• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
easy GDPR - we make compliance with GDPR easy

easyGDPR

We make implementing General Data Protection Regulation Easy

  • Home
  • Leistungen
    • Software
      • Quickcheck
      • easyGDPR lite
      • easyGDPR standard
      • Betroffenenanfragen
      • Sophos
    • IT Security
    • Netzwerk-Check
    • KMU DIGITAL 2.1
    • Beratungen
      • DSGVO
        • Beratung
        • Onlineberatung
      • Cybersecurity
    • Schulung
      • Datenschutz
      • Cybersecurity
  • Partner
    • Bonusprogramm
  • DSGVO
    • DSGVO News
    • FAQ
    • DSGVO Entscheidungen
    • DSGVO Strafen
    • DSGVO Gesetzestext
  • Shop
  • Kontakt
    • Kontakt
    • Anmeldung Schulung
    • Newsletteranmeldung
  • Login
    • Bonuspartner
    • easyGDPR Software
  • Deutsch
  • Englisch

Privacy Shield gekippt – was tun?

18/08/2020 by Andreas Schindler

Der europäische Gerichtshof hat in einem Urteil das Privacy Shield zwischen den USA und der Europäischen Union für ungültig erklärt. Diese Entscheidung hat weitreichende Konsequenzen für den Datenschutz in Europa.

Privacy Shield Hintergrund

Grundsätzlich ist laut DSGVO nur eine Datenübertragung innerhalb der EU bzw. im EWR (Island, Lichtenstein, Norwegen) unproblematisch. Sollen personenbezogene Daten jedoch in ein Drittland übertragen werden, dann setzt die Datenschutz-Grundverordnung voraus, dass es im Empfängerland ein vergleichbares Datenschutzniveau wie in der EU gibt. Nur dann ist eine Übertragung gesetzlich legitimiert. Das Privacy Shield war eine Vereinbarung zwischen den USA und der EU, welche dieses Datenschutzniveau sicherstellen sollte und ersetze die damals ebenfalls gekippte Safe Harbour Regelung. An Privacy Shield zertifizierte US-Unternehmen durften somit die personenbezogenen Daten übertragen werden.

Datenübertragung in Drittstaaten

Eine Datenübertragung in Drittstaaten ist nach DSGVO nur unter folgenden Bedingungen möglich:

  • Die EU hat einen Angemessenheitsbeschluss gefasst (Andorra, Argentinien, Kanada, Färöer Inseln, Guernsey, Israel, Isle of Men, Japan, Neuseeland, Schweiz, Uruguay)
  • Ein rechtlich bindendes Dokument zwischen den Behörden oder öffentlichen Stellen (wie das jetzt ungültige Privacy Shield)
  • Verbindliche interne Datenschutzvorschriften innerhalb eines Unternehmens oder einer Unternehmensgruppe
  • Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Artikel 93 Absatz 2 erlassen werden
  • Von der Aufsichtsbehörde genehmigte Verhaltensregeln
  • Vertragsklauseln, die die von der Behörde genehmigt wurden.

Das Privacy Shield hatte den Vorteil, dass – fast wie bei einem Angemessenheitsbeschluss – die Daten ohne weitere rechtliche Hürden verarbeitet werden konnten.

Auswirkungen

Die Entscheidung des europäischen Gerichtshof hat große Auswirkungen auf das Internet. Eine Vielzahl beliebter Onlinedienste wie Youtube, Google Maps, Google Analytics, Facebook Social Plugin, Twitter etc. werden von US-Unternehmen bereitgestellt, die das Privacy Shield umgesetzt hatten. Werden diese Inhalte auf der eigenen Website eingebunden, dann erfolgt zwangsweise eine Datenübertragung in die USA. Durch das Kippen des Privacy Shields ist diese Einbindung nicht mehr durch einen Vertrag zwischen EU und USA legitimiert.

Alternativen zum Privacy Shield

Falls das Zielland nicht über ein entsprechendes Datenschutzniveau verfügt, muss die Übertragung durch eine andere rechtliche Grundlage legitimiert werden.

Die Zustimmung des Betroffenen ermöglicht die Übertragung. Die Einwilligung muss aber freiwillig, verständlich und widerrubar sein. Hierfür reicht es nicht, dass Sie den Besucher in Ihrer Datenschutzerklärung auf die Übertragung hinweisen. Die Zustimmung muss VOR der Übertragung erfolgt sein.

Denken Sie auch darüber nach, Software aus den USA durch Software aus der EU ersetzen.

Standardvertragsklauseln

Eine weitere, bisher weitestgehend unbeachtete Möglichkeit die Datenübertragung in die USA rechtlich abzusichern sind die sogenannten Standardvertragsklauseln.

Wenn Sie als Website-Betreiber einen Vertrag mit einem amerikanischen Dienstleister inklusive diesen Standardvertragsklauseln abschließen, dann ist eine Datenübertragung in die USA möglich. Zu beachten ist, dass Sie diese Standardvertragsklauseln mit jedem eingesetzten Dienstbetreiber zu vereinbaren haben. Das setzt zudem voraus, dass die US-Firmen diesen Klauseln zustimmen. Während beispielsweise der Newsletter-Anbieter „Mailchimp“ bereits seit längerem anbietet, diese in den Geschäftsvertrag aufzunehmen, haben andere Firmen, wie beispielsweise Google diese Option erst nach dem Scheitern des Privacy Shields angeboten.

Lösungen für Websites

Ressourcen die bisher von anderen Websites geladen werden sollten direkt in der eigenen Website eingebettet werden (Google Fonts, …). Dadurch fällt der Zugriff auf die US Websites weg.

Für Links zu Facebook und anderen Social Mediadiensten ist eine 2-Click Lösung eine sinnvolle Alternative. Hierbei wird der externe Inhalt (beispielsweise der Facebook Like-Button) von einer Art Container umgeben. Dadurch wird dieser nicht sofort beim Aufruf der Website geladen, sondern der Benutzer muss diesen Container erst durch Klicken aktivieren. Erst beim Klicken werden die Inhalte geladen und somit erst zu diesem Zeitpunkt die Daten an den Dienst übertragen. Das bedeutet, dass nur die Daten von Benutzern, die eine Interaktion mit Facebook wollen, an Facebook übertragen werden.

Eine ähnliche Lösung ist Shariff, eine Open Source Lösung, welche kostenlos vom heise-Verlag zur Verfügung gestellt wird. Hierbei wird der externe Inhalt ebenfalls in eine Art Container verpackt. Im Gegensatz zur 2-Click Lösung sind die Inhalte trotzdem sofort sichtbar, ohne dass die Besucherdaten an einen amerikanischen Server übertragen werden. Shariff unterbricht hierfür die direkte Verbindung zwischen dem Website-Besucher und dem externen Dienst.

Für das Einbinden von Videos empfiehlt es sich statt beispielsweise Youtube-Inhalte direkt einzubinden, einen Screenshot des Videos anzuzeigen und erst bei einem Klick auf diesen Screenshot die Verbindung zu Youtube herzustellen. Diese Methode beschleunigt außerdem die Website. Für Youtube Videos in WordPress übernimmt das Plugin WP Youtube lyte diese Aufgabe.

Datenschutzerklärung – Privacy Shield ersetzen

Durch den Wegfall des Privacy Shield sind auch (fast) alle Datenschutzerklärungen anzupassen. Kontrollieren Sie bitte Ihre Datenschutzerklärung auf der Website und ersetzen Sie die Verweise auf das Privacy Shield.

Fazit

Eine Website heutzutage ohne externe Inhalte zu betreiben, ist nahezu unmöglich. Viele der beliebtesten Dienste sitzen hierbei jedoch in den USA. Um die DSGVO Anforderungen hierbei zu erfüllen, müssen Sie diese Datenübertragung jedoch legitimieren. Unabhängig davon, ob Sie lieber auf technische oder organisatorische Maßnahmen setzen, nach dem Kippen des Privacy Shields sollten Sie möglichst rasch reagieren und diese neuen Anforderungen erfüllen.

easyGDPR unterstützt Sie hierbei. Mit unserem neuen Datenschutzgenerator können Sie Ihre Datenschutzerklärung problemlos an die neuen Gegebenheiten anpassen.

Category iconNews

Primary Sidebar

IT-Security Whitepaper Downloaden
  • Deutsch
  • Englisch
  • Jobangebote
  • Lizenzbedingungen für easyGDPR
  • AGB
  • Impressum
  • Datenschutzerklärung
  • DSGVO Begriffe
  • easyGDPR News
Auf unserer Website verwenden wir Cookies, um Ihnen alle relevanten Informationen anzuzeigen und Ihnen den bestmöglichen Komfort zu bieten. Durch den Klick auf “Alle Akzeptieren" sind Sie mit allen Cookies einverstanden. Unter Einstellungen können Sie auswählen, ob und welche Cookies Sie zulassen möchten.
EinstellungenAlle akzeptieren
Manage consent

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Analytics

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
Analytische Cookies helfen uns zu verstehen, wie Sie als Besucher mit der Website interagieren. Aufgrund dessen erhalten wir INformationen wie Anzahl der Besucher, Absprungraten, Quellseiten usw.

Save & Accept