In knapp acht Wochen tritt in Deutschland die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Für einige Händler wird das zur Herausforderung. Denn laut einer Analyse von Usercentrics, ein Consent-as-a-Service-Anbieter, erfüllen 70 Prozent der Top 50 Webshops in Deutschland die Anforderungen der DSGVO nicht. Sie riskieren damit Strafen in Millionenhöhe und gefährden ihr Geschäftsmodell.

"Viele Online Shops sind sich der vollen Tragweite der neuen Verordnung nicht bewusst. Da sind auch die Großen keine Ausnahme. [...] Das ist fatal, denn die Abmahnanwälte stehen schon in den Startlöchern und der Nachweis eines Verstoßes ist relativ einfach durchzuführen", sagt Mischa Rürup, Gründer von Usercentrics.

5 Gründe, warum die meisten der geprüften Shops nicht DSGVO-konform sind:

• Die DSGVO ist anwendbar auf alle Cookies. Cookies sind Datengruppen, mit denen ein Websitebesucher identifiziert werden kann.
  
  
• Die Einwilligung, auch der "Consent" genannt, wird in der Regel nicht rechtssicher in nachprüfbarer Form gespeichert.
  
  
• Die genauen Einstellungen zur Einwilligung in die Speicherung und Nutzung der User-Daten sind auf der Website versteckt und für den Nutzer schlecht auffindbar.
  
  
• Nach der neuen Regelung dürfen unter 16-Jährige nicht mehr getrackt werden.
  
  
• Unternehmensfremde Technologien, die häufig für Online-Marketing-Kampagnen eingesetzt werden, wie zum Beispiel Facebook Like Buttons oder Remarketing Codes werden oft geladen und damit Daten an Dritte weitergegeben, ohne dass der Nutzer zugestimmt hat. Die Zustimmung des Nutzers muss aber vorliegen, bevor dies passiert.

Ganz grundsätzlich soll die neue Datenschutzgrundverordnung den Umgang mit personenbezogenen Daten im Internet regeln und diese Daten somit mehr schützen.

Die Top 50 Webshops in Deutschland wurden auf folgende Anforderungen hin untersucht:

1. Besitzt die Seite einen "OK Banner" für die Zustimmung zu Cookies, sowie die Aufklärung der Kunden.
   
2. Werden Tags (etwa Retargeting) im Hintergrund geladen, ohne dass der User durch "OK" seine explizite Zustimmung gibt. Denn mit Einwilligung des Users wäre die Weitergabe an Dritte rechtmäßig. Doch oft sind die Banner nicht mit einem Backend verbunden, sondern speichern eine Einwilligung nur auf Client Seite im Browser Cache / Local Storage. Ein Nachweis der Einwilligung kann daher nicht geführt werden. Usercentrics hat untersucht, was bei Klick auf den Banner passiert, in den meisten Fällen wurde keine Backend-Funktion aufgerufen.
   
3. Sind diese geladenen Tags nach §6 DSGVO für die Erfüllung des Vertrages, rechtlichen Verpflichtungen oder das lebenswichtigen Interessen erforderlich.
4. Liegt ein öffentliches Interesse vor.
   
5. Liegt ein berechtigtes Interesse vor, ohne Genehmigung zu tracken: Hierzu muss abgewogen werden, ob die Personen vernünftigerweise nicht mit einer weiteren Verarbeitung oder der Weitergabe der Daten an Dritte rechnen müssen. Bei der Weitergabe an Retargeting Anbieter ist dies zu verneinen.
6. Lässt sich in den Parametern der Trackings nachweisen, dass es zu einer Weitergabe von Daten kam. Denn nicht nur die IP, sondern auch jegliche User Identifier, welche zur Profilierung von Usern geeignet sind, fallen unter den Schutz der DSGVO.

Zur Analyse

Usercentrics hat im Zeitraum vom 1. bis 15. März 2018 50 deutsche Online Shops mit einer Reichweite von mehr als zwei Millionen Besuchern pro Monat auf die Anforderungen der neuen Datenschutzgrundverordnung hin untersucht.