DSGVO aktuell: nach dem EU-US Privacy Shield

Sonnenuntergang über St. Maximilian, München

Das Internet kennt zwar keine (Landes-)Grenzen, dennoch ist der Datenaustausch zwischen Europa und USA aufgrund der sehr unterschiedlichen Auffassung beim Thema Datenschutz juristisch seit langem problematisch.

Was bisher geschah:

  • 2000 bis 2015: Zwischen 2000 und 2015 findet das Safe Harbor Abkommen Anwendung, ein Datenschutz-Abkommen zwischen den USA und der EU-Kommission. Dieses Abkommen soll die Einhaltung von europäischen Datenschutz-Grundsätzen sicherstellen, zu welchen US-Unternehmen sich explizit öffentlich bekennen müssen. Tun sie dies, ist die Nutzung dieser Dienste für Europäer zulässig.(1)
  • 2015: Der Europäische Gerichtshof erklärt das Safe Harbor Abkommen in einem Urteil für ungültig.
  • In der Folge wird der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ausgehandelt und in Kraft gesetzt. Es sollte dazu dienen, DSGVO-konform personenbezogene Daten europäischer Bürger an US-Unternehmen zu übermitteln, teilnehmende US-Unternehmen müssen eine Selbstverpflichtung eingehen. Die Kritik am Privacy Shield richtet sich vor allem gegen seine mangelnde Verbindlichkeit und den unzureichenden Schutz vor staatlichem Zugriff auf personenbezogene Daten von EU-Bürgern.(2)
  • Juli 2021: U.a. aufgrund dieser Kritk erklärt der Europäische Gerichtshof (EuGH) das EU-US Privacy Shield für nichtig. (3)
  • Januar 2022: Ein erstes Grundsatzurteil des LG München I spricht einem Website-Besucher, dessen Daten ohne sein Einverständnis in die USA übermittelt wurden, Schadensersatz aufgrund der Verletzung seines Rechts auf Informationelle Selbstbestimmung zu.(4)
  • Sommer 2022: Eine „Abmahnwelle“ rollt durchs Land, viele deutsche Websitebetreiber sind verunsichert, hier ein Ratgeber mit FAQ, Beispielen und Musterantwort.(5)

Datenschutzrechtlich problematisch: Google Maps, Google Analytics, extern gehostete Webfonts etc.

Natürlich gibt es weiterhin Situationen, in denen die Datenübermittlung in Drittländer nach wie vor möglich ist. Beispielsweise wenn ein Vertragsverhältnis zwischen dem Anbieter und dem Nutzer gibt und die Abwicklung des Vertrages ohne die Übertragung von Daten in Drittländer nicht möglich ist. Diese wenigen Ausnahmefälle sollte man als Anbieter aber auf jeden Fall juristisch sehr genau prüfen lassen.

Für die meisten europäischen Webseite-Betreiber gilt aber wohl, dass sie nicht länger wie bisher auf die Dienste von US-Unternehmen zurückgreifen können, ohne datenschutzrechtliche Verstöße zu begehen. Vor allem die Übermittlungsprozesse (z. B. von IP-Adressen der Website-Besucher), wie sie bei der Nutzung von Google Maps, Google Analytics oder auch bei der Einbindung von Google Fonts oder YouTube-Videos stattfinden, sind inzwischen unzulässig und dürfen nur erfolgen, wenn der Website-Betreiber seine individuellen Einwilligung gegeben hat – die er jedoch auch jederzeit wieder widerrufen können sollte.

Für WordPress-Betreiber gibt es zahlreiche Plugins, die es (idealerweise) ermöglichen, Dienste selektiv so lange zu sperren, bis die Einwilligung des Nutzers vorliegt und die Zustimmung durch den Nutzer auch protokollieren. Empfehlenswert erscheint hier das in Deutschland entwickelte (kostenpflichtige) Plugin Cookie DSGVO & ePrivacy von Borlabs, das den Cookie-Consent individueller Besucher dokumentiert; oder, wenn es etwas einfach sein darf, die kostenfrei angebotenen Plugins EU Cookie Law oder auch CookieYes.

Es geht auch anders: Schriften lokal einbinden, auf Dienste extern verlinken usw.

Natürlich geht es auch anders. Hier ein paar alternative Workarounds:

Schriften lokal einbinden

In den letzten Jahren war es allgemein üblich (und zulässig), freie Schriftarten extern über den Dienst „Google Fonts“ in Webseiten einzubinden. Nach dem Scheitern der Abkommen zwischen EU und USA ist diese Praxis nun datenschutzrechtlich nicht mehr zulässig. Allerdings ist es gar nicht so schwer, auf die Dienste von „Google Fonts“ zu verzichten und Schriften lokal einzubinden, im Netz gibt es dazu viele Anleitungen:

Alternativen zu Google Maps

Eine Alternative zu Google Maps sind die Karten des Dienstes OpenStreetMap® (OSM). OSM ist ein Open Source Projekt, das es Nutzern freistellt, Daten zu kopieren, weiterzugeben, zu übermitteln sowie anzupassen – sofern man OSM und die Mitwirkenden als Quelle angibt.(6)

Daraus ergibt sich, dass man mit entsprechendem Urheberrechtshinweis statt einer interaktiven Karte auch einen Screenshot der passenden OSM-Karte auf der eigenen Website einbauen kann. Erst wenn der Besucher auf einen entsprechenden Link klickt – der zu OpenStreetMap oder auch zu Google Maps führt – gelangt er zu einer interaktiven Karte.

Datenschutzkonformes Sharing-Dienste verwenden

Als Alternative zu Sharing Tools wie „AddToAny“, die eher sorglos mit Nutzerdaten umgehen, respektiert das von der Computerzeitschrift c’t entwickelte Plugin „Shariff-Wrapper“ die Privatsphäre der Website-Besucher:

Videos von Plattformen wie YouTube oder Vimeo extern verlinken

Natürlich ist es verführerisch einfach, YouTube- oder Vimeo-Videos per Embed-Funktion in die eigene Website zu integrieren. Aber bereits beim Öffnen der Seite – ohne dass das Video abgespielt wird – werden Daten an die jeweilige Videoplattform übermittelt. Ohne Nutzereinwilligung ist dies datenschutzrechtlich unzulässig.

Ein Workaround wäre folgendes Vorgehen:

  1. Einen Screenshot des Videos erstellen (wobei die Urheberrechtsfrage zu klären wäre – wer hat das Video gemacht? Ist der Urheber damit einverstanden, dass ich einen Screenshot seines Videos verwende?).
  2. Diesen Screenshot anschließend als Bild auf den eigenen Server laden, es in die eigene Seite einbauen und es mit dem extern gehosteten Video verlinken.
  3. Resultat: Erst wenn der Nutzer auf das Bild klickt wird er auf die Plattform weitergeleitet, auf der das Video gehostet wird, und kann es sich dort ansehen.
  4. Hier ein Beispiel: https://www.der-zwischenraum.de/programm/an-der-schwelle/

Speziell für WordPress-Seiten gibt es auch ein passendes Plugin:

Bilder statt interaktive Dienste

Die oben ausgeführte Technik – Bilder statt interaktive Dienste – lässt sich für viele weitere Dienste anwenden, beispielsweise Buchungskalender, Belegungskalender, Blogsysteme, Twitter-Threads etc. Natürlich ist es eleganter, diese Dienste direkt über einen IFrame in die eigene Seite einzubinden, aber – und das sollte inzwischen klar geworden sein – ist genau das seit dem Urteil des EuGH nicht mehr zulässig.

Und wie finde ich heraus, ob über meine Website externen Dienste eingebunden werden?

Google Chrome / Microsoft Edge

  1. Öffnen Sie Chrome.
  2. Klicken Sie rechts oben auf die drei Punkte und wählen Sie „Neues Inkognitofenster / Neues InPrivate-Fenster“.
  3. Rufen Sie die Website auf, die Sie untersuchen möchten.
  4. Klicken Sie mit der rechten Maustaste mittig in das Fenster und wählen Sie „Untersuchen“
  5. Es öffnet sich rechts oder unten die Entwicklerleiste Klicken Sie dort, in der Entwicklerleiste, auf den Reiter „Quellen / Sources“.
  6. In diesem Reiter werden die Quellen aufgelistet, auf die Ihre Website zugreift. Alle URLs, die nicht zu eigenen Domain gehören sind „externe Quellen“.

Apple Safari

  1. Öffnen Sie Safari
  2. Klicken Sie links oben auf „Safari“ und dort auf „Einstellungen“.
  3. Klicken Sie in den Einstellungen auf „Erweitert“ und setzen Sie ganz unten den Haken bei „Menü Entwickler in der Menüleiste anzeigen“.
  4. Schließen Sie das Fenster Einstellungen links oben mit dem roten X.
  5. Öffnen Sie nun die Website, die Sie untersuchen möchten, in Safari.
  6. Klicken Sie oben auf „Entwickler“ und klicken Sie dort in der Mitte auf „Seitenquelltext einblenden / Show Page Source“.
  7. Jetzt werden alle Quellen aufgelistet, auf die Ihre Website zugreift. Alle URLs, die nicht zu eigenen Domain gehören sind „externe Quellen“.

Und was ist, wenn ich keine externen Dienste und auch keine Werbe- oder Marketing-Cookies einbinde?

Wer keine externen Dienste einbindet, wer auf Werbe- und Marketing-Cookies verzichtet und lediglich technisch notwendige – d.h. für das Funktionieren der Website unabdingbare – Cookies setzt, für den geht es auch ganz ohne Cookie-Banner.(7)

Eine Anleitung, wie man die eigene Seite auf externe Quellen prüft, gab es im vorangegangenen Abschnitt („Und wie finde ich heraus…“). Ob die eigene Seite Cookies setzt, kann man beispielsweise mit einem der folgenden Dienste prüfen:

Sind die Voraussetzungen gegeben – keine Einbindung externer Quellen und nur technisch erforderliche Cookies werden gesetzt – kann man in Betracht ziehen, ganz auf ein Cookie-Banner zu verzichten. Der Barrierefreiheit und auch der allgemeinen Nutzerfreundlichkeit wäre dies auf jeden Fall dienlich. 🙂

Fazit: Ja, Datenschutz nervt. Menschen mit anderem kulturellen Hintergrund können unsere deutsche Datenschutzbefindlichkeit oft nur schwer nachvollziehen. Aber andererseits ist Privatsphäre ein wichtiges Gut – und Datenschutz schützt Privatsphäre. Und deswegen ist mein Fazit, dass Datenschutz ist ganz sicher die Mühe wert, die er kostet.

Nachwort

Aktuell rollt eine Abmahnwelle durchs land und viele Websitebetreiber sind sehr verunsichert.

Fußnoten

(1) https://de.wikipedia.org/wiki/Safe_Harbor

(2) https://de.wikipedia.org/wiki/EU-US_Privacy_Shield

(3) EuGH Urteil C-311/18

(4) https://www.gesetze-bayern.de/Content/Document/Y-300-Z-GRURRS-B-2022-N-612

(5) https://datenschutz-generator.de/abmahnungen-google-fonts/

(6) https://www.openstreetmap.org/copyright

(7) vgl. https://www.ihk.de/… oder auch https://www.e-recht24.de/…