DSGVO-Studie – kein untersuchter Online-Dienst datenschutzkonform
Amazon, Google und Facebook. Signal, DuckDuckGo und ARD: Keine untersuchte Online-Plattform ist vollständig datenschutzkonform.
Eine Studie hat die Einhaltung der Datenschutz-Grundverordnung (DSGVO) großer Online-Portale in Deutschland untersucht. Das ernüchternde Ergebnis: Kein einziger der untersuchten Dienste war datenschutzkonform. Die Mängel fallen je nach Angebot und Bereich unterschiedlich aus.
Die Wissenschaftler der Universität Göttingen haben im Auftrag des Bundesministeriums für Justiz und Verbraucherschutz geforscht. 35 Onlinedienste nahmen sie unter die Lupe. Darunter Online-Shops wie Amazon und Zalando, Soziale Netzwerke wie Facebook, Twitter und YouTube, Messenger wie WhatsApp und Signal, Suchmaschinen wie Google und DuckDuckGo, Bewertungsportale, News-Seiten, E-Mail-Anbieter und Webseiten von großen Unternehmen.
Defizite bei der Datenverarbeitung
Die größten Defizite gäbe es beim Minderjährigenschutz, da Altersgrenzen schlicht nicht geprüft werden, und im Umgang mit sensiblen Daten, heißt es in der noch nicht veröffentlichten Studie, die heise online vorliegt. Bei allen Diensten gibt es Probleme mit der Datenverarbeitung zu Zwecken der personalisierten Werbung. "Hier fehlt es an Transparenz und die meist herangezogene Rechtsgrundlage von Art. 6 Abs. 1 lit. f DSGVO ist nur teilweise tragfähig." Der Artikel behandelt, wann Daten rechtmäßig verarbeitet werden dürfen – etwa bei Einwilligung, zur Erfüllung rechtlicher Pflichten oder bei berechtigten Interessen des Verantwortlichen. Anbieter scheinen in dem Artikel eine Art Freifahrtschein zu sehen. Die rechtskonforme Gestaltung der Einwilligung sei ein "gravierendes Problem".
Insgesamt sind die Defizite bei den sozialen Netzwerken und den Messengern am größten. Online-Shops, Medien und Wirtschaftsunternehmen schnitten besser ab. Und obwohl laut der Autoren erkennbar ist, dass "der Prozess der Umsetzung noch in vollem Gange ist", sehen sie "deutlichen Handlungsbedarf". Die DSGVO ist seit eineinhalb Jahren anzuwenden, eine Zeit mit Erfolgen und Schwierigkeiten.
33 Dienste hatten laut Untersuchung Social-Media-Plugins in ihre Webseiten eingebunden, teilweise wurden Nutzer darüber überhaupt nicht informiert, bei anderen Diensten fehlte der Hinweis auf die entsprechende Datenverarbeitung. Nur sieben Seiten nutzten die von heise online und c't entwickelte Shariff-Lösung, bei der die Plugins nicht direkt eingebunden sind und Nutzer sie aktivieren müssten. Voreinstellungen als Opt-Out beschreiben die Autoren grundsätzlich als "wenig nutzerfreundlich".
Best-Practices und gute Einzelbewertungen
Einzelne Dienste zieht die Studie auch als Best-Practice-Beispiele heran. So sind Zalando, eBay Kleinanzeigen, Cliqz und Focus Online vorbildlich bei der Datenschutzerklärung, andere Dienste werden für ihre vollumfängliche Erfüllung anderer Kriterien hervorgehoben – so ist etwa der Cookie-Banner von Volkswagen datenschutzfreundlich voreingestellt, Spiegel Online hat einen besonders verbraucherfreundlichen Registrierungsprozess, der ausdrücklich auf das Setzen von Cookies zu Werbezwecken hinweist und Opt-In ist.
Die Untersuchung fand zwischen Juli und September dieses Jahres statt. Zu den untersuchten Kriterien gehörten die Informationspflicht, Rechtsgrundlagen für die Datenverarbeitung, Einwilligungserklärungen, der Umgang mit sensiblen Daten und die datenschutzfreundlichen Voreinstellungen. Immer wurde die Nutzerfreundlichkeit bedacht. So heißt es etwa bei der Analyse der formalen Anforderungen, man könne bei manchen Diensten von einer "Verschachtelung" verschiedener Datenschutzerklärungen sprechen, die "selbst den juristisch Vorgebildeten verzweifeln lässt".
[UPDATE 29.11.2019, 9 Uhr]
Konkretisiert: Die DSGVO ist seit eineinhalb Jahren anzuwenden.
Zur Information: Die Studie, die heise online vorab vorlag, will das BMJV voraussichtlich noch heute veröffentlichen.
[UPDATE 29.11.2019, 10.15 Uhr] Die Studie ist veröffentlicht worden. (emw)