So sehr wir uns auch an ubiquitär verfügbare Daten, soziale Netzwerke und Analysedienste aus den USA gewohnt haben mögen, das Ende des europäischen Safe-Harbour-Abkommens stellt zunächst all diese Praktiken in Frage. Die allseits bekannten Unternehmen aus Silicon Valley – Google, Facebook, Microsoft, Dropbox, Salesforce, Autodesk – unterhalten Heere von Anwälten und werden diese zweifellos bereits an einer Überarbeitung der Compliance-Regeln angesetzt haben.
Die Frage ist nun, sind Privatleute und Betreiber kleinerer Webseiten ebenfalls betroffen und wie kann man in der Zwischenzeit reagieren, um Rechtsunsicherheiten zu minimieren bis auch die Datenschutzbeauftragten der Länder mit klaren Empfehlungen reagieren?
Zu einigen Fragen möchte ich anbei Stellung nehmen. Wichtig zu beachten ist hierbei, daß es sich selbstverständlich nicht um eine rechtliche Beratung handelt und kein Gewähr auf folgende Aussagen gegeben wird. Genaueres weiß man bisher nicht. Allerdings könnt ihr einiges tun um die eklatantesten Datenschutzverstöße bereits jetzt abzustellen und kostspieligen Abmahnungen vorzubeugen.
Was ist überhaupt Safe-Harbour?
Safe-Harbour ist eigentlich kein richtiges Abkommen zwischen Staaten, sondern eigentlich eine Entscheidung der Europäischen Kommission aus dem Jahr 2000, die USA als sicheres Land zur Übermittlung von Daten mit vergleichbaren Datenschutzstandards, wie denen der EU, anzusehen. Bitte den Leser an dieser Stelle festzuhalten, daß die Europäische Kommission, eine nicht demokratisch gewählte Institution, dies entschieden hat. Es durften also bisher Nutzerdaten in die USA übermittelt werden ohne Datenschutzbestimmungen der EU zu verletzen. Der Europäische Gerichtshof (EuGH) hat am 06.10.2015 entschieden, daß diese Vereinbarung nichtig ist und eine Verletzung des Datenschutzes sehr wohl gegeben ist, da die EU Charta für Grundrechte nicht zuletzt weil amerikanische Sicherheitsbehörden und Geheimdienste diese Rechte jederzeit außer Kraft setzen können.
Bitte stellt euch jetzt noch einmal vor, wo der eigentliche Skandal liegt und was diese Entscheidung über das Handeln der amerikanischen und der europäischen Regierungen sagt. Nämlich, daß deren Handeln den Boden der Grund- und Menschenrechte völlig verlassen hat!
Kann ich jetzt noch Facebook/Google/Linkedin nutzen?
Auch wenn der Zeitpunkt doch etwas überrascht, die großen Namen im Internet wie Facebook, Google und Microsoft haben bereits vor geraumer Zeit begonnen eine Infrastruktur innerhalb der europäischen Länder zu schaffen und eine Verschärfung der Datenschutzgesetze antizipiert. Ihnen wird es voraussichtlich in relativ kurzer Zeit gelingen, den Datenaustausch auf eine neue rechtliche Basis zu stellen. Trotzdem hätte das Urteil des EuGH einige Konsequenzen, die einen Betrieb von sozialen Netzwerken, in der Form wie es heute üblich ist, eigentlich unmöglich machen. Neben der Preisgabe der eigenen Daten müsste man es insbesondere unterlassen personenbezogene Daten von Dritten zu übergeben. Zum Beispiel das Hochladen des eigenen Adressbuchs oder die Verlinkung anderer Personen auf Fotos.
Was ist, wenn ich Facebook und Google in den AGB der Übertragung zugestimmt habe?
Dies hätte keinerlei Auswirkung. Grundrechte kann man nicht außer Kraft sätzen, selbst wenn man dem zustimmen würde.
Darf ich Kontaktdaten auf meinem Geschäftshandy noch mit Google/Apple synchronisieren?
Nein, dies ist jetzt und war auch vor der Entscheidung ohne das Einverständnis aller Kontaktpersonen nicht gestattet. Selbst mit Einverständnis aller Beteiligten wäre es nach heutigem Stand außerhalb der EU grundsätzlich nicht erlaubt!
Wie sieht es mit Dropbox, Cloudspeicher, Office 365 und Google Docs aus?
Wie schon gesagt besitzen insbesondere Microsoft und Google am ehesten über Kapazitäten, einen Teil der Datenverarbeitung auf Server innerhalb der EU zu verlagern. Grundsätzlich gilt aber auch hier, daß personenbezogene Daten nicht gespeichert werden dürfen. Das Abmahnrisiko halte ich aber eher für gering.
Darf ich Google Analytics auf meiner eigenen Website benutzen?
Wer eigene Services und Webseiten im Internet unterhält sollte schnell handeln, ehe die Abmahnindustrie in Deutschland Wind von der Sache bekommt und sich neue Betätigungsfelder erschließt.
Analysedienste sollten stets so konfiguriert sein, daß Daten nur anonymisiert übermittelt werden können. Der Datenschutzbeauftragte in Hamburg hat hierfür bereits einen brauchbaren Leitfaden erstellt – und dieser gilt nicht nur in Hamburg.
Ungefährdet ist auch, wer die Auswertung auf einem eigenen Server (in der EU) vornimmt, anonymisiert und den Besuchern in den Datenschutzbestimmungen der eigenen Seite eine Möglichkeit einräumt der Speicherung zu widersprechen. Allumfassend ist dies nur mit einer selbstgehosteten Lösung wie Piwik möglich, was ich ebenfalls auf dieser Seite einsetze.
Was ist mit Sharebuttons für Facebook, Twitter etc?
Leider binden die sozialen Netzwerke bei Ihren Sharebuttons immer auch Code mit ein, welcher das Tracking der Besucher ermöglicht. Man sollte deswegen am besten ganz auf diese Sharebuttons verzichten.
Wer es dennoch nicht tun kann sollte sich Shariff vom Heise Verlag anschauen. Die Sharebuttons werden damit zunächst ausgegraut angezeigt und beim erstmaligen Klick aktiviert. Beim zweiten Klick erst wird das Sharing aktiviert.
Erweiterungen gibt es bereits für viele gängige Content-Management-Systeme wie WordPress, Typo3 oder Joomla.
Anmerkungen, Ergänzungen oder Fragen? Habt Ihr Vorkehrungen getroffen? Ich freue mich über eure Kommentare!