Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich am Safer Internet Day (SID) beteiligt und Websites mit großer Reichweite untersucht. Dabei wurden zum einen die Sicherheit der Nutzerkonten und zum anderen der Einsatz von Tracking-Tools untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befinden, fällt das Ergebnis aus datenschutzrechtlicher Sicht ernüchternd aus.

Bildrechte: sdecoret – fotolia.com

Im Fokus der Datenschutzprüfung stand zunächst die Sicherheit von Nutzerkonten der entsprechenden Dienste. Dabei wurde insbesondere untersucht, wie die Website-Betreiber mit den Passwörtern ihrer Nutzer umgehen. Es wurden Online-Dienste unterschiedlicher Art unter die Lupe genommen. Darunter waren Streaming- und Videoportale, E-Mail-Dienste, Elektronik-Shops, Fotoservices, Gesundheits- und Kosmetik-Websites, Möbel-Shops, Mode-Shops, Preisvergleich-Seiten und soziale Netzwerke. Es wurden insgesamt 22 Prüfpunkte hinsichtlich der Registrierung und 17 Prüfpunkte im Zusammenhang mit dem Login untersucht.

Im Ergebnis hat das BayLDA festgestellt, dass bei keinem dieser Dienste ausreichende Maßnahmen getroffen wurden, um starke Passwörter vom Nutzer zu fordern. So waren beispielsweise oft sehr schwache Passwörter wie 123456", Passwort" oder sogar 0000" möglich. Zusätzliche Sicherheitsmaßnahmen und Hilfestellungen zum Schutz des Accounts haben dabei nur wenige der Dienste angeboten. Das BayLDA hat angekündigt, die festgestellten Defizite im Nachgang im schriftlichen Verfahren oder vor Ort bei den Unternehmen zu untersuchen.

Aus datenschutzrechtlicher Sicht interessanter waren die Feststellungen im Zusammenhang mit dem Einsatz von Tracking-Tools und Cookie-Bannern. Es wurden vierzig große bayerische Anbieter im Hinblick darauf untersucht, ob die Nutzer transparent über die Einbindung von Drittanbietern, insbesondere von Tracking-Tools, auf der Website informiert werden. Unter den untersuchten Unternehmen waren Online-Shops, Medienunternehmen, Versicherungen, Banken, Sportvereine und sonstige Webseitenbetreiber (ausführliche Auflistung der geprüften Unternehmen auf Folie 21 des Ergebnispapiers). Als erstes fiel der Behörde auf, dass sämtliche Anbieter Tracking-Tools einsetzen, jedoch nur 25 Prozent der Websites die Nutzer transparent über den Einsatz von diesen Tools informieren. Bei den restlichen Anbietern wurde der Nutzer nicht oder nur unzureichend über den Einsatz der Tracking-Tools im Rahmen der Datenschutzerklärung informiert. Auch bei dem Einsatz von Cookie-Bannern sieht die Behörde erhebliches Verbesserungspotenzial. Auf zwanzig Prozent der Websites wird beispielsweise vom Nutzer gar keine Einwilligung zum Einsatz von Cookies eingeholt. Aber auch in den Fällen, in denen eine Einwilligung eingeholt wurde, geschah dies in keinem einzigen Fall wirksam. Die Einwilligungen wurden entweder nicht vorab erteilt, sie erfolgten nicht informiert oder es hat die Freiwilligkeit gefehlt (Mängel der Einwilligungen sind auf Seite 25 des Ergebnispapiers zu finden).

Zudem hat das BayLDA festgestellt, dass von den vierzig untersuchten Websites nur bei einer die Möglichkeit bestand, die Profilbildung aufgrund eigener Einstellungen im Browser zu verhindern (Ergebnisse zur Profilbildung auf Seite 26 des Ergebnispapiers).

Der Präsident des BayLDA, Thomas Kranig, hat sich nach den ernüchternden Feststellungen geäußert:

Das Ergebnis dieses Datenschutzchecks war deutlich schlechter als das der Cybersicherheitsprüfung: Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben.Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen. Gerade von den großen Unternehmen erwarten wir, dass sie in der Lage sind, die rechtlichen Vorgaben einzuhalten."

Handlungsempfehlung:
Wir empfehlen dringend, die Websites auf Datenschutzkonformität – insbesondere im Hinblick auf den Einsatz von Tracking-Tools und die Einholung von Einwilligungen – zu überprüfen. Auch wenn für das BayLDA zurzeit bekannte Website-Betreiber im Fokus stehen, können sämtliche Unternehmen von einer Datenschutzprüfung getroffen werden.

Link zum Ergebnispapier des BayLDA:
https://www.lda.bayern.de/media/sid_ergebnis_2019.pdf

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.