Umsetzung der DSGVO | Wie haben sich Websites verändert?

Aktualisiert am 19-08-2020, von Ellena

Wie sieht es mit der Umsetzung der DSGVO eineinhalb Jahre nach dem Inkrafttreten aus? Was hat sich auf Webseiten deutscher, europäischer und internationaler Dienste und Blogs getan?

Umsetzung der DSGVO

Die EU-DSGVO (europäische Datenschutzgrundverordnung bzw. GDPR / EU-General Data Protection Regulation) ist verpflichtend für alle Unternehmen, die ihre Dienste in der Europäischen Union anbieten. Wobei es keine Rolle spielt, ob es sich um Unternehmen handelt, die ihren Hauptsitz in Deutschland, der EU oder dem außereuropäischen Ausland haben.

Allerdings kommen zwei Umfragen von Bitcom Research hinsichtlich der Umsetzung der DSGVO zu einem bedenklichen Ergebnis. Befragt wurden deutsche Unternehmen mit mehr als 20 Mitarbeitern; 505 im Mai 2018 (1. Zahl) und 502 im September 2018 (2. Zahl).

  • Umsetzung der DSGVO vollständig abgeschlossen*: 24 | 24
  • Größtenteils …: 32 | 40
  • Teilweise umgesetzt: 33 | 30
  • Mit der Umsetzung begonnen: 4 | 5
  • Noch nicht begonnen: 2 | 3

* Als abgeschlossen gilt hier, dass die Datenschutzerklärung den Vorschriften entspricht, auf einer eigenen Seite erscheint und ein direkter Zugriff über das Menü bzw. den Footer möglich ist. Des weiteren gibt es einen Hinweis auf die Verwendung von Cookies mit Opt-out (nicht einverstanden) und Link zur Datenschutzerklärung sowie ein gesondertes Impressum. Außerdem besitzen Formulare, die in irgendeiner Weise persönliche Daten abfragen, zumindest einen extra Opt-in (Ich stimme zu) Button.

Darüber hinaus machten im Mai 2018 fünf keine Angaben oder wussten nichts davon. (Quelle: WELT)

Zwar ist der Anteil der Unternehmen, die die DSGVO zumindest teilweise umgesetzt haben leicht gestiegen. Gleichzeitig ist aber die Panik zu Anfang des Jahres 2018 einer gewissen Gleichgültigkeit gewichen.

Umsetzung der DSGVO
Grafik: eb

Internetauftritte und die DSGVO

Wie sieht es nun aber speziell auf Nachrichten-Webseiten aus? Wie weit haben beispielsweise Online Magazine und Blogs die Verordnung umgesetzt? Und hat das Auswirkungen auf die Informationsfreiheit und die Anwenderfreundlichkeit der Websites? Auch hier zeigt sich bei Stichproben ein uneinheitliches Bild. Sowohl auf deutschen wie auch auf internationalen Websites findest du unterschiedliche Varianten.

Wie es hinter den Kulissen aussieht, d. h. wie die Betreiber intern mit den Daten wirklich umgehen, kannst du als Nutzer natürlich nicht erkennen.

Verlustfrei angepasste Websites

Leider gibt es nur recht wenige Websites, auf denen die Umsetzung der DSGVO vollkommen und ohne Änderung im Erscheinungsbild erfolgt ist. Deshalb würde ich Websites, auf denen z. B.

  • Kontaktformulare durch Mail-to-Links ersetzt bzw. mit einem Opt-in* versehen,
  • Teilen-Buttons verändert und
  • nur zum Abschließen eines Abonnements bzw. Spenden animiert wird

noch als verlustfrei bezeichnen. (*Aktive Einverständniserklärung zur Verarbeitung personenbezogener Daten)

Deutsche Blogger und die Umsetzung der DSGVO

Vor allem Betreiber größerer Blogs haben im Zuge der Umsetzung der DSGVO ihre Datenschutzerklärung etc. entsprechend überarbeitet – Beispiel: Cashys Blog. Auf einigen wurden bisher vorhandene Funktionen modifiziert oder entfernt.

Einerseits bieten sie kein Login oder keinen Newsletters über Drittanbieter mehr an. Andererseits haben sie bestimmte Plugins wie ein nicht DSGVO-konforme Kontaktformulare oder Google Analytics deinstalliert und verwenden andere Teilen-Buttons. In einigen Fällen verzichten sie auch auf eine Kommentarfunktion.

Außerdem verwenden sie keine Schriften (Fonts) mehr, die parallel zur Website von Google Servern heruntergeladen werden. Entweder greifen sie auf Standard-Schriften (meistens Arial) zurück oder sie installieren die Fonts auf dem Server, auf dem auch ihre Website installiert ist.

In den meisten Fällen liegt der Grund darin, dass die Inhaber von Blogs mit jedem Drittanbieter (z. B. Newsletter-Service, Google etc.) einen eigenen Auftragsverarbeits-Vertrag (AV-Vertrag) abschließen müssten. Da das vielen Bloggern zu aufwendig ist, verzichten sie auf diese Funktionen.

Ähnlich verhält es sich mit dem Führen von Listen über gespeicherte Daten. Je weniger Daten erhoben und gespeichert werden, desto weniger Zeit kostet das Erstellen und Aktualisieren dieser Verzeichnisse.

Darüber hinaus blenden sie weniger bis gar keine Werbung mehr ein. Stattdessen bitten sie um eine Spende. Allerdings gibt es auch immer noch Websites mit Cookie-Hinweisen, bei denen es reicht, diese mittels eines Klicks auf ein „x“ auszublenden, ohne dass der Besucher explizit sein Einverständnis oder seine Ablehnung erklärt hätte.

Websites mit Zugangsbeschränkung

Eine große Gruppe von Website-Betreibern und professionellen Bloggern hat ihren Internetauftritt, was z. B. die Datenschutzerklärung und den Cookie-Hinweis betrifft, an die DSGVO angepasst. Jedoch bei weitem nicht alle, wie das Beispiel der Süddeutschen Zeitung zeigt.

Es werden ohne jeglichen Cookie-Hinweis etliche Cookies gesetzt (s. Abb. links). Dies ist nicht zulässig, wie der Bundesgerichtshof (BGH) erst im Mai 2020 wieder bestätigte. Die Besucher müssen Cookies aktiv zustimmen, eine fehlende Ablehnung darf nicht automatisch als Zustimmung gewertet werden.

Jedoch hat die Umsetzung der DSGVO auch dazu geführt, dass viele Betreiber ihr Finanzierungsmodell umgestellt haben. Da Werbeeinblendungen von Drittanbietern datenschutzrechtlich besonders brisant sind, versuchen sie diese zu verringern oder verzichten komplett darauf.

Stattdessen setzen sie vermehrt auf Abonnenten. Einerseits überlagern manche Anbieter ihre Beiträge mit einem Popup, dass zum Abonnieren auffordert. Dabei gibt es zwei Varianten. Bei der Plus-Artikel-Variante können Sie die ersten Zeilen eines Beitrags lesen. Um den (vollständigen) Artikel zu lesen oder die Videos ansehen zu können, müssen Sie sich anmelden und ein Abonnement abschließen (s. Abb. rechts).

Bei anderen Websites haben Sie entweder gar keinen Zugriff auf die Beiträge mehr oder nur noch auf eine begrenzte Anzahl. Anschließend werden Sie ebenfalls zum Abschließen eines (Probe-) Abonnement aufgefordert.

Umsetzung der DSGVO
Süddeutsche Zeitung – Screenshots: eb

Europäische Webseiten und die Umsetzung der DSGVO

Auf Websites aus EU-Ländern ist die Umsetzung der DSGVO größtenteils noch weniger fortgeschritten als auf deutschen Seiten. Zwar blenden die meisten eine Cookie-Hinweis ein, die Datenschutzerklärung ist jedoch nur schwer zu finden. Oder sie ist in der vorgeschriebenen Form gar nicht vorhanden. Ähnlich verhält es sich mit dem Impressum.

Europäische „Ableger“ von US Magazinen fordern EU-Leser gezielt auf, sich mit der Verwendung von Cookies (und der US-Datenschutzerklärung) einverstanden zu erklären. Falls sie dies nicht tun, haben sie keinen Zugriff auf die Informationen der Website.

Umsetzung der DSGVO – US-Magazine

Noch breiter ist das Spektrum hinsichtlich der Umsetzung der DSGVO bei internationalen Websites und Blogs. Manche arbeiten mit einem Popup, dass den Anforderungen der DSGVO recht nahe kommt. Andere haben die deutsche / europäische Ausgabe ganz eingestellt und leiten auf die US-Website weiter wie HUFFPOST.

Einige renommierte Magazine und Online Zeitungen bieten einen speziellen Dienst für Nutzer aus der EU an – Beispiel: US TODAY.

Das TIME Magazin blendet eine ausführliche Beschreibung der Verwendung von Ads ein. Wenn Sie jedoch auf „Continue“ klicken, erscheint unten ein Hinweis, dass die Seite nicht geöffnet werden kann..

Das in Deutschland immer häufiger verwendeten Abo-Modell ist auch bei US-Zeitungen zu finden. Aber dort kommt noch hinzu, dass die Kosten für Nutzer aus der EU höher sind, als bei US-Nutzern wie das Beispiel der Washington Post zeigt.

IT-Magazine und Blogs

Dagegen haben sich internationale Technik-Magazine inzwischen am weitestgehenden an die DSGVO angepasst. Auch wenn die Darstelllung der Cookie Notice von einem einfachen Hinweis bis zu einer detaillierteren Information mit Opt-in Möglichkeiten reicht.

Insbesondere Blogger ziehen es anscheinend jedoch vor, die DSGVO mehr oder weniger zu ignorieren. Zwar zeigen manche Blogs wenigstens eine Cookie-Notice, manchmal sogar mit einem Link zur Datenschutzerklärung. Aber diese entspricht i. d. R. nicht den Vorgaben der DSGVO.

Abschließend fällt auf, dass auf fast allen Websites ein Impressum fehlt und der Link zur Datenschutzerklärung manchmal recht versteckt ist. In seltenen Fällen scheint ein direkter Zugriff offensichtlich nicht vorgesehen zu sein. Und es gibt immer noch Webseiten, die gar keine Datenschutzerklärung haben. Obwohl sie grundsätzlich auch in den USA vorgeschrieben ist.

Zugriffssperre umgehen

Um als Besucher aus der EU gesperrte Zeitungen lesen zu können, böte sich VPN an. Obwohl dadurch Ihre eigentliche Herkunft verschleiert wird, folgt daraus noch nicht, dass Sie die Seite dann auch aufrufen können. VPN heißt nämlich nur, dass nicht „Ihr Server“ verwendet wird, sondern einer, der seinen Standort im weiteren Umkreis hat. Dementsprechend hängt es davon ab, wo Sie sich aufhalten.

Beispiel: Befindet sich Ihr Gerät im Westen Deutschlands, steht der nächste „VPN-Server“ in den Niederlanden, die wiederum ebenfalls zur EU gehören. Somit haben Sie trotzdem keinen Zugriff auf das jeweilige US-Portal. Oder es erscheint ein reCAPTCHA zur Überprüfung, ob Sie kein Robot sind. Erst wenn Sie als virtuellen Standort z. B. Nord- und Südamerika angeben, öffnet sich die Website.

Fazit

Natürlich sind die Ergebnisse meiner Recherche nicht repräsentativ. Außerdem habe ich mich auf Online-Zeitungen, -Magazine und Blogs beschränkt. Darüber hinaus dienen die genannten Websites nur als Beispiel für die einzelnen Varianten, ohne Bewertung ihrer Inhalte oder Betreiber.

Trotzdem lässt sich ein Trend erkennen. Die Umsetzung der DSGVO ist weder in Deutschland, der EU noch international wirklich vollzogen. Und dabei habe ich nur täglich / regelmäßig aktualisierte Websites getestet. Die vielen veralteten oder nur unregelmäßig gepflegten Internetauftritte blieben sowieso schon außen vor.

Als Grund für die nicht erfolgte Umsetzung der DSGVO nennen viele Rechtsunsicherheit, einen schwer abzuschätzenden Aufwand oder mangelnde Hilfen. Gleichzeitig verkennen sie jedoch die Konsequenzen ihres „Nicht-Handelns“.

Denn die DSGVO sieht Strafen in Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens/Betreibers vor. Und das betrifft nicht nur deutsche oder EU-Unternehmen. Zwar hat uns die Abmahnwelle noch nicht überrollt, aber sie schwappt zunehmend stärker durch das Internet.

Bis Ende Januar 2019 wurden in der gesamten Europäischen Union 41.502 Vorfälle gemeldet. […] In Deutschland habe es bis Ende 2018 insgesamt 12.256 Meldungen gegeben.

Quelle: Ulrich Kelber, Bundesdatenschutzbeauftragter / GOLEM

Sicherlich wird jeder Nutzer des Internets eine Verbesserung und stärkere Kontrolle des Datenschutzes begrüßen. Dennoch sorgt die Umsetzung der DSGVO bei einigen vielleicht auch für Missmut, da die kostenlose Nutzung der Websites zunehmend stärker eingeschränkt wird. Darüber hinaus sind einige US-Portale für Nutzer aus der EU nur noch begrenzt nutzbar.

Was hat sich bis September 2019 geändert?

Im Auftrag des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) führte die Universität Göttingen eine Studie zur Umsetzung der DSGVO durch. Von Juli bis September 2019 wurden 35 Onlinedienste daraufhin untersucht, inwieweit sie die Anforderungen der DSGVO erfüllen.

Neben den „Großen“ wie Amazon, Google oder Facebook berücksichtigte die Studie weitere Online-Shopping- und Vergleichsportale, Nachrichten-Webseiten, soziale Netzwerke, Messenger, E-Mail-Dienste, drei Browser, eine Kranken-Versicherung sowie den Bezahldienst PayPal.

Grundsätzlich lässt sich feststellen, dass alle noch mehr oder weniger weit von einer DSGVO-Konformität entfernt sind. Auch ist es keineswegs so, dass, wie vielleicht zu erwarten, US-Unternehmen schlechter abschneiden als deutsche. Einerseits ist die Umsetzung im Bereich Informationspflicht und Transparenz am weitesten fortgeschritten.

Andererseits gibt es aber noch deutliche Defizite bei der Gestaltung der aktiven Einwilligung der Nutzer, bei der Cookie Notice sowie beim Mindestalter. Letzteres wird so gut wie nie kontrolliert. Außerdem ist die Transparenz hinsichtlich der Datenverarbeitung zwecks personalisierter Werbung äußerst mangelhaft.

Ergebnisse der Studie

Auf einer Skala von 1 (nicht erfüllt) bis 5 (mehr als erfüllt) erreichten zumindest beim Kriterium Informationspflicht & Datenschutz drei Unternehmen 5 Punkte: Cliqz*, Ebay Kleinanzeigen und Zalando. In allen anderen Bereichen lag die höchste erreichte Punktzahl bei 4 (voll erfüllt).

Auch in der Gesamtbewertung bekamen die besten Dienste nur 4 Punkte – Otto, Volkswagen und (wieder) Zalando. Dagegen erhielten die meisten insgesamt nur 2 bis 2,5 Punkte (= unzureichend bis teilweise erfüllt). Mit 1,5 Punkten schnitten Amazon, TripAdvisor und WetterOnline am schlechtesten ab. Alle getesteten Dienste und Bewertungen.

*Der Browser soll ab Mai 2020 nicht mehr weiterentwickelt werden.

Auch 2020, hat sich nicht all zu viel geändert. Nach einer Überprüfung des Fachverbands deutscher Website-Betreiber (FdWB) von 2500 Internetauftritten kleiner und mittlerer Unternehmen, waren (immer noch) 41 % der Websites fehlerhaft. Mehr zu den Ergebnissen der Studie in meinem Beitrag Tipps für eine rechtssichere Website.

Weiterlesen

Websites
Eine rechtssichere Website – 6 Tipps
SSL
Sichere Wensseiten erkennen