Usercentrics hat im Juli und November 2018 die Webseiten der DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Nachfolgend präsentieren wir die Ergebnisse.
Massive Datenweitergabe an Dritte ohne Einwilligung
Im Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24 Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen. Nur eines der 30 Unternehmen bietet die Option, die Datenweitergabe an diese Dienste zu unterbinden.
Unzureichende Informationspflicht
Nutzer, deren Daten erhoben und verarbeitet werden, haben das Recht darüber umfassend informiert zu werden. Obwohl die Informationspflicht in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war, wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics unzureichend erfüllt.
Einbindung von Cookie Hinweisen
Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer Homepage eingebunden haben, unterscheidet sich die Einholung der Einwilligung (Opt-In) zur weiteren Datennutzung der User stark. Im Rahmen der DSGVO muss die Einwilligung der Nutzer explizit und freiwillig erfolgen.
Akzeptieren Button
User müssen in der Lage sein, der auf dem Cookie-Banner befindlichen Anfrage zur Datensammlung aktiv zuzustimmen. Lediglich die Hälfte der DAX-30-Unternehmen bietet einen „Akzeptieren-Button“. Bei der anderen Hälfte besteht diese Möglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit.
Ablehnen Button
Ebenso muss den Usern die Möglichkeit geboten sein, die Datenerfassung abzulehnen. Consent muss freiwllig sein, und das ist er nur, wenn man die Wahlfreiheit hat, also ja und nein sagen kann und beide Optionen auch für den User als solche erkennbar sind. Einen „Ablehnen-Button“ bieten jedoch nur 7% der Unternehmen.
Konkludente Zustimmung
Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners eine konkludente Zustimmung durch Weitersurfen ankündigt. Die Möglichkeit einer konkludenten Zustimmung ist dennoch bei ganzen 20 Unternehmen zugelassen.
Kein Laden ohne vorherige Einwilligung
Erst wenn der Nutzer seine informierte Einwilligung gegeben hat, dürfen seine Daten erhoben und verarbeitet werden. Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologie schon vor einem Optin durch den User.
Änderungen müssen jederzeit möglich sein
Ein Opt-Out muss genauso leicht vorzunehmen sein wie ein Opt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseiten idealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer auf jeder Seite direkt zu den Einstellungen führt. Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Option verfügbar.
Dedizierte Consent Management Platform (CMP)
Es geht auch vorbildlich. Auf fünf Webseiten ist bisher eine dedizierte Consent Management Platform (CMP) implementiert. So kann der Nutzer der Verwendung von Cookies transparent und granular zustimmen und/oder widersprechen.
Nutzung von Google Ads, Google Analytics, Facebook Custom Audiences
Für Technologien, die Profile über das Online Verhalten von Nutzern bilden, muss zwingend die vorherige Einwilligung des Betroffenen vorliegen. Daher schreiben beispielsweise Facebook und Google in ihren AGB vor, dass der Werbetreibende die Einwilligung für die Verwendung dieser Technologien einholen, dokumentieren und weitergeben können muss.
Fazit
Seit mehr als fünf Monaten ist die Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Obwohl die Homepage heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden könnten, wurden bei der Analyse der DAX-30-Webseiten auf DSGVO-Konformität teils gravierende Mängel festgestellt. Die Analyse zeigt, wie viele Baustellen auch große Unternehmen bei der Umsetzung noch haben.
Unternehmen sollten daher als erstes ihre Datenstrategie festlegen und danach alles Weitere darauf aufbauen und abstimmen, beispielsweise die Datenschutzerklärung oder die Abfrage der Einwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nur zur DSGVO-Konformität führt, sondern ihnen die Nutzung von Userdaten auch für die Zukunft ermöglicht, ist eine Consent Management Platform (CMP).