Gratis
6. November 2018 - Datenschutzerklärung & Co.

DAX-30-Unternehmen nehmen Online-Datenschutz zu leicht

Drucken

Die DSGVO kam weder plötzlich noch unerwartet. Bis zur Verpflichtung, die Verordnung umgesetzt zu haben, hatte der Gesetzgeber eine Frist von zwei Jahren eingeräumt. Doch auch die hat offenbar nicht gereicht. Rund ein halbes Jahr nach dem Stichtag präsentieren sich die DAX-30-Unternehmen zumindest online nicht in besonders guter Form.

Cookies & Co: Stolpersteine auf einer Website Gerade der Einsatz von Cookies und Ressourcen Dritter ist oft nicht DSGVO-konform transparent genug (Bild: NiroDesign / iStock / Thinkstock)

Das Start-up Usercentrics hat die Webseiten der DAX-30-Unternehmen auf Konformität zur Datenschutz-Grundverordnung (DSGVO) untersucht und teils größere Mängel festgestellt.

Weitergabe von Daten an Dritte

Beim Aufbau und Design der Webseiten nutzen die Unternehmen vielfach externe Ressourcen Dritter. Dazu gehören beispielsweise Schriftarten, aber auch Plug-ins, mit denen die Nutzer Inhalte in sozialen Netzwerken weitergeben können.

Neben den Inhalten geben die Nutzer aber auch persönliche Informationen weiter. Dazu gehören unter anderem die IP-Adresse und Inhalte der Browser-Historie.

Wie Usercentrics ermittelt hat, ergeben sich im Durchschnitt 24 solcher Netzwerk-Anfragen durch Dritte, bevor der Besucher überhaupt seine Einwilligung zur Weitergabe von Daten gegeben hat. Nur eines der 30 Unternehmen bietet die Option, die Datenweitergabe an diese Dienste zu unterbinden.

Zu wenige Informationen

Die Besucher der Webseiten haben das Recht, über die Erhebung und Verarbeitung ihrer Daten umfassend und vorab informiert zu werden.

So müsste die Datenschutzerklärung auch enthalten, warum das Unternehmen ein Cookie auf dem System des Anwenders setzt und wie lange diese Daten vorgehalten werden.

In Hinblick auf die Informationspflichten der Datenschutz-Grundverordnung hat Usercentrics aus seiner Sicht bei 12 der 30 Unternehmen Mängel festgestellt.

So fehlt häufig in der Datenschutzerklärung die Angabe, auf welcher Rechtsgrundlage Unternehmen Cookies oder Tracking-Technologien einsetzen.

Problemfall Cookies

29 der 30 Unternehmen haben einen Hinweis auf das Setzen von Cookies eingebunden. Allerdings unterscheidet sich die Art, wie sich die Webseiten die Zustimmung der Nutzer einholen, sehr deutlich.

Ganze 20 Unternehmen folgen hier der Strategie, eine konkludente Zustimmung dadurch zu erhalten, dass er Nutzer einfach weitersurft. Dies dürfte aber kaum ausreichend sein, zumal die Zustimmung nur schwer zu dokumentieren ist (Rechenschaftspflicht!). Ein Klick auf „Zustimmen“, „ok, verstanden“ oder Ähnliches sollte schon nötig sein.

Gerade vor dem Hintergrund, dass die Aufsichtsbehörden inzwischen angekündigt haben, auch Bußgeldverfahren einzuleiten, sind die gefundenen Schwachstellen in den Online-Angeboten erstaunlich.

Die Zahlen der Untersuchung könnten aber für Datenschutzverantwortlichen in anderen Unternehmen eine gute Gelegenheit sein, das eigene Online-Angebot noch einmal kritisch zu betrachten.

Dazu gehört beispielsweise, gemeinsam mit der IT-Abteilung zu kontrollieren, ob dort beispielsweise nicht ebenfalls Inhalte von externen Servern geladen werden, die bisher nicht in der Datenschutzerklärung auftauchen.

Stephan Lamprecht