Anlässlich des „Safer Internet Day 2019“ (SID 19) hat das Bayrische Landesamt für Datenschutz eine Überprüfung von insgesamt 40 prominenten Webseiten durchgeführt. Untersucht wurden u.a. der Internetauftritt von Streaming-, Email- und Preisvergleich-Diensten sowie diverse Onlineshops. Auch drei soziale Netzwerke waren darunter.

Zunächst wurde bei 20 Seiten der Registrierungsvorgang untersucht. In diesem Zusammenhang hat die Behörde den Einsatz der Verschlüsselung bei der Übertragung von Daten sowie die Mindestanforderungen bei der Passwortstärke, im Sinne von Zeichenanzahl und Zeichenart, geprüft. Zwar entsprach die Verschlüsselung weitestgehend dem technischen Standard, jedoch warf die Überprüfung der Passwortanforderungen erhebliche Sicherheitslücken auf. So wurde auf einer Webseite ein Passwort mit 4 Stellen akzeptiert. Kein Anbieter forderte mehr als 10 Zeichen. Das bayLDA empfiehlt jedoch ein Passwort mit mindestens 12 Stellen. Auch verfügte keine einzige Internetseite über hinreichende Informationen zu Phishing-Angriffen.

Anschließend wurde der Login-Vorgang unter die Lupe genommen. Dabei wurde festgestellt, dass Email-Bestätigungen und Mitteilungen über fehlgeschlagene Log-in-Versuche fehlten. Auch war teilweise das ändern des Passwortes während der aktiven Sitzung ohne Eingabe des alten möglich. Nur 50% der untersuchen Anbieter informierten den Nutzer zudem über die Änderung des Passwortes.

Besonders brisant zeigte sich auch die Prüfung der Webseiten im Hinblick auf die datenschutzkonforme Einbindung von Cookies für sogenannte Tracking-Tools. Gesetzlich vorgeschrieben sind dabei gem. Art. 7 und 13 DSGVO hinreichende Vorabinformation sowie Informationen bei Einholung einer Einwilligung.

Unter Cookies versteht man kurze Textinformationen, die auf dem jeweiligen Endgerät mit einer eindeutigen Kennung (ID) gespeichert werden. So kann ein Internetbrowser über die eindeutige Cookie-ID wiedererkannt und identifiziert werden.

Tracking-Tools werden u.a. zur Erhebung und Verarbeitung von verschiedensten personenbezogenen Nutzerdaten eingesetzt, welche einerseits zur Optimierung der Webseiten aber andererseits überwiegend für Marketingzwecke genutzt werden.

Alarmierend war dabei das Ergebnis, dass von den 40 untersuchten Internetseiten alle ein Tracking-Tool verwendeten, aber nur 10 ausreichende Informationen in ihren Datenschutzerklärungen bereitstellten. Dies ist insofern überraschend, da dies mit Inkrafttreten der DSGVO am 25.05.2018 bereits gesetzlich vorgeschrieben und damit bußgeldbewährt ist.

30 Betreiber gingen auch laut ihrer Datenschutzerklärung von der Erforderlichkeit einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO für ihre Tracking-Tools aus. Keiner der Anbieter kam jedoch seinen Pflichtinformationen vorab und bei Einwilligungsabgabe gesetzeskonform nach.

Neben der bereitzustellenden Information ist aber auch die Wirksamkeit der eingeholten Einwilligung gem. Art. 7 DSGVO und § 51 BDSG erforderlich. Insgesamt war tatsächlich keine einzige der 30 auf den Webseiten eingeholten Einwilligungen wirksam. So fehlte es oftmals an der Freiwilligkeit der Einwilligung. Dies kann z.B. durch das sogenannte Opt-In-Verfahren, bei denen der Nutzer seine Zustimmung durch setzen eines Häkchens aktiv abgeben muss, bevor das Tracking-Tool zum Einsatz kommt, sichergestellt werden. Viele Tools wurden jedoch stattdessen schon vor Abgabe der Einwilligung zugeschaltet.

Angesichts dieser Ergebnisse ist von einer verstärkten anlasslosen Prüfung und der Verhängung von Bußgeldern durch die Datenschutzbehörden auszugehen. Es bleibt daher abzuwarten, ob sich die Mehrheit auf den trügerischen Schutz der Herde verlässt oder einzelne Exempel Abschreckung genug sein werden.

Wir halten Sie auf dem Laufenden und stehen für Rückfragen selbstverständlich gern zur Verfügung.