Die Diskussionen über die Datenschutzgrundverordnung sind bis heute nicht abgeklungen. Was ist sie? Wer ist betroffen? Was ist zu tun? Diese und andere Fragen haben wir in unserem letzten Beitrag beantwortet. Dort finden Sie auch eine Checkliste zur Einhaltung der GDPR, mit der Sie sicherstellen können, dass Ihre Website oder andere Online-Präsenz die nicht mehr ganz so neuen Regeln für die Verarbeitung personenbezogener Daten erfüllt.
QAwerk arbeitet mit Kunden in der ganzen Welt zusammen, und die Hälfte von ihnen kommt aus EU-Ländern. Wir fallen unter die GDPR, da wir ein Outsourcing-Unternehmen für Softwaretests sind, das mit europäischen Bürgern interagiert, und unser Unternehmen sollte die sichere Erfassung und Verarbeitung personenbezogener Daten gewährleisten und den Zweck ihrer Verwendung angeben. Zunächst hat sich unser Team anhand offizieller Dokumente und Dutzende von Artikeln eingehend mit den neuen Vorschriften befasst, dann haben wir einen Plan erstellt und unsere Website entsprechend den Anforderungen geändert. Während unserer Studie haben wir uns natürlich auch angeschaut, wie andere Unternehmen die GDPR befolgen, und waren enttäuscht, dass fast niemand etwas dagegen unternimmt.
Obwohl die GDPR-Verordnung seit dem 25. Mai 2018 in Kraft getreten ist, hat die überwältigende Mehrheit der Webdienste diese Neuerung nicht ernst genommen. Infolgedessen erhielten sie Hunderte von Klagen von Nutzern und mussten hohe Geldstrafen zahlen. Laut Gesetz muss das Unternehmen bei Nichteinhaltung der GDPR-Vorschriften, bei verspäteter Meldung von Datenlecks oder bei Verstößen gegen die Erhebung und Verarbeitung personenbezogener Daten eine Geldstrafe in Höhe von bis zu 20 Millionen Euro oder 4 % des Jahresgewinns zahlen.
Wo gab es Verstöße?
Im vergangenen Jahr gingen europaweit mehr als 95 000 Beschwerden ein, wobei die meisten Verstöße in den Niederlanden, Finnland und dem Vereinigten Königreich gemeldet wurden. Mehr als 500 Millionen Menschen waren von großen Datenschutzverletzungen bei den Unternehmen British Airways, Marriott und Quora betroffen. Berühmte Unternehmen wie Uber, Facebook und Equifax haben ebenfalls Geldbußen für Verstöße gegen die Datenschutzgrundverordnung erhalten.
Wie hoch waren die Geldbußen?
Die im Laufe des Jahres verhängten Bußgelder beliefen sich auf insgesamt 56 Mio. EUR, und das Beeindruckendste daran ist, dass 50 Mio. EUR dieser Summe eine Geldstrafe für Google von der französischen Datenschutzbehörde CNIL sind. Die CNIL behauptete, Google habe gegen die Datenschutz-Grundverordnung verstoßen, weil es die Transparenz- und Informationsanforderungen nicht erfüllt und keine gültige Zustimmung zur Verarbeitung der personenbezogenen Daten der Nutzer für die Personalisierung von Anzeigen eingeholt habe. Bislang ist dies die höchste Geldstrafe, die wegen eines Verstoßes gegen die DSGVO verhängt wurde, denn in anderen Fällen lag sie zwischen 5 und 400 000 Euro.
Im Oktober 2018 wurde Facebook zu einer Geldstrafe in Höhe von 500 000 Pfund verurteilt, weil es die Daten von 87 Millionen Nutzern ohne deren ausreichende Zustimmung zu politischen Werbezwecken weitergegeben hatte. Die Daten wurden über die Quiz-App gesammelt, die von einem Professor der Universität Cambridge entwickelt wurde und von den Nutzern die Erlaubnis erhielt, ihre persönlichen Daten und die Daten ihrer Freunde zu verarbeiten. Dem Facebook-Unternehmen wurde vorgeworfen, Anwendungsentwicklern den Zugriff auf Nutzerdaten ohne ausreichende Zustimmung zu ermöglichen und persönliche Daten nicht schützen zu können.
Im Jahr 2018 wurde die gleiche Strafe gegen Equifax, ein Unternehmen für Datenanalyse und Technologie, verhängt. Hacker stahlen persönliche Informationen und Finanzdaten von 15 Millionen britischen Bürgern, nachdem die Fehler dazu geführt hatten, dass die Daten für unbefugte Zugriffe anfällig waren.
Der jüngste Verstoß gegen die DSGVO wurde vor kurzem von Pregnancy Club Bounty UK begangen. Es wurde festgestellt, dass das Unternehmen personenbezogene Daten von mehr als 14 Millionen Menschen von seiner Website, seiner mobilen App und seinen Warenkarten gesammelt und illegal an Dritte wie Kreditauskunfteien und Marketingagenturen weitergegeben hatte, ohne dass die Menschen davon wussten. Bounty UK wurde wegen der Weitergabe von etwa 34,4 Millionen Datensätzen zu einer Geldstrafe von 400.000 Pfund verurteilt.
Man kann mit Sicherheit sagen, dass die Auswirkungen der DSGVO im Jahr 2019 weiter zunehmen werden, da sie die Menschen bereits zum Nachdenken über die Verarbeitung und den Schutz ihrer personenbezogenen Daten gebracht hat. Für Unternehmen jeder Größe können mehrere Tausend Bußgelder ein großer Verlust sein, so dass es besser ist, die GDPR einzuhalten und sich ruhig zu fühlen, wenn man mit jemandem Geschäfte macht.
QAwerk hat beschlossen, 11 bekannte Design-Tools zu testen und zu vergleichen, inwieweit sie die neuen Regeln erfüllen. Basierend auf der Checkliste, die wir speziell für die Prüfung der GDPR-Konformität entwickelt haben, sind wir zu folgenden Ergebnissen gekommen:
| Element |  |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
% von Y |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Einholung der Zustimmung | ||||||||||||
| Kontrollkästchen, Hyperlink zu den Allgemeinen Geschäftsbedingungen und deren Seite |  
|  
|
|
|
|
|
|
|
|
|
| 80 |
| Kontrollkästchen, Hyperlink zur Datenschutzrichtlinie und ihrer Seite |
|
|
|
|
|
|
|
|
|
|
| 70 |
| Opt-in/Opt-out-Optionen |
|
|
|
|
|
|
|
|
|
|
| 10 |
| Alterskontrolle |
|
|
|
|
|
|
|
|
|
|
| 0 |
| Persönliche Daten | ||||||||||||
| Registrierungsseite mit minimaler Datenerfassung |
|
|
|
|
|
|
|
|
|
|
| 70 |
| Login-Seite (+ Zugang zu sozialen Netzwerken) |
|
|
|
|
|
|
|
|
|
|
| 100 |
| Optionen zum Abonnieren/Abbestellen |
|
|
|
|
|
|
|
|
|
|
| 40 |
| Option Konto bearbeiten |
|
|
|
|
|
|
|
|
|
|
| 100 |
| Option Konto löschen |
|
|
|
|
|
|
|
|
|
|
| 40 |
| Option Verarbeitungsmodus einschränken |
|
|
|
|
|
|
|
|
|
|
| 10 |
| Option Daten exportieren |
|
|
|
|
|
|
|
|
|
|
| 10 |
| Technische Daten | ||||||||||||
| Zwei-Faktor-Authentifizierung (2FA) |
|
|
|
|
|
|
|
|
|
|
| 0 |
| HTTPS-Protokoll (funktioniert und ist aktuell) |
|
|
|
|
|
|
|
|
|
|
| 100 |
| Cookies-Politik |
|
|
|
|
|
|
|
|
|
|
| 30 |
Wie Sie sehen können, verfügen 100 % der getesteten Tools über eine Anmeldeseite mit Zugang zu sozialen Netzwerken, die Möglichkeit, das Konto zu bearbeiten und über das HTTPS-Protokoll zu arbeiten; etwa 70-80 % der Websites fragen nach der Zustimmung und verfügen über ein Zustimmungs-Kontrollkästchen und einen Hyperlink zu den Seiten mit den Allgemeinen Geschäftsbedingungen und der Datenschutzrichtlinie sowie über die Erfassung von Mindestdaten auf der Registrierungsseite; etwa 30-40 % der Tools verfügen über eine Cookie-Richtlinie, Optionen zum Abonnieren/Abbestellen und die Möglichkeit, ein Konto zu löschen; nur 10 % der Websites verfügen über Opt-in/Opt-out-Optionen, Optionen zur Einschränkung der Verarbeitung und zum Datenexport; keine der getesteten Websites überprüft das Alter der Nutzer und verfügt über eine Zwei-Faktor-Authentifizierung.
Bei Nichteinhaltung mindestens einer der GDPR-Vorschriften haben Unternehmen alle Chancen, Beschwerden von Nutzern über ihre Website zu erhalten und die Aufmerksamkeit der europäischen Datenschutzbehörde auf sich zu ziehen, die befugt ist, eine Geldstrafe zu verhängen. Alles in allem ist es nach den Erfahrungen anderer Unternehmen besser, die eigene Website ein für alle Mal auf Konformität und Transparenz zu überprüfen, als sich in unangenehme Situationen zu begeben, die finanzielle Verluste nach sich ziehen und Tausenden von Nutzern schaden. Zumal QAwerk ein Rezept hat, wie man GDPR-konform wird, und wir sind immer bereit, Ihnen dabei zu helfen.
