München (ots) - Seit mehr als fünf Monaten ist dieDatenschutz-Grundverordnung (DSGVO) nun in Kraft. Grund genug einenBlick auf die DAX-30 Konzerne zu werfen. Obwohl die Homepageheutzutage das Aushängeschild ist und Datenschutzverstöße von jedemAußenstehenden sofort festgestellt, dokumentiert und abgemahnt werdenkönnten, hat die Consent-Management-Plattform Usercentrics(https://usercentrics.com/) bei der Analyse der DAX-30-Webseiten aufDSGVO-Konformität teils gravierende Mängel festgestellt.1. Massive Datenweitergabe an Dritte ohne EinwilligungDiverse Netzwerkanfragen von Dritten (englisch: third-partynetwork requests) auf den analysierten Webseiten führen zu sofortigerDatenweitergabe von sehr persönlichen Userdaten wie zum Beispiel derIP-Adresse, einem User Identifier (z.B. Cookie), der Browser-Historie(z.B. auf welcher Seite man zuvor war, sog. Referrer) oder auch demaktuellen Interesse des Nutzers (z.B. der aktuellen Website URL). ImDurchschnitt ergeben sich auf den DAX-30 Seiten pro Webseite 24Netzwerkanfragen an Dritte bevor der Nutzer seine Einwilligungerklärt hat. Spitzenreiter wurde eine Webseite mit 97 Anfragen.Die Datenweitergabe erfolgt oft durch das Nachladen externerRessourcen wie Schriftarten, JavaScript oder Social Media Share/LikeButtons, die direkt beim Aufruf der Webseite Inhalte beziehungsweiseeine Verbindung zu Externen aufbauen. Auch eingebettete Inhalte wieSocial Media Feeds, Videos und Fotos oder Newsletter-Dienste, dienicht selbst gehostet werden, geben Daten weiter.Diese Tatsache scheint allerdings noch nicht bei den Unternehmenbekannt zu sein, denn nur eines der 30 Unternehmen bietet die Option,die Datenweitergabe an diese Dienste zu unterbinden.2. Unzureichende InformationspflichtNutzer, deren Daten erhoben und verarbeitet werden, haben dasRecht darüber umfassend informiert zu werden. In derDatenschutzerklärung muss beispielsweise die Haltezeit der Cookiessowie die Aufbewahrungsfrist der damit erhobenen Daten angegebenwerden. Besonders detaillierte Informationen müssen im Falle vonProfilbildung bereitgestellt werden. Obwohl die Informationspflichtin Deutschland auch schon vor der DSGVO im BDSG-alt verankert war,wird sie bei 12 der DAX-30-Unternehmen nach Meinung von Usercentricsunzureichend erfüllt.Hinzu kommt, dass die Texte in der Datenschutzerklärung zuUnklarheiten über die angewendete Auslegung der DSGVO führen. DieAussage des Cookie-Banners, bei dem meist die Rede von Zustimmungist, widerspricht häufig der in der Datenschutzerklärung gewähltenRechtsgrundlage der Datenerhebung und -verarbeitung (berechtigtesInteresse). Teilweise wird auch gar keine konkrete Rechtsgrundlagefür Cookies und Technologien von Drittanbietern angegeben.Unternehmen müssten zumindest in der Datenschutzerklärungunmissverständlich darstellen, auf welcher Rechtsgrundlage diejeweilige Datenverarbeitung basiert.3. Ein Cookie-Banner alleine reicht nicht ausAuch wenn 29 der 30 Unternehmen einen Cookie-Hinweis auf ihrerHomepage eingebunden haben, unterscheidet sich die Einholung derEinwilligung (Opt-In) zur weiteren Datennutzung der User stark. ImRahmen der DSGVO muss die Einwilligung der Nutzer explizit undfreiwillig erfolgen. Konkret müssen User in der Lage sein, der aufdem Cookie-Banner befindlichen Anfrage zur Datensammlung aktivzuzustimmen, beispielsweise über einen "Akzeptieren-Button".Ebenso muss ihnen die Möglichkeit geboten sein, die Datenerfassungabzulehnen. Zusätzlich ist es notwendig, die Einwilligung zudokumentieren. Lediglich die Hälfte der DAX-30-Unternehmen bieteteinen "Akzeptieren-Button". Bei der anderen Hälfte besteht dieseMöglichkeit gar nicht oder die Zustimmung erfolgt nicht explizit.Eine explizite Einwilligung ist auch dann nicht gegeben, wenn derText des Cookie-Banners eine konkludente Zustimmung durchWeitersurfen ankündigt. Diese Praxis verfolgen dennoch ganze 20Unternehmen.4. Kein Laden ohne vorherige EinwilligungErst wenn der Nutzer seine informierte Einwilligung gegeben hat,dürfen seine Daten erhoben und verarbeitet werden. Das heißt fürWebseiten, dass keine einwilligungspflichtige Werbetechnologie voreiner expliziten Einwilligung laden darf. Die Ausnahme sindessentielle Technologien, die zur Erfüllung der Kerndienstleistungnotwendig sind und damit auf berechtigtes Interesse gestützt werdenkönnen. Hierfür ist eine Abwägung der Grundrechte des Users aufDatenschutz, Privatsphäre und informationelle Selbstbestimmunggegenüber den Interessen des Unternehmens vorzunehmen. Im Ergebnissollten vor allem Technologien, die User-Profile bilden, etwa zupersönlichem Targeting, erst nach einem Opt-In geladen werden.Bei knapp der Hälfte der DAX-30-Unternehmen lädt die Technologietrotzdem schon vorher.5. Änderungen müssen jederzeit möglich seinZur Einwilligung gehört ebenso das Recht, diese jederzeit zuwiderrufen. Ein Opt-Out muss genauso leicht vorzunehmen sein wie einOpt-In. Eine exakte Auslegung dessen würde bedeuten, dass Webseitenidealerweise ein dauerhaftes Onpage-Element anzeigen, das Nutzer aufjeder Seite direkt zu den Einstellungen führt.Ebenfalls sollte der Opt-Out dementsprechend auch direkt auf derSeite des Controllers möglich sein, also bei dem Unternehmen, dasbestimmt, wie die personenbezogenen Daten verarbeitet werden. EineVerlinkung auf Drittseiten wie zum Beispiel Opt-Out-Seiten vonTechnologie-Anbietern ist nicht ausreichend.Nur bei fünf von 30 Unternehmen ist eine permanente Onpage-Optionverfügbar.6. Es geht auch vorbildlichEinige DAX-30 Konzerne gehen mit gutem Beispiel voran undbeweisen, dass ihnen der Datenschutz ihrer Besucher wichtig ist. Auffünf Webseiten ist bisher eine dedizierteCookie-Consent-Management-Plattform (CMP) implementiert. So kann derNutzer der Verwendung von Cookies transparent und granular zustimmenund/oder widersprechen. Damit hat er die Kontrolle darüber, welcheDaten er weitergeben möchte - und welche eben nicht.Mischa Rürup, Gründer und CEO von Usercentrics: "Unsere Analysezeigt, wie viele Baustellen auch große Unternehmen bei der Umsetzungnoch haben. Unternehmen sollten daher als erstes ihre Datenstrategiefestlegen und danach alles Weitere darauf aufbauen und abstimmen,beispielsweise die Datenschutzerklärung oder die Abfrage derEinwilligung. Eine ganzheitliche Lösung, die Unternehmen nicht nurzur DSGVO-Konformität führt, sondern ihnen die Nutzung von Userdatenauch für die Zukunft ermöglicht, ist eineConsent-Management-Plattform wie die von Usercentrics."Analyse-GrundlageUsercentrics hat im Juli und im November 2018 die Webseiten derDAX-30-Unternehmen auf ihre DSGVO-Konformität analysiert. DieseAnalyse und die Vorstellung der Ergebnisse basieren auf denFachkenntnissen des Unternehmens und stellen keine rechtsverbindlicheGutachterleistung dar.BildmaterialPorträt Mischa Rürup: https://bit.ly/2RBrQld(Bildnachweis: Raimar von Wienskowski)Über UsercentricsUsercentrics ist der Marktführer im BereichConsent-Management-Plattformen (CMP). DieSoftware-as-a-Service-Lösung ermöglicht es Werbungtreibenden,Publishern, Agenturen und Technologie- Anbietern, die Einwilligung(eng. Consent) ihrer Nutzer zum Daten-Tracking durch verschiedeneWeb-Technologien auf der Webseite datenschutzkonform einzuholen, zuverwalten und zu dokumentieren. Die Usercentrics-Lösung ist einfachzu implementieren, frei konfigurierbar und rechtssicher. Mit Hilfevon Usercentrics können Unternehmen ein transparentesConsent-Management problemlos einführen und die DSGVO- undE-Privacy-Compliance jederzeit gewährleisten. Die CMP bietet denAnwendern eine intuitive Benutzeroberfläche, Echtzeit-Monitoring,vielfältige Varianten für Opt-in-A/B-Testing sowie Optimierungstools.Das Münchner Technologie-Unternehmen wurde 2017 gegründet undverwaltet aktuell mehrere Millionen Einwilligungen in der Minute. Zuden Kunden von Usercentrics gehören namhafte Unternehmenverschiedener Branchen, Agenturen sowie Werbetechnologie-Anbieter.www.usercentrics.com