Dabei sollten die Verantwortlichen verstehen, dass sie seit Mai für Verstöße gegen den Datenschutz möglicherweise persönlich haften. Und sie sollten auch wissen, dass sich die Datenschützer und Abmahnanwälte zuerst die Websites der Großen anschauen, denn da gibt es am meisten zu holen. Am meisten Publicity, aber auch am meisten Bares: bis zu 4 % vom Jahresgruppenumsatz.
UserCentrics (https://usercentrics.com/de/), die Bayern bieten eine Consent Management Plattform (CMP), mit der Firmen die Einwilligung ihrer Nutzer für bestimmte Technologien und Zwecke einholen, verwalten und dokumentieren können, hat die Websites der Dax30-Unternehmen analysiert und festgestellt, dass 12 davon den Datenschutz nicht ernst nehmen, zumindest nicht nach Maßstäben von UserCentrics. Bekanntermaßen verlangt die DSGVO, dass der Websitebetreiber jederzeit Auskunft geben kann, was mit den Daten geschieht. Er muss ein Dienstleisterverzeichnis pflegen und die Dienstleister müssen sich zur DSGVO bekannt haben.
Bei den wichtigsten Dienstleistern haben die Dax30-Unternehmen das zweifellos sorgfältig getan. Da wären z.B. die Agenturen, der Tracking-Dienstleister für die Webanalyse und – sofern vorhanden – das eingebundene Werbenetzwerk. Aber das ist eben nur die Spitze des Eisbergs. Seit Javascript sogenannte „Runtime-Libraries“ zulässt, also seit mindestens 15 Jahren, ist es so einfach geworden, Sonderfunktionalität in Webseiten einzubauen, die man u.a. nicht ausreichend kontrollieren kann. Die Rede ist von ganz einfachen Dingen. Der Videoplayer, eine Online-Umfrage, eine externe Recommendation-Engine, der Facebook-Like-Button. Selbst beim Nachladen von Schriften können personenbezogene Daten der Nutzer ausgelesen werden.
Böswillige Programmierungen können vor allem das mitlesen, was der User tut und eingibt. Beispiel Apps: Die allermeisten enthalten so genannte SDKs (Software Development Kits). Durch ein SDK kann jede App zum Trojanischen Pferd werden. Das SDK kann grundsätzlich auf die Berechtigungen zugreifen, die der App vom Nutzer gegeben wurden. Wer also z.B. eine Wetter-App nutzt und ihr den eigenen Standort freigibt, muss sich also nie wieder Sorgen machen, dass er sich in der ukrainischen Taiga verirren könnte. Spätestens hier bricht auch das feinziselierte DSGVO-Konstrukt zusammen, dessen sich die meisten Unternehmen heute bedienen. 20 der 30 Dax Unternehmen gehen von einer konkludenten Einwilligung zur Datenspeicherung aus. Zwar verlangt die DSGVO die explizite Einwilligung (ziemlich genau das Gegenteil), kennt aber die Ausnahme des „berechtigten Interesses“. Das liegt allerdings garantiert nicht vor, wenn die gelesenen Daten an Dritte gehen, von denen man nicht einmal weiß.
Ein großes Industrieunternehmen stellte im Mai erstaunt fest, dass sich 85 Serveraufrufe in der Startseite festgefressen hatten. Bei über der Hälfte konnte keiner im Unternehmen mehr sagen, wozu das mal eingebaut wurde. Es führt kein Weg daran vorbei: Jedes einzelne Skript in Website und App muss analysiert und dessen Funktion dokumentiert werden. Stammen die Skripte aus Quellen, die nicht DSGVO-konform operieren, fliegen sie raus. Einen Vorteil aber hat das Ganze. Weniger Skripte machen die Websites schneller und das hat erwiesenermaßen positive Effekte auf die Conversions. Und vielleicht macht man sich darüber hinaus noch ein paar grundsätzliche Gedanken, wie die Datenstrategie im eigenen Haus eigentlich aussieht. Quelle: Meedia.de - IT-Experte und Hackernoon-Autor David Gilbertson / DMM
Besuchen Sie uns auch auf Facebook ...