Zur kostenlosen Website-Video-Performance-Analyse anmeldenmehr Infos
DPF on Fire

EU-US Data Privacy Framework in der Schwebe: Handlungsempfehlungen für Webseitenbetreiber

Das Ende des EU-US Data Privacy Frameworks unter Trump? Welche Auswirkungen dies auf Websites hat und was du jetzt schon tun kannst.

Vieles von modernen Webseiten basiert auf Diensten, die aus den USA kommen. Damit das alles funktioniert, braucht es eine rechtliche Grundlage, früher das Privacy Shield. Der Nachfolger davon ist das „EU-US Data Privacy Framework“.

Direkt in den ersten Tagen von Trump entstehen hier erste Lücken. Why should you care? Weil es leider schnell gehen kann, bis eine der Seiten das Abkommen kippt und wir als Unternehmen wieder in einer Grauzone sind, wenn wir einen der Dienste nutzen.

Lasst uns erst mal einen Schritt zurückgehen, bevor wir uns die Auswirkungen auf Websites anschauen und beleuchten, was man tun kann.

Grundlagen: Das EU-US Data Privacy Framework

Das EU-US Data Privacy Framework ist eine rechtliche Vereinbarung, die darauf abzielt, personenbezogene Daten sicher von der EU in die USA zu übertragen. Die Hauptmerkmale sind:

  • Stärkere Schutzmaßnahmen: Neue gesetzliche Anforderungen begrenzen die Überwachung durch US-Geheimdienste und garantieren, dass der Zugriff auf Daten aus der EU notwendig und verhältnismäßig ist.
  • Rechtsbehelfsmechanismen: Das Framework bietet EU-Bürgern erweiterte Möglichkeiten, gegen Missbrauch ihrer Daten vorzugehen, einschließlich Zugang zu einem neuen Überprüfungsgericht.
  • Überwachung und Compliance: Die Einhaltung des Frameworks wird regelmäßig von US- und EU-Behörden überprüft, wobei Unternehmen sich selbst zertifizieren müssen und ihre Datenschutzpraktiken öffentlich machen.

Okay, und warum benötigen wir das eigentlich?

„[…] Generell verbietet das EU-Recht seit 1995 die Ausfuhr persönlicher Daten außerhalb der EU. Ausnahmen bestehen bei absoluter Notwendigkeit (z. B. beim Versand einer E-Mail in ein Nicht-EU-Land) oder wenn das Nicht-EU-Land einen „im Wesentlichen gleichwertigen“ Schutz der personenbezogenen Daten von Europäer:innen bietet. […]“ (Quelle Noyb.eu)

Eine sehr ausführliche Beschreibung zu diesem Framework findet ihr von Thomas Schwenke auf dieser Seite: https://datenschutz-generator.de/data-privacy-framework/

Das aktuelle Problem

Zum Problem mit dem Deal hat sich Max Schrems geäußert:

„[..] Dieser Deal war schon immer auf Sand gebaut. Aber die EU-Wirtschaftslobby und die EU-Kommission wollten ihn trotzdem. Anstatt sich auf stabile rechtliche Beschränkungen zu einigen, hat die EU Versprechen der Exekutive zugestimmt, die in Sekundenschnelle aufgehoben werden können. Jetzt, wo die ersten Trump-Wellen diesen Deal treffen, könnte er sich bald auflösen und viele EU-Unternehmen in eine rechtliche Grauzone treiben.“ [..] „Das Problem ist, dass sich nicht nur US-amerikanische Big-Tech-Unternehmen auf dieses System instabiler Papiere verlassen. Vor allem auch normale EU-Unternehmen argumentieren mit diesen, dass die Nutzung von US-Cloud-Systemen in der EU legal ist. [..] “ (Quelle Noyb.eu)

Rechtsanwalt Thomas Schenke, schreibt dazu auf LinkedIn:

US-Datentransfers beruhen auf einer Verordnung von Biden. Diese Verordnung ist Teil des US-EU-"Data Privacy Frameworks". Sie garantiert die Kontrolle der US-Geheimdienste und den Schutz der Rechte der EU-Bürger. Trump hat diese Verordnung nicht aufgehoben. Eine Aufhebung wäre wohl nicht im Interesse von Musk, Zuckerberg, Bezos und anderen. Doch es sieht so aus, als werde die versprochene Kontrolle der US-Geheimdienste von Trump geschwächt. Deshalb wird es immer wahrscheinlicher, dass der EuGH die aktuelle Grundlage für die Nutzung von US-Diensten aufhebt. Damit wäre das Ende des Data Privacy Frameworks besiegelt. Bisher ignoriert man das nach dem Prinzip „too big to fail“. Aber irgendwann wird es auch für die EU-Kommission schwierig. Die EU wird es schwer haben, Datenschutzgarantien anzuerkennen, wenn der US-Partner nicht einmal den Anschein einer hinreichenden Geheimdienstkontrolle aufrechterhalten will.

Why should you care?

... oder was bedeutet das für die eigene Webseite.

Sobald das Abkommen kippt, bist du in einer rechtlichen Grauzone mit allen Services, die auf diesem Abkommen basieren. Am Ende des Tages ist das alles, was über die USA läuft.

Einfachster Check für dich: Mach deine Datenschutzbestimmungen deiner Webseite auf und such mal nach „Data Privacy Framework“. Alles, was dann auftaucht, fällt in die Liste eurer Problemkandidaten.

Zum Beispiel: Vimeo, Webflow, Cloudflare, WhatsApp, Google Tag Manager, Google Analytics, Google Recaptcha, YouTube, Facebook Pixel, Calendly

... sh*t!!

Alternativ könnt ihr auch mal Websites aufrufen und auf „Ablehnen“ im Cookie-Banner klicken. Vieles, was dann verschwindet, ist betroffen. Wie ihr an der Liste sehr aber auch vieles, wie z. B. Analytics, was ihr als Besucher*in nicht sehen könnt.

Beispiel: eine Webseite mit und ohne Cookies

Ihr könnt auch hier die Liste checken: https://www.dataprivacyframework.gov/list

Wenn ihr die Liste mal durchgeht, merkt ihr allerdings auch schnell, dass eine Webseite nur ein kleiner Teil des Problems ist. Das Framework regelt viel von unserem täglichen Leben und Arbeiten im Internet.

Was tun als Website Betreiber?

Okay, einfach mal kurz Webflow als Grundlage einer Webseite zu tauschen, wird schwer bis unmöglich. Euer Datenschutzbeauftragter kann mit einer „Datenschutz-Folgenabschätzung“ starten, aber ihr könnt die Liste durchgehen und bei allem anderen nach Alternativen in der EU suchen.

Überprüfung und Anpassung von Tools

  • Bewerte die Notwendigkeit jeder Software: Kannst du langfristig auf Google Analytics verzichten und datenschutzfreundlichere Alternativen aus der EU nutzen? (Ja, die gibt es: z. B. SimpleAnalytics)
  • Lokales Hosting: Integriere Skripte und Dateien direkt auf deiner Webseite, anstatt sie von externen Quellen zu laden.
  • Marketing-Tools reduzieren: Minimiere die Anzahl der Tools, die Nutzerdaten erfassen. Schau dir auch hier an, was du wirklich brauchst und was nur Spielerei ist.

Ersatz für eingebettete Inhalte

  • Ersetze Inhalte wie Karten und Videos durch datenschutzfreundliche Alternativen.
  • Karten: Erwäge, ob interaktive Karten notwendig sind oder ob ein einfacher Link ausreicht. Ganz ehrlich: Die Google Maps Karte auf deiner Webseite war noch nie wirklich bedienbar.
  • Videos: Entferne Plattformen wie YouTube und Vimeo und prüfe Alternativen für Privacy-first Videohosting, die ohne Tracking und Consent auskommen. (HINT HINT: Wir kennen da eine. Uns!)
  • Schriftarten und Captchas: Hoste Google Fonts lokal und nutze reCAPTCHA-Alternativen wie Friendly Captcha.

Neue Anbieter auswählen

Wähle neue Anbieter aus der EU, damit du das Problem langfristig los bist. Diese ganzen Abkommen sind eine never-ending Saga.

Das ist aber offen gesagt auch ein Win-Win für eure Webseitenbesucher*innen. Denn vieles aus der Liste ist aktuell nur möglich, wenn diese im Cookie-Banner auf Zustimmen klicken. Manchmal bleibt für alle anderen nur ein unschönes Gerüst einer Webseite übrig. (siehe Darstellung oben)

Why do we care?

Schau dir mal unsere Mission an. Das Web ist kaputt. Cookie-Banner, invasive Technologien, solche komplizierten Frameworks haben das Nutzererlebnis zerstört und moderne Websites zurückgeworfen.

Video Hosting in Europe

Anstatt jetzt wieder in der Grauzone herumzuhängen und darauf zu hoffen, dass so ein Abkommen hält, wie wäre es, wenn wir das Problem einfach mal lösen? Das geht – für Websites – nur, wenn Datenschutz und User Experience gemeinsam gedacht werden. Das haben wir für das Thema Videohosting gemacht und Ignite entwickelt. Die einzige Lösung, die Videos Cookie- und Consentfrei sowie DSGVO-konform ausliefert, ohne diese Frameworks und ohne Kompromisse bei der Performance auf eure Website bringt.

Wir finden, wir benötigen mehr Lösungen aus der EU für die EU.

Über uns Ignite im Überblick