DATA & TARGETING - Datenschutzkonformität

Gravierende DSGVO-Mängel auf den DAX-30 Webseiten

5. November 2018 (jvr)
Adobe Stock

Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft. Obwohl die Homepage heutzutage das Aushängeschild eines Unternehmens ist und Datenschutzverstöße leicht zu Abmahnungen führen können, sind selbst noch bei den Online-Auftritten der deutschen DAX-30-Webseiten gravierende Mängel festzustellen. Das ergab eine entsprechende Analyse der Consent-Management-Plattform (CMP) Usercentrics.

Usercentrics hat im Juli und im November 2018 die Webseiten der DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Hier eine Liste der fünf häufigsten Fehler.

1. Datenweitergabe an Dritte ohne Einwilligung

Diverse Netzwerkanfragen von Dritten (englisch: third-party network requests) auf den analysierten Webseiten führen zu sofortiger Datenweitergabe von sehr persönlichen Userdaten wie zum Beispiel der IP-Adresse, einem User Identifier (z.B. Cookie), der Browser-Historie (z.B. auf welcher Seite man zuvor war, sog. Referrer) oder auch dem aktuellen Interesse des Nutzers (z.B. der aktuellen Website URL).

Ergebnis: Die Analyse ergab, dass auf den DAX-30 Seiten pro Webseite im Durchschnitt 24 Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung erklärt hat. Bei einer Webseite wurden gar 97 Anfragen registriert. Die Datenweitergabe erfolgt oft durch das Nachladen externer Ressourcen wie Schriftarten, JavaScript oder Social Media Share/Like Buttons, die direkt beim Aufruf der Webseite Inhalte beziehungsweise eine Verbindung zu Externen aufbauen. Auch eingebettete Inhalte wie Social Media Feeds, Videos und Fotos oder Newsletter-Dienste, die nicht selbst gehostet werden, geben Daten weiter.

2. Unzureichende Informationspflicht

Nutzer, deren Daten erhoben und verarbeitet werden, haben das Recht darüber umfassend informiert zu werden. In der Datenschutzerklärung muss beispielsweise die Haltezeit der Cookies sowie die Aufbewahrungsfrist der damit erhobenen Daten angegeben werden. Besonders detaillierte Informationen müssen im Falle von Profilbildung bereitgestellt werden.

Ergebnis: Obwohl die Informationspflicht in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war, wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics unzureichend erfüllt.

Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer Homepage eingebunden haben, unterscheidet sich die Einholung der Einwilligung (Opt-In) zur weiteren Datennutzung der User stark. Im Rahmen der DSGVO muss die Einwilligung der Nutzer explizit und freiwillig erfolgen. Konkret müssen User in der Lage sein, der auf dem Cookie-Banner befindlichen Anfrage zur Datensammlung aktiv zuzustimmen, beispielsweise über einen „Akzeptieren-Button“.

Ebenso muss ihnen die Möglichkeit geboten sein, die Datenerfassung abzulehnen. Zusätzlich ist es notwendig, die Einwilligung zu dokumentieren.

Ergebnis: Lediglich die Hälfte der DAX-30-Unternehmen bietet einen „Akzeptieren-Button“. Bei der anderen Hälfte besteht diese Möglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit. Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners eine konkludente Zustimmung durch Weitersurfen ankündigt. 20% der untersuchten DAX-Unternehmen verfolgen diese Praxis.

4. Kein Laden ohne vorherige Einwilligung

Erst wenn der Nutzer seine informierte Einwilligung gegeben hat, dürfen seine Daten erhoben und verarbeitet werden. Das heißt für Webseiten, dass keine einwilligungspflichtige Werbetechnologie vor einer expliziten Einwilligung laden darf. Die Ausnahme sind essentielle Technologien, die zur Erfüllung der Kerndienstleistung notwendig sind und damit auf berechtigtes Interesse gestützt werden können. Hierfür ist eine Abwägung der Grundrechte des Users auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung gegenüber den Interessen des Unternehmens vorzunehmen. Im Ergebnis sollten vor allem Technologien, die User-Profile bilden, etwa zu persönlichem Targeting, erst nach einem Opt-In geladen werden.

Ergebnis: Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologie trotzdem schon vorher.

5.Änderungen müssen jederzeit möglich sein

Zur Einwilligung gehört ebenso das Recht, diese jederzeit zu widerrufen. Ein Opt-Out muss genauso leicht vorzunehmen sein wie ein Opt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseiten idealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer auf jeder Seite direkt zu den Einstellungen führt. Ebenfalls sollte der Opt-Out dementsprechend auch direkt auf der Seite des Controllers möglich sein, also bei dem Unternehmen, das bestimmt, wie die personenbezogenen Daten verarbeitet werden. Eine Verlinkung auf Drittseiten wie zum Beispiel Opt-Out-Seiten von Technologie-Anbietern ist nicht ausreichend.

Ergebnis: Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Option verfügbar.