Auswirkungen der EuGH-Entscheidung zum „Privacy Shield“ auf Ihre Kanzleihomepage

Vergangene Woche hat der EuGH das „Privacy Shield“ zur Übermittlung personenbezogener Daten in die USA für ungültig erklärt. Wer sich als Rechtsanwalt nicht gerade auf Datenschutz spezialisiert hat, wird das im Original 47 Seiten umfassende Urteil kaum lesen wollen.

Der Kollege Dr. Thomas Schwenke fasst das Urteil zusammen und gibt pragmatische Handlungsempfehlungen. Macht immer noch 10 Seiten.

Ich habe mir jetzt von Johannes Habermalz erklären lassen, was die Entscheidung konkret für den Betrieb von Kanzleihomepages bedeutet. Die Kollegen aus München unterstützen mich seit Jahren in Datenschutzangelegenheiten. Ich will versuchen, hier das Wesentliche für Laien verständlich zusammenzufassen:

Welche Dienste sind betroffen?

Je nach Gestaltung der Website können beim Seitenaufruf Daten in die USA übermittelt werden. Konkret geht es auf bei Kanzleihomepages typischerweise um die Einbindung von

Warum?

Sobald Google-Server kontaktiert werden, erfährt Google die IP-Adresse des Besuchers und diese Daten gelten (ggf. trotz Anonymisierung) als personenbezogen. In Kombination z. B. mit Cookies ist Google in der Lage, das Such- und Surf-Verhalten zu analysieren (was man sich dann auch als Google-Ads-Werbetreibender für zielgerichtete Werbung zunutze machen kann).

Aufklärung & Einwilligung

Beispiel zur Aufklärung und Einwilligung betr. Daten­verar­bei­tung in den USA von Rechts­anwalt Dr. Schwenke

Alles sehr praktisch, aber nur mit ausdrücklicher Einwilligung des Nutzers erlaubt. Dazu muss der Nutzer streng genommen nicht nur über den Einsatz von Cookies aufgeklärt werden, sondern ggf. auch über den Datentransfer in die USA. Wie sperrig das ist, zeigt Thomas Schwenke (siehe Screenshot). Wobei abzuwarten bleibt, wieviele Nutzer das einfach mit „Aktzeptieren“ wegklicken.

EU-Standardvertragsklauseln

Man kann sich auch nach Wegfall des „Privacy Shield“ formal immer noch auf die Vereinbarung der EU-Standardvertragsklauseln berufen. Dann genügt ein „normaler“ Cookie-Banner und man deklariert das in der Datenschutzvereinbarung. Solange niemand daran Anstoß nimmt, könnte man sich so behelfen, bis die EU und die USA eine neue Einigung finden – mit den entsprechenden Risiken.

Verzicht auf Datenübermittlung in die USA

Wer 100 % sicher gehen will, verzichtet vorübergehend ganz auf die Einbindung von Google-Diensten in die Kanzleihomepage. Das macht etwas Mühe, ist teilweise nicht ganz so praktisch und hat speziell in Kombination mit Google Ads auch konkrete Nachteile:

Google Analytics

Als datenschutzkonforme Alternative zu Google Analytics bietet sich Matomo an, das auf dem eigenen Server betrieben wird. Das gibt einen ähnlich guten Überblick, wo man mit seinem Online Marketing steht und wie es sich entwickelt. Matomo kann sogar „cookielos“ betrieben werden und wer dann ganz sicher gehen will, sollte sich noch die Einwilligung in das Tracking geben lassen.

Die Verknüpfung mit Google Ads fällt allerdings weg und damit z. B. auch Conversiontracking und Remarketing. Hier könnte es sich lohnen, auf die Vorschläge von Thomas Schwenke einzugehen. Noch berufen sich die „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ (Nr. 10) für den Export von Daten ausschließlich auf das Privacy-Shield-Abkommen, so dass derzeit wohl nur die Einwilligung wie im o. g. Schwenke-Beispiel bleibt.

Google Maps

Die Landkarte z. B. auf der Kontaktseite ist praktisch, aber nicht so wichtig. Ggf. kann einfach eine statische Karte eingebunden und zu Google Maps verlinkt werden. Wer den Nutzer nicht wegschicken will, muss halt aufklären und fragen, ob der Nutzer einverstanden ist und kann dann die dynamische Karte nachladen.

YouTube

Auch bei YouTube-Videos kann nur das Standbild angezeigt werden und man verfährt ansonsten wie zuvor bei Google Maps beschrieben.

reCAPTCHA

Kontaktformulare werden früher oder später von Spammern geflutet und reCAPTCHA ist nach meiner Erfahrung der beste Schutz. Es gibt natürlich Ersatz, der ohne Datentransfer in die USA auskommt. Wie effektiv der (inzwischen) ist, wird sich zeigen.

Google Fonts

Wer sich nicht mit den Browser-Standard-Schriftarten begnügen will, kann die Schriftensammlung von Google weiterhin nutzen. Dazu müssen die Dateien mit den Schriften nur auf den eigenen Server heruntergeladen und von dort aufgerufen werden.

Fazit

Ich würde jetzt die EuGH-Enscheidung zum Anlass nehmen, die eigene Kanzleihomepage wie oben beschrieben umzubauen. Wer Google-Ads-Werbekampagnen betreibt und auf Conversiontracking nicht verzichten will, kann sich überlegen, ob er es mit der Einwilligung à la Schwenke versuchen will oder mit der Vereinbarung der EU-Standardvertragsklauseln.

Hinweis: Ich selbst mache keine Rechtsberatung in diesen Dingen und empfehle, bei Bedarf einen auf Datenschutzrecht spezialisierten Kollegen zu kontaktieren.

1 Antwort

Trackbacks & Pingbacks

Dein Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert