von Hannah Offner
Wir haben in Zusammenarbeit mit der Consent-Management-Plattform Usercentrics einen kritischen Blick auf die Webseiten der größten börsennotierten österreichischen Unternehmen¹ geworfen, um deren Konformität bezüglich der Datenschutz-Grundverordnung (DSGVO) zu überprüfen. Die Ergebnisse der Analyse der ATX-20 Unternehmen haben wir hier für Sie zusammengefasst. Schon so viel vorweg: es herrscht allgemeiner Verbesserungsbedarf!
Unsere Experten für alle datengetriebenen Kanäle und digitale Marketing-Strategien teilen Ihre Expertise auch gerne persönlich mit Ihnen - kontaktieren Sie uns!
Mehr ErfahrenNutzer haben das Recht, umfassend darüber informiert zu werden, dass ihre Daten erhoben und verarbeitet werden. Dazu zählt beispielsweise die Information über die Haltezeit der Cookies sowie die Aufbewahrungsfrist der erhobenen Daten. Die Analyse der ATX-20 Unternehmenswebseiten zeigt, dass weniger als die Hälfte der Unternehmen diese Informationspflicht erfüllen.
Dabei ist auch die Umsetzung der Abfrage über die Erhebung und Verarbeitung der Daten ausschlaggebend. Laut DSGVO ist festgelegt, dass die Einwilligung der Nutzer explizit und freiwillig erfolgen muss.
Die Analyse zeigt, dass zwar 17 von 20 Unternehmen (85%) einen Cookie Banner auf ihren Webseiten haben, allerdings ist nur bei 13 Webseiten ein “Akzeptieren” Button eingebaut. Eine Möglichkeit die Sammlung der Daten durch einen “Ablehnen” Button nicht zu genehmigen, wird nur bei 3 Webseiten (15%) geboten.
Eine explizite Einwilligung ist auch dann nicht gegeben, wenn der Text des Cookie-Banners durch Weitersurfen eine konkludente Zustimmung angekündigt, also wenn allein durch das weitere Surfen auf der Webseite eine automatische Zustimmung des Nutzers angenommen wird. Diese Praxis verfolgen allerdings 9 von 20 Unternehmen.
Auch eine ausführliche Information zu den Cookies, beispielsweise eine Angabe von genauem Parameter und/oder eine separate Cookie Policy, wird nur auf 35% der Unternehmenswebseiten erteilt.
Ein weiteres Versäumnis der Unternehmen ist die Sicherstellung des Mindestalters der Nutzer von 16 Jahren, die auf keiner der erhobenen Seiten abgefragt wurde. Genaueres zum User Consent Management finden Sie hier.
Wichtig ist neben der Einwilligung über die Erhebung und Verarbeitung der Daten, dass Nutzer jederzeit und unkompliziert ein Opt-Out durchführen können. Idealerweise wird ein dauerhaftes Onpage-Element angezeigt, das Nutzer auf jeder Seite direkt zu den Einstellungen führt.
Außerdem sollte ein direkter Opt-Out Link auf die Datenschutzerklärung bzw. die Cookie Policy des Unternehmens vorhanden sein. Diese Möglichkeit boten nur 4 Unternehmenswebseiten an, was einen Prozentsatz von 20% der analysierten Webseiten ausmacht.
Ein granulares Opt-Out auf der Webseite pro Technologie kam 8-mal überhaupt nicht vor, 7 mal war dies nur für Google Analytics geboten und nur 5 mal war die Möglichkeit eines granularen Opt-Outs gegeben.
Analyse der ATX-20 Unternehmenswebseiten auf ihre DSGVO-Konformität | |||
vorhanden | nicht vorhanden | ||
Cookie Banner | 17 | 3 | |
„Akzeptieren“ Button | 13 | 7 | |
„Ablehnen“ Button | 3 | 17 | |
Cookie Banner Text konkludente Zustimmung durch Weitersurfen | 9 | 11 | |
Abfrage ob über 16 | 0 | 20 | |
Laden von Werbetechnologien vor expliziten Opt-In/Consent | 9 | 11 | |
Ausführliche Infos zu Cookies, e.g. Angabe von genauem Parameter, separate Cookie Policy | 7 | 13 | |
Direkter Opt-Out Link auf Datenschutzerklärung / Cookie Policy | 4 | 16 | |
Granularer Opt-Out auf Webseite pro Technologie | 5 | 8 | 7 mal nur Google Analytics |
Opt-Out für Nicht-Cookies – z.B. eingebundene Feeds, Fonts, etc. | 0 | 20 | |
Dauerhaftes On-page Element um Einstellungen zu ändern | 0 | 20 | |
Usercentrics privacy Button vergleichbares Produkt z.B. Trustarc | 0 | 18 | 1 x Optanon (by OneTrust) & 1 x Cookiebot |
durchgeführt am 13.8.2018 untersucht wurden die 20 größten börsennotierten österreichischen Unternehmen |
Wichtig zu bedenken ist auch, dass der User nicht nur die Möglichkeit haben muss das Laden von Web Technologien und deren Datenverarbeitung abzulehnen. Dies betrifft auch die Anwendung anderer Technologien, am Beispiel von eingebetteten Content, wie Feeds, Fonts oder Videos. Hier kann eben durch diese Technologie eine Erhebung, Verarbeitung und Weitergabe von Daten an Drittanbieter passieren.
Bei den analysierten österreichischen ATX-20 Unternehmenswebseiten war allerdings auf keiner Seite eine Opt-Out Option für Nicht-Cookies vorhanden.
Genauso wenig wie die Einbettung eines dauerhaften On-page Elements, um die Einstellungen zur Datenerfassung und Verarbeitung zu ändern.
Zusätzlich sollte bedacht werden, dass eine Verlinkung auf eine Drittseite, wie beispielsweise Opt-Out Seiten von Technologie-Anbietern, nicht genügen. Jedes Unternehmen, das personenbezogene Daten verarbeitet, sollte eine Opt-Out Möglichkeit direkt auf der Seite bieten.
Abschließend kann festgehalten werden, dass es noch viel Potential für Verbesserungen bei den größten börsennotierten österreichischen Unternehmen gibt.
Die wichtigsten DSGVO-Maßnahmen für Marketer haben wir hier zusammengefasst.
Oder laden Sie sich kostenlos unsere DSGVO FAQs herunter!
1) Unternehmen, die untersucht wurden, in alphabetischer Reihenfolge: Andritz Group, AT & S Austria Technologie & Systemtechnik Aktiengesellschaft, BUWOG Group, CA Immobilien Anlagen AG, Erste Group Bank AG, FACC AG, IMMOFINANZ AG, LENZING AG, OMV Aktiengesellschaft, Österreichische Post Aktiengesellschaft, PORR AG, Raiffeisen Bank International AG, S IMMO AG, Schoeller-Bleckmann Oilfield Equipment AG, Telekom Austria AG, UNIQA Group, VERBUND AG, Vienna Insurance Group, voestalpine AG, Wienerberger AG;
Wir freuen uns auf Ihre Anfrage und beraten Sie gerne unverbindlich! Füllen Sie dazu einfach das Kontaktformular aus oder rufen uns direkt an.
Jetzt kontaktierenNewsletter
Holen Sie sich unsere Online Marketing-Insights und Trends direkt in Ihr Postfach!