Press Release
Presse DAX-30-Analyse: DSGVO-Umsetzung noch lange nicht abgeschlossen

DAX-30-Analyse: DSGVO-Umsetzung noch lange nicht abgeschlossen

Usercentrics hat im Juli und November 2018 die Webseiten der DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Nachfolgend präsentieren wir die Ergebnisse.
8. Nov 2018
Press Release
Downloads

Usercentrics hat im Juli und November 2018 die Webseiten der DAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. Nachfolgend präsentieren wir die Ergebnisse.

Massive Datenweitergabe an Dritte ohne Einwilligung

Im Durchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24 Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligung erklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen. Nur eines der 30 Unternehmen bietet die Option, die Datenweitergabe an diese Dienste zu unterbinden.

DAX30 Analyse Usercentrics - Grafik 1

Unzureichende Informationspflicht

Nutzer, deren Daten erhoben und verarbeitet werden, haben das Recht darüber umfassend informiert zu werden. Obwohl die Informationspflicht in Deutschland auch schon vor der DSGVO im BDSG-alt verankert war, wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentrics unzureichend erfüllt.

DAX30 Analyse Usercentrics - Grafik 2

Einbindung von Cookie Hinweisen

Auch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrer Homepage eingebunden haben, unterscheidet sich die Einholung der Einwilligung (Opt-In) zur weiteren Datennutzung der User stark. Im Rahmen der DSGVO muss die Einwilligung der Nutzer explizit und freiwillig erfolgen.

 

DAX30 Analyse Usercentrics - Grafik 3

Akzeptieren Button

User müssen in der Lage sein, der auf dem Cookie-Banner befindlichen Anfrage zur Datensammlung aktiv zuzustimmen. Lediglich die Hälfte der DAX-30-Unternehmen bietet einen „Akzeptieren-Button“. Bei der anderen Hälfte besteht diese Möglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit.

DAX30 Analyse Usercentrics - Grafik 4

Ablehnen Button

Ebenso muss den Usern die Möglichkeit geboten sein, die Datenerfassung abzulehnen. Consent muss freiwllig sein, und das ist er nur, wenn man die Wahlfreiheit hat, also ja und nein sagen kann und beide Optionen auch für den User als solche erkennbar sind. Einen „Ablehnen-Button“ bieten jedoch nur 7% der Unternehmen.

DAX30 Analyse Usercentrics - Grafik 5

Konkludente Zustimmung

Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners eine konkludente Zustimmung durch Weitersurfen ankündigt. Die Möglichkeit einer konkludenten Zustimmung ist dennoch bei ganzen 20 Unternehmen zugelassen.

DAX30 Analyse Usercentrics - Grafik 6

Kein Laden ohne vorherige Einwilligung

Erst wenn der Nutzer seine informierte Einwilligung gegeben hat, dürfen seine Daten erhoben und verarbeitet werden. Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologie schon vor einem Optin durch den User.

DAX30 Analyse Usercentrics - Grafik 7

Änderungen müssen jederzeit möglich sein

Ein Opt-Out muss genauso leicht vorzunehmen sein wie ein Opt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseiten idealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer auf jeder Seite direkt zu den Einstellungen führt. Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Option verfügbar.

DAX30 Analyse Usercentrics - Grafik 8

Dedizierte Consent Management Platform (CMP)

Es geht auch vorbildlich. Auf fünf Webseiten ist bisher eine dedizierte Consent Management Platform (CMP) implementiert. So kann der Nutzer der Verwendung von Cookies transparent und granular zustimmen und/oder widersprechen.

DAX30 Analyse Usercentrics - Grafik 9

Nutzung von Google Ads, Google Analytics, Facebook Custom Audiences

Für Technologien, die Profile über das Online Verhalten von Nutzern bilden, muss zwingend die vorherige Einwilligung des Betroffenen vorliegen. Daher schreiben beispielsweise Facebook und Google in ihren AGB vor, dass der Werbetreibende die Einwilligung für die Verwendung dieser Technologien einholen, dokumentieren und weitergeben können muss.

DAX30 Analyse Usercentrics - Grafik 10

Fazit

Seit mehr als fünf Monaten ist die Datenschutz-Grundverordnung (DSGVO) nun in Kraft. Obwohl die Homepage heutzutage das Aushängeschild ist und Datenschutzverstöße von jedem Außenstehenden sofort festgestellt, dokumentiert und abgemahnt werden könnten, wurden bei der Analyse der DAX-30-Webseiten auf DSGVO-Konformität teils gravierende Mängel festgestellt. Die Analyse zeigt, wie viele Baustellen auch große Unternehmen bei der Umsetzung noch haben.
Unternehmen sollten daher als erstes ihre Datenstrategie festlegen und danach alles Weitere darauf aufbauen und abstimmen, beispielsweise die Datenschutzerklärung oder die Abfrage der Einwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nur zur DSGVO-Konformität führt, sondern ihnen die Nutzung von Userdaten auch für die Zukunft ermöglicht, ist eine Consent Management Platform (CMP).