Websites vieler KMU weisen erhebliche Mängel beim Datenschutz auf | Compliance

Haufe Online Redaktion

Websites vieler KMU weisen erhebliche Mängel beim Datenschutz auf — Bild: Haufe Online Redaktion Cookies und kein Ende - auch die nach dem BGH-Urteil aktualisierten Cookie-Zustimmungen sind umstritten.

Eine Studie des Fachverbands deutscher Website-Betreiber sieht im Hinblick auf die Datenschutzvorgaben weiter Defizite bei den Web-Angeboten kleiner und mittlerer Unternehmen. Über 40 % ihrer Websites weisen gravierende Datenschutz-Mängel auf, für die die Schonfrist zu Ende geht. Datenschutzbehörden kündigen Cookie-Prüf-Offensiven an.

Um eine regelkonforme Website zu betreiben, müssen zahlreiche rechtliche Vorgaben eingehalten werden. Neben den Regelungen aus der Datenschutzgrundverordnung (DSGVO) oder dem Telemediengesetz (TMG) müssen die Verantwortlichen dabei auch aktuelle Gerichtsentscheidungen zu strittigen Fragen beachten, wie etwa aktuell etwa das BGH-Urteil zur Nutzer-Einwilligung beim Einsatz von Tracking-Cookies. Wenn die Vorschriften nicht beachtet werden, droht Ärger durch die Aufsichtsbehörden oder auch durch Abmahnungen von Konkurrenten (→ Abmahnungen nach DSGVO).

Hohe Beanstandungsquote bei KMU-Websites

Der Fachverband deutscher Website-Betreiber (FdWB) hat jetzt die Ergebnisse einer im März durchgeführten Studie vorgestellt, bei der rund 2.500 zufällig ausgesuchte Websites von kleinen und mittleren Unternehmen aus unterschiedlichsten Branchen daraufhin überprüft wurden, ob sie den Vorgaben im Hinblick auf Datenschutz und Sicherheit genügen oder nicht.

Diese Datenschutzvorgaben wurden auf Einhaltung durch die KMU überprüft

Geprüft wurde etwa, ob

die Website über ein aktives und funktionierendes SSL-Zertifikat verfügt,
ob in der Datenschutzerklärung alle notwendigen Unternehmensdaten enthalten sind
oder die Datenschutzerklärung wie gefordert von jeder Seite aus direkt per Link aufrufbar ist.

Das Resultat der Studie fällt sehr ernüchternd aus. Auf rund 1.000 also 41 % aller überprüften Websites, fanden die Tester erhebliche Mängel, die letztlich auch dazu führen, dass die Web-Angebote weder für die Besucher noch für die Anbieter eine ausreichende Sicherheit bieten.

Das sind die häufigsten Defizite auf KMU-Websites

Die meisten Defizite wurden in folgenden Bereichen festgestellt:

36 % aller getesteten (bzw. 86 % der fehlerhaften) Websites hatten kein oder kein funktionierendes SSL-Verschlüsselungszertifikat, wodurch etwa übermittelte Daten von Dritten abgehört werden können.
Bei 13 % aller getesteten (bzw. 32 % der fehlerhaften) Websites war gar keine Datenschutzerklärung vorhanden.
Auf 14 % aller getesteten (bzw. 35 Prozent der fehlerhaften) Websites waren nicht alle notwendigen Angaben zum Unternehmen in der Datenschutzerklärung enthalten.
Weitere häufige Fehler waren etwa unvollständige oder fehlerhafte Cookie-Banner bzw. fehlende Widerspruchsmöglichkeiten (16 % der fehlerhaften Websites),
ein unvollständiges Impressum (19 % der fehlerhaften Websites),
Fehler in Kontakt-Formularen oder bei Newsletter-Anmeldung (27 % der fehlerhaften Websites).

Zertifizierung von Websites nach internationalem IWTS-Standard empfohlen

Der FdWB hat alle Betreiber, auf deren Websites Fehler entdeckt wurden, über die Mängel in Kenntnis gesetzt und zur Nachbesserung aufgefordert, um etwa kostenpflichtige Abmahnungen oder Bußgelder der Datenschutzbehörde zu vermeiden. Generell empfiehlt der Verband allen kommerziellen Website-Betreibern eine Zertifizierung dieser Angebote nach dem internationalen IWTS-Standard (International Website Trust Standard), bei dem die Websites etwa im Hinblick auf Cybersicherheit, Einhaltung der Datenschutzvorgaben oder auch im Hinblick auf Benutzerfreundlichkeit überprüft werden.

Cookie-Banner/Tracking im Visier der Datenschutzbehörden: Prüfungen angekündigt

Dass die Missachtung von Datenschutz-Vorschriften tatsächlich Konsequenzen nach sich ziehen kann, bestätigte sich jetzt zudem auch noch einmal durch die Ankündigung des baden-württembergischen Datenschutzbeauftragten Stefan Brink.

Dieser machte in einer Pressemitteilung darauf aufmerksam, dass es zusammen mit weiteren Datenschutzbehörden anderer Bundesländer eine groß angelegte Überprüfung der Nutzung von Tracking-Diensten bzw. den auf den Websites dazu eingeholten Zustimmungen zur Nutzung von Cookies (Cookie-Banner) insbesondere auf den Webseiten von Medienunternehmen geben wird. Bei diesen Cookie-Bannern gab es eine gewisse rechtliche Grauzone, denn vor allem hierzulande widersprachen sich etwa die Ausnahmeregelungen des deutschen Telemediengesetzes mit den strengeren Vorgaben der europäischen ePrivacy-Richtlinie. Spätestens nach einem Urteil des BGH vom Mai dieses Jahres, nach dem Tracking-Cookies explizit nur nach einer vorherigen, freiwilligen, informierten und aktiven Zustimmung gesetzt werden dürfen, hätten die Cookie-Banner eigentlich angepasst werden müssen, doch dies geschah längst noch nicht überall.

Immer neue Unklarheiten über rechtmäßige Cookie-Zustimmung

Doch auch darüber, ob die Banner in ihrer seitdem oftmals genutzten Variante als legitim zu betrachten sind, herrscht unter Datenschutzexperten alles andere als Einigkeit. Vor allem eine von vielen größere Websites derzeit häufig genutzte Variante der Cookie-Banner (TCF 2.0), bei denen einerseits sehr detaillierte Zustimmungen zu vielen verschiedenen Cookie-Varianten eingeholt werden, wodurch die allermeisten Nutzer jedoch allein schon aufgrund der Komplexität dieses Prozesses abgeschreckt werden, es andererseits aber immer noch Hintertüren gibt, um letztlich doch Nutzerdaten für eine Profilerstellung zu erheben, sind sehr umstritten.

Die jetzt angekündigte Überprüfung soll vor allem bei Medienhäusern mit einer überdurchschnittlichen Reichweite stattfinden, was die Datenschutzbehörden damit begründen, dass die Nutzer den journalistischen Angeboten im Netz ein besonderes Vertrauen entgegenbringen, das sich auch in einem angemessen vertrauensvollen Umgang der Medien mit den Nutzerdaten widerspiegeln sollte.

Weitere News zum Thema:

IT Sicherheitskonzept für kleine Unternehmen

Aktive Einwilligung bei Werbe-Cookies erforderlich

Datenschutzbehörde nimmt Nutzertrackings durch Verlage unter die Lupe

Hintergrund: Wie funktionieren Cookies?

Cookies gehören schon seit langem zu den elementaren Techniken auf Webseiten. Bei diesen Daten-Keksen handelt es sich üblicherweise um kleine Textdateien, die auf den Rechnern der Website-Besucher abgelegt werden und die etwa für grundlegende Funktionen der Web-Angebote notwendig sind. So lassen sich hierüber etwa individuelle Anpassungen an den Web-Seiten wie beispielsweise Spracheinstellungen oder eine spezielle Auswahl von Inhalten realisieren, sodass der Nutzer diese nicht bei jedem Besuch neu auswählen muss. Auch die virtuellen Warenkörbe in vielen Online-Shops nutzen beispielsweise derartige Cookies. Cookies, die solche Grundfunktionen bereitstellen sind auch aus Datenschutzsicht eher unproblematisch.

Anders sieht es dagegen mit solchen Cookies aus, mit denen Web-Surfer über die Grenzen einer Website hinaus identifiziert werden können.

Dazu werden diese Tracking-Cookies nicht von den jeweiligen Websites direkt gesetzt, sondern sie kommen von Anbietern, die meiste Werbenetzwerke betreiben.
Über solche Tracking-Cookies können diese Werbenetzwerke genaue Profile der jeweiligen Nutzer erstellen,
um diese mit personalisierter Werbung zu beliefern.

Für Werbetreibende sind diese Informationen von hohem Wert, können sie ihre Botschaften hierüber doch zielgenau an ihre potentielle Kundschaft bringen und die sonst üblichen hohen Streuverluste vermeiden.

Meistgelesene beiträge

Neueste beiträge

Dynamische Entwicklungen in Compliance und Corporate Governance

25.04.2024
Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024

2 Kommentare zum Artikel

Um einen Kommentar zu schreiben, melden Sie sich bitte an.

Jetzt anmelden

Bei solchen Artikeln frage ich mich dann immer, warum die Seite die den Artikel publiziert sich dann nicht auch direkt an den Inhalt aus dem Artikel hält und einen validen Consent Manager einsetzt ;-)

Antworten

Jan Winkler

Wed Sep 02 17:04:51 CEST 2020Wed Sep 02 17:04:51 CEST 2020

Um eine Antwort zu schreiben, melden Sie sich bitte an.

ich kenne einen guten: www.consentmanager.net

Götz Sielk

Thu Sep 03 11:13:48 CEST 2020Thu Sep 03 11:13:48 CEST 2020

Websites vieler KMU weisen laut aktueller Studie erhebliche Datenschutzmängel auf