Partner von:
Anzeige

Startup deckt DSGVO-Verstöße auf: Zwölf DAX30-Konzerne geben laut UserCentrics Nutzerdaten illegal weiter

IT-Experte und Hackernoon-Autor David Gilbertson zeigt auf, wie naiv Unternehmen mit Skripten umgehen
IT-Experte und Hackernoon-Autor David Gilbertson zeigt auf, wie naiv Unternehmen mit Skripten umgehen

Auch ein halbes Jahr nach Inkrafttreten der DSGVO gibt fast die Hälfte der Dax30-Unternehmen ohne Einwilligung der Nutzer personenbezogene Daten weiter. Das hat UserCentrics ermittelt. Es steht zu vermuten, dass mindestens die Führungsetage davon gar nichts weiß. Doch gerade für die Flaggschiff-Companies der deutschen Wirtschaft könnte der fahrlässige Umgang mit der neuen Verordnung teuer werden.

Anzeige

Von Frank Puscher

Es mutet schon ein bisschen wie „Hasenfußrennen“ an. Wer zuerst aus dem Auto springt oder gar bremst, verliert. Wer sein Leben riskiert – wie weiland James Dean – ist eben cooler.

Nun rasen die Websites der DAX-Unternehmen nicht wirklich auf einen Abgrund zu. Im Gegenteil: Die meisten dümpeln gemütlich vor sich hin und scheren sich vergleichsweise wenig um die aktuellen digitalen Trends wie Personalisierung, Conversational oder gar Mobile first. Aber immerhin sollten die Verantwortlichen verstehen, dass sie seit Mai für Verstöße gegen den Datenschutz möglicherweise persönlich haften. Und sie sollten auch wissen, dass sich die Datenschützer und Abmahnanwälte zuerst die Websites der Großen anschauen, denn da gibt es am meisten zu holen. Am meisten Publicity, aber auch am meisten Bares: bis zu vier Prozent vom Jahresgruppenumsatz.

Und genau das ist soeben passiert. Glücklicherweise führt UserCentrics nichts Böses im Schilde, sondern will mit dem eigenen Geschäftsmodell gerade von den Datenschutz-Defiziten der Unternehmen profitieren. Aber das mit der Publicity hat schon mal geklappt. Man hat die Websites der Dax30-Unternehmen analysiert und festgestellt, dass 12 davon den Datenschutz nicht ernst nehmen, zumindest nicht nach Maßstäben von UserCentrics.

24 Serveranfragen stellt die durchschnittliche Dax-Website, wenn sie geladen wird. Nicht mitgezählt sind das Abrufen von Bildern, Videos und Texten. Nein, es geht nur um den Datenaustausch und zwar den mit Dritten. Und hier wird es besonders spannend: Die DSGVO verlangt, dass der Websitebetreiber jederzeit Auskunft geben kann, was mit den Daten geschieht. Er muss ein Dienstleisterverzeichnis pflegen und die Dienstleister müssen sich zur DSGVO bekannt haben.

Bei den wichtigsten Dienstleistern haben die Dax30-Unternehmen das zweifellos sorgfältig getan. Da wären zum Beispiel die Agenturen, der Tracking-Dienstleister für die Webanalyse und – sofern vorhanden – das eingebundene Werbenetzwerk.

Aber das ist eben nur die Spitze des Eisbergs. Seit Javascript sogenannte „Runtime-Libraries“ zulässt, also seit mindestens 15 Jahren, ist es so einfach geworden, Sonderfunktionalität in Webseiten einzubauen. Sonderfunktionalität, die man selbst nicht programmiert hat, vielleicht auch nicht programmieren könnte. Aber vor allem Sonderfunktionalität, die man nicht ausreichend kontrollieren kann.

Die Rede ist von ganz einfachen Dingen. Der Videoplayer, eine Online-Umfrage, eine externe Recommendation-Engine, der Facebook-Like-Button. Selbst beim Nachladen von Schriften können personenbezogene Daten der Nutzer ausgelesen werden. Und ganz krass wird es, wenn man externe „Skripte“ einsetzt, um zum Beispiel die Rechtschreibung in einem Formular zu validieren.

Anzeige

Böswillige Programmierungen können mitlesen, was der User tut und eingibt

Wer auch nach Halloween noch Spaß am Gruseln hat, widme sich dem Artikel von David Gilbertson. Er beschreibt auf Hackernoon, wie einfach es ist, mit Software-Bibliotheken Kreditkartennummern mitzulesen. Er hat zwar auch profunde Hackerkenntnisse, aber sein einfachster Trick ist, eine Softwarebibliothek mit irgendeiner Sonderfunktion als OpenSource zur Verfügung zu stellen. Die erste Version, die er auf Plattformen wie Github veröffentlicht, ist frei von Schadcode. Nach gewisser Zeit überschreibt David diese mit einer neuen „Spionage-Version“ und die wird offensichtlich vom Sitebetreiber nicht geprüft.

Und Websitebetreiber haben noch Glück, denn die Browser arbeiten in einer Sandbox, einem einigermaßen geschützten Bereich. Böswillige Programmierungen können vor allem das mitlesen, was der User tut und eingibt. Viel härter trifft das die Verbreiter von Apps. Die allermeisten Apps enthalten so genannte SDKs (Software Development Kits) und schon der Name sollte hellhörig machen. Durch ein SDK kann jede App zum Trojanischen Pferd werden. Das SDK kann grundsätzlich auf die Berechtigungen zugreifen, die der App vom Nutzer gegeben wurden. Wer also zum Beispiel eine Wetter-App nutzt und ihr den eigenen Standort freigibt, muss sich also nie wieder Sorgen machen, dass er sich in der ukrainischen Taiga verirren könnte. Irgendein Hacker wird ihn finden, hoffentlich rechtzeitig.

Und spätestens hier bricht auch das feinziselierte DSGVO-Konstrukt zusammen, dessen sich die meisten Unternehmen heute bedienen. 20 der 30 Dax Unternehmen gehen von einer konkludenten Einwilligung zur Datenspeicherung aus. Zwar verlangt die DSGVO die explizite Einwilligung (ziemlich genau das Gegenteil), kennt aber die Ausnahme des „berechtigten Interesses“. Das liegt allerdings garantiert nicht vor, wenn die gelesenen Daten an Dritte gehen, von denen man nicht einmal weiß.

Warnschuss für die Unternehmen: Der DSGVO-Sturm braut sich eben erst zusammen

Ein großes Industrieunternehmen stellte im Mai erstaunt fest, dass sich 85 Serveraufrufe in der Startseite festgefressen hatten. Bei über der Hälfte konnte keiner im Unternehmen mehr sagen, wozu das mal eingebaut wurde. Manche der Dienstleister – die immer gerne so euphemistisch werben mit: „eine Zeile Code einbauen genügt“ – gibt es heute längst nicht mehr.

Es führt kein Weg daran vorbei: Jedes einzelne Skript in Website und App muss analysiert und dessen Funktion dokumentiert werden. Stammen die Skripte aus Quellen, die nicht DSGVO-konform operieren, fliegen sie raus. Alternativlos. Die UserCentrics-Analyse muss ein dringender Warnschuss sein für die Unternehmen, die meinen, der große DSGVO-Sturm legt sich gerade. Das ist falsch. Er braut sich eben erst zusammen. Sobald es erste Präzedenzfälle gibt, geht es richtig los. Und das Münchner Startup hat als auf das Managen von Einwilligungen spezialisierte Consent-Management-Plattform – natürlich – eine Lösung im Angebot.

Einen Vorteil aber hat das Ganze. Weniger Skripte machen die Websites schneller und das hat erwiesenermaßen positive Effekte auf die Conversions. Und vielleicht macht man sich darüber hinaus noch ein paar grundsätzliche Gedanken, wie die Datenstrategie im eigenen Haus eigentlich aussieht.

Keine Neuigkeiten aus der Medien-Branche mehr verpassen: Abonnieren Sie kostenlos die MEEDIA-Newsletter und bleiben Sie über alle aktuellen Entwicklungen auf dem Laufenden.

Anzeige

Mehr zum Thema

Anzeige
Anzeige

Alle Kommentare

Dein Kommentar

Deine E-Mailadresse wird nicht veröffentlicht.

*

Werben auf MEEDIA
 
Meedia

Meedia