München (ots) – Seit mehr als fünf Monaten ist die
Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Grund genug einen
Blick auf die DAX-30 Konzerne zu werfen. Obwohl die Homepage
heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem
Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden
könnten, hat die Consent-Management-Plattform Usercentrics
(https://usercentrics.com/) bei der Analyse der DAX-30-Webseiten auf
DSGVO-Konformität teils gravierende Mängel festgestellt.

1. Massive Datenweitergabe an Dritte ohne Einwilligung

Diverse Netzwerkanfragen von Dritten (englisch: third-party
network requests) auf den analysierten Webseiten führen zu sofortiger
Datenweitergabe von sehr persönlichen Userdaten wie zum Beispiel der
IP-Adresse, einem User Identifier (z.B. Cookie), der Browser-Historie
(z.B. auf welcher Seite man zuvor war, sog. Referrer) oder auch dem
aktuellen Interesse des Nutzers (z.B. der aktuellen Website URL). Im
Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24
Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung
erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen.

Die Datenweitergabe erfolgt oft durch das Nachladen externer
Ressourcen wie Schriftarten, JavaScript oder Social Media Share/Like
Buttons, die direkt beim Aufruf der Webseite Inhalte beziehungsweise
eine Verbindung zu Externen aufbauen. Auch eingebettete Inhalte wie
Social Media Feeds, Videos und Fotos oder Newsletter-Dienste, die
nicht selbst gehostet werden, geben Daten weiter.

Diese Tatsache scheint allerdings noch nicht bei den Unternehmen
bekannt zu sein, denn nur eines der 30 Unternehmen bietet die Option,
die Datenweitergabe an diese Dienste zu unterbinden.

2. Unzureichende Informationspflicht

Nutzer, deren Daten erhoben und verarbeitet werden, haben das
Recht darüber umfassend informiert zu werden. In der
Datenschutzerklärung muss beispielsweise die Haltezeit der Cookies
sowie die Aufbewahrungsfrist der damit erhobenen Daten angegeben
werden. Besonders detaillierte Informationen müssen im Falle von
Profilbildung bereitgestellt werden. Obwohl die Informationspflicht
in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war,
wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics
unzureichend erfüllt.

Hinzu kommt, dass die Texte in der Datenschutzerklärung zu
Unklarheiten über die angewendete Auslegung der DSGVO führen. Die
Aussage des Cookie-Banners, bei dem meist die Rede von Zustimmung
ist, widerspricht häufig der in der Datenschutzerklärung gewählten
Rechtsgrundlage der Datenerhebung und -verarbeitung (berechtigtes
Interesse). Teilweise wird auch gar keine konkrete Rechtsgrundlage
für Cookies und Technologien von Drittanbietern angegeben.
Unternehmen müssten zumindest in der Datenschutzerklärung
unmissverständlich darstellen, auf welcher Rechtsgrundlage die
jeweilige Datenverarbeitung basiert.

3. Ein Cookie-Banner alleine reicht nicht aus

Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer
Homepage eingebunden haben, unterscheidet sich die Einholung der
Einwilligung (Opt-In) zur weiteren Datennutzung der User stark. Im
Rahmen der DSGVO muss die Einwilligung der Nutzer explizit und
freiwillig erfolgen. Konkret müssen User in der Lage sein, der auf
dem Cookie-Banner befindlichen Anfrage zur Datensammlung aktiv
zuzustimmen, beispielsweise über einen „Akzeptieren-Button“.

Ebenso muss ihnen die Möglichkeit geboten sein, die Datenerfassung
abzulehnen. Zusätzlich ist es notwendig, die Einwilligung zu
dokumentieren. Lediglich die Hälfte der DAX-30-Unternehmen bietet
einen „Akzeptieren-Button“. Bei der anderen Hälfte besteht diese
Möglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit.

Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der
Text des Cookie-Banners eine konkludente Zustimmung durch
Weitersurfen ankündigt. Diese Praxis verfolgen dennoch ganze 20
Unternehmen.

4. Kein Laden ohne vorherige Einwilligung

Erst wenn der Nutzer seine informierte Einwilligung gegeben hat,
dürfen seine Daten erhoben und verarbeitet werden. Das heißt für
Webseiten, dass keine einwilligungspflichtige Werbetechnologie vor
einer expliziten Einwilligung laden darf. Die Ausnahme sind
essentielle Technologien, die zur Erfüllung der Kerndienstleistung
notwendig sind und damit auf berechtigtes Interesse gestützt werden
können. Hierfür ist eine Abwägung der Grundrechte des Users auf
Datenschutz, Privatsphäre und informationelle Selbstbestimmung
gegenüber den Interessen des Unternehmens vorzunehmen. Im Ergebnis
sollten vor allem Technologien, die User-Profile bilden, etwa zu
persönlichem Targeting, erst nach einem Opt-In geladen werden.

Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologie
trotzdem schon vorher.

5. Änderungen müssen jederzeit möglich sein

Zur Einwilligung gehört ebenso das Recht, diese jederzeit zu
widerrufen. Ein Opt-Out muss genauso leicht vorzunehmen sein wie ein
Opt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseiten
idealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer auf
jeder Seite direkt zu den Einstellungen führt.

Ebenfalls sollte der Opt-Out dementsprechend auch direkt auf der
Seite des Controllers möglich sein, also bei dem Unternehmen, das
bestimmt, wie die personenbezogenen Daten verarbeitet werden. Eine
Verlinkung auf Drittseiten wie zum Beispiel Opt-Out-Seiten von
Technologie-Anbietern ist nicht ausreichend.

Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Option
verfügbar.

6. Es geht auch vorbildlich

Einige DAX-30 Konzerne gehen mit gutem Beispiel voran und
beweisen, dass ihnen der Datenschutz ihrer Besucher wichtig ist. Auf
fünf Webseiten ist bisher eine dedizierte
Cookie-Consent-Management-Plattform (CMP) implementiert. So kann der
Nutzer der Verwendung von Cookies transparent und granular zustimmen
und/oder widersprechen. Damit hat er die Kontrolle darüber, welche
Daten er weitergeben möchte – und welche eben nicht.

Mischa Rürup, Gründer und CEO von Usercentrics: „Unsere Analyse
zeigt, wie viele Baustellen auch große Unternehmen bei der Umsetzung
noch haben. Unternehmen sollten daher als erstes ihre Datenstrategie
festlegen und danach alles Weitere darauf aufbauen und abstimmen,
beispielsweise die Datenschutzerklärung oder die Abfrage der
Einwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nur
zur DSGVO-Konformität führt, sondern ihnen die Nutzung von Userdaten
auch für die Zukunft ermöglicht, ist eine
Consent-Management-Plattform wie die von Usercentrics.“

Analyse-Grundlage

Usercentrics hat im Juli und im November 2018 die Webseiten der
DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Diese
Analyse und die Vorstellung der Ergebnisse basieren auf den
Fachkenntnissen des Unternehmens und stellen keine rechtsverbindliche
Gutachterleistung dar.

Bildmaterial
Porträt Mischa Rürup: https://bit.ly/2RBrQld
(Bildnachweis: Raimar von Wienskowski)

Über Usercentrics

Usercentrics ist der Marktführer im Bereich
Consent-Management-Plattformen (CMP). Die
Software-as-a-Service-Lösung ermöglicht es Werbungtreibenden,
Publishern, Agenturen und Technologie- Anbietern, die Einwilligung
(eng. Consent) ihrer Nutzer zum Daten-Tracking durch verschiedene
Web-Technologien auf der Webseite datenschutzkonform einzuholen, zu
verwalten und zu dokumentieren. Die Usercentrics-Lösung ist einfach
zu implementieren, frei konfigurierbar und rechtssicher. Mit Hilfe
von Usercentrics können Unternehmen ein transparentes
Consent-Management problemlos einführen und die DSGVO- und
E-Privacy-Compliance jederzeit gewährleisten. Die CMP bietet den
Anwendern eine intuitive Benutzeroberfläche, Echtzeit-Monitoring,
vielfältige Varianten für Opt-in-A/B-Testing sowie Optimierungstools.
Das Münchner Technologie-Unternehmen wurde 2017 gegründet und
verwaltet aktuell mehrere Millionen Einwilligungen in der Minute. Zu
den Kunden von Usercentrics gehören namhafte Unternehmen
verschiedener Branchen, Agenturen sowie Werbetechnologie-Anbieter.
www.usercentrics.com

Pressekontakt:
Agentur Frau Wenk +++ GmbH
Tel.: +49 (0) 40 329047380
E-Mail: usercentrics@frauwenk.de

Original-Content von: Usercentrics GmbH, übermittelt durch news aktuell

Quelle: https://www.presseportal.de/pm/130089/4106531