Webseiten-Analyse ohne Cookies: Wollen Sie das auch für Ihre Webseite? Abonnieren Sie Blueberry Phantom!
Seite wählen
Exec. Order 12333, NSA und Privacy-Shield

Exec. Order 12333, NSA und Privacy-Shield

Die Executive Order 12333, die NSA und Folgen des Privacy-Shield Urteils

Dieser Blogpost spiegelt eigene Einschätzungen basierend auf meinen Recherchen aus Veröffentlichungen, Webinaren, Stellungnahmen und Verlautbarungen von Datenschutzbehörden, Rechtsanwälten und themenfokussierten Blogs dar und ersetzt keine rechtsfreundliche Beratung:

Am 16.7. 2020 kippte der EUGH das “Privacy Shield” Abkommen zur Datenübertragung von der EU in die USA. Dieses Urteil, mit sofortiger Wirksamkeit, basierte auf der Einschätzung des EUGH, dass das Datenschutzniveau in den USA nicht ausreichend ausgestaltet ist, um personenbezogene Daten von EU-BürgerInnen in den USA zu schützen. Gleichzeitig hat der EUGH darüber hinaus auch den europäischen Datenschutzbehörden jeglichen Spielraum genommen, indem er angewiesen hatte, dass Datentransfers ohne Angemessenheit untersagt werden müssen. Aus dieser Situation heraus resultiert eine große Rechtsunsicherheit, was den Transfer von Daten in die USA und die Nutzung von Software, SaaS, Cloud- oder Messengerservices betrifft, für europäische Unternehmen. Wie sollen beispielsweise Daten in der Cloud abgelegt, Werbung über soziale Medien geschaltet oder sharepoints rechtskonform zukünftig genutzt werden?

Google tracking auf Webseiten in der EU

Der Privacy Shield ist nicht die einzige Variante gewesen, mittels der personenbezogene (pb) Daten in die USA transferiert werden können; es gibt nämlich noch die so genannten Standardvertragsklauseln (“SCCs – Standard Contract Clauses”), auf die sich Unternehmen beim Datentransfer beziehen können. Diese SCCs sind auch weiterhin noch gültig, jedoch gilt hier Vorsicht: Als Importeur von Daten dürfen diese nur auf Anweisung des Europäischen Datenverantwortlichen verarbeitet werden und die Weitergabe (z.B. an Geheimdienste) ist untersagt. Gleichzeitig gilt jedoch die Executive Order 12333, mittels der die US-amerikanische NSA jedoch eine Rechtsgrundlage hat, sämtlichen Datenverkehr in die USA abzufangen und zu analysieren. Damit ist auch das Datenschutzniveau nicht “angemessen”, um SCCs vorbehaltlos und “unüberprüft” anzuwenden. Und in den genehmigten Vorlagen für die Standardvertragsklauseln ist die Verpflichtung die beiden Vertragsparteien vorgesehen, bei Unmöglich der Einhaltung der SCCs, die Übermittlung sofort einstellen zu müssen.

 

Webseiten-Analyse mit Blueberry Phantom

  • Ohne Cookies
  • Erfassung aller Nutzer
  • Kein Vorschaltbanner notwending & keine Datenübermittlung an Tech-Konzerne

Folgen für EU-Unternehmen

Diese Entscheidung hat für viele Unternehmen, die zahlreiche Datenverarbeitungsprozesse an US-Unternehmen (und Unternehmen in andere Drittstaaten) ausgelagert haben, zu einer weiteren großen Rechtsunsicherheit geführt. Zwar lässt der EUGH eine entsprechende Angemessenheitsprüfung für den Datentransfer im Einzelfall offen. Doch für viele UnternehmerInnen ist es zu aufwändig eine Due Diligence für die Subauftragnehmer und die Sub-SubauftragnehmerInnen durchzuführen.

Ein Beispiel für die Komplexität der Folgen, die aus diesem Urteil erwachsen, ist der Datentransfer von IP-Adressen (die laut DSGVO als personenbezogene Daten zu bewerten sind) in die USA. Das weltweit am stärksten verbreitete Webseiten-Analyse-Tool Google Analytics wird in fast 90% aller Webseiten eingesetzt, da es umfangreich und vor allem kostenlos ist. Zwar werden die letzten Ziffern der IP-Adresse anonymisiert, so ganz anonym sind die Daten jedoch nicht, wie der Google Transparenzbericht zeigt: gut 100.000 Nutzerkonten und ihre werden auf Basis des FISA an unterschiedliche staatliche Behörden jährlich (2019) offen gelegt.

Alternative zu Google Analytics

Für jene Unternehmen, die beispielsweise für so “einfache” Anwendungen, wie Google Analytics, die sich leicht ersetzen lassen, keine Due Diligence durchführen können und wollen, haben wir deshalb das anonyme, sichere und simple Webseitentracking “Blueberry Phantom” entwickelt. Hierbei werden 

  1. keine personenbezogenen Daten mehr in Drittstaaten transferiert. Es werden auch 
  2. keine Textdateien auf den PCs der Webseiten BesucherInnen, sogenannte Cookies, platziert. Darum braucht man auch für die Nutzung des Webseitentrackings 
  3. keine Einwilligung einzuholen und muss somit keine Vorschaltbanner u.ä. setzen.

Die Daten bleiben bei Ihnen, sind übersichtlich aufbereitet und in einem simplen Live-Dashboard visualisiert. Da Blueberry Phantom keine Cookies setzt, die eine Einwilligung erfordern, werden ALLE WebseitenbesucherInnen erfasst, nicht nur jene, die, wie auf anderen Webseiten, ihre Einwilligung dazu erteilen.

Blueberry Phantom als Alternative zu Google Analytics

Webseiten-Analyse mit Blueberry Phantom

  • Ohne Cookies
  • Erfassung aller Nutzer
  • Kein Vorschaltbanner notwending & keine Datenübermittlung an Tech-Konzerne

Vorteile für EU-Unternehmen

Damit gewinnen die NutzerInnen von Blueberry Phantom mehrfach: datenschutzfreundliches Webseitentracking, mit exaktem Erfassen der Nutzerzahlen und einem schnellen, userfreundlichen Seitenaufbau ohne Cookie-Notices.  

Inkludiert sind:

  • übersichtliches Dashboard, das auf einen Blick zeigt, wie die Seite performed
  • monatlicher Bericht per E-Mail zugeschickt
  • Implementierung des Tracking Codes in die Webseite durch unser Team
  • Implementierung von Conversion Zielseiten durch unser Team
  • datenschutzfreundliches Tracking ohne Transfer personenbezogener Daten indie USA
  • cookiefreie Zone, keine Cookies, keine Vorschaltbanner und Cookie-Notices notwendig
  • schnelle Ladezeiten im Vergleich zu Google Analytics
  • die Daten gehören Ihnen und nicht Google, Facebook oder Amazon

Wenn Sie ein sicheres, simples und datenschutzfreundliches Tracking für Ihre Webseite suchen, können Sie Blueberry Phantom hier abonnieren.

“Alle akzeptieren” oder: Hören wir auf, unsere SeitenbesucherInnen zu nerven!

“Alle akzeptieren” oder: Hören wir auf, unsere SeitenbesucherInnen zu nerven!

Auswahl speichern” oder: Hören wir auf, unsere SeitenbesucherInnen zu nerven!

Kennen Sie das? Sie klicken auf einen Seitenlink und noch bevor sich die Webseite öffnet, blockiert ein lästiges Cookie Pop-up (auf deutsch: ein “Vorschaltbanner”) die Sicht. Schieberegler und bunte Buttons mit “alle akzeptieren”, “nur technische Cookies zulassen” oder – mein persönlicher Favorit – “Auswahl speichern”, kommunizieren irgendwas von Datenschutz, aber eigentlich nerven sie nur.

Vorschaltbanner für Webseiten Tracking - gibt es Alternativen?

Der Grund für dieses lästige Phänomen liegt in der DSGVO. Cookies dürfen ihr zufolge nicht ohne die widerrufbare Einwilligung der SeitenbesucherInnen gesetzt werden und Tools wie Cookiebot, Borlabs oder andere Plugins helfen seit ein paar Jahren bei der Umsetzung dieser Verpflichtung. Gleichzeitig ermöglichen diese Tools es, die Optionen beim Cookie-Setzen so zu designen, dass man möglichst schnell alle Cookies, inklusive 3rd party-cookies von Google, Facebook et. al., akzeptiert. Hier bekenne ich mich selbst für schuldig, es geht doch schließlich darum, zu wissen, was auf der Webseite passiert. Wer Cookies nämlich blockiert, wird von Google Analytics nicht erfasst und surft somit “unterm Radar”. Welcher Online-Marketer will denn das?

So, aber jetzt kommt’s: nachdem der Europäische Gerichtshof dies mit seinem Entscheid am 1. Oktober 2019 nochmals deutlich gemacht hat (die Sache mit den Cookies meine ich), setzt er noch eines drauf: am 16. Juli 2020 hat der EuGH das EU-US Privacy Shield mit sofortiger Wirkung für ungültig erklärt (Urteil in der Rechtssache C-311/18). Dieses “Privacy Shield” Abkommen regelte die sichere Übermittlung personenbezogener Daten von der EU in die USA. Dank dieses Abkommens, konnten noch vor dem aktuellen Urteil alle zertifizierten US-Unternehmen datenschutztechnisch sehr ähnlich zu europäischen Unternehmen eingestuft werden. Ein Datenaustausch mit Google, Facebook und Co. war elegant gelöst und eine angenehme Sache. Und nun dieses Urteil – der Amerikaner würde sagen: “Now we have the salad!”. Natürlich haben wir momentan bedeutendere Themen, mit denen wir global zu kämpfen haben, aber das Damoklesschwert einer bis zu 20 Mio. Euro hohen Strafe für meine KlientInnen ist unzumutbar. Die Webseitenanalyse über Google Analytics ist jetzt nicht mehr DSGVO-konform, der Einbau von Facebook-Connect und ein Datentransfer in die USA können empfindliche Geldbußen nach sich ziehen, Standardvertragsklauseln oder Code of Conducts hin oder her.

Blueberry Phantom als Alternative zu Google Analytics

Webseiten-Analyse mit Blueberry Phantom

  • Ohne Cookies
  • Erfassung aller Nutzer
  • Kein Vorschaltbanner notwending & keine Datenübermittlung an Tech-Konzerne

Ein Gedanke mindert jedoch den Frust über dieses Urteil: Der Grund für die Entscheidung des Gerichts liegt darin, dass “aufgrund der in den USA vorherrschenden Überwachungsprogramme, den Eingriffen in die Grundrechte der betroffenen Personen und aufgrund des Mangels an Schutzmaßnahmen oder Garantien gegen solche Eingriffe das Datenschutzniveau der EU nicht eingehalten wird”. Und das gibt zu denken: Möchte ich die Daten meiner SeitenbesucherInnen tatsächlich an US-Unternehmen weitergeben, die zur Herausgabe von Daten aufgrund des Foreign Intelligence Surveillance Act verpflichtet sind? Wollen wir unser verbessertes Datenschutzniveau in der EU wieder zahnlos machen, indem wir die Daten in die USA weiterleiten? Oder suchen wir lieber nach einer Alternative, um unsere BesucherInnen nicht mehr mit Cookie-Bannern zu nerven und stattdessen noch sorgfältiger mit ihren Daten umzugehen?

Nachsatz: Wer zumindest DSGVO-konformes Tracking betreiben will, wird hier fündig: Eine Webseite ohne Analysetool ist nämlich, wie nachts im Trüben zu fischen. Darum haben wir mit Blueberry Phantom eine datenschutzfreundliche Tracking-Alternative (ohne Cookies und ohne US-Datenaustausch) entwickelt. Damit verschwinden auch die “Auswahl speichern”- und “alle akzeptieren”-Buttons von Webseiten, die nicht mehr als ein sauberes User-Tracking wollen.