Der Europäische Gerichtshof (EuGhH) hat vor kurzem die Datenschutzverordnung zwischen der EU und den USA – Privacy Shield – gekippt. Was bedeutet das für den „normalen“ Webseitenbetreiber?
Hintergrund der Entscheidung ist, dass personenbezogene Daten europäischer Nutzer*innen in den USA nicht genauso geschützt sind vor Massenüberwachung und Nutzung für Werbezwecke wie innerhalb der EU (hier in erster Linie durch die DSGVO). Bekannt geworden ist diese Tatsache vor allem durch die Enthüllungen von Edward Snowden, aber auch generell durch die Gesetzgebung der USA in dieser Hinsicht, die nicht an das Datenschutzniveau in der EU durch die DSGVO herankommt.
Dem jetzigen Urteil voran ging übrigens ein inziwschen über ein Jahrzehnt verlaufender Rechtsstreit, angestoßen und verfolgt von dem österreichischen Juristen und Netzaktivisten Max Schrems. Die EU-Kommission selbst hatte im Übrigen wenig an dem Abkommen auszusetzen (trotz der ganzen bekannten Tatsachen: Stichwort NSA-Massenüberwachung etc.).
Im Kern geht es also darum, ob Facebook und Co. personenbezogene Daten europäischer Bürger*innen in die USA transferieren dürfen. Dort würden diese privaten Daten den datenschutzrechlich weniger strengen amerikanischen Gesetzen unterliegen und es könnte entsprechend darauf zugegriffen werden. Es ist zwar weiterhin möglich, Daten zu transferieren (mithilfe der sogenannten Standardvertragsklauseln (SVK), allerdings müssen laut Urteil die Daten dann nach den gleichen strengen Vorschriften wie in der DSGVO geschützt sein. Das Urteil gilt übrigens sofort, es müssen also Unternehmen, die Daten europäischer Nutzer*innen in die USA transferieren, unverzüglich reagieren.
Welche konkreten Auswirkungen hat das nun aber? Betrifft das z. B. Webseiten, die über wordpress.com eingerichtet wurden? Was müssen Nutzer*innen von Baukästen wie wix.com oder weebly beachten? Betrifft es Clouddienste wie Onedrive (Microsoft), ICloud (Apple) oder Dropbox?
Da noch völlig unklar ist, was an die Stelle des gescheiterten Privacy Shield tritt, ist oft gar nicht so viel Handlungsspielraum vorhanden: Wo es geht, sollte man auf Anbieter, deren Mutterfirma aus den USA kommen, verzichten, bei o. g. wordpress.com ist das z. B. ohne weiteres möglich, indem man WP entweder selber hostet oder einen europäischen Provider mit einer sogenannten One-Click-Installation nutzt. Statt wix.com o.ä. kann man auf jimdo.com umsteigen, einem deutschen Webseitenbaukastenanbieter (wenn es schon ein Baukasten sein soll). Auch bei Plugins für CMS wie Wordpress oder Joomla kann man darauf achten, welche Firma/Anbieter hinter dem Plugin steht.
Statt google Analytics für die Auswertung der Besucher*innen der Webseite bietet sich Matomo (ehemals Piwik) an, hier hat man die volle Kontrolle über die Daten, die auf dem eigenen Server (oder dem des Providers) gespeichert werden. Apropos: Ganz wichtig ist die Wahl des Providers: Die Server sollten unbedingt in Europa stehen, denn auf dem Server sind alle Daten und Informationen der Webseite gespeichert. Wenn man auf der Webseite des Providers keine Angaben dazu findet, kann man einfach einen anderen der zahlreichen Provider auswählen.
Komplett verzichten wird man auf Produkte amerikanischer Unternehmen vermutlich nicht können, Alternativen zu Microsoft oder Apple zu finden wird schwierig (vor allem für "Nichtnerds"). Und auch google, Facebook und Twitter wird man weiterhin nutzen wollen. Aber vielleicht rückt das Urteil wiedermal ins Bewusstsein, welches wichtige Gut der Schutz privater Daten darstellt. Im übrigen ist aus datenschutzrechtlichen Gründen Open-Source-Software vorzuziehen (die muss nicht zwangsläufig kostenlos angeboten werden), da man dann ganz genau nachvollziehen kann, welche Daten wohin gespeichert werden.
Links zum Thema u. a. bei netzpolitik.org und heise.de.
In letzter Zeit gibt es viele Spam-Kommentare, deswegen habe ich die Kommentarfunktion erst einmal abgeschaltet.
Einen Kommentar schreiben
Kommentar von Thomas |
Hallo, guter Tipp, genau das habe ich gerade gesucht. Beste Grüße, Thomas
Kommentar von Kristina |
Sehr genialer Tipp. Das brauchte ich! Vielen lieben Dank!
Kommentar von Alex |
DANKE! Ich hab auch eben danach gesucht und es klappt bestens.
Kommentar von Emanuel P. |
Bin gespannt, Backend ist leicht aber Frontend sind viele am Grübeln wegen des 401 Fehlers und es existiert leider keine gute Anleitung wi man 2FA fürs Frontend richtig konfiguriert (speziell Template Anpassung und security.yml)
Antwort von Anika Strobach
Danke für den Kommentar. Ich hoffe, ich habe bald die Zeit dazu!
Kommentar von Gerhard Hirt |
Guten Tag
Was kann ich tun, wenn z.B. bei der 7. Pos. die Meldung Zeitüberschreitung kommt?
Was ist der vermutliche Grund für diese Zeitüberschreitung.
Danke für eine kurze Antwort
Gerhard
Antwort von Anika Strobach
Vielen Dank für den Kommentar.
Die Zeitüberschreitung liegt normalerweise daran, dass die Internetverbindung zu langsam oder gestört ist, entweder bei Ihnen selber oder bei dem Server, auf dem Ihre Webseite liegt. Oft klappt es zu einem anderen Zeitpunkt.
Mehr kann ich leider aus der Ferne und mit den wenigen Infos nicht sagen.
Kommentar von Karsten |
Hallo,
ich habe das plugin installiert und aktiviert.
In einem Beitrag per code -> php-> pass = XXXX eingetragen
Es erfolgt keine Abfrage!
Codeschnipsel als weißes Feld!
Was mache ich falsch?
Der Beitrag ist einfach nur ein Link, den man nach Eingabe des richtigen Passwortes sehen soll.
Kommentar von Marion |
Hallo Anika,
danke für die hilfreiche Anleitung!
Weißt Du, ob man die 2FA problemlos wieder rückgängig machen kann?
Viele Grüße
Marion
Kommentar von Matthias Hechler |
Muss die DENIC denn nicht auch den Provider herausgeben?
Kommentar von Gottfried |
Hallo, 2FA ist ne super Sache, aber nun ist das Handy weg und ich habe noch eine Sicherung der Backup Codes. Muss ich den Codeblock nun ganz in des Feld eingeben?
Kommentar von Comichaot |
Hatte die letzten Tage vermehret Brutforce angriffe aber dank Limit Login Attempts Reloaded ist alles gut!
Kommentar von Michael Conrad |
Danke für den super Tipp! Das war genau das Steinchen, was mir auf den Weg zur Suche nach dem Webserver gefehlt hat.
Sie müssen sich anmelden, um Kommentare hinzuzufügen.