|
189 | 189 | { |
190 | 190 | "id": "analytics-tools", |
191 | 191 | "title": "Analyse-Tools (z.B. Google Analytics, Matomo/Piwik, WordPress Stats/Jetpack)", |
192 | | - "description": "Analyse-Tools mit Datenspeicherung in den USA sind seit dem Schrems II-Urteil (2020) nicht DSGVO-konform.", |
| 192 | + "description": "Analyse-Tools mit Datenspeicherung in den USA müssen dem EU-US Data Privacy Framework (DPF) entsprechen, das im Juli 2023 eingeführt und im September 2025 bestätigt wurde.", |
193 | 193 | "explanation": [ |
194 | | - "Wichtig: Analyse-Tools, die personenbezogene Daten in den USA speichern, sind seit 2020 nach dem Schrems-II-Urteil nicht DSGVO-konform! Darunter fallen u.a. Google Analytics und Jetpack.", |
| 194 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Dies umfasst Analyse-Tools wie Google Analytics und Jetpack, sofern sie DPF-zertifiziert sind. Es ist jedoch zu beachten, dass der Datenschutzaktivist Max Schrems über seine Organisation NOYB (None Of Your Business) angekündigt hat, das Data Privacy Framework anzufechten, was möglicherweise zu einem sogenannten 'Schrems III' führen könnte. Während das Rahmenwerk derzeit Rechtssicherheit bietet, bleiben zukünftige rechtliche Anfechtungen möglich.", |
195 | 195 | "Abwägen, welches Analysetool unter der Berücksichtigung des Datensparsamkeits-Prinzips geeignet erscheint.", |
196 | 196 | "Abwägen, ob ein Verarbeitungsgrund nach Art. 6 Abs. 1 lit. b) - f) DSGVO vorliegt oder nach Art. 6 Abs. 1 lit. a) ein vorheriges Einverständnis eingeholt werden sollte.", |
197 | 197 | "Sofern Cookies gespeichert werden, über einen Cookie-Banner darüber informieren und Opt-Out-Funktion bereit stellen.", |
|
218 | 218 | { |
219 | 219 | "id": "marketing-tools", |
220 | 220 | "title": "Marketing-Tools (z.B. Google Ads, Affiliate-Netzwerke)", |
221 | | - "description": "Marketing- und Werbe-Tools übertragen meist personenbezogene Daten in die USA und sind seit 2020 problematisch.", |
| 221 | + "description": "Marketing-Tools mit Datenspeicherung in den USA müssen dem EU-US Data Privacy Framework (DPF) entsprechen, das im Juli 2023 eingeführt und im September 2025 bestätigt wurde.", |
222 | 222 | "explanation": [ |
223 | | - "Wichtig: Marketing-Tools, die personenbezogene Daten in den USA speichern, sind seit 2020 nach dem Schrems-II-Urteil nicht DSGVO-konform! Darunter fallen u.a. Google Ads (insbes. die Remarketing-Funktion) und diverse Affiliate-Netzwerke.", |
| 223 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Dies umfasst Marketing-Tools wie Google Ads und diverse Affiliate-Netzwerke, sofern sie DPF-zertifiziert sind. Es ist jedoch zu beachten, dass der Datenschutzaktivist Max Schrems über seine Organisation NOYB (None Of Your Business) angekündigt hat, das Data Privacy Framework anzufechten, was möglicherweise zu einem sogenannten 'Schrems III' führen könnte. Während das Rahmenwerk derzeit Rechtssicherheit bietet, bleiben zukünftige rechtliche Anfechtungen möglich.", |
224 | 224 | "Google Ads verlangt derzeit das vorherige Einverständnis (Opt-In) lt. Programmrichtlinien, nicht nur für die Cookies und Beacons (Zählpixel), sondern auch für die Übertragung jeglicher personenbezogenen Daten.", |
225 | 225 | "Funktionen wie Remarketing oder die Auslieferung von personenbezogener Werbung sind derzeit fraglich und sollten - zumindest vorübergehend - abgeschaltet werden.", |
226 | 226 | "Richtlinien bzw. AGBs bei sämtlichen Affiliate-Netzwerken beachten!", |
|
241 | 241 | { |
242 | 242 | "id": "newsletter-tools", |
243 | 243 | "title": "Newsletter-Tools (z.B. Mailchimp, Clicktipp, Newsletter2Go/Sendinblue, Jetpack Abonnement)", |
244 | | - "description": "Newsletter-Dienste mit Datenspeicherung außerhalb der EU erfordern besondere Aufmerksamkeit seit Schrems II.", |
| 244 | + "description": "Newsletter-Tools mit Datenspeicherung in den USA müssen dem EU-US Data Privacy Framework (DPF) entsprechen, das im Juli 2023 eingeführt und im September 2025 bestätigt wurde.", |
245 | 245 | "explanation": [ |
246 | | - "Wichtig: Newsletter-Tools, die personenbezogene Daten in den USA speichern, sind seit 2020 nach dem Schrems-II-Urteil nicht DSGVO-konform! Darunter fallen u.a. Mailchimp und Jetpack.", |
| 246 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Dies umfasst Newsletter-Tools wie Mailchimp und Jetpack, sofern sie DPF-zertifiziert sind. Es ist jedoch zu beachten, dass der Datenschutzaktivist Max Schrems über seine Organisation NOYB (None Of Your Business) angekündigt hat, das Data Privacy Framework anzufechten, was möglicherweise zu einem sogenannten 'Schrems III' führen könnte. Während das Rahmenwerk derzeit Rechtssicherheit bietet, bleiben zukünftige rechtliche Anfechtungen möglich.", |
247 | 247 | "Newsletter-Formulare sollten mit einem adäquaten Hinweistext versehen und in der E-Mail beim Double-Opt-In-Verfahren wiederholt werden.", |
248 | 248 | "Ein Newsletter-Eintrag sollte nicht an eine (kostenlosen oder kostenpflichtigen) Dienstleistung gekoppelt werden ('Kopplungsverbot')", |
249 | 249 | "Das Einverständnis für Newsletter-Einträge muss dokumentiert (Hinweistext, Zeitpunkt) und es muss ein Opt-Out bereit gestellt werden." |
|
263 | 263 | { |
264 | 264 | "id": "social-plugins", |
265 | 265 | "title": "Social Plugins (z.B. Facebook, Instagram, Twitter)", |
266 | | - "description": "Social Plugins laden personenbezogene Daten beim Seitenbesuch und sind seit 2020 nicht DSGVO-konform.", |
| 266 | + "description": "Social Plugins mit Datenspeicherung in den USA müssen dem EU-US Data Privacy Framework (DPF) entsprechen, das im Juli 2023 eingeführt und im September 2025 bestätigt wurde.", |
267 | 267 | "explanation": [ |
268 | | - "Wichtig: Social Plugins, die personenbezogene Daten in den USA speichern, sind seit 2020 nach dem Schrems-II-Urteil nicht DSGVO-konform! Dies betrifft u.a. Facebook, Instagram und Twitter.", |
| 268 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Dies umfasst Social Plugins von Plattformen wie Facebook, Instagram und Twitter/X, sofern sie DPF-zertifiziert sind. Es ist jedoch zu beachten, dass der Datenschutzaktivist Max Schrems über seine Organisation NOYB (None Of Your Business) angekündigt hat, das Data Privacy Framework anzufechten, was möglicherweise zu einem sogenannten 'Schrems III' führen könnte. Während das Rahmenwerk derzeit Rechtssicherheit bietet, bleiben zukünftige rechtliche Anfechtungen möglich.", |
269 | 269 | "Sämtliche eingebundene Social Plugins laden personenbezogene Daten bereits beim Besuch der Webseite. Sofern der Nutzer im sozialen Netzwerk eingeloggt ist, erfolgt eine genaue Zuordnung sowie eine Art 'Bewegungsprofil' über alle mit Social Plugins versehenen Webseiten.", |
270 | 270 | "Bei Login-Verfahren (z.B. Facebook Connect) und Kommentarfunktionen mit Verknüpfung zu sozialen Netzen wird ebenso verfahren.", |
271 | 271 | "Sharing-Buttons, die die Anzahl der Shares anzeigen, haben das gleiche Problem.", |
|
304 | 304 | { |
305 | 305 | "id": "cdn-services", |
306 | 306 | "title": "Content Delivery Networks (CDN)", |
307 | | - "description": "CDNs verteilen Inhalte global und können IP-Adressen speichern, was seit 2020 DSGVO-problematisch sein kann.", |
| 307 | + "description": "CDNs verteilen Inhalte global und können IP-Adressen speichern. Nach dem EU-US Data Privacy Framework (DPF) von Juli 2023 (bestätigt im September 2025) können DPF-zertifizierte CDNs rechtmäßig Daten zwischen EU und USA übertragen.", |
308 | 308 | "explanation": [ |
309 | 309 | "CDNs (z.B. Google Fonts, Adobe Typekit, Bootstrap/Fontawesome, CDNJS/Cloudflare, Jetpack usw.) können durchaus als kritisch betrachtet werden, da die Inhalte auf Server der ganzen Welt verteilt werden und potentiell beim Abruf mindestens die IP-Adresse gespeichert wird.", |
310 | | - "Da CDNs auch Daten in den USA speichern, könnte seit 2020 möglicherweise auch die Speicherung von personenbezogenen Daten (z.B. IP & Bilder) nicht mehr DSGVO-konform sein.", |
| 310 | + "Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt. CDNs, die unter dem Rahmenwerk zertifiziert sind, können rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen, während sie die DSGVO-Konformität wahren. Der Datenschutzaktivist Max Schrems hat jedoch angekündigt, das Data Privacy Framework anzufechten ('Schrems III'), sodass zukünftige rechtliche Anfechtungen möglich bleiben.", |
311 | 311 | "Bei CDNs sollte abgewogen werden, ob diese überhaupt notwendig sind (z.B. Zielgruppe ausschließlich D-A-CH).", |
312 | 312 | "Inhalte von CDNs (z.B. Bilder, Fonts, CSS- oder JS- Dateien) sollten nach Möglichkeit lokalisiert werden." |
313 | 313 | ], |
|
348 | 348 | { |
349 | 349 | "id": "profile-pictures", |
350 | 350 | "title": "Profile bzw. Profilbilder (z.B. Gravatar, About.me)", |
351 | | - "description": "Externe Profilbild-Services übertragen E-Mail-Hashes und IP-Adressen an Drittanbieter.", |
| 351 | + "description": "Profilbild-Services mit Datenspeicherung in den USA müssen dem EU-US Data Privacy Framework (DPF) entsprechen, das im Juli 2023 eingeführt und im September 2025 bestätigt wurde.", |
352 | 352 | "explanation": [ |
353 | | - "Wichtig: Profile, die personenbezogene Daten (z.B. Bilder) in den USA speichern, sind seit 2020 nach dem Schrems-II-Urteil nicht DSGVO-konform! Dies betrifft u.a. Gravatar und About.me.", |
| 353 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Dies umfasst Profilbild-Services wie Gravatar und About.me, sofern sie DPF-zertifiziert sind. Es ist jedoch zu beachten, dass der Datenschutzaktivist Max Schrems über seine Organisation NOYB (None Of Your Business) angekündigt hat, das Data Privacy Framework anzufechten, was möglicherweise zu einem sogenannten 'Schrems III' führen könnte. Während das Rahmenwerk derzeit Rechtssicherheit bietet, bleiben zukünftige rechtliche Anfechtungen möglich.", |
354 | 354 | "Profile und/oder Avatarbilder sollten nach Möglichkeit lokalisiert oder abgeschaltet werden, da sie mit Sicherheit personenbezogene Daten enthalten.", |
355 | 355 | "Die in WordPress fest integrierte Gravatar-Funktion sollte nicht nur wegen den Bildern, sondern auch in den im Bild-Link als Hash abgelegten E-Mail-Adressen komplett abgeschaltet werden." |
356 | 356 | ], |
|
370 | 370 | "description": "Externe Emoji-Services können IP-Adressen übertragen und sollten lokalisiert werden.", |
371 | 371 | "explanation": [ |
372 | 372 | "Wenn Emojis extern von einem CDN geladen werden, werden für gewöhnlich IP-Adressen beim Abruf abgerufen.", |
373 | | - "Speziell bei den WP-Emojis wird zusätzlich Canvas Fingerprinting eingesetzt, was eine Zuordnung des Rechners ohne Speicherung von Cookies ermöglicht (auch, wenn keine Emojis angezeigt werden). Da diese Daten in den USA gespeichert werden, sind solche Emojis seit 2020 grundsätzlich nicht DSGVO-konform.", |
| 373 | + "Speziell bei den WP-Emojis wird zusätzlich Canvas Fingerprinting eingesetzt, was eine Zuordnung des Rechners ohne Speicherung von Cookies ermöglicht (auch, wenn keine Emojis angezeigt werden). Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt. Da diese Daten typischerweise in den USA gespeichert werden, können Emoji-Services, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen, während sie die DSGVO-Konformität wahren. Der Datenschutzaktivist Max Schrems hat jedoch angekündigt, das Data Privacy Framework anzufechten ('Schrems III'), sodass zukünftige rechtliche Anfechtungen möglich bleiben.", |
374 | 374 | "WP-Emojis sollte daher immer abgeschaltet werden! Jeder moderne Browser zeigt trotzdem weiterhin Emojis und Emoticons an." |
375 | 375 | ], |
376 | 376 | "required": true, |
|
408 | 408 | { |
409 | 409 | "id": "wp-embeds", |
410 | 410 | "title": "WP-Embeds/oEmbeds", |
411 | | - "description": "WordPress-Embeds laden automatisch Inhalte von externen Plattformen und übertragen dabei Daten.", |
| 411 | + "description": "Die meisten oEmbeds speichern personenbezogene Daten in den USA. Nach dem EU-US Data Privacy Framework (DPF) von Juli 2023 (bestätigt im September 2025) können DPF-zertifizierte Services rechtmäßig Daten zwischen EU und USA übertragen.", |
412 | 412 | "explanation": [ |
413 | | - "Wichtig: Die meisten oEmbeds speichern personenbezogene Daten in den USA und sind seit 2020 nach dem Schrems-II-Urteil nicht mehr DSGVO-konform!", |
| 413 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Der Datenschutzaktivist Max Schrems hat jedoch angekündigt, das Data Privacy Framework anzufechten ('Schrems III'), sodass zukünftige rechtliche Anfechtungen möglich bleiben.", |
414 | 414 | "Wenn man bestimmte Links aus derzeit 34 Quellen (z.B. WordPress-Blogs, YouTube-Videos usw.) in den visuellen Editor in WordPress einfügt, werden sie automatisch in so genannte oEmbeds umgewandelt. Dabei werden Teile der Zielwebseite per iframe in die Webseite grafisch aufgearbeitet geladen. Beim Laden der Webseite werden damit automatisch alle Inhalte des iFrames mitgeladen (z.B. Analytics-Tools, Zählpixel).", |
415 | 415 | "Sofern in den Posts, Seiten oder Kommentaren solche oEmbeds auftauchen, sollte die Funktion vollständig deaktiviert werden.", |
416 | 416 | "Alte Einträge werden nicht vollständig entfernt und müssen händisch gelöscht werden." |
|
432 | 432 | { |
433 | 433 | "id": "video-music-services", |
434 | 434 | "title": "Video- und Musikdienste (z.B. YouTube, Vimeo, Spotify, SoundCloud)", |
435 | | - "description": "Eingebettete Videos und Musik von YouTube, Vimeo, Spotify, SoundCloud übertragen personenbezogene Daten und erfordern 2-Klick-Lösungen.", |
| 435 | + "description": "Video- und Musikdienste mit Datenspeicherung in den USA müssen dem EU-US Data Privacy Framework (DPF) entsprechen, das im Juli 2023 eingeführt und im September 2025 bestätigt wurde.", |
436 | 436 | "explanation": [ |
437 | | - "Wichtig: Video- und Musikdienste, die personenbezogene Daten in den USA speichern, sind seit 2020 nach dem Schrems-II-Urteil nicht DSGVO-konform! Dies betrifft u.a. YouTube, Vimeo, Spotify und SoundCloud.", |
| 437 | + "Wichtig: Nach dem Schrems-II-Urteil von 2020, das den Privacy Shield für ungültig erklärte, wurde im Juli 2023 das EU-US Data Privacy Framework (DPF) verabschiedet, um Rechtssicherheit für transatlantische Datentransfers zu schaffen. Das DPF wurde am 3. September 2025 vom Europäischen Gericht bestätigt, wodurch Organisationen, die unter dem Rahmenwerk zertifiziert sind, rechtmäßig personenbezogene Daten zwischen der EU und den USA übertragen können, während sie die DSGVO-Konformität wahren. Dies umfasst Video- und Musikdienste wie YouTube, Vimeo, Spotify und SoundCloud, sofern sie DPF-zertifiziert sind. Es ist jedoch zu beachten, dass der Datenschutzaktivist Max Schrems über seine Organisation NOYB (None Of Your Business) angekündigt hat, das Data Privacy Framework anzufechten, was möglicherweise zu einem sogenannten 'Schrems III' führen könnte. Während das Rahmenwerk derzeit Rechtssicherheit bietet, bleiben zukünftige rechtliche Anfechtungen möglich.", |
438 | 438 | "Einbettungen von sämtlichen Video- und Musikdiensten übertragen bereits beim Laden der Webseite personenbezogene Daten und müssen deshalb über eine 2-Klick-Lösung verfügen. Zudem werden häufig auch Cookies gespeichert.", |
439 | 439 | "YouTube-Videos können in einen 'Erweiterten Datenschutzmodus' geschaltet werden, was aber nur die Speicherung von Cookies verhindert.", |
440 | 440 | "SoundCloud hat zwar ihre Datenschutz-Einstellungen verbessert, erfordert aber dennoch eine 2-Klick-Lösung." |
|
0 commit comments