{"id":998,"date":"2021-03-08T00:00:00","date_gmt":"2021-03-08T00:00:00","guid":{"rendered":"https:\/\/decareto-test.qivoro.han-solo.net\/2021\/03\/08\/data-protection-risks-on-dax-30-websites\/"},"modified":"2025-01-16T12:53:17","modified_gmt":"2025-01-16T12:53:17","slug":"dax-30-webseiten-check-auf-datenschutz-risiken","status":"publish","type":"post","link":"https:\/\/decareto.com\/de\/dax-30-webseiten-check-auf-datenschutz-risiken\/","title":{"rendered":"DAX-30 Webseiten im Check: Sind Datenschutz Risiken vorhanden?"},"content":{"rendered":"\n

Mit DSGVO und ePrivacy-Richtlinie (und vielleicht demn\u00e4chst der ePrivacy-Verodnung) hat die EU Regularien eingef\u00fchrt, die den Unternehmen einiges an Umsetzungsarbeit abverlangt haben. Seit den wegweisenden Urteilen des Europ\u00e4ischen Gerichtshofs und des Bundesgerichtshofs 2020 sind zunehmend Bem\u00fchungen der Firmen zu beobachten, ihre Unternehmens-Websites konform zu gestalten: die Zahl der simplen Cookie-Banner geht zur\u00fcck, immer mehr Websites verwenden Consent-Management-Tools, die den Besuchern die Auswahl erlauben, ob sie der Verarbeitung ihrer personenbezogenen Daten zustimmen oder nicht.<\/p>\n\n\n\n

Wir haben mit unserer Software decareto Compliance Monitoring einen genaueren Blick auf die Websites der gr\u00f6\u00dften deutschen, im DAX-30 gelisteten, Unternehmen geworfen. Man sollte bei diesen davon ausgehen k\u00f6nnen, dass sie gr\u00f6\u00dftenteils konform zu den EU-Datenschutzgesetzen sind (Spoiler: sind sie nicht). An mangelndem Know-how oder Personal in den Compliance- und IT-Abteilungen kann es jedenfalls nicht liegen.<\/p>\n\n\n\n

Die Ergebnisse: Consent-Tools<\/h2>\n\n\n\n

Lediglich zwei der DAX-30-Unternehmen verzichten auf ein Consent-Tool und weisen auf die Verwendung von Cookies hin ohne eine Zustimmungsm\u00f6glichkeit anzubieten. Ein Drittel der Websites setzt eine Eigenentwicklung oder ein uns unbekanntes Open-Source-Produkt f\u00fcr die Verwaltung der Einwilligungen ein. Unter den kommerziellen L\u00f6sungen f\u00fchrt OneTrust mit 7 Websites vor dem litauischen Produkt \u201eCookie Script\u201c (3 Websites), gefolgt von Usercentrics und Cookiebot (jeweils 2). Ein Blick auf die Wirksamkeit der Tools zeigt aber: sie haben f\u00fcr viele DAX-30-Unternehmen vornehmlich Feigenblatt-Charakter. Cookies und Tracker<\/p>\n\n\n\n

decareto ermittelt, welche Cookies eine Websites setzt, und welcher externe Dienst Urheber der Cookies ist, woraus sich auch deren Zweck ableiten l\u00e4sst. Ohne Einwilligung sollten keine externen Dienste mit Zweck \u201eAnalytics\u201c oder \u201eWerbung\u201c geladen werden, und sie sollten deshalb auch keine Cookies setzen k\u00f6nnen. Tats\u00e4chlich platziert der \u00fcberwiegende Teil der Websites (77%) jedoch solche Cookies bereits beim Laden der Seite \u2013 und das, obwohl praktisch alle diese Websites durch ein Consent-Tool den Eindruck erwecken, eine \u201einformierte Entscheidung\u201c zu erlauben.<\/p>\n\n\n\n

Schrems II und die Folgen<\/h2>\n\n\n\n

Wenn man ber\u00fccksichtigt, dass der Europ\u00e4ische Gerichtshof Mitte 2020 das Privacy-Shield-Zertifikat gekippt hat, versto\u00dfen fast alle der 30 untersuchten Unternehmens-Websites gegen EU-Gesetze, zumindest wenn sie streng auslegt werden: 90% der Websites \u00fcbertragen personenbezogene Daten (durch IP-Adresse oder Cookies) ohne vorherige Einwilligung in das \u201eunsichere Drittland\u201c USA. Wenn man nur nicht-funktionale Dienste oder Cookies betrachtet sind es immerhin noch 80%.<\/p>\n\n\n\n

Diese Verst\u00f6\u00dfe sind bei den funktionalen Diensten leicht zu erkl\u00e4ren: Google Fonts, Google Tag Manager, CloudFlare und Youtube sind hier mit 30% oder mehr vertreten. F\u00fcr diese Dienste gibt es oft keine kosteng\u00fcnstige europ\u00e4ische Alternative, oder ein Umbau ist (wie bei Google Fonts) aufw\u00e4ndig.<\/p>\n\n\n\n

Unverst\u00e4ndlich ist aber, dass ein Drittel der Websites den Advertising-Dienst Doubleclick einbindet und damit Daten \u00fcbertr\u00e4gt. Die wahrscheinlichste Erkl\u00e4rung hierf\u00fcr ist Unachtsamkeit, denn bei der Einbindung von Youtube-Videos m\u00fcssen aktiv \u201eerweiterte Datenschutzeinstellungen\u201c gew\u00e4hlt werden, damit das Nachladen des Doubleclick-Trackers verhindert wird. Das haben 33% der Unternehmen vermutlich nicht beachtet.<\/p>\n\n\n\n

Gesamtbewertung<\/h2>\n\n\n\n

Mit dem decareto Risiko Score bewerten wir die Menge an gefundenen Schwachstellen auf einer Website, mit einem Wert von A bis F. Nur f\u00fcr 2 der DAX-30 Websites konnten wir einen Score von A vergeben, immerhin weitere 9 haben einen Score von B und damit nur einige wenige Schwachstellen. Ein Drittel der Unternehmen hat einen Score von D oder schlechter, womit Gro\u00dfunternehmen eigentlich nicht zufrieden sein k\u00f6nnen.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Mit DSGVO und ePrivacy-Richtlinie (und vielleicht demn\u00e4chst der ePrivacy-Verodnung) hat die EU Regularien eingef\u00fchrt, die den Unternehmen einiges an Umsetzungsarbeit abverlangt haben. Seit den wegweisenden Urteilen des Europ\u00e4ischen Gerichtshofs und des Bundesgerichtshofs 2020 sind zunehmend Bem\u00fchungen der Firmen zu beobachten, ihre Unternehmens-Websites konform zu gestalten: die Zahl der simplen Cookie-Banner geht zur\u00fcck, immer mehr Websites […]<\/p>\n","protected":false},"author":2,"featured_media":2392,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"DAX-30 Webseiten im Check: Sind Datenschutz Risiken vorhanden?","_seopress_titles_desc":"Datenschutzrisiken auf DAX-30-Webseiten - Die Ergebnisse: Consent-Tools - Schrems II und die Konsequenzen - Gesamtbewertung","_seopress_robots_index":"","footnotes":""},"categories":[11],"tags":[],"class_list":["post-998","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-reports"],"acf":[],"_links":{"self":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/comments?post=998"}],"version-history":[{"count":3,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/998\/revisions"}],"predecessor-version":[{"id":1904,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/posts\/998\/revisions\/1904"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media\/2392"}],"wp:attachment":[{"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/media?parent=998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/categories?post=998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/decareto.com\/de\/wp-json\/wp\/v2\/tags?post=998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}