Schlechtes Abschneiden großer Webseiten im Datenschutzcheck hinsichtlich Cybersicherheit und Tracking

436

„Safer Internet? Oder doch eher „I don’t care“: Ernüchterndes Ergebnis im Datenschutzcheck am Safer Internet Day 2019“

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich am Safer Internet Day (SID) beteiligt und Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befinden, fällt das Ergebnis aus Datenschutzsicht durchaus ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen wurden zahlreiche Defizite erkannt, die nun Anlass für aufsichtliche Verfahren sind.

Cybersicherheit im Fokus der Datenschutzprüfung

Die Sicherheit eines Nutzerkontos – und somit auch der Schutz der digitalen Identität des Nutzers – hängt maßgeblich von zwei Faktoren ab: Dem Nutzer selbst und dem Website-Betreiber. Während man einem Nutzer einfache Tipps mit auf den Weg geben kann, welche Maßnahmen er zum Schutz seiner Login-Daten ergreifen kann – z. B. ein starkes Passwort zu wählen und zusätzlich SMS-Codes für die Anmeldung zu verwenden –, stellt sich die Frage, wie es um die Sicherheit der Dienste bestellt ist. Aus diesem Grund hatte sich das BayLDA als Aufsichtsbehörde entschlossen, sich näher anzusehen, wie Website-Betreiber mit den Passwörtern ihrer Nutzer. 20 Online-Dienste, die in Deutschland sehr beliebt sind, wurden hierfür näher untersucht – von sozialen Netzwerken über Videostreaming-Portale bis hin zu Online-Shops. Im Ergebnis stellt das BayLDA fest, dass bei keinem dieser Dienste starke Passwörter vom Nutzer gefordert werden, oft sogar sehr schwache Passwörter wie „123456“, „Passwort“ oder sogar „0000“ möglich sind. Zusätzliche Sicherheitsmaßnahmen und Hilfestellungen zum Schutz des Accounts bietet zudem nur eine überschaubare Anzahl an Diensten an. Manche Prüfschritte, z. B. mit welchem Verfahren die Anbieter die Passwörter sicher aufbewahren, können allerdings nicht durch Online-Kontrollen durchgeführt werden. Das BayLDA wird deshalb diese Punkte im Nachgang im schriftlichen Verfahren oder vor Ort bei den bayerischen Firmen untersuchen.

Datenschutzcheck „Tracking“ (Information & Einwilligung)

Darüber hinaus hat das BayLDA ferner bei 40 großen bayerischen Anbietern untersucht, ob die Nutzer transparent über die Einbindung von Drittanbietern, insbesondere von Tracking-Tools, auf der Website informiert werden. Im Fokus standen auch die sogenannten „Cookie-Banner“, über die eine Einwilligung der Nutzer eingeholt werden soll. Auch hier war das Ergebnis der Kontrolle desolat: Die vorhandenen Cookie-Banner stören meist nicht nur die Benutzerfreundlichkeit der Dienste, sondern sind auch völlig wirkungslos im Schutz vor Tracking. Auf allen untersuchten Websites, die Cookie-Banner einsetzen, werden weder die Nachverfolgung der WebsiteBesucher unterbunden noch die Anforderungen an eine zulässige Einwilligung nach der DS-GVO erfüllt.

Präsident des BayLDA, Thomas Kranig, fasst die Hintergründe und das Ergebnis der Prüfung zusammen:

„Für den diesjährigen Safer Internet Day haben wir uns zwei besondere Datenschutzkontrollen überlegt. Zum einen haben wir verschiedene, von uns selbst ausgewählte Websites geprüft, ob diese Ihrer Verantwortung als führende Anbieter gerecht werden und den Schutz der Nutzer gegen Angriffe von Cyberkriminellen auf das eigene Passwort sicherstellen. Dabei mussten wir im Ergebnis jedoch überwiegend feststellen, dass die untersuchten Online-Dienste mehr als nur Verbesserungsmöglichkeiten diesbezüglich haben. Meist wird man als neuer Nutzer schnell durch den Registrierungsprozess der Websites geschleust – auf Kosten einer guten Information und eines ausreichenden Sicherheitsniveaus. Die zweite Prüfkomponente dagegen hat sich nicht erst auf Grund des stattfindenden Safer Internet Days ergeben, sondern daraus entwickelt, dass wir zuletzt eine enorme Anzahl an Datenschutzbeschwerden von Bürgern zu bayerischen Websites erhalten haben. Gemeinsame Grundlage dieser Beschwerden ist, dass bayerische Verantwortliche Tracking-Tools nicht datenschutzkonform einsetzen würden. Wir haben uns daher entschlossen, am Safer Internet Day große Websites aus Bayern, bei denen wir Beschwerden zu unzulässiger Protokollierung des Surfverhaltens erhalten haben, im gleichen Zug mit zu kontrollieren. Schwerpunkt war folglich, ob angemessen über die Profilbildung informiert wird sowie eine geeignete Rechtsgrundlage für das Tracking vorhanden ist. Das Ergebnis dieses Datenschutzchecks war deutlich schlechter als das der Cybersicherheitsprüfung: Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen. Gerade von den großen Unternehmen erwarten wir, dass sie in der Lage sind, die rechtlichen Vorgaben einzuhalten.“

Die wichtigsten Ergebnisse der Prüfung können Sie hier herunterladen.

 

 

 

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here