Mit DSGVO und ePrivacy-Richtlinie (und vielleicht demnächst der ePrivacy-Verodnung) hat die EU Regularien eingeführt, die den Unternehmen einiges an Umsetzungsarbeit abverlangt haben. Seit den wegweisenden Urteilen des Europäischen Gerichtshofs und des Bundesgerichtshofs 2020 sind zunehmend Bemühungen der Firmen zu beobachten, ihre Unternehmens-Websites konform zu gestalten: die Zahl der simplen Cookie-Banner geht zurück, immer mehr Websites verwenden Consent-Management-Tools, die den Besuchern die Auswahl erlauben, ob sie der Verarbeitung ihrer personenbezogenen Daten zustimmen oder nicht.
Wir haben mit unserer Software decareto Compliance Monitoring einen genaueren Blick auf die Websites der größten deutschen, im DAX-30 gelisteten, Unternehmen geworfen. Man sollte bei diesen davon ausgehen können, dass sie größtenteils konform zu den EU-Datenschutzgesetzen sind (Spoiler: sind sie nicht). An mangelndem Know-how oder Personal in den Compliance- und IT-Abteilungen kann es jedenfalls nicht liegen.
Die Ergebnisse: Consent-Tools
Lediglich zwei der DAX-30-Unternehmen verzichten auf ein Consent-Tool und weisen auf die Verwendung von Cookies hin ohne eine Zustimmungsmöglichkeit anzubieten. Ein Drittel der Websites setzt eine Eigenentwicklung oder ein uns unbekanntes Open-Source-Produkt für die Verwaltung der Einwilligungen ein. Unter den kommerziellen Lösungen führt OneTrust mit 7 Websites vor dem litauischen Produkt „Cookie Script“ (3 Websites), gefolgt von Usercentrics und Cookiebot (jeweils 2). Ein Blick auf die Wirksamkeit der Tools zeigt aber: sie haben für viele DAX-30-Unternehmen vornehmlich Feigenblatt-Charakter. Cookies und Tracker
decareto ermittelt, welche Cookies eine Websites setzt, und welcher externe Dienst Urheber der Cookies ist, woraus sich auch deren Zweck ableiten lässt. Ohne Einwilligung sollten keine externen Dienste mit Zweck „Analytics“ oder „Werbung“ geladen werden, und sie sollten deshalb auch keine Cookies setzen können. Tatsächlich platziert der überwiegende Teil der Websites (77%) jedoch solche Cookies bereits beim Laden der Seite – und das, obwohl praktisch alle diese Websites durch ein Consent-Tool den Eindruck erwecken, eine „informierte Entscheidung“ zu erlauben.
Schrems II und die Folgen
Wenn man berücksichtigt, dass der Europäische Gerichtshof Mitte 2020 das Privacy-Shield-Zertifikat gekippt hat, verstoßen fast alle der 30 untersuchten Unternehmens-Websites gegen EU-Gesetze, zumindest wenn sie streng auslegt werden: 90% der Websites übertragen personenbezogene Daten (durch IP-Adresse oder Cookies) ohne vorherige Einwilligung in das „unsichere Drittland“ USA. Wenn man nur nicht-funktionale Dienste oder Cookies betrachtet sind es immerhin noch 80%.
Diese Verstöße sind bei den funktionalen Diensten leicht zu erklären: Google Fonts, Google Tag Manager, CloudFlare und Youtube sind hier mit 30% oder mehr vertreten. Für diese Dienste gibt es oft keine kostengünstige europäische Alternative, oder ein Umbau ist (wie bei Google Fonts) aufwändig.
Unverständlich ist aber, dass ein Drittel der Websites den Advertising-Dienst Doubleclick einbindet und damit Daten überträgt. Die wahrscheinlichste Erklärung hierfür ist Unachtsamkeit, denn bei der Einbindung von Youtube-Videos müssen aktiv „erweiterte Datenschutzeinstellungen“ gewählt werden, damit das Nachladen des Doubleclick-Trackers verhindert wird. Das haben 33% der Unternehmen vermutlich nicht beachtet.
Gesamtbewertung
Mit dem decareto Risiko Score bewerten wir die Menge an gefundenen Schwachstellen auf einer Website, mit einem Wert von A bis F. Nur für 2 der DAX-30 Websites konnten wir einen Score von A vergeben, immerhin weitere 9 haben einen Score von B und damit nur einige wenige Schwachstellen. Ein Drittel der Unternehmen hat einen Score von D oder schlechter, womit Großunternehmen eigentlich nicht zufrieden sein können.
Autor: Eckhard Schneider
