Die nicht-datenschutzkonformen Webseitenbetreiber gehen ein hohes Risiko ein, denn im Falle einer Anklage haften sie selbst und nicht der Marketing-Tool-Anbieter. Nicht-DSGVO-konforme Anbieter haben zwar für bestimmte Dienste, vor dem Wirksamwerden der DSGVO, eine Opt-in-Erfordernis versendet, doch wird diese von vielen Webseitenbetreibern ignoriert, häufig aufgrund uneindeutiger und komplexer Anbieterkommunikation. Für die Studie hat Webtrekk, eine Customer Analytics-Plattformen in Europa, insgesamt 190 Unternehmen, die ein Marketing- Tool nutzen, auf ihre DSGVO-Konformität geprüft. Analysiert wurden 77 der umsatzstärksten Unternehmen Deutschlands, 93 der umsatzstärksten E-Commerce-Shops Deutschlands sowie 20 der größten deutschen Versicherungen. Alle 190 Unternehmen nutzten zum Zeitpunkt der Untersuchung – im Juli 2018 – Marketing-Tools.
Die Unternehmen wurden als DSGVO-konform eingestuft, wenn sie die zwei folgenden Punkte erfüllten:
- Existenz eines Opt-in-Layers
- Marketing-Tags werden erst versendet, wenn der Endnutzer seine Zustimmung gegeben oder eine weitere Seite innerhalb der Unternehmenswebsite aufgerufen hat (implizites Opt-in)
Die Untersuchung ergab, dass in den Kategorien „umsatzstärkste Unternehmen Deutschlands“ und „die größten deutschen Versicherungen“ 58 bzw. 60 Prozent der Websites die aktuellen Datenschutzstandards einhalten. Jedoch konnten 87 Prozent der E-Commerce-Shops, das sind 81 von 93 der geprüften Online- Händler, die DSGVO-Anforderungen nicht erfüllen.
Häufiger verstehen sich insbesondere US-Anbieter als Auftragsverarbeiter und nicht mehr als Controller der Daten. Dies hat zur Folge, dass die Webseitenbetreiber primär selbst verantwortlich sind. Durch die eigenen Programmrichtlinien sowie die Allgemeinen Geschäftsbedingungen sind die Anbieter meist gegen die rechtlichen Folgen eines Datenschutz-Verstoßes ihrer Kunden abgesichert.
Intransparente Cookie-Banner
Für die Datenerhebung zu Marketing-Zwecken müssen Webseitenbetreiber vorab das Einverständnis ihrer Nutzer einholen. Trotz dieser Vorgabe herrscht bei vielen Verantwortlichen Unklarheit. Oftmals werden keine oder nur intransparente Cookie-Banner für ein seitenübergreifendes Tracking eingebettet
Christian Sauer, Gründer von Webtrekk, schlussfolgert: „Der Markt hat zwar vertragliche Regelungen implementiert, in denen Webseitenbetreiber auf die DSGVO und die damit einhergehenden Richtlinien hingewiesen werden, trotzdem handelt eine Mehrheit der von uns untersuchten E-Commerce-Shops nicht datenschutzkonform. Es herrscht eine alarmierend große Diskrepanz zwischen den schriftlichen Vereinbarungen zur DSGVO und deren praktischer Einhaltung. Die Marketing-Partner scheinen keine aktiven Versuche zu unternehmen, die eigenen Kunden zur Einhaltung der DSGVO zu bewegen.“
Seit der DSGVO sollten Unternehmen ihre Daten nicht mit dritten Parteien teilen, sondern ihr Wissen über ihre Kunden schützen. „Indem Online-Marketers auf First-Party-Daten und Data Ownership setzen, fällt die Notwendigkeit eines Opt-ins weg, da die generierten Daten für direkte Marketing-Zwecke verwendet werden und die Interessen des Betroffenen gewahrt bleiben. Die Datenqualität steigert sich somit signifikant. Webseitenbetreibern ist garantiert, dass ihre Daten nicht an Dritte bzw. an konkurrierende Unternehmen verkauft werden“, betont Sauer.