Umsetzung der DSGVO | Wie haben sich Websites verändert?

Wie sieht es mit der Umsetzung der DSGVO einige Jahre nach dem Inkrafttreten aus? Was hat sich auf deutschen, europäischen und internationalen Websites getan?

Umsetzung der DSGVO - Wie haben Websites sich verändert?
Grafik: eb

Umsetzung der DSGVO

Die EU-DSGVO (europäische Datenschutzgrundverordnung bzw. GDPR / EU-General Data Protection Regulation) ist verpflichtend für alle Unternehmen, die ihre Dienste in der Europäischen Union anbieten. Wobei es keine Rolle spielt, ob es sich um Unternehmen handelt, die ihren Hauptsitz in Deutschland, der EU oder dem außereuropäischen Ausland haben.

Allerdings kommen zwei Umfragen von Bitcom Research hinsichtlich der Umsetzung der DSGVO zu einem bedenklichen Ergebnis. Befragt wurden deutsche Unternehmen mit mehr als 20 Mitarbeitern; 505 im Mai 2018 (1. Zahl) und 502 im September 2018 (2. Zahl).

  • Umsetzung der DSGVO vollständig abgeschlossen [1]: 24 | 24
  • Größtenteils …: 32 | 40
  • Teilweise umgesetzt: 33 | 30
  • Mit der Umsetzung begonnen: 4 | 5
  • Noch nicht begonnen: 2 | 3

[1] Als abgeschlossen gilt hier, dass die Datenschutzerklärung den Vorschriften entspricht, auf einer eigenen Seite erscheint und ein direkter Zugriff über das Menü bzw. den Footer möglich ist. Des weiteren gibt es einen Hinweis auf die Verwendung von Cookies mit Opt-out (nicht einverstanden) und Link zur Datenschutzerklärung sowie ein gesondertes Impressum. Außerdem besitzen Formulare, die in irgendeiner Weise persönliche Daten abfragen, zumindest einen extra Opt-in (Ich stimme zu) Button.

Darüber hinaus machten im Mai 2018 fünf keine Angaben oder wussten nichts davon. (Quelle: WELT)

Zwar ist der Anteil der Unternehmen, die die DSGVO zumindest teilweise umgesetzt haben, leicht gestiegen. Gleichzeitig ist aber die Panik zu Anfang des Jahres 2018 auch einer gewissen Gleichgültigkeit gewichen.

Internetauftritte und die DSGVO

Wie sieht es nun aber mit der Umsetzung der DSGVO speziell auf Nachrichten-Webseiten aus? Wie weit haben beispielsweise Online Magazine und Blogs die Verordnung umgesetzt? Und hat das Auswirkungen auf die Informationsfreiheit und die Nutzerfreundlichkeit der Websites? Auch hier zeigt sich bei Stichproben ein uneinheitliches Bild. Sowohl auf deutschen wie auch auf internationalen Websites findest du unterschiedliche Varianten.

Wie es hinter den Kulissen aussieht, d. h. wie die Betreiber intern mit den Daten wirklich umgehen, kannst du als Nutzer natürlich nicht erkennen.

Verlustfrei angepasste Websites

Leider gibt es immer noch recht viele Websites, auf denen die Umsetzung der DSGVO nicht vollkommen und verlustfrei erfolgt ist. Dennoch würde ich Websites, auf denen z. B.

  • Kontaktformulare durch Mail-to-Links ersetzt bzw. mit einem Opt-in [2] versehen,
  • Teilen-Buttons verändert und
  • nur zum Abschließen eines Abonnements bzw. Spenden animiert wird

[2] Aktive Einverständniserklärung zur Verarbeitung personenbezogener Daten

noch als verlustfrei bezeichnen.

Deutsche Blogger und die Umsetzung der DSGVO

Vor allem Betreiber größerer Blogs haben im Zuge der Umsetzung der DSGVO ihre Datenschutzerklärung etc. entsprechend überarbeitet – Beispiel: › Cashys Blog. Auf einigen wurden bisher vorhandene kritische Funktionen modifiziert oder entfernt.

Einerseits bieten sie kein Login oder keinen Newsletters über Drittanbieter mehr an. Andererseits haben sie bestimmte Plug-ins wie nicht DSGVO-konforme Kontaktformulare deinstalliert und verwenden andere Teilen-Buttons. In einigen Fällen verzichten sie auch auf eine Kommentarfunktion. Google Analytics ist jedoch auch auf diesen Websites immer noch weit verbreitet.

Außerdem verwenden sie keine Fonts mehr, die parallel zur Website von Google Servern heruntergeladen werden. Entweder greifen sie auf Standard-Schriften (meistens Arial) zurück oder sie installieren die Fonts auf dem Server, auf dem auch ihre Website installiert ist.

In den meisten Fällen liegt der Grund darin, dass die Inhaber von Blogs mit jedem Drittanbieter (z. B. Newsletter-Service, Google etc.) einen eigenen Auftragsverarbeitungs-Vertrag (AV-Vertrag) abschließen müssten. Da das vielen Bloggern zu aufwendig ist, verzichten sie auf diese Funktionen.

Ähnlich verhält es sich mit dem Führen von Listen über gespeicherte Daten. Je weniger Daten erhoben und gespeichert werden, desto weniger Zeit kostet das Erstellen und Aktualisieren dieser Verzeichnisse.

Darüber hinaus blenden sie weniger bis gar keine Werbung mehr ein. Stattdessen bitten sie um eine Spende. Allerdings gibt es auch immer noch Websites mit Cookie-Hinweisen, bei denen es reicht, diese mittels eines Klicks auf ein „x“ auszublenden, ohne dass der Besucher explizit sein Einverständnis oder seine Ablehnung erklärt hätte.

Websites mit Zugangsbeschränkung

Eine große Gruppe von Website-Betreibern und professionellen Bloggern hat ihren Internetauftritt, was z. B. die Datenschutzerklärung und den Cookie-Hinweis betrifft, an die DSGVO angepasst. Jedoch bei weitem nicht alle.

So werden immer noch ohne jeglichen Cookie-Hinweis etliche Cookies gesetzt. Dies ist nicht zulässig, wie der › Bundesgerichtshof (BGH) erst im Mai 2020 wieder bestätigte. Die Besucher müssen Cookies aktiv zustimmen, eine fehlende Ablehnung darf nicht automatisch als Zustimmung gewertet werden.

In vielen Fällen hat die Umsetzung der DSGVO auch dazu geführt, dass die Betreiber ihr Finanzierungsmodell umgestellt haben. Da Werbeeinblendungen von Drittanbietern datenschutzrechtlich besonders brisant sind, versuchen sie diese zu verringern oder verzichten komplett darauf.

Stattdessen setzen sie vermehrt auf Abonnenten. Einerseits überlagern manche Anbieter ihre Beiträge mit einem Pop-up, dass zum Abonnieren auffordert. Dabei gibt es zwei Varianten: Bei der Plus-Artikel-Variante kannst du die ersten Zeilen eines Beitrags lesen. Um den (vollständigen) Artikel zu lesen oder die Videos ansehen zu können, muss du dich dann aber anmelden und ein Abonnement abschließen.

Bei anderen Websites hast du entweder gar keinen Zugriff auf die Beiträge mehr oder nur noch auf eine begrenzte Anzahl. Anschließend wirst du ebenfalls zum Abschließen eines (Probe-) Abonnement aufgefordert. Die eigentlich vorgeschriebene Option, selbst zu bestimmen, ob und welche Cookies der Besucher zulassen möchte, existiert bei beiden Modellen i. d. R. jedoch nicht. Dementsprechend ist es auch nicht möglich, bestimmte Cookies abzulehnen und somit auf einige Funktionen zu verzichten, wie das bei anderen Websites möglich ist.

Umsetzung der DSGVO Paywall - eb
Entweder Tracking oder Abonnement? (Screenshot: STERN/eb)

Europäische Websites und die Umsetzung der DSGVO

Auf Websites aus EU-Ländern ist die Umsetzung der DSGVO größtenteils noch weniger fortgeschritten als auf deutschen Seiten. Zwar blenden die meisten einen Cookie-Hinweis ein, die Datenschutzerklärung ist jedoch nur schwer zu finden. Oder sie ist in der vorgeschriebenen Form gar nicht vorhanden. Ähnlich verhält es sich mit dem Impressum.

Europäische „Ableger“ von US Magazinen fordern EU-Leser gezielt auf, sich mit der Verwendung von Cookies (und der US-Datenschutzerklärung) einverstanden zu erklären. Falls sie dies nicht tun, haben sie keinen Zugriff auf die Informationen der Website.

Umsetzung der DSGVO – US-Magazine

Noch breiter ist das Spektrum hinsichtlich der Umsetzung der DSGVO bei internationalen Websites und Blogs. Manche arbeiten mit einem Popup, dass den Anforderungen der DSGVO recht nahe kommt. Andere haben die deutsche / europäische Ausgabe ganz eingestellt und leiten auf die US-Website weiter wie › HUFFPOST.

Einige renommierte Magazine und Online Zeitungen bieten einen speziellen Dienst für Nutzer aus der EU an – Beispiel: › US TODAY.

Das › TIME Magazin blendet eine ausführliche Beschreibung der Verwendung von Ads ein. Wenn du jedoch auf „Continue“ klickst, erscheint unten ein Hinweis, dass die Seite nicht geöffnet werden kann.

Das in Deutschland immer häufiger verwendeten Abo-Modell ist auch bei US-Portalen zu finden. Aber dort kommt noch hinzu, dass die Kosten für Nutzer aus der EU höher sind, als bei US-Nutzern wie das Beispiel der › Washington Post zeigt.

IT-Magazine und Blogs

Dagegen ist die Umsetzung der DSGVO von internationalen Technik-Magazinen inzwischen am weitestgehenden durchgeführt worden. Auch wenn die Darstellung der Cookie Notice von einem einfachen Hinweis bis zu einer detaillierteren Information mit Opt-in Möglichkeiten reicht.

Insbesondere Blogger ziehen es anscheinend jedoch immer noch vor, die DSGVO mehr oder weniger zu ignorieren. Zwar zeigen manche Blogs wenigstens eine Cookie-Notice, manchmal sogar mit einem Link zur Datenschutzerklärung. Aber diese entspricht i. d. R. nicht den Vorgaben der DSGVO.

Abschließend fällt auf, dass auf fast allen Websites ein Impressum fehlt und der Link zur Datenschutzerklärung manchmal recht versteckt ist. In seltenen Fällen scheint ein direkter Zugriff offensichtlich nicht vorgesehen zu sein. Und es gibt immer noch Websites, die gar keine Datenschutzerklärung haben, obwohl sie grundsätzlich auch in den USA vorgeschrieben ist.

Zugriffssperre umgehen

Um als Besucher aus der EU gesperrte Zeitungen lesen zu können, böte sich ein VPN an. Obwohl dadurch deine eigentliche Herkunft verschleiert wird, folgt daraus noch nicht, dass du die Seite dann auch aufrufen kannst. VPN heißt nämlich nur, dass nicht „dein Server“ verwendet wird, sondern einer, der seinen Standort im weiteren Umkreis hat. Dementsprechend hängt es davon ab, wo du dich aufhältst.

Beispiel: Befindet sich dein Gerät im Westen Deutschlands, steht der nächste „VPN-Server“ möglicherweise in den Niederlanden, die wiederum ebenfalls zur EU gehören. Somit hast du trotzdem keinen Zugriff auf das jeweilige US-Portal. Oder es erscheint ein reCAPTCHA zur Überprüfung, ob du kein Bot bist. Erst wenn du als virtuellen Standort z. B. Nord- und Südamerika angibst, öffnet sich die Website.

Zögerliche Umsetzung der DSGVO

Natürlich sind die Ergebnisse meiner Recherche zur Umsetzung der DSGVO nicht repräsentativ. Außerdem habe ich mich auf Online-Zeitungen, -Magazine und Blogs beschränkt. Darüber hinaus dienen die genannten Websites nur als Beispiel für die einzelnen Varianten, ohne Bewertung ihrer Inhalte oder Betreiber.

Trotzdem lässt sich ein Trend erkennen. Die Umsetzung der DSGVO ist weder in Deutschland, der EU noch international wirklich vollzogen. Und dabei habe ich nur täglich / regelmäßig aktualisierte Websites getestet. Die vielen veralteten oder nur unregelmäßig gepflegten Internetauftritte blieben sowieso schon außen vor.

Dabei verkennen viele Website-Betreiber jedoch die Konsequenzen ihres „Nicht-Handelns“.

Denn die DSGVO sieht Strafen in Höhe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens/Betreibers vor. Und das betrifft nicht nur deutsche oder EU-Unternehmen. Zwar hat uns die Abmahnwelle noch nicht überrollt, aber sie schwappt zunehmend stärker durch das Internet.

Bis Ende Januar 2019 wurden in der gesamten Europäischen Union 41.502 Vorfälle gemeldet. […] In Deutschland habe es bis Ende 2018 insgesamt 12.256 Meldungen gegeben.
Quelle: Ulrich Kelber / › Golem

Sicherlich wird jeder Nutzer des Internets eine Verbesserung und stärkere Kontrolle des Datenschutzes begrüßen. Dennoch sorgt die Umsetzung der DSGVO bei einigen vielleicht auch für Missmut, da die kostenlose Nutzung der Websites zunehmend stärker eingeschränkt wird und die ständigen Cookie-Hinweise stören. Darüber hinaus sind einige US-Portale für Nutzer aus der EU nur noch begrenzt lesbar.

Was hat sich bis September 2019 geändert?

Im Auftrag des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) führte die Universität Göttingen eine Studie zur Umsetzung der DSGVO durch. Von Juli bis September 2019 wurden 35 Onlinedienste daraufhin untersucht, inwieweit sie die Anforderungen der DSGVO erfüllen.

Neben den „Großen“ wie Amazon, Google oder Facebook berücksichtigte die Studie weitere Online-Shopping- und Vergleichsportale, Nachrichten-Webseiten, andere soziale Netzwerke, Messenger, E-Mail-Dienste, drei Browser, eine Kranken-Versicherung sowie den Bezahldienst PayPal.

Grundsätzlich lässt sich feststellen, dass alle noch mehr oder weniger weit von einer DSGVO-Konformität entfernt sind. Auch ist es keineswegs so, dass, wie vielleicht zu erwarten, US-Unternehmen schlechter abschneiden als deutsche. Einerseits ist die Umsetzung im Bereich Informationspflicht und Transparenz am weitesten fortgeschritten.

Andererseits gibt es aber noch deutliche Defizite bei der Gestaltung der aktiven Einwilligung der Nutzer, bei der Cookie Notice sowie beim Mindestalter. Letzteres wird so gut wie nie kontrolliert. Außerdem ist die Transparenz hinsichtlich der Datenverarbeitung zwecks personalisierter Werbung äußerst mangelhaft.

Ergebnisse der Studie

Auf einer Skala von 1 (nicht erfüllt) bis 5 (mehr als erfüllt) erreichten zumindest beim Kriterium Informationspflicht & Datenschutz drei Unternehmen 5 Punkte: Cliqz (der Browser soll › ab Mai 2020 nicht mehr weiterentwickelt werden), kleinanzeigen und Zalando. In allen anderen Bereichen lag die höchste erreichte Punktzahl bei 4 (voll erfüllt).

Auch in der Gesamtbewertung bekamen die besten Dienste nur 4 Punkte – Otto, Volkswagen und (wieder) Zalando. Dagegen erhielten die meisten insgesamt nur 2 bis 2,5 Punkte (= unzureichend bis teilweise erfüllt). Mit 1,5 Punkten schnitten Amazon, TripAdvisor und WetterOnline am schlechtesten ab.

PDF: Umsetzung bei allen Diensten

Umsetzung der DSGVO nach 2 Jahren

Auch 2020, hat sich nicht all zu viel geändert. Nach einer Überprüfung des Fachverbands deutscher Website-Betreiber (FdWB) von 2500 Internetauftritten kleiner und mittlerer Unternehmen, waren (immer noch) 41 % der Websites fehlerhaft. Mehr zu den Ergebnissen der Studie in meinem Beitrag Tipps für eine rechtssichere Website.

Im Juli 2020 hat sich die Lage noch verschärft, da das EuGH das Privacy Shield für ungültig erklärt hat. Infolgedessen müssen auch Website-Betreiber nacharbeiten, die die Vorschriften der DSGVO bereits weitestgehend umgesetzt hatten. Denn da bis auf Weiteres ein Datentransfer in Staaten außerhalb der EU gar nicht und seit 2023 nur sehr eingeschränkt erlaubt war/ist, durften/solten viele beliebte Funktionen wie z. B. Dienste von Google oder Amazon gar nicht mehr in die Website eingebunden werden.

Inzwischen sind seit Inkrafttreten der DSGVO mehrere Jahre vergangen. Doch hapert es nach wie vor bei der Umsetzung. Einerseits liegt das an zahlreichen „Schlupflöchern“, andererseits aber auch an Unsicherheiten bei der Umsetzung der DSGVO und › der schleppenden Durchsetzung. Zwar wurden 2020 in Deutschland 26.057 Datenpannen gemeldet (etwa genauso viele wie in den Jahren 2018 und 2019 zusammengenommen) und es wurden auch rund 50 % mehr Bußgelder verhängt als 2019, aber gerade kleinere Unternehmen oder Website-Betreiber wiegen sich immer noch in Sicherheit.

Ein oft gehörtes Argument ist, dass es die „Großen“ (Google, Facebook etc.) bei der Umsetzung der DSGVO auch nicht besser machen und damit durchkommen. Ganz so ist es jedoch nicht. So wurde in Frankreich gegen Google eine Strafe in Höhe von 50 Millionen Euro und in Italien gegen Facebook eine in Höhe von 7 Millionen Euro verhängt. Spanien forderte von Vodafone 8.150.000 Euro.

Auch in Deutschland wurden seit 2018 Verstöße gegen die DSGVO mit zum Teil erheblichen Bußgeldern geahndet – darunter einige recht bekannte Unternehmen (Quelle: › Enforcement Tracker):

  • VfB Stuttgart 1893 AG: 300.000 Euro
  • notebooksbilliger.de: 10.400.000 Euro
  • H&M: 35.258.708 Euro
  • AOK: 1.240.000 Euro
  • Hamburger Verkehrsverbund GmbH: 20.000 Euro
  • Facebook Deutschland: 51.000 Euro
  • 1&1 Telecom GmbH: 900.000 Euro
  • Ein Krankenhaus: 105.000 Euro
  • Delivery Hero: 195.407 Euro
  • N26: 50.000 Euro
  • Knuddels.de: 20.000 Euro

Aber auch ein Restaurant war mit 2.000 Euro dabei sowie einige Privatpersonen, wenn auch nur mit Beträgen von einigen Hundert Euro.

Und nach 5 Jahren?

Zwar wurde an einer Nachfolgerregelung für das ungültige EU-US Privacy Shield gearbeitet und das DPF (Data Privacy Framework) „ins Leben gerufen“. Allerdings ist auch hierbei wieder zu befürchten, dass es vom EuGH gekippt wird. Infolgedessen verstoßen immer noch viele Websites gegen die DSGVO, auch wenn immer mehr Websites mehr oder weniger vorschriftsmäßige Cookie Hinweise einblenden, ihre Datenschutzerklärung überarbeitet haben und ein Doppel-Opt-In beispielsweise für Newsletter-Abonnements nutzen.

Allerdings wollen die wenigsten z. B. auf das allseits „beliebte“ Google Analytics, auf Google Ads oder andere Google Dienste verzichten oder diese durch rechtskonformere Alternativen ersetzen. Einige versuchen, den Einsatz US-amerikanischer Dienste über Standardvertragsklauseln zu legalisieren, was jedoch eine absolute Grauzone ist. Andere blenden umfangreiche Cookie Consent Seiten ein und meinen, alles sei in Ordnung, da die Besucher in die Datenübertragung eingewilligt haben bzw. diese hätten ablehnen können. Jedoch lässt sich ein Verstoß gegen eine Verordnung niemals durch die Einwilligung anderer in das rechtswidriges Verhalten „aus der Welt schaffen“.

Und die europäischen Behörden bleiben am Ball. So musste Meta im Mai 2023 das bisher höchste Bußgeld zahlen. Für den fehlenden Schutz der Daten von Europäern bei Facebook und Übertragung von Daten in die USA, verhängte die irische Datenschutzaufsicht eine Strafe von 1,2 Milliarden Euro.

Umsetzung der DSGVO - Zusammenfassung

Fazit

Selbst 2024, mehr als 5 Jahre nach Inkrafttreten der Datenschutz-Vorschriften, findest du im Netz immer noch sehr viele Websites, deren Betreiber offensichtlich von der Umsetzung der DSGVO wenig bis gar nichts halten. Bemerkenswert ist zudem, dass es sich dabei keineswegs nur um ältere, sondern auch um erst nach 2018 oder sogar erst in den letzten Monaten erstellte Websites handelt, die gravierende Mängel aufweisen.

Als Grund für die nicht erfolgte Umsetzung der DSGVO nennen viele Rechtsunsicherheit, einen schwer abzuschätzenden Aufwand / keine Zeit – „ist nicht die meine Kernaufgabe“ – oder mangelnde Hilfestellungen. Die naheliegende Lösung, (externe) Fachleute damit zu beauftragen, kommt anscheinend vielen gar nicht in den Sinn oder sie wird sofort wieder verworfen, da solche Dienstleistungen natürlich nicht kostenlos zu haben sind.

Doch selbst wenn die Arbeitsweise und -geschwindigkeit der Kontrollbehörden heftig kritisiert wird, so bedeutet das nicht, dass Abwarten und Nichtstun eine gute Idee wäre. Abgesehen davon rufen solche mangelhaften Websites auch unseriöse Abmahner auf den Plan. Da viele Betreiber nicht genau wissen, ob auf ihrer Website alles in Ordnung ist, lässt sich mit dem Ausnützen der Verunsicherung recht gut Geld verdienen.

Somit stellt sich die Frage, ob das Zahlen von Abmahngebühren und Bußgeldern, z. T. in beträchtlicher Höhe, am Ende wirklich günstiger ist, als ein Mal in die ordnungsgemäße Umsetzung der DSGVO zu investieren.

© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.

NEUESTE / Aktualisierte BEITRÄGE