Privacy Shield vom EuGH gekippt

Privacy-Shield vom EuGH gekippt. Und jetzt?

Ein Datenschutzaktivist aus Österreich führte ein Verfahren gegen Facebook und gewann. Das Urteil vom 16.07.2020 hatte dabei allerdings lange nicht nur Auswirkungen auf den Social-Media-Giganten Facebook, sondern auch auf unzählige Website-Betreiber*innen in der EU. Die Grundlage, auf der personenbezogene Daten zwischen der EU und den USA transferiert werden konnten, ist nun nicht mehr vorhanden – der EuGH hat den Privacy-Shield gekippt.  So weit, so gut.

Aber was bedeutet „Transfer von personenbezogenen Daten“?

Im Prinzip ist das recht einfach. Personenbezogene Daten sind Daten, die einen Rückschluss auf eine Person zulassen. Dazu gehören unter anderem Name, Anschrift oder Telefonnummer. Vor allem aber auch die IP-Adresse. Weitere Informationen dazu, was als personenbezogene Daten eingestuft wird, gibt es hier. In Deutschland und Europa wird seit Einführung der DSGVO der Schutz solcher Daten sehr ernst genommen. Ein Transfer finden dann statt, wenn diese Daten zum Beispiel auf der eigenen Seite erhoben werden und im gleichen Zug in die USA übermittelt werden, was bei Google-Analytics der Fall wäre.

Problematisch ist das, weil in den USA andere Gesetze zum Datenschutz gelten, als es in Europa der Fall ist. Dort können unter anderem Ermittlungsbehörden eine Einsicht verlangen, wenn Sie es für notwendig erachten. Davon abgesehen ist häufig aber auch intransparent, was die Unternehmen mit den Daten machen, die „wir“ an sie übermitteln.

Wozu dienen welche Cookies?

Auf nahezu jeder Website finden sich seitdem Hinweise über die Verwendung von Cookies oder Analyse-Tools wie Google Analytics oder Matomo.

Einige davon werden als „Essenziell“ bezeichnet, andere unter den Begriffen „Marketing“, „Externe Medien“ oder „Statistik“. Was hinter diesen Begriffen steht, wollen wir kurz anreißen.

— Essenziell
Dabei handelt es sich um Cookies, die für den Betrieb oder das Nutzen einer Website notwendig sind. Zum Beispiel bei Online-Shops ist das häufig der Fall. Denn ohne ein solches Cookie könnten Produkte nicht im Warenkorb verbleiben, während Nutzer*innen ihren Einkauf fortführen und nach weiteren Produkten stöbern. Würde hier kein Cookie gesetzt, wäre der Warenkorb immer wieder leer, sobald die Seite aktualisiert oder ein anderes Produkt aufgerufen wird, das eine neue Unterseite öffnet.

— Marketing
Das können zum Beispiel Cookies sein, die Nutzer*innen theoretisch weitreichend tracken, um Werbung auszuspielen, die auf ihren Interessen beruhen könnten. Diese können zum Beispiel von Googles Ad-Platform kommen.

— Externe Medien
Wenn eine Webseite zum Beispiel Tweets oder Videos von YouTube einbettet, dann wird eine Verbindung zu den jeweiligen Anbietern aufgebaut. Dafür werden Daten an diese Anbieter gesendet. Diese Daten können natürlich personenbezogene Daten wie die IP-Adresse sein.

— Statistik
Das sind meist Analyse-Tools, die das Verhalten der Nutzer*innen auf der eigenen Website verfolgen und in Statistiken zur Auswertung bereitstellen. Dabei geht es meist weniger darum, Nutzer*innen auszuspionieren. Häufig wird bestimmtes Verhalten als Signal gewertet und eine Seite dann entsprechen optimiert. Zum Beispiel, wenn Website-Besucher*innen die Homepage sofort nach dem ersten Aufruf wieder verlassen.

Das Kippen des Privacy-Shield betrifft unzählige Websites

Viele werden nun denken, dass sie nicht betroffen sind, weil sie zum Beispiel keine Analyse-Tools nutzen oder Videos einbetten. In vielen Fällen ist das aber falsch. Wir arbeiten hauptsächlich mit dem CMS WordPress, das auf über 30 % aller Websites im Internet zum Einsatz kommt. WordPress arbeitet mit sogenannten Themes, also im Grunde Vorlagen. Diese bringen viel Flexibilität mit sich und ermöglichen es so auch „Hobby-Webdesignern“ und Menschen, die sich neu selbstständig gemacht haben, eine Webseite selbst zu erstellen. Dafür muss nicht zwingend Erfahrung mit Code oder der allgemeinen Erstellung von Websites vorhanden sein. Doch genau diese Arbeitserleichterung kann nach dem Urteil durch den Europäischen Gerichtshof zur Falle werden.

Das wohl prominenteste Beispiel hier ist Google-Fonts. Das sind von Google bereitgestellte Schriften, die sich mit wenigen Klicks auswählen und in die Seite einbetten lassen. Um diese Schriften darzustellen, wird eine Anfrage an die Server von Google gestellt. Dabei werden Daten erfasst und später vielleicht auch von Google verarbeitet. Diese Anfrage ist notwendig, da die Schriften nicht auf der eigenen Webseite oder dem eigenen Server, sondern eben denen von Google liegen. Diese liefern die Schriften dann in Folge der Anfrage aus und stellen sie auf der Webseite dar.

Wir prüfen Ihre Website
Die Analyse ist für Sie kostenfrei.

Wie man jetzt handeln sollte

Auf unserer Webseite haben wir uns dazu entschlossen, einfach keinerlei Cookies mehr zu setzen. Da sich weder ein Online-Shop darauf befindet, noch eine Analyse des Nutzerverhaltens für uns zwingend notwendig ist, war das eine relativ leichte Entscheidung.

Nun kann es aber sein, dass das für andere Websites gar nicht möglich ist. In diesem Fall empfehlen wir, zunächst genau zu prüfen (oder durch zum Beispiel Tonwerte prüfen zu lassen), ob Handlungsbedarf besteht und wie dieser aussehen kann. So kann Google Analytics durch Dienste ersetzt werden, die die Daten nur auf dem eigenen Webspace oder Server lagern. Schriften können lokal eingebettet werden und manche Dienste können einfach abgeschaltet werden, weil sie schlicht nie genutzt wurden.
Für notwendige Cookies empfehlen wir, Nutzer*innen detailliert zu informieren, weshalb sie notwendig sind.

Diesen Artikel haben wir nach bestem Wissen und Gewissen erstellt. Er stellt keinerlei Rechtsberatung dar, noch bietet er rechtliche Sicherheiten. Dafür sind immer Jurist*innen zu befragen.

Bei der technischen Unterstützung oder der Analyse Ihrer aktuellen Website sind wir aber gerne behilflich und unterstützen Sie dabei, gesetzeskonform und im Sinne des Datenschutzes zu handeln.

Inhalt

Share on linkedin
Share on xing
Share on facebook
Share on twitter
Share on pinterest
Share on email
Share on whatsapp

Wir setzen ausschließlich funktionale Cookies ein, um Ihnen zum Beispiel diese Meldung nur einmalig anzeigen zun können. Kein Tracking, keine Werbung.