Auswirkungen der EuGH-Entscheidung zum „Privacy Shield“ auf Ihre Kanzleihomepage
Vergangene Woche hat der EuGH das „Privacy Shield“ zur Übermittlung personenbezogener Daten in die USA für ungültig erklärt. Wer sich als Rechtsanwalt nicht gerade auf Datenschutz spezialisiert hat, wird das im Original 47 Seiten umfassende Urteil kaum lesen wollen.
Der Kollege Dr. Thomas Schwenke fasst das Urteil zusammen und gibt pragmatische Handlungsempfehlungen. Macht immer noch 10 Seiten.
Ich habe mir jetzt von Johannes Habermalz erklären lassen, was die Entscheidung konkret für den Betrieb von Kanzleihomepages bedeutet. Die Kollegen aus München unterstützen mich seit Jahren in Datenschutzangelegenheiten. Ich will versuchen, hier das Wesentliche für Laien verständlich zusammenzufassen:
Welche Dienste sind betroffen?
Je nach Gestaltung der Website können beim Seitenaufruf Daten in die USA übermittelt werden. Konkret geht es auf bei Kanzleihomepages typischerweise um die Einbindung von
Warum?
Sobald Google-Server kontaktiert werden, erfährt Google die IP-Adresse des Besuchers und diese Daten gelten (ggf. trotz Anonymisierung) als personenbezogen. In Kombination z. B. mit Cookies ist Google in der Lage, das Such- und Surf-Verhalten zu analysieren (was man sich dann auch als Google-Ads-Werbetreibender für zielgerichtete Werbung zunutze machen kann).
Aufklärung & Einwilligung
Alles sehr praktisch, aber nur mit ausdrücklicher Einwilligung des Nutzers erlaubt. Dazu muss der Nutzer streng genommen nicht nur über den Einsatz von Cookies aufgeklärt werden, sondern ggf. auch über den Datentransfer in die USA. Wie sperrig das ist, zeigt Thomas Schwenke (siehe Screenshot). Wobei abzuwarten bleibt, wieviele Nutzer das einfach mit „Aktzeptieren“ wegklicken.
EU-Standardvertragsklauseln
Man kann sich auch nach Wegfall des „Privacy Shield“ formal immer noch auf die Vereinbarung der EU-Standardvertragsklauseln berufen. Dann genügt ein „normaler“ Cookie-Banner und man deklariert das in der Datenschutzvereinbarung. Solange niemand daran Anstoß nimmt, könnte man sich so behelfen, bis die EU und die USA eine neue Einigung finden – mit den entsprechenden Risiken.
Verzicht auf Datenübermittlung in die USA
Wer 100 % sicher gehen will, verzichtet vorübergehend ganz auf die Einbindung von Google-Diensten in die Kanzleihomepage. Das macht etwas Mühe, ist teilweise nicht ganz so praktisch und hat speziell in Kombination mit Google Ads auch konkrete Nachteile:
Google Analytics
Als datenschutzkonforme Alternative zu Google Analytics bietet sich Matomo an, das auf dem eigenen Server betrieben wird. Das gibt einen ähnlich guten Überblick, wo man mit seinem Online Marketing steht und wie es sich entwickelt. Matomo kann sogar „cookielos“ betrieben werden und wer dann ganz sicher gehen will, sollte sich noch die Einwilligung in das Tracking geben lassen.
Die Verknüpfung mit Google Ads fällt allerdings weg und damit z. B. auch Conversiontracking und Remarketing. Hier könnte es sich lohnen, auf die Vorschläge von Thomas Schwenke einzugehen. Noch berufen sich die „Auftragsdatenverarbeitungsbedingungen für Google Werbeprodukte“ (Nr. 10) für den Export von Daten ausschließlich auf das Privacy-Shield-Abkommen, so dass derzeit wohl nur die Einwilligung wie im o. g. Schwenke-Beispiel bleibt.
Google Maps
Die Landkarte z. B. auf der Kontaktseite ist praktisch, aber nicht so wichtig. Ggf. kann einfach eine statische Karte eingebunden und zu Google Maps verlinkt werden. Wer den Nutzer nicht wegschicken will, muss halt aufklären und fragen, ob der Nutzer einverstanden ist und kann dann die dynamische Karte nachladen.
YouTube
Auch bei YouTube-Videos kann nur das Standbild angezeigt werden und man verfährt ansonsten wie zuvor bei Google Maps beschrieben.
reCAPTCHA
Kontaktformulare werden früher oder später von Spammern geflutet und reCAPTCHA ist nach meiner Erfahrung der beste Schutz. Es gibt natürlich Ersatz, der ohne Datentransfer in die USA auskommt. Wie effektiv der (inzwischen) ist, wird sich zeigen.
Google Fonts
Wer sich nicht mit den Browser-Standard-Schriftarten begnügen will, kann die Schriftensammlung von Google weiterhin nutzen. Dazu müssen die Dateien mit den Schriften nur auf den eigenen Server heruntergeladen und von dort aufgerufen werden.
Fazit
Ich würde jetzt die EuGH-Enscheidung zum Anlass nehmen, die eigene Kanzleihomepage wie oben beschrieben umzubauen. Wer Google-Ads-Werbekampagnen betreibt und auf Conversiontracking nicht verzichten will, kann sich überlegen, ob er es mit der Einwilligung à la Schwenke versuchen will oder mit der Vereinbarung der EU-Standardvertragsklauseln.
Hinweis: Ich selbst mache keine Rechtsberatung in diesen Dingen und empfehle, bei Bedarf einen auf Datenschutzrecht spezialisierten Kollegen zu kontaktieren.
Trackbacks & Pingbacks
[…] Auswirkungen der EuGH-Entscheidung zum „Privacy Shield“ auf Ihre Kanzleihomepage , […]
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!