DAX-30-Analyse
Unsichtbare Datenschleudern auf DAX-30 Webseiten
München (ots) - Seit mehr als fünf Monaten ist die
Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Grund genug einen
Blick auf die DAX-30 Konzerne zu werfen. Obwohl die Homepage
heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem
Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden
könnten, hat die Consent-Management-Plattform Usercentrics
(https://usercentrics.com/) bei der Analyse der DAX-30-Webseiten auf
DSGVO-Konformität teils gravierende Mängel festgestellt.
1. Massive Datenweitergabe an Dritte ohne Einwilligung
Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Grund genug einen
Blick auf die DAX-30 Konzerne zu werfen. Obwohl die Homepage
heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem
Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden
könnten, hat die Consent-Management-Plattform Usercentrics
(https://usercentrics.com/) bei der Analyse der DAX-30-Webseiten auf
DSGVO-Konformität teils gravierende Mängel festgestellt.
1. Massive Datenweitergabe an Dritte ohne Einwilligung
Diverse Netzwerkanfragen von Dritten (englisch: third-party
network requests) auf den analysierten Webseiten führen zu sofortiger
Datenweitergabe von sehr persönlichen Userdaten wie zum Beispiel der
IP-Adresse, einem User Identifier (z.B. Cookie), der Browser-Historie
(z.B. auf welcher Seite man zuvor war, sog. Referrer) oder auch dem
aktuellen Interesse des Nutzers (z.B. der aktuellen Website URL). Im
Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24
Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung
erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen.
Die Datenweitergabe erfolgt oft durch das Nachladen externer
Ressourcen wie Schriftarten, JavaScript oder Social Media Share/Like
Buttons, die direkt beim Aufruf der Webseite Inhalte beziehungsweise
eine Verbindung zu Externen aufbauen. Auch eingebettete Inhalte wie
Social Media Feeds, Videos und Fotos oder Newsletter-Dienste, die
nicht selbst gehostet werden, geben Daten weiter.
Diese Tatsache scheint allerdings noch nicht bei den Unternehmen
bekannt zu sein, denn nur eines der 30 Unternehmen bietet die Option,
die Datenweitergabe an diese Dienste zu unterbinden.
2. Unzureichende Informationspflicht
Nutzer, deren Daten erhoben und verarbeitet werden, haben das
Recht darüber umfassend informiert zu werden. In der
Datenschutzerklärung muss beispielsweise die Haltezeit der Cookies
sowie die Aufbewahrungsfrist der damit erhobenen Daten angegeben
werden. Besonders detaillierte Informationen müssen im Falle von
Profilbildung bereitgestellt werden. Obwohl die Informationspflicht
in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war,
wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics
unzureichend erfüllt.
Hinzu kommt, dass die Texte in der Datenschutzerklärung zu
Unklarheiten über die angewendete Auslegung der DSGVO führen. Die
Aussage des Cookie-Banners, bei dem meist die Rede von Zustimmung
ist, widerspricht häufig der in der Datenschutzerklärung gewählten
Rechtsgrundlage der Datenerhebung und -verarbeitung (berechtigtes
network requests) auf den analysierten Webseiten führen zu sofortiger
Datenweitergabe von sehr persönlichen Userdaten wie zum Beispiel der
IP-Adresse, einem User Identifier (z.B. Cookie), der Browser-Historie
(z.B. auf welcher Seite man zuvor war, sog. Referrer) oder auch dem
aktuellen Interesse des Nutzers (z.B. der aktuellen Website URL). Im
Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24
Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung
erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen.
Die Datenweitergabe erfolgt oft durch das Nachladen externer
Ressourcen wie Schriftarten, JavaScript oder Social Media Share/Like
Buttons, die direkt beim Aufruf der Webseite Inhalte beziehungsweise
eine Verbindung zu Externen aufbauen. Auch eingebettete Inhalte wie
Social Media Feeds, Videos und Fotos oder Newsletter-Dienste, die
nicht selbst gehostet werden, geben Daten weiter.
Diese Tatsache scheint allerdings noch nicht bei den Unternehmen
bekannt zu sein, denn nur eines der 30 Unternehmen bietet die Option,
die Datenweitergabe an diese Dienste zu unterbinden.
2. Unzureichende Informationspflicht
Nutzer, deren Daten erhoben und verarbeitet werden, haben das
Recht darüber umfassend informiert zu werden. In der
Datenschutzerklärung muss beispielsweise die Haltezeit der Cookies
sowie die Aufbewahrungsfrist der damit erhobenen Daten angegeben
werden. Besonders detaillierte Informationen müssen im Falle von
Profilbildung bereitgestellt werden. Obwohl die Informationspflicht
in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war,
wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics
unzureichend erfüllt.
Hinzu kommt, dass die Texte in der Datenschutzerklärung zu
Unklarheiten über die angewendete Auslegung der DSGVO führen. Die
Aussage des Cookie-Banners, bei dem meist die Rede von Zustimmung
ist, widerspricht häufig der in der Datenschutzerklärung gewählten
Rechtsgrundlage der Datenerhebung und -verarbeitung (berechtigtes