DAX-30-Analyse: DSGVO-Umsetzung noch lange nicht abgeschlossen

Usercentrics hat im Juli und November 2018 die Webseiten der DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Nachfolgend präsentieren wir die Ergebnisse.

Massive Datenweitergabe an Dritte ohne Einwilligung

Im Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24 Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen. Nur eines der 30 Unternehmen bietet die Option, die Datenweitergabe an diese Dienste zu unterbinden.

Unzureichende Informationspflicht

Nutzer, deren Daten erhoben und verarbeitet werden, haben das Recht darüber umfassend informiert zu werden. Obwohl die Informationspflicht in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war, wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics unzureichend erfüllt.

Einbindung von Cookie Hinweisen

Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer Homepage eingebunden haben, unterscheidet sich die Einholung der Einwilligung (Opt-In) zur weiteren Datennutzung der User stark. Im Rahmen der DSGVO muss die Einwilligung der Nutzer explizit und freiwillig erfolgen.

Akzeptieren Button

User müssen in der Lage sein, der auf dem Cookie-Banner befindlichen Anfrage zur Datensammlung aktiv zuzustimmen. Lediglich die Hälfte der DAX-30-Unternehmen bietet einen „Akzeptieren-Button“. Bei der anderen Hälfte besteht diese Möglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit.

Ablehnen Button

Ebenso muss den Usern die Möglichkeit geboten sein, die Datenerfassung abzulehnen. Consent muss freiwllig sein, und das ist er nur, wenn man die Wahlfreiheit hat, also ja und nein sagen kann und beide Optionen auch für den User als solche erkennbar sind. Einen „Ablehnen-Button“ bieten jedoch nur 7% der Unternehmen.

Konkludente Zustimmung

Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners eine konkludente Zustimmung durch Weitersurfen ankündigt. Die Möglichkeit einer konkludenten Zustimmung ist dennoch bei ganzen 20 Unternehmen zugelassen.

Kein Laden ohne vorherige Einwilligung

Erst wenn der Nutzer seine informierte Einwilligung gegeben hat, dürfen seine Daten erhoben und verarbeitet werden. Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologie schon vor einem Optin durch den User.

Änderungen müssen jederzeit möglich sein

Ein Opt-Out muss genauso leicht vorzunehmen sein wie ein Opt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseiten idealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer auf jeder Seite direkt zu den Einstellungen führt. Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Option verfügbar.

Dedizierte Consent Management Platform (CMP)

Es geht auch vorbildlich. Auf fünf Webseiten ist bisher eine dedizierte Consent Management Platform (CMP) implementiert. So kann der Nutzer der Verwendung von Cookies transparent und granular zustimmen und/oder widersprechen.

Nutzung von Google Ads, Google Analytics, Facebook Custom Audiences

Für Technologien, die Profile über das Online Verhalten von Nutzern bilden, muss zwingend die vorherige Einwilligung des Betroffenen vorliegen. Daher schreiben beispielsweise Facebook und Google in ihren AGB vor, dass der Werbetreibende die Einwilligung für die Verwendung dieser Technologien einholen, dokumentieren und weitergeben können muss.

Fazit

Seit mehr als fünf Monaten ist die Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Obwohl die Homepage heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden könnten, wurden bei der Analyse der DAX-30-Webseiten auf DSGVO-Konformität teils gravierende Mängel festgestellt. Die Analyse zeigt, wie viele Baustellen auch große Unternehmen bei der Umsetzung noch haben.

Unternehmen sollten daher als erstes ihre Datenstrategie festlegen und danach alles Weitere darauf aufbauen und abstimmen, beispielsweise die Datenschutzerklärung oder die Abfrage der Einwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nur zur DSGVO-Konformität führt, sondern ihnen die Nutzung von Userdaten auch für die Zukunft ermöglicht, ist eine Consent Management Platform (CMP).

Analyse als Infografik einbetten

Wir bieten Ihnen unsere Analyse auch als aufbereitet Infografik für Ihre eigene Website ein. Kopieren Sie dafür einfach den Einbettungscode und fügen Sie ihn an die gewünschte Stelle Ihrer Website ein.

Download PNG

Über Usercentrics

Usercentrics ist der Marktführer im Bereich Consent-Management-Plattformen (CMP). Die Software-as-a-Service-Lösung ermöglicht es Werbungtreibenden, Publishern, Agenturen und Technologie-Anbietern, die Einwilligung (eng. Consent) ihrer Nutzer zum Daten-Tracking durch verschiedene Web-Technologien auf der Webseite datenschutzkonform einzuholen, zu verwalten und zu dokumentieren.

Die Usercentrics-Lösung ist einfach zu implementieren, frei konfigurierbar und rechtssicher. Mit Hilfe von Usercentrics können Unternehmen ein transparentes Consent-Management problemlos einführen und die DSGVO- und E-Privacy-Compliance jederzeit gewährleisten. Die CMP bietet den Anwendern eine intuitive Benutzeroberfläche, Echtzeit-Monitoring, vielfältige Varianten für Opt-in-A/B-Testing sowie Optimierungstools.

Das Münchner Technologie-Unternehmen wurde 2018 gegründet und verwaltet aktuell mehrere Millionen Consents in der Minute. Zu den Kunden von Usercentrics gehören namhafte Unternehmen verschiedener Branchen, Agenturen sowie Werbetechnologie-Anbieter.

Privacy made in Bavaria, Germany