Privacy Shield gekippt: Was bedeutet das für deine Website?
Im Juli 2020 hat der Europäische Gerichtshof das Privacy Shield für ungültig erklärt. Was bedeutet das für deine Website und welche US-Dienste du nutzt?
Was war das Privacy Shield?
Das Privacy Shield war ein Abkommen zwischen der EU und den USA. Es ermöglichte den Datentransfer in die USA unter der Annahme, dass dort ein "angemessenes Datenschutzniveau" herrscht.
Das Problem: Der EuGH stellte fest, dass US-Geheimdienste zu weitreichenden Zugriff auf Daten haben – und EU-Bürger keine Rechtsmittel dagegen haben.
Welche Länder sind "sicher"?
Die EU hat einigen Ländern ein angemessenes Datenschutzniveau bescheinigt:
- Schweiz
- Japan
- Kanada
- Israel
- Neuseeland
- Argentinien
Nicht auf der Liste: USA, China, Russland, Indien
Was bedeutet das für deine Website?
Wenn du US-Dienste nutzt, brauchst du eine Rechtsgrundlage für den Datentransfer:
Betroffene Dienste (Beispiele)
- Google Analytics
- Google Fonts (extern geladen)
- YouTube
- Facebook Pixel
- Mailchimp
- AWS (US-Region)
- Cloudflare
Mögliche Lösungen
1. US-Dienste vermeiden
Die sicherste Option: Europäische Alternativen nutzen.
| US-Dienst | EU-Alternative |
|---|---|
| Google Analytics | Matomo, Plausible |
| Mailchimp | Sendinblue, CleverReach |
| AWS US | AWS Frankfurt, Hetzner |
| Google Fonts | Selbst hosten |
2. Standardvertragsklauseln (SCCs)
Viele Anbieter haben mittlerweile SCCs implementiert:
| Anbieter | Status |
|---|---|
| SCCs implementiert | |
| AWS | SCCs verfügbar |
| Mailchimp | SCCs verfügbar |
| Microsoft | SCCs implementiert |
Achtung: SCCs sind umstritten und könnten ebenfalls gekippt werden.
3. Einwilligung einholen
Für nicht-essentielle Dienste: Explizite Einwilligung per Cookie-Banner.
4. Auf EU-Server wechseln
Manche US-Anbieter haben EU-Rechenzentren. Das allein reicht aber nicht – der Anbieter unterliegt trotzdem US-Recht.
Was du jetzt tun solltest
Schritt 1: Bestandsaufnahme
Welche externen Dienste nutzt deine Website?
- Tracking-Tools
- Schriftarten
- Videos
- Newsletter
- Hosting
Schritt 2: Risiko bewerten
Für jeden Dienst prüfen:
- Ist der Anbieter in den USA?
- Gibt es SCCs?
- Gibt es EU-Alternativen?
Schritt 3: Handeln
Priorität nach Risiko:
- Hoch: Tracking ohne Consent → Consent einführen oder ersetzen
- Mittel: Hosting bei US-Anbieter → Evaluieren
- Niedrig: YouTube eingebettet → Mit Consent-Lösung absichern
Schritt 4: Dokumentieren
- Datenschutzerklärung aktualisieren
- Verarbeitungsverzeichnis anpassen
- Neue Rechtsgrundlagen dokumentieren
Praktische Tipps
Google Fonts selbst hosten
<!-- Statt extern laden -->
<link href="https://fonts.googleapis.com/..." rel="stylesheet">
<!-- Selbst hosten -->
<link href="/fonts/open-sans.css" rel="stylesheet">Tool: google-webfonts-helper.herokuapp.com
YouTube datenschutzfreundlich einbetten
<!-- Standard (trackt sofort) -->
<iframe src="https://www.youtube.com/embed/VIDEO_ID">
<!-- Datenschutzmodus -->
<iframe src="https://www.youtube-nocookie.com/embed/VIDEO_ID">Fazit
Das Ende des Privacy Shield erfordert ein Umdenken beim Einsatz von US-Diensten. Die gute Nachricht: Für die meisten Anwendungsfälle gibt es europäische Alternativen oder rechtskonforme Lösungen.
Weiterführende Artikel:
- 3 Gründe, warum du jetzt deine Cookies prüfen musst – Cookie-Compliance nach dem BGH-Urteil
- Webhosting auf deutschen Servern – DSGVO-konformes Hosting
Du bist unsicher, wie deine Website aufgestellt ist? Kontaktiere mich – ich analysiere das gerne für dich.