••• Von Gianna Schöneich
In Sachen Datenschutzgrundverordnung (DSGVO) sieht es nicht sehr rosig aus. Bei einer Befragung durch das Online-Marketing-Forum.at konnte mehr als die Hälfte der Befragten essenzielle Fragen zum Thema Datenschutz nicht beantworten, zudem zeigt die Analyse der Websites der 20 größten börsenotierten österreichischen Unternehmen, dass lediglich die Hälfte DSGVO-konform ist.
Erinnert man sich zurück an den Anfang des Jahres, so könnte man meinen, aufgrund zahlreicher Veranstaltungen, erschienener Ratgeber und Medienberichte sollte das Wissen um die DSGVO gefestigt sein.
„Auch wenn viele Grundlagen offenbar inzwischen bekannt sind, gibt es noch gefährliche Wissenslücken, die richtig Geld kosten können”, warnt Michael Kornfeld, Gründer des Online-Marketing-Forum.at, der geprüfte Datenschutz-Experte ist.
„Harmloses” Nichtwissen
Die Befragung ist in Form eines Quizes auf der Website des Online-Marketing-Forum.at zu finden und besteht aus 40 Aussagen in 40 Kategorien, die lediglich mit richtig beziehungsweise falsch beantwortet werden müssen. Seit März haben über 1.400 Personen das Quiz vollständig gemacht. Von den 40 Fragen wurden immerhin neun von mehr als der Hälfte der befragten Personen falsch eingeschätzt.
Unter diesen sind einige Fragen, deren Nichtwissen relativ „harmlos” ist, da daraus keine negativen Konsequenzen drohen – beispielsweise bei folgender Aussage: „Eine Datenschutz-Erklärung einer Website muss in der Navigation als eigener Punkt angeführt werden (Prinzip der Ein-Klick-Erreichbarkeit).” Diese Aussage wurde von 33% als richtig bewertet – doch tatsächlich gibt es keine entsprechende Bestimmung. So ist die Ein-Klick-Erreichbarkeit schlichtweg erfunden. Strafen drohen allerdings natürlich nicht, wenn das Thema Datenschutz als eigener Navigationspunkt auf einer Website eingefügt ist.
Problematisch wird allerdings die falsche Einschätzung von Aussagen wie dieser: „Wenn ein Auskunftsbegehren eintrifft, dürfen die Daten für zwölf Wochen nicht gelöscht werden.” Ganze 56% wussten nicht, dass diese Aussage korrekt ist. Eine Nichtbeachtung dessen kann allerdings schnell problematisch werden: Wenn ein Unternehmen ein Auskunftsbegehren nicht beantworten kann, weil die Daten vorschnell gelöscht wurden, verstößt es damit gegen die DSGVO – mit den entsprechenden hohen Strafen, die hier vorgesehen sind.
Noch viele offene Fragen
Ein weiteres Beispiel für gefährliches Nichtwissen. Die Aussage: „Falls ein Unternehmen einen externen Anwalt als Datenschutzbeauftragten bestellt hat, muss in den meisten Fällen dieser bei Verstößen die Verwaltungsstrafen bezahlen (bzw. dessen Haftpflichtversicherung).” Fast vier von fünf Personen glaubten, diese Aussage wäre falsch. Tatsächlich kann die Geschäftsführung eines Unternehmens einige Pflichten und auch Haltungsfragen an externe Berater „delegieren”.
Allerdings gibt es dafür natürlich auch Grenzen: Wenn beispielsweise im Unternehmen gegen die ausdrückliche Empfehlung des Beraters gehandelt wird, dann ist in solchen Fällen natürlich letztendlich das Management zur Verantwortung zu ziehen. „Wir merken in vielen Gesprächen, dass zwar meist ein Grundlagenwissen vorhanden ist”, erklärt Kornfeld, „doch es gibt immer noch viele Fragen rund um die praktische Umsetzung.”
Betrachtet man die Websites der ATX-20-Unternehmen und prüft diese auf ihre DSGVO-Konformität, so zeigt sich, dass noch große Mängel – vor allem bezüglich der Informationspflicht, Zustimmungspflicht und Opt-out-Möglichkeit – bestehen. Die Wiener Agentur e-dialog hat gemeinsam mit der Consent-Management-Plattform Usercentrics einen genauen Blick auf die Websites geworfen.
Unzureichende Erfüllungen
Die unzureichende Informationspflicht schlägt sich darin nieder, dass weniger als die Hälfte der ATX-20-Unternehmen Nutzer über beispielsweise die Haltezeit der Cookies sowie die Aufbewahrungsfrist der erhobenen Daten aufklärt. Und auch die in der DSGVO festgelegte „explizite und freiwillige” Einwilligung der Nutzer wird nur unzureichend erfüllt. Obwohl 17 von 20 Unternehmen einen Cookie-Banner verwenden, gibt es nur bei drei Websites die Möglichkeit, die Datensammlung abzulehnen. Eine explizite Zustimmung durch einen „Akzeptieren”-Button gibt es bei 13 Websites.
Seminare rund um DSGVO
Zur Einwilligung gehört ebenso das Recht, diese zu widerrufen. User müssen ihre Einstellungen jederzeit einsehen und ändern können. Konkret bedeutet das: ein Opt-out muss genauso leicht vorzunehmen sein wie ein Opt-in. Das kann z.B. durch ein dauerhaftes Onpage-Element gelöst werden, das den Nutzer direkt zu den Einstellungen führt. Allerdings gibt es auf keiner einzigen ATX-20-Website – und auf nur vier DAX-30 Seiten – eine entsprechende Lösung.
Wer sein Wissen rund um die DSGVO auffrischen möchte, kann das Datenschutz-Seminar des Online-Marketing-Forum.at besuchen. Dieses findet am 28. September in Wien und am 5. Oktober in Salzburg statt. Details finden sich hier:
https://www.online-marketing-forum.at/p/ps8N6
