ATX-20 Analyse: Optimierung bei DSGVO-Konformität notwendig

Wir haben in Zusammenarbeit mit der Consent-Management-Plattform Usercentrics einen kritischen Blick auf die Webseiten der größten börsennotierten österreichischen Unternehmen¹ geworfen, um deren Konformität bezüglich der Datenschutz-Grundverordnung (DSGVO) zu überprüfen. Die Ergebnisse der Analyse der ATX-20 Unternehmen haben wir hier für Sie zusammengefasst. Schon so viel vorweg: es herrscht allgemeiner Verbesserungsbedarf!

Informationspflicht wahren

Nutzer haben das Recht, umfassend darüber informiert zu werden, dass ihre Daten erhoben und verarbeitet werden. Dazu zählt beispielsweise die Information über die Haltezeit der Cookies sowie die Aufbewahrungsfrist der erhobenen Daten. Die Analyse der ATX-20 Unternehmenswebseiten zeigt, dass weniger als die Hälfte der Unternehmen diese Informationspflicht erfüllen.

Dabei ist auch die Umsetzung der Abfrage über die Erhebung und Verarbeitung der Daten ausschlaggebend. Laut DSGVO ist festgelegt, dass die Einwilligung der Nutzer explizit und freiwillig erfolgen muss.

Mehr als nur ein Cookie-Banner notwendig

Die Analyse zeigt, dass zwar 17 von 20 Unternehmen (85%) einen Cookie Banner auf ihren Webseiten haben, allerdings ist nur bei 13 Webseiten ein “Akzeptieren” Button eingebaut. Eine Möglichkeit die Sammlung der Daten durch einen “Ablehnen” Button nicht zu genehmigen, wird nur bei 3 Webseiten (15%) geboten.

Einwilligung einholen

Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners  durch Weitersurfen eine konkludente Zustimmung angekündigt, also wenn allein durch das weitere Surfen auf der Webseite eine automatische Zustimmung des Nutzers angenommen wird. Diese Praxis verfolgen allerdings 9 von 20 Unternehmen.

 

Screenshot DSGVO e-dialog

Screenshot e-dialog: So kann eine DSGVO-konforme Lösung mit Usercentrics aussehen

 

Auch eine ausführliche Information zu den Cookies, beispielsweise eine Angabe von genauem Parameter und/oder eine separate Cookie Policy, wird nur auf 35% der Unternehmenswebseiten erteilt.
Ein weiteres Versäumnis der Unternehmen ist die Sicherstellung des Mindestalters der Nutzer von 16 Jahren, die auf keiner der erhobenen Seiten abgefragt wurde. Genaueres zum User Consent Management finden Sie hier.

Opt-Out Möglichkeiten geben

Wichtig ist neben der Einwilligung über die Erhebung und Verarbeitung der Daten, dass Nutzer jederzeit und unkompliziert ein Opt-Out durchführen können. Idealerweise wird ein dauerhaftes Onpage-Element angezeigt, das Nutzer auf jeder Seite direkt zu den Einstellungen führt.

Außerdem sollte ein direkter Opt-Out Link auf die Datenschutzerklärung bzw. die Cookie Policy des Unternehmens vorhanden sein. Diese Möglichkeit boten nur 4 Unternehmenswebseiten an, was einen Prozentsatz von 20% der analysierten Webseiten ausmacht.

Ein granulares Opt-Out auf der Webseite pro Technologie kam 8-mal überhaupt nicht vor, 7 mal war dies nur für Google Analytics geboten und nur 5 mal war die Möglichkeit eines granularen Opt-Outs gegeben.

 

Analyse der ATX-20 Unternehmenswebseiten auf ihre DSGVO-Konformität
vorhanden nicht vorhanden
Cookie Banner 17 3
“Akzeptieren” Button 13 7
“Ablehnen” Button 3 17
Cookie Banner Text konkludente Zustimmung durch Weitersurfen 9 11
Abfrage ob über 16 0 20
Laden von Werbetechnologien vor expliziten Opt-In/Consent 9 11
Ausführliche Infos zu Cookies, e.g. Angabe von genauem Parameter, separate Cookie Policy 7 13
Direkter Opt-Out Link auf Datenschutzerklärung / Cookie Policy 4 16
Granularer Opt-Out auf Webseite pro Technologie 5 8 7 mal nur Google Analytics
Opt-Out für Nicht-Cookies – z.B. eingebundene Feeds, Fonts, etc. 0 20
Dauerhaftes On-page Element um Einstellungen zu ändern 0 20
Usercentrics privacy Button vergleichbares Produkt z.B. Trustarc 0 18 1 x Optanon (by OneTrust) &
1 x Cookiebot
durchgeführt am 13.8.2018
untersucht wurden die 20 größten börsennotierten österreichischen Unternehmen

Tabelle der Analyse der ATX-20 Unternehmenswebseiten auf ihre DSGVO-Konformität, durchgeführt von e-dialog und Usercentrics

 

Auch andere Technologien bedenken

Wichtig zu bedenken ist auch, dass der User nicht nur die Möglichkeit haben muss das Laden von Web Technologien und deren Datenverarbeitung abzulehnen. Dies betrifft auch die Anwendung anderer Technologien, am Beispiel von eingebetteten Content, wie Feeds, Fonts oder Videos. Hier kann eben durch diese Technologie eine Erhebung, Verarbeitung und Weitergabe von Daten an Drittanbieter passieren.

Bei den analysierten österreichischen ATX-20 Unternehmenswebseiten war allerdings auf keiner Seite eine Opt-Out Option für Nicht-Cookies vorhanden.

Genauso wenig wie die Einbettung eines dauerhaften On-page Elements, um die Einstellungen zur Datenerfassung und Verarbeitung zu ändern.

Zusätzlich sollte bedacht werden, dass eine Verlinkung auf eine Drittseite, wie beispielsweise Opt-Out Seiten von Technologie-Anbietern, nicht genügen. Jedes Unternehmen, das personenbezogene Daten verarbeitet, sollte eine Opt-Out Möglichkeit direkt auf der Seite bieten.

 

Fazit

Abschließend kann festgehalten werden, dass es noch viel Potential für Verbesserungen bei den größten börsennotierten österreichischen Unternehmen gibt.

Die wichtigsten DSGVO-Maßnahmen für Marketer haben wir hier zusammengefasst. 

Wenn Sie weitere Fragen rund um DSGVO Themen haben, helfen wir Ihnen gerne weiter. Kontaktieren Sie uns einfach hier!

Oder laden Sie sich kostenlos unsere DSGVO FAQs herunter! 

 

 

1) Unternehmen, die untersucht wurden, in alphabetischer Reihenfolge: Andritz Group, AT & S Austria Technologie & Systemtechnik Aktiengesellschaft, BUWOG Group, CA Immobilien Anlagen AG, Erste Group Bank AG, FACC AG, IMMOFINANZ AG, LENZING AG,  OMV Aktiengesellschaft, Österreichische Post Aktiengesellschaft, PORR AG, Raiffeisen Bank International AG, S IMMO AG,  Schoeller-Bleckmann Oilfield Equipment AG, Telekom Austria AG, UNIQA Group, VERBUND AG, Vienna Insurance Group, voestalpine AG, Wienerberger AG;

Hinterlassen Sie einen Kommentar: