Anpassungen auf der Website durch die Unwirksamkeit des Privacy Shields
Nachdem das Privacy Shield für ungültig erklärt wurde, gibt es Auswirkungen, auch für die Website. E-recht24 hat entsprechende Infos am 2.9.2020 zusammengestellt.
Was ist eigentlich der Hintergrund?
Wie ich es verstanden habe
Durch die gesetzlichen Vorgaben in den USA können wohl Behörden und Geheimdienste recht einfach in einem Unternehmen Zugriff auf die personenbezogenen Daten der Kunden erhalten. Wenn das Unternehmen in den USA sitzt und Kundendaten aus Europa verarbeitet, dann kann die USA auch diese Kundendaten einsehen.
Das Privacy Shield hat hier auf der formalen Ebene agiert, indem die amerikanische Firma zugestimmt, die europäischen Datenschutzbestimmungen einzuhalten. Dies ist jedoch wohl faktisch nicht möglich umzusetzen, da sie sich nicht den Gesetzesregulungen in den USA entziehen kann. D.h. wenn die Behörde Daten sehen möchte, kann die US-Firma nicht ssagen, dass sie diese nicht rausgibt. Aus diesem Grund wurde das Abkommen zu Privacy Shield für ungültig erklärt und wir müssen nun entsprechend reagieren.
Dabei geht es nicht nur darum, wo die Daten verarbeitet werden (Serverstandort USA oder EU), sondern wo die Firma sitzt und damit welchen gesetzlichen Auflagen sie unterliegt.
Was ist für deine Website relevant?
Technische Ebene
Ich gehe hier nur auf die Tools ein, die ich in der Regel verwende. Hier sind u.a. Google-Tools, wie die google Map oder google Fonts betroffen. Grundsätzlich wird als erstes empfohlen, auf diese Tools zu verzichten.
Webfonts können auch lokal über den eigenen Server eingebunden werden, sofern der Webfont vorliegt oder zu beschaffen ist. Natürlich kann auch der Font auf einen standardmäßig systemeigenen Font geändert werden. In den meisten Fällen haben wir bereits auf die Google-Fonts verzichtet.
Die Google Maps kann ganz rausgenommen werden oder auch durch die open street map ersetzt werden.
Indem wir dmit dem Matomo-Plugin arbeiten, liegen alle Daten auf dem eigenen Server und werden weder bei einer anderen Firma noch auf einem anderen Server verarbeitet. Das heißt die Änderungen beim Privacy Shield haben hier keinen Einfluss.
Der Provider ist natürlich auch relevant. Das heißt, die Firma, bei der du den Server anmietest auf dem deine Website-Daten liegen. Hier sind wir nur mit deutschen Anbietern unterwegs und du solltest den Vertrag zur Auftragsdatenverarbeitung mit deinem Hoster geschlossen haben.
Datenschutzerklärung
Der Inhalt der Datenschutzerklärung muss mal wieder angepasst werden.
Optimalerweise werden hier auch nicht nur die Prozesse aufgenommen, die direkt auf deiner Website laufen. Wenn du z.B. mit deinen Kunden online-Meetings per Zoom oder Skype machst, sollte auch hierzu ein Passus enthalten sein.
E-Recht24 hat inzwischen auch die Möglichkeit entwickelt, den Rechtstext auf die Website zu importieren, was Änderungen einfacher macht. Hierzu wird die Datenschutzerklärung einmal mit dem Generator auf der e-recht24-Website erstellt. Per WordPress-Plugin wird dieser Text dann nur über einen Shortcode auf deiner Website eingebunden. Das kann sowohl für das Impressum als auch für die Datenschutzerklärung gemacht werden. Aktualisierungen auf der Website erfolgen dann per Button-Klick im e-recht24 Projektmanager.