Umsetzung der DSGVO

Umsetzung der DSGVO
Wie haben sich Webseiten verändert?

Aktualisiert am 30-11-2019

Wie sieht es mit der Umsetzung der DSGVO eineinhalb Jahre nach dem Inkrafttreten aus? Was hat sich auf Webseiten deutscher, europäischer und internationaler Dienste und Blogs getan?

Umsetzung der DSGVO

Die EU-DSGVO (europäische Datenschutzgrundverordnung bzw. GDPR / EU-General Data Protection Regulation) ist verpflichtend für alle Unternehmen, die ihre Dienste in der Europäischen Union anbieten. Wobei es keine Rolle spielt, ob es sich um Unternehmen handelt, die ihren Hauptsitz in Deutschland, der EU oder dem außereuropäischen Ausland haben.

Allerdings kommen zwei Umfragen von Bitcom Research hinsichtlich der Umsetzung der DSGVO zu einem bedenklichen Ergebnis. Befragt wurden deutsche Unternehmen mit mehr als 20 Mitarbeitern; 505 im Mai 2018 (1) und 502 im September 2018 (2).

  • Umsetzung der DSGVO vollständig abgeschlossen: 24 | 24
  • Größtenteils …: 32 | 40
  • Teilweise umgesetzt: 33 | 30
  • Mit der Umsetzung begonnen: 4 | 5
  • Noch nicht begonnen: 2 | 3

Darüber hinaus machten im Mai 2018 fünf keine Angaben oder wussten nichts davon. (Quelle: WELT)

Zwar ist der Anteil der Unternehmen, die die DSGVO zumindest teilweise umgesetzt haben leicht gestiegen. Gleichzeitig ist aber die Panik zu Anfang des Jahres 2018 einer gewissen Gleichgültigkeit gewichen.

Internetauftritte und die DSGVO

Wie sieht es nun aber speziell auf Nachrichten-Webseiten aus? Wie weit haben beispielsweise Online Magazine und Blogs die Verordnung umgesetzt? Und hat das Auswirkungen auf die Informationsfreiheit und die Anwenderfreundlichkeit der Webseiten? Auch hier zeigt sich bei Stichproben ein uneinheitliches Bild. Sowohl auf deutschen wie auch auf internationalen Webseiten findest du folgende Varianten:

* Als abgeschlossen gilt hier, dass die Datenschutzerklärung den Vorschriften entspricht, auf einer eigenen Seite erscheint und ein direkter Zugriff über das Menü bzw. den Footer möglich ist. Des weiteren gibt es einen Hinweis auf die Verwendung von Cookies mit Opt-out (nicht einverstanden) und Link zur Datenschutzerklärung sowie ein gesondertes Impressum. Außerdem besitzen Formulare, die in irgendeiner Weise persönliche Daten abfragen, zumindest einen extra Opt-in (Ich stimme zu) Button.

Wie es hinter den Kulissen aussieht, d. h. wie die Betreiber intern mit den Daten wirklich umgehen, kannst du als Nutzer natürlich nicht erkennen.

Verlustfrei angepasste Webseiten

Leider gibt es nur recht wenige Webseiten, auf denen die Umsetzung der DSGVO vollkommen und ohne Änderung im Erscheinungsbild erfolgt ist. Deshalb würde ich Webseiten, auf denen z. B.

  • Kontaktformulare durch Mail-to-Links ersetzt,
  • Teilen-Buttons verändert und
  • nur zum Abschließen eines Abonnements bzw. Spenden animiert wird

noch als verlustfrei bezeichnen.

Deutsche Blogger und die Umsetzung der DSGVO

Vor allem Betreiber größerer Blogs haben im Zuge der Umsetzung der DSGVO ihre Datenschutzerklärung etc. entsprechend überarbeitet – Beispiel: Cashys Blog. Auf einigen wurden bisher vorhandene Funktionen modifiziert oder entfernt.

Einerseits bieten sie kein Login oder keinen Newsletters über Drittanbieter mehr an. Andererseits haben sie bestimmte Plugins wie ein Kontaktformular oder Google Analytics deinstalliert und verwenden andere Teilen-Buttons. In einigen Fällen verzichten sie auch auf eine Kommentarfunktion. Außerdem verwenden sie keine Schriften (Fonts) mehr, die parallel zur Webseite von Google Servern heruntergeladen werden. Entweder greifen sie auf Standard-Schriften (meistens Arial) zurück oder sie installieren die Fonts auf ihrem eigenen Webseiten-Server.

In den meisten Fällen liegt der Grund darin, dass die Inhaber von Blogs mit jedem Drittanbieter (z. B. Newsletter-Service, Google etc.) einen eigenen Auftragsverarbeits-Vertrag (AV-Vertrag) abschließen müssten. Da das vielen Bloggern zu aufwendig ist, verzichten sie auf diese Funktionen. Ähnlich verhält es sich mit dem Führen von Listen über gespeicherte Daten. Je weniger Daten erhoben und gespeichert werden, desto weniger Zeit kostet das Erstellen und Aktualisieren dieser Verzeichnisse.

Darüber hinaus blenden sie weniger bis gar keine Werbung mehr ein. Stattdessen bitten sie um eine Spende. Allerdings gibt es auch immer noch Webseiten mit Cookie Notice, bei denen es reicht, diese mittels eines Klicks auf ein „x“ auszublenden, ohne dass der Besucher explizit sein Einverständnis oder seine Ablehnung erklärt hätte.

Angepasste Webseiten mit Zugangsbeschränkung

Eine große Gruppe von Webseiten-Betreibern und professionellen Bloggern hat ihren Internetauftritt, was z. B. die Datenschutzerklärung und den Cookie-Hinweis betrifft, an die DSGVO angepasst. Jedoch hat die Umsetzung der DSGVO dazu geführt, dass sie ihr Finanzierungsmodell umgestellt haben. Da Werbeeinblendungen von Drittanbietern datenschutzrechtlich besonders brisant sind, versuchen sie diese zu verringern oder verzichten komplett darauf.

Stattdessen setzen sie vermehrt auf Abonnenten. Einerseits überlagern manche Anbieter einige oder alle Beiträge mit einem Popup. Wenn du die (vollständigen) Artikel lesen oder die Videos ansehen möchtest, musst du dich anmelden und ein Abonnement abschließen – Beispiel: Süddeutsche Zeitung (s. Abb. 01). Andererseits hast du auf anderen Webseiten entweder gar keinen Zugriff auf die Beiträge mehr oder nur auf eine begrenzte Anzahl. Anschließend wirst du zum Abschließen eines (Probe-) Abonnement aufgefordert.

Europäische Webseiten und die Umsetzung der DSGVO

Auf Webseiten aus EU-Ländern ist die Umsetzung der DSGVO größtenteils noch weniger fortgeschritten als auf deutschen Seiten. Zwar blenden die meisten eine Cookie-Notice ein, die Datenschutzerklärung ist jedoch nur schwer zu finden. Oder sie ist in der vorgeschriebenen Form gar nicht vorhanden. Ähnlich verhält es sich mit dem Impressum.

Europäische „Ableger“ von US Magazinen fordern EU-Leser gezielt auf, sich mit der Verwendung von Cookies (und der US-Datenschutzerklärung) einverstanden zu erklären. Falls sie dies nicht tun, haben sie keinen Zugriff auf die Informationen der Webseite.

Umsetzung der DSGVO – US-Magazine

Noch breiter ist das Spektrum hinsichtlich der Umsetzung der DSGVO bei internationalen Webseiten und Blogs. Manche arbeiten mit einem Popup, dass den Anforderungen der DSGVO recht nahe kommt (s. Abb. 02). Andere haben die deutsche / europäische Ausgabe ganz eingestellt und leiten auf die US-Seite weiter wie HUFFPOST (Abb. 03 – 05).

Einige renommierte Magazine und Online Zeitungen bieten einen speziellen Dienst für Nutzer aus der EU an – Beispiel: US TODAY (s. Abb. 06).

Das TIME Magazin blendet eine ausführliche Beschreibung der Verwendung von Ads ein (s. Abb. 07). Wenn du jedoch auf Continue klickst, erscheint unten ein Hinweis, dass die Seite nicht geöffnet werden kann..

Das in Deutschland immer häufiger verwendeten Abo-Modell ist auch bei US-Zeitungen zu finden. Aber dort kommt noch hinzu, dass die Kosten für Nutzer aus der EU höher sind, als bei US-Nutzern wie das Beispiel der Washington Post zeigt (s. Abb. 08).

Nachdem z. B. die Los Angeles Times EU-Besuchern zunächst einen Zugriff grundsätzlich verweigert hatte, ist die webseite jetzt wieder aufrufbar. Jedoch nur nach Abschluss eines Abonnements (s. Abb. 09. Ein Hinweis auf Cookies fehlt.

IT-Magazine und Blogs

Dagegen haben sich internationale Technik-Magazine inzwischen am weitestgehenden an die DSGVO angepasst. Auch wenn die Darstelllung der Cookie Notice von einem einfachen Hinweis bis zu einer detaillierteren Information mit Opt-in Möglichkeiten reicht (s. Abb. 10).

Insbesondere Blogger ziehen es anscheinend jedoch vor, die DSGVO mehr oder weniger zu ignorieren. Zwar zeigen manche Blogs wenigstens eine Cookie-Notice, manchmal sogar mit einem Link zur Datenschutzerklärung. Aber diese entspricht i. d. R. nicht den Vorgaben der DSGVO (s. Abb. 11).

Abschließend fällt auf, dass auf fast allen Webseiten ein Impressum fehlt und der Link zur Datenschutzerklärung manchmal recht versteckt ist. In seltenen Fällenscheint ein direkter Zugriff offensichtlich nicht vorgesehen zu sein. Und es gibt immer noch Webseiten, die gar keine Datenschutzerklärung haben. Obwohl sie grundsätzlich auch in den USA vorgeschrieben ist.

DSGVO

12 Abbildungen

Recht

Zugriffssperre umgehen

Um als Besucher aus der EU gesperrte Zeitungen lesen zu können, böte sich VPN an. Obwohl dadurch deine eigentliche Herkunft verschleiert wird, folgt daraus noch nicht, dass du die Seite dann auch aufrufen kannst. VPN heißt nämlich nur, dass nicht „dein Server“ verwendet wird, sondern einer im weiteren Umkreis. Dementsprechend hängt es davon ab, wo du dich aufhältst.

Beispiel: Befindet sich dein Gerät im Westen Deutschlands, steht der „VPN-Server“ in den Niederlanden, die wiederum ebenfalls zur EU gehören. Somit hast du trotzdem keinen Zugriff auf die Los Angeles Times. Oder es erscheint ein reCAPTCHA zur Überprüfung, ob du kein Robot bist. Erst wenn du als virtuellen Standort z. B. Nord- und Südamerika angibst, öffnet sich die Webseite.

Fazit

Natürlich sind die Ergebnisse meiner Recherche nicht repräsentativ. Außerdem habe ich mich auf Online-Zeitungen, -Magazine und Blogs beschränkt. Darüber hinaus dienen die genannten Webseiten nur als „neutrales“ Beispiel für die einzelnen Varianten, ohne Bewertung ihrer Inhalte oder Betreiber.

Trotzdem lässt sich ein Trend erkennen. Die Umsetzung der DSGVO ist weder in Deutschland, der EU noch international wirklich vollzogen. Und dabei habe ich nur täglich / regelmäßig aktualisierte Webseiten getestet. Die vielen veralteten oder nur unregelmäßig gepflegten Seiten blieben sowieso schon außen vor.

Als Grund für die nicht erfolgte Umsetzung der DSGVO nennen viele Rechtsunsicherheit, einen schwer abzuschätzenden Aufwand oder mangelnde Hilfen. Gleichzeitig verkennen sie jedoch die Konsequenzen ihres „Nicht-Handelns“. Denn die DSGVO sieht Strafen in Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens/Betreibers vor. Und das betrifft nicht nur deutsche oder EU-Unternehmen. Zwar hat uns die Abmahnwelle noch nicht überrollt, aber sie schwappt zunehmend stärker durch das Internet.

Bis Ende Januar 2019 wurden in der gesamten Europäischen Union 41.502 Vorfälle gemeldet. […] In Deutschland habe es bis Ende 2018 insgesamt 12.256 Meldungen gegeben.

Quelle: Ulrich Kelber, Bundesdatenschutzbeauftragter / GOLEM

Sicherlich wird jeder Nutzer des Internets eine Verbesserung und stärkere Kontrolle des Datenschutzes begrüßen. Dennoch sorgt die Umsetzung der DSGVO bei einigen vielleicht auch für Missmut, da die kostenlose Nutzung der Webseiten zunehmend stärker eingeschränkt wird. Darüber hinaus sind einige US-Portale für Nutzer aus der EU nach wie vor gesperrt.

Was hat sich bis September 2019 geändert?

Im Auftrag des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) führte die Universität Göttingen eine Studie zur Umsetzung der DSGVO durch. Von Juli bis September 2019 wurden 35 Onlinedienste daraufhin untersucht, inwieweit sie die Anforderungen der DSGVO erfüllen.

Neben den „Großen“ wie Amazon, Google oder Facebook berücksichtigte die Studie weitere Online-Shopping- und Vergleichsportale, Nachrichten-Webseiten, soziale Netzwerke, Messenger, E-Mail-Dienste, drei Browser, eine Kranken-Versicherung sowie den Bezahldienst PayPal.

Grundsätzlich lässt sich feststellen, dass alle noch mehr oder weniger weit von einer DSGVO-Konformität entfernt sind. Auch ist es keineswegs so, dass, wie vielleicht zu erwarten, US-Unternehmen schlechter abschneiden als deutsche. Einerseits ist die Umsetzung im Bereich Informationspflicht und Transparenz am weitesten fortgeschritten. Andererseits gibt es aber noch deutliche Defizite bei der Gestaltung der aktiven Einwilligung der Nutzer, bei der Cookie Notice sowie beim Mindestalter. Letzteres wird so gut wie nie kontrolliert. Außerdem ist die Transparenz hinsichtlich der Datenverarbeitung zwecks personalisierter Werbung äußerst mangelhaft.

Ergebnisse der Studie

Auf einer Skala von 1 (nicht erfüllt) bis 5 (mehr als erfüllt) erreichten zumindest beim Kriterium Informationspflicht & Datenschutz drei Unternehmen 5 Punkte: Cliqz, Ebay Kleinanzeigen und Zalando. In allen anderen Bereichen lag die höchste erreichte Punktzahl bei 4 (voll erfüllt). Auch in der Gesamtbewertung bekamen die besten Dienste nur 4 Punkte – Otto, Volkswagen und (wieder) Zalando. Dagegen erhielten die meisten insgesamt nur 2 bis 2,5 Punkte (= unzureichend bis teilweise erfüllt). Mit 1,5 Punkten schnitten Amazon, TripAdvisor und WetterOnline am schlechtesten ab. Alle getesteten Dienste und Bewertungen.

Von Ellena © Grafiken: eb

android apple apps bloggen browser cloud dsl-wlan e-mail foto google internetsicherheit ios macOS messenger microsoft mobilfunk onlinedienste recht seo social tutorials updates windows wordpress

Schreibe einen Kommentar