EU-US Privacy Shield ist ungültig, was nun? | 10 Tipps für Websites

Da das Privacy Shield nicht mehr wirksam ist, ist ein Datentransfer in die USA auch von Websites rechtswidrig. Wertvolle Hinweise zur Lösung des Problems.

Ellena

EU-US Privacy Shield – Teil 2

Privacy Shield ungültig - Teil 2

Analyse- und Statistik

Auch bei Diensten, die die Anzahl der Besucher auf Ihrer Website sowie deren Verhalten analysieren, ist der Wegfall des Privacy Shields relevant. Denn sie sind wahre Sammler personenbezogener Daten, allen voran Google Analytics. Wobei hier noch dazu kommt, dass Sie den Dienst gar nicht selbst auf Ihrer Website installiert haben müssen. Wenn Sie beispielsweise Kunde eines der unter „Hosting und CDN“ genannten Anbieter sind, sammelt u. U. das Analyse-Tool des Anbieters automatisch auch die Daten der Besucher Ihrer Website.

Tipp 8
DSGVO-konforme Statistik: Falls Ihnen ein Überblick über die Besucher, die besuchten Inhalte und die Referrer ausreicht, wäre das › WP-Plugin Statify eine Alternative. Es werden keine IP-Adressen oder andere personenbezogenen Daten verarbeitet. – Sollten Sie eine detailreichere Analyse benötigen, steht Ihnen mit › Matomo ein mit Google Analytics vergleichbarer Dienst zur Verfügung. Im Gegensatz zu Google Analytics installieren Sie Matomo direkt auf Ihrem Server und es werden keine Daten zu anderen Servern oder Unternehmen übertragen.

Inhalt

Sonstige Dienste

Einerseits handelt es sich hierbei um Dienste, die zur Gestaltung der Website beitragen bzw. einen diesbezüglichen speziellen Service zur Verfügung stellen und dazu, unter Berufung auf das Privacy Shield, mit externen Servern kommunizieren. Andererseits zählen dazu auch in die Website eingebettete Videos, Musik oder Video-Konferenz-Tools.

Adobe Fonts

USA,?
EU (Irland)
USA (Adobe Inc.)
Ja

Google Fonts [5]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

YouTube [6]

Weltweit, auch in der EU
EU (Irland)
USA (Google LLC)
Ja

Vimeo [7]

USA,?

USA (Vimeo Inc.)
Ja

SoundCloud

EU,?
EU (Deutschland)
UK (SoundCloud Ltd.)
Ja [1]

Spotify

EU,?
EU (Luxemburg)
Schweden (Spotify Technology SA)
Ja [1]

[5] Das gilt auch für Google Maps und reCAPTCHA; [6] auch mit erweitertem Datenschutz; [7] mit und ohne Tracking

Tipp 9
Vorsicht bei Google Diensten: Laden Sie Adobe oder Google Fonts herunter und installieren Sie sie auf Ihrem Server. – Nutzen Sie kein reCAPTCHA, sondern verwenden Sie andere Lösungen wie Honeypot oder ein Anti-Spam-Plugin (s. u.). – Betten Sie Google Maps nicht mittels eines Plugins oder eines fertigen Code-Schnipsels ein. Fügen Sie stattdessen einen Link / Button / eine verlinkte Grafik mit der URL, die Ihre Besucher zu Ihrem Standort auf Google Maps weiterleiten, ein. – Dasselbe gilt für die Einbettung von Videos oder Musik. Erstellen Sie z. B. eine statische Grafik / eine Abbildung und verlinken Sie diese mit dem gewünschten Video oder Musiktitel.

Leider gibt es momentan keine empfehlenswerten Alternativen zu den US-Video-Konferenz-Tools wie Google Meet, Microsoft Teams, Skype für Business, Zoom etc.

WP-Plugins

Auf die Privacy Shield Problematik von WordPress.com bin ich bereits im Abschnitt über das Hosting eingegangen. Aber auch wenn Sie Ihre Seite „selbst“ hosten und nur das Redaktionssystem (CMS) von WordPress.org nutzen, sind Sie nicht immer auf der sicheren Seite. Denn einer der Vorteile des WordPress-CMS ist die Möglichkeit, für fast alle Funktionen Plugins einsetzen zu können und diese so nicht selbst programmieren zu müssen.

Obwohl das CMS von WordPress.org zunächst von WordPress.com unabhängig arbeitet, da es sich auf Ihrem Server befindet und keine Verbindung zu WordPress.com aufbaut, gilt das nicht uneingeschränkt für alle Plugins. Einerseits stammen viele Plugins ebenfalls von Automattic Inc. Andererseits findet auch von vielen Plugins externer Entwickler ein Datentransfer in Nicht-EU-Staaten statt, der nun nicht mehr durch das Privacy Shield geschützt ist.

Aufgrund des riesigen Plugin-Angebots beschränke ich mich an dieser Stelle wiederum auf die auch auf deutschen Websites häufig genutzten. Die bereits oben erwähnten Social-Media-, Analyse-, Newsletter- und Werbe-Plugins lasse ich in der folgenden Zusammenstellung weg. Auch für die Bewertung der Plugins verwende ich drei Kategorien:

  • Nicht verwenden, denn es findet immer ein Datentransfer statt, der ohne Privacy Shield nicht mehr erlaubt ist.
  • Kritisch, obwohl Sie das Übermitteln bestimmter Daten in den Einstellungen untersagen können.
  • Unproblematisch, weil keine Daten zu externen Servern übertragen werden.

Sicherheit

Wordfence Security (Defiant Corp., USA) = Datentransfer zu Servern in den USA

iThemes Security (iThemes Media LLC, USA) • Sucuri Security (GoDaddy Media Temple Inc., USA) = u. U. werden bestimmte Daten (z. B. IP-Adressen) übertragen.

BBQ (Block Bad Queries)

Schutz vor Spams / … von E-Mail-Adressen

Aksimet = Datentransfer zu Servern in den USA / –

WPBruiser = speichert IP-Adressen in der WordPress-Datenbank • WP-SpamShield / –

Antispam Bee / Email Encoder (Ironikus FZE)

Caching / SEO

– / Redirection • SEO Redirection = IP-Protokollierung muss in den Einstellungen ausgeschaltet werden

Alle übrigen gängigen Caching- bzw. SEO-Plugins übertragen und speichern keine Daten auf externen Servern / 301 Redirects, Eintrag in die htaccess-Datei.

Gestaltung / Editor

Better Font Awesome • Elementar Page Builder; Page Builder by SiteOrigin; Popup Builder; WP Bakery Page Builder = Datentransfer an Server außerhalb der EU, teilweise bevor die Besucher der Website ihr Einverständnis erklären können / –

Alle gängigen Editor-Plugins, sofern keine Sie keine problematischen Einbettungen (s. Soziale Medien, Videos, etc.) einfügen, sind auch ohne Privacy Shield rechtskonform.

Bilder und Medien

Compress JPEG & PNG images; EWWW Image Optimizer Cloud; Kraken.io Image Optimizer; NextGEN Gallery; ShortPixel Image Optimizer; Smush Image Compression and Optimization • WordPress File Upload = Datenverarbeitung auf externen Servern, auch außerhalb der EU

Tipp 10
Keine unkritischen Plugins bekannt. Deshalb bearbeiten, optimieren und komprimieren Sie Bilder und Grafiken, bevor Sie sie zu WP hochladen.

Kontakt-Formulare / Mitgliedschaft, Foren

Super Forms = Datentransfer zu Servern außerhalb der EU möglich / BuddyPress; Digimember; Ultimate Member; OptimizePress; Simple:Press; = Verarbeitung von Daten auf Servern in den USA spätestens dann, wenn Sie sie in Verbindung mit Newsletter- oder Social-Media-Plugins verwenden.

Contact Form by WP; Flamingo; Gravity Forms = speichern Daten in der WordPress-Datenbank • Contact Form 7; Ninja Forms = DSGVO-Anpassung in den Einstellungen der Plugins vornehmen / –

Tipp 11
Für beide Anwendungsbereiche gibt es bisher keine gleichwertigen Alternativ-Plugins, die von Haus aus DSGVO-konform sind. Deshalb denken Sie beim Einsatz von Contact Forms 7 und Ninja Forms in jedem Fall daran, die entsprechende Anpassung vorzunehmen.

Kommentare / Benachrichtigungen

Disqus Comment System; wpDiscuz = Verarbeitung von Daten auf Servern in den USA • Jetpack = enthält einige problematische Funktionen. / OneSignal

Subscribe to Comments Reloaded = Anpassung in den Einstellungen unbedingt notwendig! / –

Disable Comments / –

Informieren Sie sich über die Plugins vor der Installation:

  1. Prüfen Sie jedes Plugin, das Sie installieren möchten oder installiert haben (auch wenn es oben nicht aufgeführt wurde).
  2. Besuchen Sie die Website des Entwicklers (so vorhanden): Wo hat das Unternehmen / die Konzernmutter seinen/ihren Sitz?
  3. Lesen Sie die Datenschutzerklärung und die AGB: Beruft sich das Unternehmen auf das Privacy Shield?
  4. Informieren Sie sich über die Qualität eines Plugins nicht (ausschließlich) auf außereuropäischen Websites, da für sie i. d. R. die Einhaltung der EU-DSGVO bzw. das Privacy Shield kein Bewertungskriterium ist.
  5. Überprüfen Sie die Einstellungen des Plugins und passen Sie es DSGVO-konform an. Sollte dies bei einem als kritisch eingestuften Plugin nicht möglich sein, deinstallieren Sie das Plugin.
  6. Verzichten Sie auf jeden Fall bis auf Weiteres auf alle Plugins, die in der Kategorie „Nicht verwenden“ genannt sind.
Zusammenfassung - Privacy Shield ungültig

EU-US Privacy Shield – Zusammenfassung

Es ist davon auszugehen, dass es noch eine ganze Weile dauern wird, bis die zuständigen EU-Behörden eine neue rechtliche Basis für den Datentransfer insbesondere in die USA als Ersatz für das Privacy Shield geschaffen haben. Wobei im Moment auch noch vollkommen offen ist, wie eine rechtssichere Vereinbarung überhaupt aussehen soll.

Zweifelsohne stellt das Privacy Shield Urteil des EuGH deutsche Unternehmen vor eine kurzfristig kaum lösbare Aufgabe. Und das selbst dann, wenn sie ihren Datentransfer bereits über Standardvertragsklauseln und Auftragsdatenverarbeitsungsverträge „abgesichert“ haben.

Aber auch auf vergleichsweise kleine Website-Betreiber kommt eine Menge Arbeit zu. Zumal diese i. d. R. mit den in Frage kommenden US-Diensten weder Auftragsdatenverarbeitsungsverträge noch Verträge mit den Standard-Datenschutz-Klauseln abgeschlossen haben.

Einerseits kann ein Staat einem anderen wohl kaum vorschreiben, wie „dessen“ Unternehmen z. B. personenbezogene Daten zu schützen haben. Andererseits kann es aber auch nicht im Sinne des Gesetzgebers sein, eine Missachtung der in der EU geltenden Gesetze mittels einer, mit dem ungültigen Privacy Shield vergleichbaren, Vereinbarungen zwischen einzelnen Unternehmen zuzulassen.

Auswirkungen auf das „Internet“

Bedeutet das Ende des Privacy Shields nun auch das Ende des freien Internets und der freien Wirtschaft, wie es manche befürchten? Vermutlich nicht, denn das wurde schon häufiger vorausgesagt und ist bisher nicht eingetreten. Zwar mag das auch auf die Trägheit des Internets selbst sowie auf die Ignoranz vieler Unternehmen / Website-Betreiber zurückzuführen sein, aber wohl nicht nur. So ist das Internet ständig Veränderungen unterworfen, auch wenn dies vielen Benutzern nicht auffällt.

Darüber hinaus ist das (auch internetbasierte) internationale Geschäft viel zu lukrativ, als dass alles von jetzt auf gleich zum Erliegen käme. So werden Unternehmen kaum sofort ihre Geschäftsbeziehungen zu den USA kappen. Sondern sie werden massiv darauf drängen, Lösungen oder einen Ersatz für das Privacy Shield zu finden.

Neben den Gesetzgebern sind da jedoch auch die deutschen / europäischen Unternehmen selbst gefragt, die sich bisher viel zu sehr in die Abhängigkeit von US-Konzernen begeben haben. Da ja alles so schön komfortabel war, wurde nicht in ausreichendem Maße an deutschen / europäischen Alternativen zu den US-Diensten gearbeitet. Vielleicht führt der durch das EuGH-Urteil ausgelöste „Privacy Shield Schock“ endlich dazu, eigene, gleichwertige Dienste zu entwickeln. Schön wäre es ja.

Bis es soweit ist …

Da es sich meistens um nicht absolut notwendige Zusatzfunktionen handelt, bedeutet das Aus für das Privacy Shield keinesfalls das Ende Ihrer Website. So geht ohne die Verwendung der bequemen Page Builder mit Ihren fast unendlichen Möglichkeiten vielleicht ein bisschen der „Wow-Effekt“ verloren. Solange die Inhalte, auf die es doch letzten Endes ankommt, interessant sind, wird auch Ihre Website weiterhin Besucher haben.

Fazit

Hosten Sie Ihre Website(s) bei deutschen Anbietern und auf deutschen Servern und sichern Sie Ihre Daten in einer deutschen Cloud. Außerdem sollten Sie alle von Ihnen / auf Ihrer Website verwendeten Dienste kritisch überprüfen. Sind Dienste, die (unter Berufung auf das Privacy Shield) Daten in Staaten außerhalb der EU übermitteln, nicht durch datenschutzkonforme Alternativen ersetzbar, verzichten Sie ganz darauf.

Zum Schluss der vielleicht wichtigste Tipp:

Alle Dienstleister und Entwickler, unabhängig davon, wo sie arbeiten, wollen auch leben – müssen also Geld verdienen.

Ganz unabhängig vom EU-US Privacy Shield bezahlen Sie für Dienstleistungen, die Sie kein Geld kosten (wie dies bei den Angeboten vieler US- und einiger deutscher/ EU-Unternehmen der Fall ist), immer mit Ihren Daten und den Daten Ihrer Kunden oder Besucher Ihrer Website.

Und im Gegensatz zu Ihnen selbst können letztere kaum wirksam etwas dagegen unternehmen – außer Ihre Website nicht mehr aufzurufen.

Grafiken: eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.