem als kritisch eingestuften Plug-in nicht möglich sein, deinstallieren es.
  6. Verzichte auf jeden Fall bis auf Weiteres auf alle Plug-ins, die in der Kategorie Nicht verwenden genannt sind.

Privacy Shield 2.0

Viele deutsche Unternehmen nutzen für ihre Datenverarbeitung und sonstigen Arbeitsabläufe zu großen Teilen oder komplett die Dienste von US-Anbietern wie Google, Microsoft oder Amazon – sei es aus finanziellen Gründen oder wegen des Aufwands. Eine Umstellung auf deutsche oder europäische Alternativen oder zumindest Open-Source-Software wäre unter Umständen recht aufwändig. Deshalb tun sie sich schwer, etwas zu ändern. Infolgegdessen war der Druck auf die EU-Behörden entsprechend groß, einen Weg zu finden, den Datentransfers in die USA mit einem neuen Privacy Shield wieder zu legalisieren.

Nach einigen, dann doch immer wieder abgelehnten Entwürfen, haben sich die EU und die USA nun auf ein neues Datenschutzabkommen geeinigt – das Data Privacy Framework oder Privacy Shield 2.0. Es ist am 10.07.2023 in Kraft getreten. Grundvoraussetzung für das Zustandekommen war und ist, dass die USA garantieren,

  • den Zugriff von Nachrichtendiensten auf ein notwendiges und verhältnismäßiges Maß zu beschränken,
  • ein Gericht zu schaffen, an das sich einzelne EU-Bürger bei Verstößen wenden können,
  • dieses gegebenenfalls auch die Löschung von Daten anordnen kann beziehungsweise
  • dass die US-Unternehmen personenbezogene Daten löschen, sobald sie nicht mehr benötigt werden.

Ist der Datentransfer jetzt wieder erlaubt?

Brauchen sich Unternehmen und Website-Betreiber dank des Privacy Shield 2.0 nun keine Gedanken mehr zu machen, ob und welche Daten in die USA übermittelt werden? J-ein. Ganz so einfach ist es dann doch nicht. Denn das Privacy Shield 2.0 gilt nur für die US-Unternehmen, die an dem Abkommen teilnehmen und als sichere Datenempfänger eingestuft werden.

Hierzu müssen sie ein Selbstzerzifizierungsverfahren des US-Handelsministeriums durchlaufen und von diesem in eine Liste aufgenommen werden. Eine Reihe von US-Unternehmen haben dieses Zertifikat, das jährlich erneuert werden muss, bereits erhalten. Die Liste ist im Internet unter DATA PRIVACY FRAMEWORK LIST aufrufbar.

Zwar können die Produkte der in der Liste aufgeführten US-Anbieter aktuell wieder eingesetzt werden, aber es ist mehr als wahrscheinlich, dass auch gegen dieses Abkommen wie bei den vorherigen Klage gegen das Privacy Shield beim EuGH eingereicht wird. Das der europäische Gerichtshof auch diese Vereinbarung kippt, ist nicht ausgeschlossen. Hinzu kommt, dass auch eine neue US-Regierung das Privacy Shield 2.0 jederzeit wieder aufkündigen könnte.

Was bedeutet das für Website-Betreiber?

Theoretisch könntest du auf deiner Website einige der, in der Übersicht oben als kritisch oder problematisch eingestuften, US-Dienste bis auf weiteres wieder verwenden. Jedoch gilt das nur für die Dienste oder Produkte, für die es keine EU-Alternativen gibt sowie solche von zertifizierten Unternehmen. Um herauszufinden, ob du einen bestimmten Dienst oder ein bestimmtes Tool einsetzen darfst, musst du zunächst herausfinden, wer der Anbieter ist. Denn in der Liste sind nur die Unternehmen aufgeführt, nicht aber deren Produkte wie einzelne Plug-ins. Nur wenn der Anbieter in der Liste mit einem aktiven Zertifikat verzeichnet ist, dürftest du unter dem Privacy Shield 2.0 dessen Dienste nutzen.

Natürlich entbindet dich das auch nicht von der Pflicht, die Besucher deiner Website über die Verwendung externer Dienste, die Daten sammeln, aufzuklären und jeweils eine aktive Einwilligung dazu einzuholen. Ein Cookie Consent und detaillierte Angaben zu der Art der erfassten Daten in der Datenschutzerklärung sind Pflicht. Auch ein AV-Vertrag, zum Beispiel bei Analyse-Tools oder Newsletter-Diensten ist weiterhin notwendig. Darüber hinaus gilt die neue Vereinbarung nur für den Datentransfer in die USA, nicht aber in andere Länder außerhalb der EU.

EU-US Privacy Shield - Zusammenfassung

EU-US Privacy Shield – Zusammenfassung

Zweifelsohne stellte das Privacy Shield Urteil des EuGH deutsche Unternehmen vor eine kurzfristig kaum lösbare Aufgabe. Und das selbst dann, wenn du deinen Datentransfer bereits über Standardvertragsklauseln und AV-Verträge abgesichert hattest.

Aber auch auf vergleichsweise kleine Website-Betreiber kam eine Menge Arbeit zu. Zumal diese häufig mit den in Frage kommenden US-Diensten weder Auftragsdatenverarbeitsungsverträge noch Verträge mit den Standard-Datenschutz-Klauseln abgeschlossen hatten.

Einerseits kann ein Staat einem anderen wohl kaum vorschreiben, wie dessen Unternehmen personenbezogene Daten zu schützen haben. Andererseits kann es aber auch nicht im Sinne des Gesetzgebers sein, eine Missachtung der in der EU geltenden Gesetze mittels einer, wie auch immer lautenden, Vereinbarung zwischen einzelnen Unternehmen zuzulassen.

Das sollte sich mit dem Data Privacy Shield 2.0 ändern. In wieweit dieses jedoch auf Dauer die Lösung des Problems ist, bleibt wiederum abzuwarten.

Auswirkungen auf das Internet

Bedeutet die Datentransfer-Problematik nun auch das Ende des freien Internets und der freien Wirtschaft, wie es manche befürchten? Vermutlich nicht, denn das wurde schon häufiger vorausgesagt und ist bisher nicht eingetreten. Zwar mag das auch auf die Trägheit des Internets selbst sowie auf die Ignoranz vieler Unternehmen und Website-Betreiber zurückzuführen sein, aber wohl nicht nur. So ist das Internet ständig Veränderungen unterworfen, auch wenn dies vielen Benutzern nicht auffällt.

Darüber hinaus ist das auch internetbasierte, internationale Geschäft viel zu lukrativ, als dass alles von jetzt auf gleich zum Erliegen käme.

Neben den Gesetzgebern sind da jedoch auch die deutschen und europäischen Unternehmen selbst gefragt, die sich bisher viel zu sehr in die Abhängigkeit von US-Konzernen begeben haben. Da ja alles so schön komfortabel war, wurde nicht in ausreichendem Maße an deutschen und europäischen Alternativen zu den US-Diensten gearbeitet. Jedenfalls wäre es wünschenswert, unabhängig von jeglichen Abkommen mit den USA und einerlei, ob sie nun Privacy Shield oder Privacy Shield 2.0 heißen, verstärkt eigene, gleichwertige Dienste zu entwickeln. Schön wäre es ja.

Da es sich meistens um nicht absolut notwendige Zusatzfunktionen handelt, muss auch die erneute Legalisierung nicht bedeuten, dass du alle alten Verknüppfungen wieder herstellst. Denn die Privatsphäre deiner Website-Besucher an erster Stelle stehen und du solltest auch in Zukunft nur die Daten sammeln beziehungsweise sammeln lassen, die absolut notwendig sind. So geht ohne die Verwendung der bequemen Page Builder mit ihren fast unendlichen Möglichkeiten vielleicht ein bisschen der Wow-Effekt verloren. Allerdings ist es auch möglich, eine vergleichbare Gestaltung ohne Baukasten vorzunehmen, sofern du dich etwas mehr mit Alternativlösungen beschäftigst. Viel wichtiger sind doch die Inhalte einer Website. Solange sie interessant und aktuell sind, wird auch deine Website weiterhin Besucher haben.

Zum Schluss der vielleicht wichtigste Tipp:

Alle Dienstleister und Entwickler, unabhängig davon, wo sie arbeiten, wollen auch leben – müssen also Geld verdienen.

Ganz unabhängig vom EU-US Privacy Shield oder dem Data Privacy Framework bezahlst du für Dienstleistungen, die dich kein Geld kosten, wie dies bei den Angeboten vieler US- und einiger deutscher oder EU-Unternehmen der Fall ist, immer mit deinen Daten und den Daten deiner Kunden oder Besucher deiner Website.

Und im Gegensatz zu dir selbst können letztere kaum wirksam etwas dagegen unternehmen – außer deine Website nicht mehr aufzurufen.

Fazit

Hoste deine Website bei deutschen Anbietern und auf deutschen Servern und sichere deine Daten in einer deutschen Cloud. Außerdem solltest du alle von dir auf deiner Website verwendeten Dienste kritisch überprüfen. Sind Dienste, die unter Berufung auf das Privacy Shield, das Data Privacy Framework oder Standardvertragsklauseln Daten in Staaten außerhalb der EU übermitteln, nicht durch datenschutzkonforme Alternativen ersetzbar, verzichte am besten ganz darauf.

© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.

Ergänzende Beiträge

Umsetzung der DSGVO | Was hat sich seit 2018 verändert? Schriften auf Websites | In 5 Schritten DSGVO-konform Eine rechtssichere Website | 6 grundlegende Tipps Neue Website planen | Mit 15 Tipps erfolgreich starten Professionelle Website erstellen | Theorie und Praxis
Seiten: 1 2

NEUESTEr / Aktualisierter BEITRag

WP-Plugins - 12 empfehlenswerte Erweiterungen

WP Plug-ins | 13 empfehlenswerte Erweiterungen

BEITRagskategorien und Lexikon

Webdesign Reviews How To Allgemein Digitales von A bis Z
Fragen oder Anmerkungen? Kontaktiere mich

Blog

DIGITALES VON A BIS Z: Lexikon

Social Media:

Auf Mastodon folgen

Support

KONTAKT

Mo.-Fr. 9:00 - 19:00 Uhr

Mo.-Fr. 9:00 - 20:30 Uhr

Hilfecenter / FAQs

Über eb Webdesign

Cookie-hinweis

Um eine optimale Nutzung zu gewährleisten, setzt meine Website COOKIES, die jedoch nicht an Dritte übermittelt werden. Bei deinem Besuch erfasse und verarbeite ich keine personenbezogenen Daten.

© 2025 eb Webdesign

AGB/Dokumente Impressum Datenschutz Barrierefreiheit