Ein Datenschutzaktivist aus Österreich führte ein Verfahren gegen Facebook und gewann. Das Urteil vom 16.07.2020
hatte dabei allerdings lange nicht nur Auswirkungen auf den Social-Media-Giganten Facebook, sondern auch auf
unzählige Website-Betreiber*innen in der EU. Die Grundlage, auf der personenbezogene Daten zwischen der EU und den
USA transferiert werden konnten, ist nun nicht mehr vorhanden – der EuGH hat den Privacy-Shield gekippt. So weit, so
gut.
Aber was bedeutet „Transfer von
personenbezogenen Daten“?
Im Prinzip ist das recht einfach. Personenbezogene Daten sind Daten, die einen Rückschluss auf eine Person zulassen.
Dazu gehören unter anderem Name, Anschrift oder Telefonnummer. Vor allem aber auch die IP-Adresse. Weitere
Informationen dazu, was als personenbezogene Daten eingestuft wird, gibt es hier. In Deutschland und
Europa wird seit Einführung der DSGVO der Schutz solcher Daten sehr ernst genommen. Ein Transfer finden dann statt,
wenn diese Daten zum Beispiel auf der eigenen Seite erhoben werden und im gleichen Zug in die USA übermittelt
werden, was bei Google-Analytics der Fall wäre.
Problematisch ist das, weil in den USA andere Gesetze zum Datenschutz gelten, als es in Europa der Fall ist. Dort
können unter anderem Ermittlungsbehörden eine Einsicht verlangen, wenn Sie es für notwendig erachten. Davon
abgesehen ist häufig aber auch intransparent, was die Unternehmen mit den Daten machen, die „wir“ an sie
übermitteln.
Wozu dienen welche Cookies?
Auf nahezu jeder Website finden sich seitdem Hinweise über die Verwendung von Cookies oder Analyse-Tools wie Google
Analytics oder Matomo.
Einige davon werden als „Essenziell“ bezeichnet, andere unter den Begriffen „Marketing“, „Externe Medien“ oder
„Statistik“. Was hinter diesen Begriffen steht, wollen wir kurz anreißen.
— Essenziell
Dabei handelt es sich um Cookies, die für den Betrieb oder das Nutzen einer Website notwendig sind. Zum Beispiel bei
Online-Shops ist das häufig der Fall. Denn ohne ein solches Cookie könnten Produkte nicht im Warenkorb verbleiben,
während Nutzer*innen ihren Einkauf fortführen und nach weiteren Produkten stöbern. Würde hier kein Cookie gesetzt,
wäre der Warenkorb immer wieder leer, sobald die Seite aktualisiert oder ein anderes Produkt aufgerufen wird, das
eine neue Unterseite öffnet.
— Marketing
Das können zum Beispiel Cookies sein, die Nutzer*innen theoretisch weitreichend tracken, um Werbung auszuspielen, die
auf ihren Interessen beruhen könnten. Diese können zum Beispiel von Googles Ad-Platform kommen.
— Externe Medien
Wenn eine Webseite zum Beispiel Tweets oder Videos von YouTube einbettet, dann wird eine Verbindung zu den jeweiligen
Anbietern aufgebaut. Dafür werden Daten an diese Anbieter gesendet. Diese Daten können natürlich personenbezogene
Daten wie die IP-Adresse sein.
— Statistik
Das sind meist Analyse-Tools, die das Verhalten der Nutzer*innen auf der eigenen Website verfolgen und in
Statistiken zur Auswertung bereitstellen. Dabei geht es meist weniger darum, Nutzer*innen auszuspionieren. Häufig
wird bestimmtes Verhalten als Signal gewertet und eine Seite dann entsprechen optimiert. Zum Beispiel, wenn
Website-Besucher*innen die Homepage sofort nach dem ersten Aufruf wieder verlassen.
Das Kippen des Privacy-Shield
betrifft unzählige Websites
Viele werden nun denken, dass sie nicht betroffen sind, weil sie zum Beispiel keine Analyse-Tools nutzen oder Videos
einbetten. In vielen Fällen ist das aber falsch. Wir arbeiten hauptsächlich mit dem CMS WordPress, das auf über 30 %
aller Websites im Internet zum Einsatz kommt. WordPress arbeitet mit sogenannten Themes, also im Grunde Vorlagen.
Diese bringen viel Flexibilität mit sich und ermöglichen es so auch „Hobby-Webdesignern“ und Menschen, die sich neu
selbstständig gemacht haben, eine Webseite selbst zu erstellen. Dafür muss nicht zwingend Erfahrung mit Code oder
der allgemeinen Erstellung von Websites vorhanden sein. Doch genau diese Arbeitserleichterung kann nach dem Urteil
durch den Europäischen Gerichtshof zur Falle werden.
Das wohl prominenteste Beispiel hier ist Google-Fonts. Das sind von Google bereitgestellte Schriften, die sich mit
wenigen Klicks auswählen und in die Seite einbetten lassen. Um diese Schriften darzustellen, wird eine Anfrage an
die Server von Google gestellt. Dabei werden Daten erfasst und später vielleicht auch von Google verarbeitet. Diese
Anfrage ist notwendig, da die Schriften nicht auf der eigenen Webseite oder dem eigenen Server, sondern eben denen
von Google liegen. Diese liefern die Schriften dann in Folge der Anfrage aus und stellen sie auf der Webseite dar.
Wie man jetzt handeln sollte
Auf unserer Webseite haben wir uns dazu entschlossen, einfach keinerlei Cookies mehr zu setzen. Allerdings führen wir
eine grundlegende Analyse mit Matomo durch, was aber auch ohne das Setzen vonn Cookies möglich ist. Dabei werden
sämtliche Daten natürlich anonymisiert und sind keiner Person zuzuordnen.
Nun kann es aber sein, dass das für andere Websites gar nicht möglich ist. In diesem Fall empfehlen wir, zunächst
genau zu prüfen (oder durch zum Beispiel dubb prüfen zu lassen), ob Handlungsbedarf besteht und wie dieser
aussehen kann. So kann Google Analytics durch Dienste ersetzt werden, die die Daten nur auf dem eigenen Webspace
oder Server lagern. Schriften können lokal eingebettet werden und manche Dienste können einfach abgeschaltet werden,
weil sie schlicht nie genutzt wurden.
Für notwendige Cookies empfehlen wir, Nutzer*innen detailliert zu informieren, weshalb sie notwendig sind.
Diesen Artikel haben wir nach bestem Wissen und Gewissen erstellt. Er stellt keinerlei Rechtsberatung dar, noch
bietet er rechtliche Sicherheiten. Dafür sind immer Jurist*innen zu befragen.
Bei der technischen Unterstützung oder der Analyse Ihrer aktuellen Website sind wir aber gerne behilflich und
unterstützen Sie dabei, gesetzeskonform und im Sinne des Datenschutzes zu handeln.