Safer Internet? Oder doch eher „I don’t care“: Ernüchterndes Ergebnis im Datenschutzcheck am Safer Internet Day 2019

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 05.02.2019

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich am Safer Internet Day (SID) beteiligt und Websites mit sehr großer Reichweite untersucht. Obwohl sich einige der prominentesten Internetdienste unter den Geprüften befinden, fällt das Ergebnis aus Datenschutzsicht durchaus ernüchternd aus: Im Umgang mit Passwörtern und Tracking-Werkzeugen wurden zahlreiche Defizite erkannt, die nun Anlass für aufsichtliche Verfahren sind.

Am heutigen Safer Internet Day setzte sich das BayLDA das Ziel, internetbasierte Angebote ein Stückchen sicherer zu machen. Dazu wurden zum einen die Schutzmaßnahmen für Passwörter bei Online-Diensten geprüft. Zum anderen wurde auch die Nachverfolgung der Nutzer auf Websites mittels Tracking-Verfahren untersucht.

Cybersicherheit im Fokus der Datenschutzprüfung

Die Sicherheit eines Nutzerkontos – und somit auch der Schutz der digitalen Identität des Nutzers – hängt maßgeblich von zwei Faktoren ab: Dem Nutzer selbst und dem Website-Betreiber. Während man einem Nutzer einfache Tipps mit auf den Weg geben kann, welche Maßnahmen er zum Schutz seiner Login-Daten ergreifen kann – z. B. ein starkes Passwort zu wählen und zusätzlich SMS-Codes für die Anmeldung zu verwenden –, stellt sich die Frage, wie es um die Sicherheit der Dienste bestellt ist. Aus diesem Grund hatte sich das BayLDA als Aufsichtsbehörde entschlossen, sich näher anzusehen, wie Website-Betreiber mit den Passwörtern ihrer Nutzer. 20 Online-Dienste, die in Deutschland sehr beliebt sind, wurden hierfür näher untersucht – von sozialen Netzwerken über Videostreaming-Portale bis hin zu Online-Shops.

Im Ergebnis stellt das BayLDA fest, dass bei keinem dieser Dienste starke Passwörter vom Nutzer gefordert werden, oft sogar sehr schwache Passwörter wie „123456“, „Passwort“ oder sogar „0000“ möglich sind. Zusätzliche Sicherheitsmaßnahmen und Hilfestellungen zum Schutz des Accounts bietet zudem nur eine überschaubare Anzahl an Diensten an. Manche Prüfschritte, z. B. mit welchem Verfahren die Anbieter die Passwörter sicher aufbewahren, können allerdings nicht durch Online-Kontrollen durchgeführt werden. Das BayLDA wird deshalb diese Punkte im Nachgang im schriftlichen Verfahren oder vor Ort bei den bayerischen Firmen untersuchen. Das ausführliche Ergebnis samt datenschutzrechtlicher Bewertung zum Cybersicherheitscheck befindet sich im Anhang dieser Pressemitteilung.

Datenschutzcheck „Tracking“ (Information & Einwilligung)

Darüber hinaus hat das BayLDA ferner bei 40 großen bayerischen Anbietern untersucht, ob die Nutzer transparent über die Einbindung von Drittanbietern, insbesondere von Tracking-Tools, auf der Website informiert werden. Im Fokus standen auch die sogenannten „Cookie-Banner“, über die eine Einwilligung der Nutzer eingeholt werden soll. Auch hier war das Ergebnis der Kontrolle desolat: Die vorhandenen Cookie-Banner stören meist nicht nur die Benutzerfreundlichkeit der Dienste, sondern sind auch völlig wirkungslos im Schutz vor Tracking. Auf allen untersuchten Websites, die Cookie-Banner einsetzen, werden weder die Nachverfolgung der Website-Besucher unterbunden noch die Anforderungen an eine zulässige Einwilligung nach der DS-GVO erfüllt.

Präsident des BayLDA, Thomas Kranig, fasst die Hintergründe und das Ergebnis der Prüfung zusammen:

„Für den diesjährigen Safer Internet Day haben wir uns zwei besondere Datenschutzkontrollen überlegt. Zum einen haben wir verschiedene, von uns selbst ausgewählte Websites geprüft, ob diese Ihrer Verantwortung als führende Anbieter gerecht werden und den Schutz der Nutzer gegen Angriffe von Cyberkriminellen auf das eigene Passwort sicherstellen. Dabei mussten wir im Ergebnis jedoch überwiegend feststellen, dass die untersuchten Online-Dienste mehr als nur Verbesserungsmöglichkeiten diesbezüglich haben. Meist wird man als neuer Nutzer schnell durch den Registrierungsprozess der Websites geschleust – auf Kosten einer guten Information und eines ausreichenden Sicherheitsniveaus. Die zweite Prüfkomponente dagegen hat sich nicht erst auf Grund des stattfindenden Safer Internet Days ergeben, sondern daraus entwickelt, dass wir zuletzt eine enorme Anzahl an Datenschutzbeschwerden von Bürgern zu bayerischen Websites erhalten haben. Gemeinsame Grundlage dieser Beschwerden ist, dass bayerische Verantwortliche Tracking-Tools nicht datenschutzkonform einsetzen würden. Wir haben uns daher entschlossen, am Safer Internet Day große Websites aus Bayern, bei denen wir Beschwerden zu unzulässiger Protokollierung des Surfverhaltens erhalten haben, im gleichen Zug mit zu kontrollieren. Schwerpunkt war folglich, ob angemessen über die Profilbildung informiert wird sowie eine geeignete Rechtsgrundlage für das Tracking vorhanden ist. Das Ergebnis dieses Datenschutzchecks war deutlich schlechter als das der Cybersicherheitsprüfung: Alle begutachteten Websites begehen Datenschutzverstöße beim Einsatz der Tracking-Werkzeuge. Für die verantwortlichen Unternehmen wird unsere Prüfung ein Nachspiel haben. Wir haben uns entschlossen, diese Missstände abzustellen sowie die Einleitung von Bußgeldverfahren zu prüfen. Gerade von den großen Unternehmen erwarten wir, dass sie in der Lage sind, die rechtlichen Vorgaben einzuhalten.“

Das BayLDA stellt im Anhang an diese Pressemitteilung sowie auf der eigenen Website die wichtigsten Informationen zu den Ergebnissen dieser beiden Prüfungen zur Verfügung: www.lda.bayern.de/media/sid_ergebnis_2019.pdf

Die Pressemitteilungen des Bayerischen Landesamts für Datenschutzaufsicht können hier abgerufen werden.