EU-US Privacy Shield – Data Privacy Framework | 10 Tipps

Privacy Shield oder Data Framework – ein Datentransfer in die USA auch von Websites ist nach wie vor problematisch. Wertvolle Hinweise zu alternativen Lösungen.

von Ellena,

Webdesign

EU-US Privacy Shield ungültig - wie geht es weiter?
Grafik: eb

EU-US Privacy Shield / Data Privacy Framework – Seite 2: Sonstige Dienste, WordPress Plug-ins

Lesezeit: ca. 21 min für den gesamten Beitrag

« Seite 1 – EU-US Privacy Shield ist ungültig, wie geht es weiter?

Analyse und Statistik

Auch bei Diensten, die die Anzahl der Besucher auf deiner Website sowie deren Verhalten analysieren, ist der Wegfall des Privacy Shields relevant. Denn sie sind wahre Sammler personenbezogener Daten, allen voran Google Analytics. Wobei hier noch dazu kommt, dass du den Dienst manchmal gar nicht selbst auf deiner Website installiert hast. Wenn du beispielsweise Kunde eines der unter „Hosting und CDN“ genannten Anbieter oder eines deutschen Anbieters der Cloudflare nutzt, bist, sammelt u. U. das Analyse-Tool des Anbieters automatisch auch die Daten der Besucher deiner Website.

DSGVO-konforme Statistik

Falls dir ein Überblick über die Besucher, die besuchten Inhalte und die Referrer ausreicht, wäre das › WP-Plugin Statify eine Alternative. Es werden keine IP-Adressen oder andere personenbezogenen Daten verarbeitet.
Solltest du eine detailreichere Analyse benötigen, steht dir mit › Matomo ein mit Google Analytics vergleichbarer Dienst zur Verfügung. Im Gegensatz zu Google Analytics installierst du Matomo direkt auf deinem Server und es werden keine Daten zu anderen Servern oder Unternehmen übertragen.

Sonstige Dienste

Einerseits handelt es sich hierbei um Dienste, die zur Gestaltung der Website beitragen wie z. B. Fonts bzw. einen diesbezüglichen speziellen Service zur Verfügung stellen und dazu, unter Berufung auf das Privacy Shield, mit externen Servern kommunizieren. Andererseits zählen dazu auch in die Website eingebettete Videos, Musik oder Video-Konferenz-Tools.

Adobe Fonts

USA,?
EU (Irland)
USA (Adobe Inc.)
Ja

Google Fonts [5]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

YouTube [6]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

Vimeo [7]

USA,?

USA (Vimeo Inc.)
Ja

SoundCloud

EU,?
EU (Deutschland)
UK (SoundCloud Ltd.)
Ja [1]

Spotify

EU,?
EU (Luxemburg)
Schweden (Spotify Technology SA)
Ja [1]

[5] Das gilt auch für Google Maps und reCAPTCHA; [6] auch mit erweitertem Datenschutz; [7] mit und ohne Tracking

Inzwischen „maskieren“ einige Plug-ins die Schaltflächen z. B. für Google Maps oder YouTube, so dass du zunächst nur eine graue Fläche mit einem Button und einem Hinweis zum Datentransfer siehst. Erst nachdem du darauf geklickt hast, wird eine Verbindung zum Anbieter hergestellt. Da die Darstellung nicht besonders ansprechend ist, bevorzuge ich die im Folgenden beschriebene/n Methode/n.

Keine Einbettung und Schriften selbst hosten

Bette Google Maps nicht mittels eines Plug-ins oder eines fertigen Code-Schnipsels ein. Füge stattdessen einen Link / Button / eine verlinkte Grafik mit der URL, die deine Besucher zu deinem Standort auf Google Maps weiterleiten, ein.
Dasselbe gilt für die Einbettung von Videos oder Musik. Erstelle z. B. eine statische Grafik / eine Abbildung und verlinke diese mit dem gewünschten Video oder Musiktitel.

Nutze kein reCAPTCHA, sondern verwende andere Lösungen wie Honeypot oder ein Anti-Spam-Plugin (s. u.).

Vorsicht auch bei anderen Diensten: Lade Adobe oder Google Fonts herunter und installiere sie auf deinem Server.

WP-Plugins

Auf die Privacy Shield Problematik von WordPress.com bin ich bereits im Abschnitt über das Hosting eingegangen. Aber auch wenn du deine Seite auf deutschen Servern hostest und nur das Redaktionssystem (CMS) von WordPress.org nutzt, bist du nicht immer auf der sicheren Seite. Denn einer der Vorteile des WordPress-CMS ist die Möglichkeit, für fast alle Funktionen Plugins einsetzen zu können und diese so nicht selbst programmieren zu müssen.

Obwohl das CMS von WordPress.org zunächst von WordPress.com unabhängig arbeitet, da es sich auf deinem Server befindet und keine Verbindung zu WordPress.com aufbaut, gilt das nicht uneingeschränkt für alle Plugins. Einerseits stammen viele Plugins ebenfalls von Automattic Inc. (also WordPress.com). Andererseits findet auch von vielen Plugins externer Entwickler ein Datentransfer in Nicht-EU-Staaten statt, der weder durch das Privacy Shield noch durch das Privacy Shield 2.0 / DPF geschützt ist.

Aufgrund des riesigen Plugin-Angebots beschränke ich mich an dieser Stelle wiederum auf die auch auf deutschen Websites häufig genutzten. Die bereits oben erwähnten Social-Media-, Analyse-, Newsletter- und Werbe-Plugins lasse ich in der folgenden Zusammenstellung weg. Auch für die Bewertung der Plugins verwende ich drei Kategorien:

  • Rot: Nicht verwenden, denn es findet immer ein Datentransfer statt, der problematisch ist.
  • Gelb: Kritisch, obwohl du das Übermitteln bestimmter Daten in den Einstellungen untersagen kannst.
  • Grün: Unproblematisch, weil keine Daten zu externen Servern übertragen werden.

Sicherheit

Wordfence Security (Defiant Corp., USA) = Datentransfer zu Servern in den USA

iThemes Security (iThemes Media LLC, USA) • Sucuri Security (GoDaddy Media Temple Inc., USA) = u. U. werden bestimmte Daten (z. B. IP-Adressen) übertragen.

BBQ (Block Bad Queries)

Schutz vor Spams / … von E-Mail-Adressen

Aksimet = Datentransfer zu Servern in den USA / –

WPBruiser = speichert IP-Adressen in der WordPress-Datenbank • WP-SpamShield / –

Antispam Bee / Email Encoder (Ironikus FZE) / WP Armour (Einstellungen überprüfen!)

Caching / SEO

– / Redirection • SEO Redirection = IP-Protokollierung muss in den Einstellungen ausgeschaltet werden

Alle übrigen gängigen Caching- bzw. SEO-Plugins übertragen und speichern keine Daten auf externen Servern / 301 Redirects, Eintrag in die htaccess-Datei.

Gestaltung / Editor

Better Font Awesome • Elementar Page Builder; Page Builder by SiteOrigin; Popup Builder; WP Bakery Page Builder = Datentransfer an Server außerhalb der EU, teilweise bevor die Besucher der Website ihr Einverständnis erklären können / –

Alle gängigen Editor-Plugins, sofern Sie keine problematischen Einbettungen (s. Soziale Medien, Videos, etc.) einfügen, sind auch ohne Privacy Shield rechtskonform.

Bilder und Medien

Compress JPEG & PNG images; EWWW Image Optimizer Cloud; Kraken.io Image Optimizer; NextGEN Gallery; ShortPixel Image Optimizer; Smush Image Compression and Optimization • WordPress File Upload = Datenverarbeitung auf externen Servern, auch außerhalb der EU

Bildoptimierung nicht mittels Plugin

Abgesehen vielleicht von Imagify sind keine absolut unkritischen Bildoptimierungs-Plugins bekannt. Deshalb bearbeite, optimiere und komprimiere Bilder und Grafiken, bevor du sie zu WordPress hoch lädst.

Kontakt-Formulare / Mitgliedschaft, Foren

Super Forms = Datentransfer zu Servern außerhalb der EU möglich / BuddyPress; Digimember; Ultimate Member; OptimizePress; Simple:Press; = Verarbeitung von Daten auf Servern in den USA spätestens dann, wenn Sie sie in Verbindung mit Newsletter- oder Social-Media-Plugins verwenden.

Contact Form by WP; Flamingo; Gravity Forms = speichern Daten in der WordPress-Datenbank • Contact Form 7; Ninja Forms = DSGVO-Anpassung in den Einstellungen der Plugins vornehmen / –

Kontaktformulare anpassen

Für beide Anwendungsbereiche gibt es bisher keine gleichwertigen Alternativ-Plugins, die von Haus aus DSGVO-konform sind. Deshalb denke beim Einsatz von Contact Forms 7 und Ninja Forms in jedem Fall daran, die entsprechende Anpassung vorzunehmen und einen Hinweis darauf in deiner Datenschiutzerklärung hinzuzufügen.

Kommentare / Benachrichtigungen

Disqus Comment System; wpDiscuz = Verarbeitung von Daten auf Servern in den USA • Jetpack = enthält einige problematische Funktionen. / OneSignal

Subscribe to Comments Reloaded = Anpassung in den Einstellungen unbedingt notwendig! / –

Disable Comments / –

Informieren dich über die Plugins vor der Installation:

  1. Prüfe jedes Plugin, das du installieren möchtest oder installiert hast (auch wenn es oben nicht aufgeführt wurde).
  2. Besuche die Website des Entwicklers (so vorhanden): Wo hat das Unternehmen / die Konzernmutter seinen/ihren Sitz?
  3. Lese die Datenschutzerklärung und die AGB: Beruft sich das Unternehmen auf das Privacy Shield oder Standardvertragsklauseln?
  4. Informiere dich über die Qualität eines Plugins nicht (ausschließlich) auf außereuropäischen Websites, da für sie i. d. R. die Einhaltung der EU-DSGVO bzw. das Privacy Shield kein Bewertungskriterium ist.
  5. Überprüfe die Einstellungen des Plugins und passe sie DSGVO-konform an. Sollte dies bei einem als kritisch eingestuften Plugin nicht möglich sein, deinstallieren das Plugin.
  6. Verzichte auf jeden Fall bis auf Weiteres auf alle Plugins, die in der Kategorie „Nicht verwenden“ genannt sind.

Privacy Shield 2.0

Viele deutsche Unternehmen nutzen für ihre Datenverarbeitung und sonstigen Arbeitsabläufe zu großen Teilen oder komplett die Dienste von US-Anbietern wie Microsoft oder Amazon. Sei es aus finanziellen Gründen oder wegen des Aufwands, den eine Umstellung auf deutsche / europäische Anbieter oder zumindest Open-Source-Software mit sich brächte, taten / tun sie sich schwer, daran etwas zu ändern. Infolegdessen war der Druck auf die EU-Behörden entsprechend groß, einen Weg zu finden, den Datentransfers in die USA mit einem neuen Privacy Shield wieder zu „legalisieren“.

Nach einigen, dann doch immer wieder abgelehnten Entwürfen, haben sich die EU und die USA nun auf ein neues Datenschutzabkommen geeinigt – das Data Privacy Framework oder Privacy Shield 2.0. Es ist am 10.07.2023 in Kraft getreten. Grundvoraussetzung für das Zustandekommen war und ist, dass die USA garantieren,

  • den Zugriff von Nachrichtendiensten auf ein notwendiges und verhältnismäßiges Maß zu beschränken,
  • ein Gericht geschaffen wird, an des sich einzelne EU-Bürger bei Verstößen wenden können,
  • dieses ggf. auch die Löschung von Daten anordnen kann bzw.
  • dass die US-Unternehmen personenbezogene Daten löschen, sobald sie nicht mehr benötigt werden.

Ist der Datentransfer jetzt wieder erlaubt?

Brauchen sich Unternehmen und Website-Betreiber sich nun keine Gedanken mehr zu machen, ob und welche Daten in die USA übermittelt werden? J-ein. Ganz so einfach ist es dann doch nicht. Denn das Privacy Shield 2.0 gilt nur für die US-Unternehmen, die an dem Abkommen teilnehmen und als sichere Datenempfänger eingestuft werden.

Hierzu müssen sie ein Selbstzerzifizierungsverfahren des US-Handelsministeriums durchlaufen und von diesem in eine Liste aufgenommen werden. Eine Reihe von US-Unternehmen haben dieses Zertifikat, das jährlich erneuert werden muss, bereits erhalten. Die Liste ist im Internet unter DATA PRIVACY FRAMEWORK LIST aufrufbar.

Zwar können die Produkte der in der Liste aufgeführten US-Anbieter aktuell wieder rechtssicher eingesetzt werden, aber es ist mehr als wahrscheinlich, dass auch gegen dieses Abkommen wie bei den vorherigen Klage beim EuGH eingereicht wird. Das der europäische Gerichtshof auch diese Vereinbarung kippt, ist nicht ausgeschlossen.

Was bedeutet das für Website-Betreiber?

Theoretisch könntest du auf deiner Website einige der, in der Übersicht oben als kritisch oder problematisch eingestuften, US-Dienste bis auf weiteres wieder verwenden. Jedoch gilt das nur für die Dienste oder Produkte von zertifizierten Unternehmen. Um herauszufinden, ob du einen bestimmten Dienst / ein bestimmtes Tool einsetzen darfst, musst du zunächst herausfinden, wer der Anbieter ist. Denn in der Liste sind nur die Unternehmen aufgeführt, nicht aber deren Produkte wie z. B. Plug-ins. Nur wenn der Anbieter in der Liste mit einem aktiven Zertifikat verzeichnet ist, dürftest du unter dem Privacy Shield 2.0 dessen Dienste nutzen.

Natürlich entbindet dich das auch nicht von der Pflicht, die Besucher deiner Website über die Verwendung externer Dienste, die Daten sammeln, aufzuklären und jeweils eine aktive Einwilligung dazu einzuholen (Cookie Consent und detaillierte Angaben zu der Art der erfassten Daten etc. in der Datenschutzerklärung). Auch ein AV-Vertrag z. B. bei Analyse-Tools ist weiterhin notwendig. Darüber hinaus gilt die neue Vereinbarung nur für den Datentransfer in die USA, nicht aber in andere Länder außerhalb der EU.

EU-US Privacy Shield - Zusammenfassung

EU-US Privacy Shield – Zusammenfassung

Zweifelsohne stellte das Privacy Shield Urteil des EuGH deutsche Unternehmen vor eine kurzfristig kaum lösbare Aufgabe. Und das selbst dann, wenn du deinen Datentransfer bereits über Standardvertragsklauseln und AV-Verträge „abgesichert“ hattest.

Aber auch auf vergleichsweise kleine Website-Betreiber kam eine Menge Arbeit zu. Zumal diese i. d. R. mit den in Frage kommenden US-Diensten weder Auftragsdatenverarbeitsungsverträge noch Verträge mit den Standard-Datenschutz-Klauseln abgeschlossen hatten.

Einerseits kann ein Staat einem anderen wohl kaum vorschreiben, wie „dessen“ Unternehmen z. B. personenbezogene Daten zu schützen haben. Andererseits kann es aber auch nicht im Sinne des Gesetzgebers sein, eine Missachtung der in der EU geltenden Gesetze mittels einer, wie auch immer lautenden, Vereinbarung zwischen einzelnen Unternehmen zuzulassen.

Das könnte sich mit dem Data Privacy Shield 2.0 ändern. In wieweit dieses jedoch auf Dauer die Lösung des Problems ist, bleibt wiederum abzuwarten.

Auswirkungen auf das „Internet“

Bedeutet die Datentransfer-Problematik nun auch das Ende des freien Internets und der freien Wirtschaft, wie es manche befürchten? Vermutlich nicht, denn das wurde schon häufiger vorausgesagt und ist bisher nicht eingetreten. Zwar mag das auch auf die Trägheit des Internets selbst sowie auf die Ignoranz vieler Unternehmen / Website-Betreiber zurückzuführen sein, aber wohl nicht nur. So ist das Internet ständig Veränderungen unterworfen, auch wenn dies vielen Benutzern nicht auffällt.

Darüber hinaus ist das (auch internetbasierte) internationale Geschäft viel zu lukrativ, als dass alles von jetzt auf gleich zum Erliegen käme.

Neben den Gesetzgebern sind da jedoch auch die deutschen / europäischen Unternehmen selbst gefragt, die sich bisher viel zu sehr in die Abhängigkeit von US-Konzernen begeben haben. Da ja alles so schön komfortabel war, wurde nicht in ausreichendem Maße an deutschen / europäischen Alternativen zu den US-Diensten gearbeitet. Jedenfalls wäre es wünschenswert, unabhängig von jeglichen Abkommen mit den USA und einerlei, ob sie nun Privacy Shield oder Privacy Shield 2.0 heißen, verstärkt eigene, gleichwertige Dienste zu entwickeln. Schön wäre es ja.

Da es sich meistens um nicht absolut notwendige Zusatzfunktionen handelt, muss auch die erneute Legalisierung nicht bedeuten, dass du alle „alten“ Verknüppfungen wieder herstellst. Trotzdem sollte die Privatsphäre deiner Website-Besucher an erster Stelle stehen und du solltest auch in Zukunft nur die Daten sammeln (lassen), die absolut notwendig sind. So geht ohne die Verwendung z. B. der bequemen Page Builder mit ihren fast unendlichen Möglichkeiten vielleicht ein bisschen der „Wow-Effekt“ verloren. Solange die Inhalte, auf die es doch letzten Endes ankommt, interessant sind, wird auch deine Website weiterhin Besucher haben.

Zum Schluss der vielleicht wichtigste Tipp:

Alle Dienstleister und Entwickler, unabhängig davon, wo sie arbeiten, wollen auch leben – müssen also Geld verdienen.

Ganz unabhängig vom EU-US Privacy Shield bezahlst du für Dienstleistungen, die dich kein Geld kosten (wie dies bei den Angeboten vieler US- und einiger deutscher/ EU-Unternehmen der Fall ist), immer mit deinen Daten und den Daten deiner Kunden oder Besucher deiner Website.

Und im Gegensatz zu dir selbst können letztere kaum wirksam etwas dagegen unternehmen – außer deine Website nicht mehr aufzurufen.

Fazit

Hoste deine Website(s) bei deutschen Anbietern und auf deutschen Servern und sichere deine Daten in einer deutschen Cloud. Außerdem solltest du alle von dir / auf deiner Website verwendeten Dienste kritisch überprüfen. Sind Dienste, die (unter Berufung auf das Privacy Shield) Daten in Staaten außerhalb der EU übermitteln, nicht durch datenschutzkonforme Alternativen ersetzbar, verzichte am besten ganz darauf.

© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.

MEHR ZUM THEMA

Hosting von Websites | 8 Tipps für die Wahl des richtigen Anbieters

Cookies im Internet | Antworten auf 14 wichtige Fragen

Cloud Services | Welche sind sicher und nutzerfreundlich?

Professionelle Website erstellen | Theorie und Praxis

Schriften auf Websites | In 5 Schritten DSGVO-konform

WordPress Plugins installieren | Tutorial Teil 4

Umsetzung der DSGVO | Wie haben sich Websites verändert?

Seiten: 1 2

Auch Interessant

luckycloud - was für den deutschen Cloud-Speicher spricht

luckycloud | Was für den deutschen Cloud Speicher spricht

luckycloud bietet u.a. einen Cloud Speicher für Unternehmen und für Privatnutzer an. Bestmöglicher Datenschutz und Sicherheit haben dabei oberste Priorität.

GeneratePress WP-Theme - Tipps

GeneratePress | Das perfekte WP-Theme – 12 Tipps

GP Customizer - GeneratePress Theme anpassen

GP Customizer | GeneratePress in 9 Schritten anpassen

Bilder auf Webseiten

Bilder auf Webseiten optimieren | Umfassende Anleitung

Fragen oder Anmerkungen? Kontaktiere mich

Blog

DIGITALES VON A BIS Z: Lexikon

Social Media:

Auf Mastodon folgen

Support

KONTAKT

Mo.-Fr. 9:00 - 19:00 Uhr

Mo.-Fr. 9:00 - 20:30 Uhr

Hilfecenter / FAQs

Über eb Webdesign

Cookie-hinweis

Um eine optimale Nutzung zu gewährleisten, setzt meine Website COOKIES, die jedoch nicht an Dritte übermittelt werden. Bei deinem Besuch erfasse und verarbeite ich keine personenbezogenen Daten.

© 2024 eb Webdesign

AGB/Dokumente Impressum Datenschutz