(socialON) DAX-30-Analyse: Unsichtbare Datenschleudern auf DAX-30 Webseiten. Seit mehr als fünf Monaten ist die Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Grund genug einen Blick auf die DAX-30 Konzerne zu werfen. Obwohl die Homepage heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden könnten, hat die Consent-Management-Plattform Usercentrics bei der Analyse der DAX-30-Webseiten auf DSGVO-Konformität teils gravierende Mängel festgestellt.
1. Massive Datenweitergabe an Dritte ohne Einwilligung
Diverse Netzwerkanfragen von Dritten (englisch: third-party network requests) auf den analysierten Webseiten führen zu sofortiger Datenweitergabe von sehr persönlichen Userdaten wie zum Beispiel der IP-Adresse, einem User Identifier (z.B. Cookie), der Browser-Historie (z.B. auf welcher Seite man zuvor war, sog. Referrer) oder auch dem aktuellen Interesse des Nutzers (z.B. der aktuellen Website URL). Im Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24 Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen.
Die Datenweitergabe erfolgt oft durch das Nachladen externer Ressourcen wie Schriftarten, JavaScript oder Social Media Share/Like Buttons, die direkt beim Aufruf der Webseite Inhalte beziehungsweise eine Verbindung zu Externen aufbauen. Auch eingebettete Inhalte wie Social Media Feeds, Videos und Fotos oder Newsletter-Dienste, die nicht selbst gehostet werden, geben Daten weiter.
Diese Tatsache scheint allerdings noch nicht bei den Unternehmen bekannt zu sein, denn nur eines der 30 Unternehmen bietet die Option, die Datenweitergabe an diese Dienste zu unterbinden.
2. Unzureichende Informationspflicht
Nutzer, deren Daten erhoben und verarbeitet werden, haben das Recht darüber umfassend informiert zu werden. In der Datenschutzerklärung muss beispielsweise die Haltezeit der Cookies sowie die Aufbewahrungsfrist der damit erhobenen Daten angegeben werden. Besonders detaillierte Informationen müssen im Falle von Profilbildung bereitgestellt werden. Obwohl die Informationspflicht in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war, wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics unzureichend erfüllt.
Hinzu kommt, dass die Texte in der Datenschutzerklärung zu Unklarheiten über die angewendete Auslegung der DSGVO führen. Die Aussage des Cookie-Banners, bei dem meist die Rede von Zustimmung ist, widerspricht häufig der in der Datenschutzerklärung gewählten Rechtsgrundlage der Datenerhebung und -verarbeitung (berechtigtes Interesse). Teilweise wird auch gar keine konkrete Rechtsgrundlage für Cookies und Technologien von Drittanbietern angegeben. Unternehmen müssten zumindest in der Datenschutzerklärung unmissverständlich darstellen, auf welcher Rechtsgrundlage die jeweilige Datenverarbeitung basiert.
3. Ein Cookie-Banner alleine reicht nicht aus
Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer Homepage eingebunden haben, unterscheidet sich die Einholung der Einwilligung (Opt-In) zur weiteren Datennutzung der User stark. Im Rahmen der DSGVO muss die Einwilligung der Nutzer explizit und freiwillig erfolgen. Konkret müssen User in der Lage sein, der auf dem Cookie-Banner befindlichen Anfrage zur Datensammlung aktiv zuzustimmen, beispielsweise über einen „Akzeptieren-Button“.
Ebenso muss ihnen die Möglichkeit geboten sein, die Datenerfassung abzulehnen. Zusätzlich ist es notwendig, die Einwilligung zu dokumentieren. Lediglich die Hälfte der DAX-30-Unternehmen bietet einen „Akzeptieren-Button“. Bei der anderen Hälfte besteht diese Möglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit.
Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners eine konkludente Zustimmung durch Weitersurfen ankündigt. Diese Praxis verfolgen dennoch ganze 20 Unternehmen.
4. Kein Laden ohne vorherige Einwilligung
Erst wenn der Nutzer seine informierte Einwilligung gegeben hat, dürfen seine Daten erhoben und verarbeitet werden. Das heißt für Webseiten, dass keine einwilligungspflichtige Werbetechnologie vor einer expliziten Einwilligung laden darf. Die Ausnahme sind essentielle Technologien, die zur Erfüllung der Kerndienstleistung notwendig sind und damit auf berechtigtes Interesse gestützt werden können. Hierfür ist eine Abwägung der Grundrechte des Users auf Datenschutz, Privatsphäre und informationelle Selbstbestimmung gegenüber den Interessen des Unternehmens vorzunehmen. Im Ergebnis sollten vor allem Technologien, die User-Profile bilden, etwa zu persönlichem Targeting, erst nach einem Opt-In geladen werden.
Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologie trotzdem schon vorher.
5. Änderungen müssen jederzeit möglich sein
Zur Einwilligung gehört ebenso das Recht, diese jederzeit zu widerrufen. Ein Opt-Out muss genauso leicht vorzunehmen sein wie ein Opt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseiten idealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer auf jeder Seite direkt zu den Einstellungen führt.
Ebenfalls sollte der Opt-Out dementsprechend auch direkt auf der Seite des Controllers möglich sein, also bei dem Unternehmen, das bestimmt, wie die personenbezogenen Daten verarbeitet werden. Eine Verlinkung auf Drittseiten wie zum Beispiel Opt-Out-Seiten von Technologie-Anbietern ist nicht ausreichend.
Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Option verfügbar.
6. Es geht auch vorbildlich
Einige DAX-30 Konzerne gehen mit gutem Beispiel voran und beweisen, dass ihnen der Datenschutz ihrer Besucher wichtig ist. Auf fünf Webseiten ist bisher eine dedizierte Cookie-Consent-Management-Plattform (CMP) implementiert. So kann der Nutzer der Verwendung von Cookies transparent und granular zustimmen und/oder widersprechen. Damit hat er die Kontrolle darüber, welche Daten er weitergeben möchte – und welche eben nicht.
Mischa Rürup, Gründer und CEO von Usercentrics: „Unsere Analyse zeigt, wie viele Baustellen auch große Unternehmen bei der Umsetzung noch haben. Unternehmen sollten daher als erstes ihre Datenstrategie festlegen und danach alles Weitere darauf aufbauen und abstimmen, beispielsweise die Datenschutzerklärung oder die Abfrage der Einwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nur zur DSGVO-Konformität führt, sondern ihnen die Nutzung von Userdaten auch für die Zukunft ermöglicht, ist eine Consent-Management-Plattform wie die von Usercentrics.“
Analyse-Grundlage
Usercentrics hat im Juli und im November 2018 die Webseiten der DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Diese Analyse und die Vorstellung der Ergebnisse basieren auf den Fachkenntnissen des Unternehmens und stellen keine rechtsverbindliche Gutachterleistung dar.
Über Usercentrics
Usercentrics ist der Marktführer im Bereich Consent-Management-Plattformen (CMP). Die Software-as-a-Service-Lösung ermöglicht es Werbungtreibenden, Publishern, Agenturen und Technologie- Anbietern, die Einwilligung (eng. Consent) ihrer Nutzer zum Daten-Tracking durch verschiedene Web-Technologien auf der Webseite datenschutzkonform einzuholen, zu verwalten und zu dokumentieren. Die Usercentrics-Lösung ist einfach zu implementieren, frei konfigurierbar und rechtssicher. Mit Hilfe von Usercentrics können Unternehmen ein transparentes Consent-Management problemlos einführen und die DSGVO- und E-Privacy-Compliance jederzeit gewährleisten. Die CMP bietet den Anwendern eine intuitive Benutzeroberfläche, Echtzeit-Monitoring, vielfältige Varianten für Opt-in-A/B-Testing sowie Optimierungstools. Das Münchner Technologie-Unternehmen wurde 2017 gegründet und verwaltet aktuell mehrere Millionen Consents in der Minute. Zu den Kunden von Usercentrics gehören namhafte Unternehmen verschiedener Branchen, Agenturen sowie Werbetechnologie-Anbieter.
Pressekontakt:
Agentur Frau Wenk +++ GmbH
Tel.: +49 (0) 40 329047380
E-Mail: usercentrics@frauwenk.de
Quelle: Pressemitteilung Agentur Frau Wenk +++ GmbH vom 06.11.2018
Bildquelle: pixabay.com
