Studie: Datenschutz auf deutschen Webseiten

Wir haben exemplarisch die Webseiten von 425 deutschen Universitäten sowie von 20 großen deutschen Banken, von 97 Versicherungen, von 86 IHK-Webseiten und außerdem von 35 beliebigen KMUs und 248 Unternehmen des Mittelstands untersucht. Das Ergebnis ist besorgniserregend. Die Unis retten die Statistik etwas.

Einleitung

Aus rechtlichen Gründen: Alle Angaben ohne Gewähr! Die Einordnung der Datenschutzprobleme erfolgt unter Kenntnis aktueller Rechtsauffassungen nach eigener Maßgabe und ist hier subjektiv, unter Berücksichtigung von Urteilen und Experteneinschätzungen!

Über alle Arten und Größen von Organisationen und Firmen weist die Mehrzahl der zugehörigen Webseiten gravierende Datenschutzprobleme auf

Quelle: IT Logic GmbH, insgesamt 65.000 Webseiten untersucht

Die Prüfung mehrerer hundert deutscher Webseiten fand mit Hilfe unserer Datenschutz-Software wwwschutz vollautomatisch statt. Die Prüfungen fanden im Zeitraum weniger Wochen statt. Die genauen Zeitpunkte sind angegeben. Nach Sichtung der Ergebnisse und weiterführender Diskussionen haben wir die Prüfungen teilweise erneut durchlaufen lassen. Beispielsweise wurden für die Verlinkung der Datenschutzerklärung im zweiten Durchlauf auch Texte akzeptiert, die nicht gängig, aber möglicherweise noch vetretbar sind.

Zuverlässigkeit der Prüfungen

Die Ergebnisse wurden stichprobenartig geprüft, um die Qualität der Prüfung sicherzustellen. Bestimmte Prüfungen sind an sich schon zu 100% zuverlässig. Dazu gehört beispielsweise die Feststellung, ob problematische Cookies ohne vorige Einwilligung gesetzt oder Tracker in problematischer Weise eingesetzt werden. Auch zu 100% zuverlässig ist die automatisierte Feststellung, ob externe Dateien (Bilder, Scripte, Videos, Audiodateien, Schriftarten, IFRAMES) geladen werden. Dies ist aufgrund des übertragenen Browser Fingerprints als problematisch, oft sicher als unerlaubt, zu beurteilen.

Bewertung der Befunde

Wir vertreten die Auffassung einiger Datenschutzbehörden, dass etwa für Google Analytics kein berechtigtes Interesse geltend gemacht werden kann, weil niemand genau weiß, wie die Firma Google die erstellten Nutzerprofile verwendet.

In der Ausgabe 2/2020 der Zeitschrift Recht der Datenverarbeitung (RDV), Seite 98, finden Sie eine Bestätigung anlässlich eines Urteils des Landgericht Wiesbaden, dass Google Analytics weder ohne noch mit Einwilligung rechtssicher eingesetzt werden kann.

Weil die Prüfergebnisse automatisiert ermittelt wurden, konnten einige Prüfungen gar nicht ausgeführt werden. Eine zusätzliche manuelle Untersuchung würde bei der Menge von Webseiten mit Sicherheit weitere Verstöße gegen die Datenschutzgrundverordnung hervorbringen. Wir nennen diese Art von manuellen Untersuchungen auch Expertenprüfungen.

Durchgeführte Prüfungen

Folgende Aspekte wurden geprüft:

  • Geladene Scripte, Tools, Bilder, Videos etc. von Servern Dritter,
  • Tracking ohne Einwilligung,
  • Geladene Cookies ohne Einwilligung (nur kritische Cookies wurden negativ bewertet),
  • Vorhandensein der Datenschutzerklärung (auch mehrfaches Vorhandensein, was wiederum kritisch zu bewerten ist),
  • Vorhandensein vorgeschriebener allgemeiner Rechtstexte,
  • Vorhandensein vorgeschriebener Rechtstexte für Tools,
  • Vorhandensein des Impressums (ohne negative Bewertung, da kein Datenschutzthema),
  • Einsatz kritischer Tools (dies sind Tools, die zwar keine Tracker sind, aber ähnlich zu Trackern bewertet werden können. Beispiel: Google Maps),
  • SSL-Zertifikate (Zertifizierungsstelle, Verschlüsselung, Gültigkeit, durchgängige Erreichbarkeit)

Nicht geprüft wurde hingegen u.a.

  • ob die Datenschutzerklärung von jeder Seite aus und von jedem Endgerät aus ordnungsgemäß erreichbar ist (das Problem der Überdeckung von Links etwa durch Banner wurde also nicht geprüft),
  • ob ein Einwilligungs-Popup den zahlreichen rechtlichen Anforderungen genügt,
  • ob eine ordnungsgemäße Abwahlmöglichkeit für Analyse- und Tracking-Produkte vorhanden ist (siehe hier für den Unterschied zwischen Analyse und Tracking)
  • ob Kontaktformulare den Mindestanforderungen genügen (etwa Datenminimierung),
  • ob die vorhandenen Rechtstexte ausreichend sind,
  • ob bisher unklassifizierte Tools als Tracker zu bewerten sind

Darstellung der Ergebnisse

Für alle geprüften Webseiten wurde eine Rangliste erstellt, die von der schlechtesten zur besten Webseite sortiert ist. Die Rangliste ist im Folgeabschnitt dargestellt.

Pro Webseite sind im Ergebnis zwei Seiten mit Detailergebnissen genannt. Die erste Seite zeigt eine allgemeine Übersicht und zwei Screenshots zur Webseite. Der größere Screenshot zeigt die Desktop-Ansicht, der kleinere eine Smartphone-Ansicht.

Detailergebnis zu einer Webseite, Teil 1

In den neueren Versionen unserer Studien finden sich auf der zweiten Detailseite zum Ergebnis für eine Webseite technische Details, wie die eingelesenen Seiten, gefundene Cookies sowie externe Rssourcen, Bilder und Zählpixel.

Technische Details zun den analysierten Webseiten

Auf der dritten Seite (in den Vorversionen auf der zweiten Seite) sind konkrete Befunde genannt:

Detailergebnisse zu einer Webseite, Teil 2

Unser Tool wwwschutz ist in der Lage, recht zuverlässig fehlende Rechtstexte zu ermitteln. Dazu wird zuerst die Datenschutzerklärung auf der Webseite bestimmt. Danach werden alle notwendigen allgemeinen Rechtstexte geprüft (insb. Betroffenenrechte). Zusätzlich kann wwwschutz auch spezifische Rechtstexte für eingesetzte Tools, Videos, Scripte, Karten usw. prüfen. Dafür wird zuvor in einer Bestandsaufnahme festgehalten, welche Tools auf der jeweiligen Webseite im Einsatz sind. Auch Cookies, die gemäß EuGh vom 01.10.2019 einer besonderen Beachtung bedürfen, werden geprüft.

Nebenbei prüfen wir außerdem Kontaktformulare und das Impressum, dies allerdings nicht automatisiert. Mit der Automatik werden allerdings die dafür in Frage kommenden Unterseiten einer Webseite ermittelt. Eine enorme Arbeitserleichterung, wenn man bedenkt, dass eine Webseite nicht selten aus 100 Seiten oder sogar viel mehr besteht.

Anonymisierte Ergebnisse

Alle Ergebnisse der untersuchten Webseiten für deutsche Banken, Versicherungen, kleine und mittelständische Unternehmen sowie Universitäten wurden anonymisiert. Im Ergebnis werden die untersuchten Webseiten genannt, nicht aber den Einzelergebnissen zugeordnet, die ebenfalls im Ergebnis zu finden sind.

Anonymisiertes Ranking nach DSGVO

Aus rechtlichen Gründen wurden die Screenshots der Webseiten, die unsere Software wwwschutz ebenfalls automatisch erstellt, durch beispielhafte gemeinfreie Bilder ersetzt.

Ergebnisse der Studien

Die Ergebnisse können Sie nachfolgend abrufen. Sie zeigen, dass wahrscheinlich mehr als jede zweite deutsche Webseite gravierende Datenschutzprobleme aufweist. Wir nennen die Ergebnisberichte Risikoreports.

Zu jeder Wsebseite ist im Ergebnisbericht eine Schulnote vergeben: Eins ist die beste, sechs die schlechteste Note. Die Methodik der Prüfung und der Benotung ist ebenfalls in den Studien genannt.

Zu den folgenden Prüfungen wird sich in Kürze das Ergebnis unserer Untersuchung von 130 Webseiten deutscher Magazine und Zeitschriften sowie von 86 Webseiten von Industrie- und Handelskammern gesellen.

Die geprüften Webseiten im Überblick:

  • 20 größte deutsche Banken
  • 42 deutsche Banken (Auswahl)
  • Mittelständische Unternehmen eines deutschen Verbands
  • Zufällig gewählte KMUs aus Deutschland
  • Deutsche Versicherungen
  • Deutsche Universitäten
  • 130 Magazine und Zeitschriften: Direktlink zum Ergebnis
  • Industrie- und Handelskammern: Direktlink zum Ergebnis

Webseiten deutscher Banken

Geprüft wurden die Webseiten von 20 Banken, die laut Wikipedia die größten in Deutschland sind.

11 von 20 Webseiten sind nach unseren Kriterien in gravierender Weise nicht DSGVO-konform (im vorigen Durchlauf waren es 12, weil eine Prüfung strenger war und außerdem Webseiten, die Anfragen blockierten, nicht so gut wie neuerdings behandelt werden konnten).

In grvaierender Weise nicht DSGVO-konform bedeutet hier: Entweder wurden Tracker ohne Einwilligung eingesetzt, Drittpartei-Cookies ohne Einwilligung gesetzt oder es fehlten wichtige Rechtstexte.

Risikobewertung von Webseiten deutscher Banken

Die Untersuchung fand am 22. April 2020 und erneut am 05. Mai 2020 statt, nachdem die automatisierte Erkennung von Datenschutzverstößen verbessert wurde.

Insgesamt noch mehr Banken wurden in einem weiteren Test geprüft. Die Studie zu einer beliebige Auswahl von 42 deutschen Bank ist hier zu finden.

Webseiten mittelständischer Unternehmer

Der Mittelstand ist in der Statistik nicht besonders weit vorne. Von den 248 geprüften Webseiten gelten gemäß unserer Untersuchung 185 als risikoreich. Sie enthalten demnach gravierende Datenschutzprobleme und Verstöße gegen die DS-GVO.

Webseiten mittelständischer Unternehmen

Die Prüfung fand am 28. April 2020 statt. Eine Webseite war nicht erreichbar bzw. brauchte zu lange, bis sie aufgebaut wurde. Nicht unbedingt verkaufsfördernd, weil Nutzer selten 10 Sekunden warten, bis eine Seite erscheint.

Webseiten deutscher Versicherungen

Insgesamt wurden 97 Webseiten deutscher Versicherungen automatisiert untersucht. Von den 97 Webseiten weisen 75 gravierende Datenschutzprobleme auf. Das ergab die automatisierte Prüfung, die einige Aspekte gar nicht überprüft.

Datenschutzanalyse von Webseiten deutscher Versicherungen

Die Untersuchung fand am 24. April 2020 statt.

Webseiten deutscher Universitäten

Geprüft wurden die Webseiten von 425 deutschen Universitäten, die allgemeinen Verzeichnissen entnommen wurden, wie sie etwa auf Wikipedia zu finden sind. Einige der Webseiten aus den genannten Verzeichnissen wurden manuell korrigiert, wenn es sich um veraltete Versionen handelte. In Einzelfällen gab es Webseiten, die eine alte und eine neue Version anboten. In diesen Fällen wurde die neue Version geprüft.

213 der 425 Webseiten, also genau die Hälfte, sind nach unseren Kriterien in gravierender Weise nicht DSGVO-konform. Damit schneiden Webseiten von Universitäten besser ab als andere Organisationsformen und ziehen die Statistik etwas nach oben.

Auszug aus der Liste untersuchter Webseiten

Die Untersuchung fand am 16. März 2020 statt und wurden am 07.05.2020 mit verbessertem Prüfungsalgorithmus wiederholt.

Webseiten deutscher KMUs

Einem weiteren Test wurden 35 zufällig gewählte KMUs unterzogen. Hier fiel die Bilanz schlecht aus: Von den 35 Webseiten sind 26 als risikoreich anzusehen.

Risikobericht von Webseiten deutscher Unternehmen

Die Untersuchung fand am 23. April 2020 statt.

Fazit

Zahlreichen Betreibern von Webseiten quer durch alle Branchen und Firmengrößen gelingt es bis heute nicht, eine DSGVO-konforme Webseite zu betreiben. Dies ist bei Banken und Unversitäten umso erstaunlicher. Universitäten stehen an sich nicht im Verdacht, Nutzer ausspionieren zu wollen. Banken sind hingegen an besondere Sorgfaltspflichten gebunden. Man könnte meine, dies gelte auch für deren Webseiten.

Damit hat sich unsere Erfahrung der Vergangenheit bestätigt: Ohne automatisierte Prüfung ist es ausgesprochen schwierig (zumindest aber sehr aufwändig), eine Webseite datenschutzkonform zu gestalten.

Wir haben übrigens deutlich mehr als die hier dargestellten Webseiten geprüft, fangen aber erst an, über die Ergebnisse zu berichten. Sie können also zukünftig noch mehr erwarten.

Testen Sie hier Ihre Webseite in wenigen Sekunden online:

2020-05-07T19:55:24+02:00