Teil 2
INHALT
- Analyse und Statistik
- WP-Plugins
- Was ist das Privacy Shield 2.0?
- EU-US Privacy Shield – Fazit
- « EU-US Privacy Shield / DPF – Teil 1
Analyse und Statistik
Auch bei Diensten, die die Anzahl der Besucher auf deiner Website sowie deren Verhalten analysieren, ist der Wegfall des Privacy Shields relevant. Denn sie sind wahre Sammler personenbezogener Daten, allen voran Google Analytics. Wobei hier noch dazu kommt, dass du den Dienst manchmal gar nicht selbst auf deiner Website installiert hast. Wenn du beispielsweise Kunde eines der unter Hosting und CDN genannten Anbieter oder eines deutschen Anbieters der Cloudflare nutzt, bist, sammelt unter Umständen das Analyse-Tool des Anbieters automatisch auch die Daten der Besucher deiner Website.
DSGVO-konforme Statistik
Falls dir ein Überblick über die Besucher, die besuchten Inhalte und die Referrer ausreicht, wäre das › WP-Plugin Statify eine Alternative. Es werden keine IP-Adressen oder andere personenbezogenen Daten verarbeitet.
Solltest du eine detailreichere Analyse benötigen, steht dir mit › Matomo ein mit Google Analytics vergleichbarer Dienst zur Verfügung. Im Gegensatz zu Google Analytics installierst du Matomo direkt auf deinem Server und es werden keine Daten zu anderen Servern oder Unternehmen übertragen. Eine weitere Option wäre noch › etracker.
Sonstige Dienste
Einerseits handelt es sich hierbei um Dienste, die zur Gestaltung der Website beitragen wie Fonts, die einen diesbezüglichen speziellen Service zur Verfügung stellen und dazu, unter Berufung auf das Privacy Shield, mit externen Servern kommunizieren. Andererseits zählen dazu auch in die Website eingebettete Videos, Musik oder Video-Konferenz-Tools.
Adobe Fonts
Server: USA, ?
Sitz: USA – Adobe Inc.
EU – Irland
Datentransfer: Ja
Google Fonts [6]
Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
EU – Irland
Datentransfer: Ja
YouTube [7]
Server: Weltweit, auch in der EU
Sitz: USA – Google LLC
EU – Irland
Datentransfer: Ja
Vimeo [8]
Server: USA, ?
Sitz: USA – Vimeo Inc.
–
Datentransfer: Ja
SoundCloud
Server: EU, ?
Sitz: UK – SoundCloud Ltd.
EU – Deutschland
Datentransfer: Ja [9]
Spotify
Server: EU, ?
Sitz: Schweden – Spotify Technology SA
EU – Luxemburg
Datentransfer: Ja [9]
[6] Das gilt auch für Google Maps und reCAPTCHA
[7] auch mit erweitertem Datenschutz
[8] mit und ohne Tracking
[9] Übertragung von Daten durch eingebundene Dienste auch von Drittanbietern
Inzwischen maskieren einige Plug-ins die Schaltflächen für Google Maps oder YouTube, so dass du zunächst nur eine graue Fläche mit einem Button und einem Hinweis zum Datentransfer siehst. Erst nachdem du darauf geklickt hast, wird eine Verbindung zum Anbieter hergestellt, wo du dann in die Datenübertragung auf deren Website einwilligen kannst. Da die Darstellung nicht besonders ansprechend ist, bevorzuge ich die im Folgenden beschriebenen Methoden.
Keine Einbettung – Schriften selbst hosten
Bette Google Maps nicht mittels eines Plug-ins oder eines fertigen Code-Schnipsels ein. Füge stattdessen einen Link, einen Button oder eine verlinkte Grafik mit der URL ein, die deine Besucher zu deinem Standort auf Google Maps weiterleiten.
– Dasselbe gilt für die Einbettung von Videos oder Musik. Erstelle eine statische Grafik oder verwende ein passendes Foto und verlinke diese mit dem gewünschten Video oder Musiktitel.
Nutze kein reCAPTCHA, sondern andere Lösungen wie Honeypot oder ein Anti-Spam-Plug-in.
– Lade Adobe oder Google Fonts herunter und installiere sie auf deinem Server.
WP-Plugins
Auf die Privacy Shield Problematik von WordPress.com bin ich bereits im Abschnitt über das Hosting eingegangen. Aber auch wenn du deine Seite auf deutschen Servern hostest und nur das Redaktionssystem – CMS – von WordPress.org nutzt, bist du nicht immer auf der sicheren Seite. Denn einer der Vorteile des WordPress-CMS ist die Möglichkeit, für fast alle Funktionen Plug-ins einsetzen zu können und diese somit nicht selbst programmieren zu müssen.
Obwohl das CMS von WordPress.org zunächst von WordPress.com unabhängig arbeitet, da es sich auf deinem Server befindet und keine Verbindung zu WordPress.com aufbaut, gilt das nicht uneingeschränkt für alle Plug-ins. Einerseits stammen viele ebenfalls von Automattic Inc., also WordPress.com. Andererseits findet auch von vielen Plug-ins externer Entwickler ein Datentransfer in Nicht-EU-Staaten statt, der weder durch das Privacy Shield noch durch das Privacy Shield 2.0 DPF legitimiert ist.
Aufgrund des riesigen Angebots beschränke ich mich an dieser Stelle wiederum auf die, auch auf deutschen Websites, häufig genutzten. Die bereits oben erwähnten Social-Media-, Analyse-, Newsletter- und Werbe-Plug-ins lasse ich in der folgenden Zusammenstellung weg. Auch für die Bewertung der Plugins verwende ich drei Kategorien:
- Hintergrund Violett hell: Nicht verwenden, denn es findet immer ein Datentransfer statt, der problematisch ist.
- Hintergrund Grau hell: Kritisch, obwohl du das Übermitteln bestimmter Daten in den Einstellungen untersagen kannst.
- Hintergrund Weiß: Unproblematisch, weil keine Daten zu externen Servern übertragen werden.
Sicherheit
Wordfence Security – Defiant Corp., USA
Datentransfer zu Servern in den USA
iThemes Security – iThemes Media LLC, USA;
Unter Umständen werden bestimmte Daten wie IP-Adressen übertragen
Sucuri Security – GoDaddy Media Temple Inc., USA:
Unter Umständen werden bestimmte Daten wie IP-Adressen übertragen
BBQ – Block Bad Queries
Schutz vor Spams und von E-Mail-Adressen
Aksimet
Datentransfer zu Servern in den USA
WPBruiser:
Speichert IP-Adressen in der WordPress-Datenbank;
WP-SpamShield
Antispam Bee
Email Encoder – Ironikus FZE
WP Armour !
Überprüfender Einstellungen notwendig
Caching / SEO
Redirection
SEO Redirection:
IP-Protokollierung muss in den Einstellungen ausgeschaltet werden
301 Redirects:
Eintrag in die htaccess-Datei
Alle übrigen gängigen Caching- oder SEO-Plugins übertragen und speichern keine Daten auf externen Servern
Gestaltung / Editor
Better Font Awsome
Page Builder (Elementar, SiteOrigin, WP Bakery:
Datentransfer zu Servern außerhalb der EU, teilweise bevor die Besucher der Website ihr Einverständnis erklären können
Alle gängigen Editor-Plugins, sofern sie keine problematischen Einbettungen einfügen, sind auch ohne Privacy Shield rechtskonform – siehe auch unter « Sonstige Dienste.
Bilder und Medien
Compress JPEG & PNG images; EWWW Image Optimizer Cloud; Kraken.io Image Optimizer;
ShortPixel Image Optimizer; Smush Image Compression and Optimization;
NextGEN Gallery
WordPress File Upload:
Datenverarbeitung auf externen Servern, auch außerhalb der EU
Kontakt-Formulare / Mitgliedschaft, Foren
Super Forms:
Datentransfer zu Servern außerhalb der EU möglich
BuddyPress; Digimember; Ultimate Member; OptimizePress; Simple:Press:
Verarbeitung von Daten auf Servern in den USA spätestens dann, wenn du sie in Verbindung mit Newsletter- oder Social-Media-Plugins verwendest
Contact Form by WP; Flamingo
Gravity Forms:
Speichern Daten in der WordPress-Datenbank
Contact Form sowie Ninja Forms:
DSGVO-Anpassung in den Einstellungen der Plug-ins vornehmen!
Kontaktformulare anpassen
Für beide Anwendungsbereiche gibt es bisher keine gleichwertigen Alternativ-Plugins, die von Haus aus DSGVO-konform sind. Deshalb denke beim Einsatz von Contact Forms 7 und Ninja Forms in jedem Fall daran, die entsprechende Anpassung vorzunehmen und einen Hinweis auf deren Verwendung in deiner Datenschutzerklärung hinzuzufügen.
Kommentare / Benachrichtigungen
Disqus Comment System; wpDiscuz:
Verarbeitung von Daten auf Servern in den USA
Jetpack:
Enthält einige problematische Funktionen
OneSignal
Subscribe to Comments Reloaded:
Anpassung in den Einstellungen unbedingt notwendig!
Disable Comments
Informieren dich über die Plug-ins
… vor der Installation:
- Prüfe jedes Plug-in, das du installieren möchtest oder installiert hast, auch wenn es oben nicht aufgeführt wurde.
- Besuche die Website des Entwicklers, sofern vorhanden: Wo haben das Unternehmen sowie die Konzernmutter ihren Sitz?
- Lese die Datenschutzerklärung und die AGB: Beruft sich das Unternehmen auf das alte Privacy Shield, das Privacy Shield 2.0 oder Standardvertragsklauseln?
- Informiere dich über die Qualität eines Plug-ins nicht ausschließlich auf außereuropäischen Websites, da für sie die Einhaltung der EU-DSGVO und das Privacy Shield kein Bewertungskriterium ist.
- Überprüfe die Einstellungen des Plug-ins und passe sie DSGVO-konform an. Sollte dies bei einem als kritisch eingestuften Plug-in nicht möglich sein, deinstallieren es.
- Verzichte auf jeden Fall bis auf Weiteres auf alle Plug-ins, die in der Kategorie Nicht verwenden genannt sind.
Was ist das Privacy Shield 2.0?
Nach einigen, dann doch immer wieder abgelehnten Entwürfen, haben sich die EU und die USA nun auf ein neues Datenschutzabkommen geeinigt – das Data Privacy Framework oder Privacy Shield 2.0. Es ist am 10.07.2023 in Kraft getreten. Grundvoraussetzung für das Zustandekommen war und ist, dass die USA garantieren,
- den Zugriff von Nachrichtendiensten auf ein notwendiges und verhältnismäßiges Maß zu beschränken,
- ein Gericht zu schaffen, an das sich einzelne EU-Bürger bei Verstößen wenden können,
- dieses gegebenenfalls auch die Löschung von Daten anordnen kann beziehungsweise
- dass die US-Unternehmen personenbezogene Daten löschen, sobald sie nicht mehr benötigt werden.
Viele deutsche Unternehmen nutzen für ihre Datenverarbeitung und sonstigen Arbeitsabläufe zu großen Teilen oder komplett die Dienste von US-Anbietern wie Google, Microsoft oder Amazon – sei es aus finanziellen Gründen oder wegen des Aufwands. Eine Umstellung auf deutsche oder europäische Alternativen oder zumindest Open-Source-Software wäre unter Umständen recht aufwändig. Deshalb tun sie sich schwer, etwas zu ändern. Infolgegdessen war der Druck auf die EU-Behörden entsprechend groß, einen Weg zu finden, den Datentransfers in die USA mit einem neuen Privacy Shield wieder zu legalisieren.
Ist der Datentransfer jetzt wieder erlaubt?
J-ein. Ganz so einfach ist es dann doch nicht. Denn das Privacy Shield 2.0 gilt nur für die US-Unternehmen, die an dem Abkommen teilnehmen und als sichere Datenempfänger eingestuft werden.
Hierzu müssen sie ein Selbstzerzifizierungsverfahren des US-Handelsministeriums durchlaufen und von diesem in eine Liste aufgenommen werden. Eine Reihe von US-Unternehmen haben dieses Zertifikat, das jährlich erneuert werden muss, bereits erhalten. Die Liste ist im Internet unter › DATA PRIVACY FRAMEWORK LIST aufrufbar.
Zwar können die Produkte der in der Liste aufgeführten US-Anbieter aktuell wieder eingesetzt werden, aber es ist mehr als wahrscheinlich, dass auch gegen dieses Abkommen wie bei den vorherigen Klage gegen das Privacy Shield beim EuGH eingereicht wird. Das der europäische Gerichtshof auch diese Vereinbarung kippt, ist nicht ausgeschlossen. Hinzu kommt, dass auch eine neue US-Regierung das Privacy Shield 2.0 jederzeit wieder aufkündigen könnte.
Was bedeutet das für Website-Betreiber?
Theoretisch könntest du auf deiner Website einige der, in der Übersicht oben als kritisch oder problematisch eingestuften, US-Dienste bis auf weiteres wieder verwenden. Jedoch gilt das nur für die Dienste oder Produkte, für die es keine EU-Alternativen gibt sowie solche von zertifizierten Unternehmen. Um herauszufinden, ob du einen bestimmten Dienst oder ein bestimmtes Tool einsetzen darfst, musst du zunächst herausfinden, wer der Anbieter ist. Denn in der Liste sind nur die Unternehmen aufgeführt, nicht aber deren Produkte wie einzelne Plug-ins. Nur wenn der Anbieter in der Liste mit einem aktiven Zertifikat verzeichnet ist, dürftest du unter dem Privacy Shield 2.0 dessen Dienste nutzen.
Natürlich entbindet dich das auch nicht von der Pflicht, die Besucher deiner Website über die Verwendung externer Dienste, die Daten sammeln, aufzuklären und jeweils eine aktive Einwilligung dazu einzuholen. Ein Cookie Consent und detaillierte Angaben zu der Art der erfassten Daten in der Datenschutzerklärung sind Pflicht. Auch ein AV-Vertrag, zum Beispiel bei Analyse-Tools oder Newsletter-Diensten ist weiterhin notwendig. Darüber hinaus gilt die neue Vereinbarung nur für den Datentransfer in die USA, nicht aber in andere Länder außerhalb der EU.
EU-US Privacy Shield – Fazit
Zweifelsohne stellte das Privacy Shield Urteil des EuGH deutsche Unternehmen vor eine kurzfristig kaum lösbare Aufgabe. Und das selbst dann, wenn du deinen Datentransfer bereits über Standardvertragsklauseln und AV-Verträge abgesichert hattest.
Aber auch auf vergleichsweise kleine Website-Betreiber kam eine Menge Arbeit zu. Zumal diese häufig mit den in Frage kommenden US-Diensten weder Auftragsdatenverarbeitsungsverträge noch Verträge mit den Standard-Datenschutz-Klauseln abgeschlossen hatten.
Einerseits kann ein Staat einem anderen wohl kaum vorschreiben, wie dessen Unternehmen personenbezogene Daten zu schützen haben. Andererseits kann es aber auch nicht im Sinne des Gesetzgebers sein, eine Missachtung der in der EU geltenden Gesetze mittels einer, wie auch immer lautenden, Vereinbarung zwischen einzelnen Unternehmen zuzulassen.
Das sollte sich mit dem Data Privacy Shield 2.0 ändern. In wieweit dieses jedoch auf Dauer die Lösung des Problems ist, bleibt wiederum abzuwarten.
Auswirkungen auf das Internet
Bedeutet die Datentransfer-Problematik nun auch das Ende des freien Internets und der freien Wirtschaft, wie es manche befürchten? Vermutlich nicht, denn das wurde schon häufiger vorausgesagt und ist bisher nicht eingetreten. Zwar mag das auch auf die Trägheit des Internets selbst sowie auf die Ignoranz vieler Unternehmen und Website-Betreiber zurückzuführen sein, aber wohl nicht nur. So ist das Internet ständig Veränderungen unterworfen, auch wenn dies vielen Benutzern nicht auffällt.
Darüber hinaus ist das auch internetbasierte, internationale Geschäft viel zu lukrativ, als dass alles von jetzt auf gleich zum Erliegen käme.
Neben den Gesetzgebern sind da jedoch auch die deutschen und europäischen Unternehmen selbst gefragt, die sich bisher viel zu sehr in die Abhängigkeit von US-Konzernen begeben haben. Da ja alles so schön komfortabel war, wurde nicht in ausreichendem Maße an deutschen und europäischen Alternativen zu den US-Diensten gearbeitet. Jedenfalls wäre es wünschenswert, unabhängig von jeglichen Abkommen mit den USA und einerlei, ob sie nun Privacy Shield oder Privacy Shield 2.0 heißen, verstärkt eigene, gleichwertige Dienste zu entwickeln. Schön wäre es ja.
Da es sich meistens um nicht absolut notwendige Zusatzfunktionen handelt, muss auch die erneute Legalisierung nicht bedeuten, dass du alle alten Verknüppfungen wieder herstellst. Denn die Privatsphäre deiner Website-Besucher an erster Stelle stehen und du solltest auch in Zukunft nur die Daten sammeln beziehungsweise sammeln lassen, die absolut notwendig sind. So geht ohne die Verwendung der bequemen Page Builder mit ihren fast unendlichen Möglichkeiten vielleicht ein bisschen der Wow-Effekt verloren. Allerdings ist es auch möglich, eine vergleichbare Gestaltung ohne Baukasten vorzunehmen, sofern du dich etwas mehr mit Alternativlösungen beschäftigst. Viel wichtiger sind doch die Inhalte einer Website. Solange sie interessant und aktuell sind, wird auch deine Website weiterhin Besucher haben.
Zum Schluss der vielleicht wichtigste Tipp:
Alle Dienstleister und Entwickler, unabhängig davon, wo sie arbeiten, wollen auch leben – müssen also Geld verdienen.
Ganz unabhängig vom EU-US Privacy Shield oder dem Data Privacy Framework bezahlst du für Dienstleistungen, die dich kein Geld kosten, wie dies bei den Angeboten vieler US- und einiger deutscher oder EU-Unternehmen der Fall ist, immer mit deinen Daten und den Daten deiner Kunden oder Besuchern deiner Website. Und im Gegensatz zu dir selbst können letztere kaum wirksam etwas dagegen unternehmen – außer deine Website nicht mehr aufzurufen.
Egal ob Privacy Shield oder Data Privacy Framework, beides sind politische Konstrukte, deren Gültigkeit, wie die Vergangenheit gezeigt hat, wenig zuverlässig ist. Demzufolge ist es keine gute Entscheidung, sich unkritisch in die Abhängigkeit von US-Diensten zu begeben und darauf zu bauen, dass der Datentransfer auf Dauer halbwegs rechtssicher möglich ist und bleibt.
Hoste deine Website bei deutschen Anbietern und auf deutschen Servern und sichere deine Daten in einer deutschen Cloud. Außerdem solltest du alle von dir auf deiner Website verwendeten Dienste kritisch überprüfen. Sind Dienste, die unter Berufung auf das Privacy Shield, das Data Privacy Framework oder Standardvertragsklauseln Daten in Staaten außerhalb der EU übermitteln, nicht durch datenschutz-konforme Alternativen ersetzbar, verzichte am besten ganz darauf.
FAQ
Wozu dient das Data Privacy Framework?
Es soll US-Hard- und Software-Anbietern ermöglichen, ihren Datenschutz so an die EU-DSGVO anzupassen, dass ihr Produkte legal in der EU verwendet werden dürfen.
Kann ich jetzt alle US-Produkte legal verwenden?
Nein. Es gilt nur für die Unternehmen, die das Selbstzertifizierungsverfahren durchlaufen haben und in die Liste › DATA PRIVACY FRAMEWORK LIST eingetragen sind.
Löst das Data Privacy Framework alle Probleme?
Nein. Du bewegst Dich immer in einer Grauzone, wenn du Produkte verwendest, deren Anbieter ihren Sitz nicht in der EU haben und / oder deren Server nicht ausschließlich in der EU stehen.
Was kann ich tun, um auf der sicheren Seite zu sein?
Verwende Produkte aus Deutschland oder der EU. Wenn das nicht möglich ist, kontrolliere in den Einstellungen, ob du den Datentransfer in Drittländer wirksam untersagen kannst.
© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.
