45% aller Websites, 95% aller Google Analytics-Nutzer nicht gesetzeskonform

Die Bewertungsgesellschaft Xamit hat 26.209 deutsche Websites nach den kriterien des Datenschutzes untersucht – mit erschreckenden Ergebnissen: 45 % der untersuchten Websites verstoßen laut Xamit "gegen die gesetzlichen Bestimmungen oder weisen sonstige Indikatoren für ein mangelhaftes Schutzniveau auf".

Bei Sites, die Google Analytics nutzen, sieht es noch schlimmer aus: 95 % dieser Websites weisen nicht auf die mit der Nutzung verbundenen Datensammlung und -Übertragung hin. dabei nutzen derzeit schon 10 % der untersuchten Sites dieses Tool!

Interessant ist auch die Auswertung auf technische Schwachstellen bei Onlineshops.

Um potentielle Schwachstellen von Onlineshops zu finden, ging Xamit so vor:

Aktuelle PHP-Technik fanden die Analysten dabei nur in jedem 3. Webshop: 6.226 Installationen von PHP der Version 4 stehen ’nur‘ 3.322 der Version 5 gegenüber. Xamit hält dies für bedenklich, da veraltetes oder ‚ungehärtetes‘ PHP als Einfallstor für Angreifer dienen kann – z.B. auch für Datendiebstähle. Bei 162 Shops konnten mit den automatischen Analysemitteln bekannte Softwaren identifiziert werden: Das waren zu 64 % xtCommerce, gefolgt von osCommerce (20 %) sowie weiteren sieben Standardprogrammen (zusammen 16 %). Diese Daten sind alle nicht repräsentativ, da insgesamt nur wenige Webshops untersucht wurden – aber sie zeigen, dass Shops ihre Software (zumindest ihr PHP) nicht regelmäßig updaten.

Generell wird bei vielen Sites der Einsatz von Google AdSense verschwiegen – dass hierbei von Google ein Cookie gesetzt wird, sollte in der Datenschutzbelehrung genannt werden. Ebenso ist die Nutzung von Google Analytics aus Datenschutz-Sicht eine sehr kritische Sache*. Den Einsatz komplett zu verschweigen aber – wie es immer noch der Großteil der Sites tut – widerspricht auch den Nutzungsbedingungen von Google!

Interessant dabei: Xamit formuliert in seinem Bericht ganz richtig: "Aus diesem Grund greift die Argumentation einiger Webseitenbetreiber, die IP-Nummern eben nicht als personenbezogene Daten ansehen, zu kurz. Eine Auffassung, die von einigen Gerichten gestützt und von anderen abgelehnt wird." In der eigenen Datenschutzerklärung (die im Impressum versteckt ist) listet Xamit aber selbst die IP-Adresse unter den nicht-personenbezogenen Daten auf. Man verschweigt dort auch das Recht auf Löschung der eigenen Daten und verrät auch nicht, wie man sein Recht auf Einsicht wahrnehmen kann… 😉

Letztes Thema im Report: Kontaktformulare. Wer ein Kontaktformular anbietet, verarbeitet (und speichert) naturgemäß auch Daten – auch hierzu muss in einer Datenschutzerklärung belehrt werden. Die Ergebnisse des "Datenschutzbarometers 2008" gibt es hier im kostenlosen Download (PDF, 436,7 kb).

Mein Tipp: Einmal hinsetzen und aufschreiben, wo alles welche Daten anfallen. Und dann das Ganze in die Datenschutzbelehrung schreiben. Habe ich auch neulich erst gemacht (und die Adsense-Belehrung glatt vergessen – werde ich sofort nachtragen). Und wer braucht schon Google Analytics? Sicherere Programme sind durchaus bezahlbar, und bei denen weiß man auch, wem man seine sensiblen Geschäftsdaten anvertraut…

Herzlich aus Hürth
Nicola Straub

*(Wikipedia: "Es ist rechtlich fraglich, ob eine solche Übermittlung überhaupt zulässig ist. Hinzu kommen rechtliche Schwierigkeiten, etwa dass eine Einwilligung „bewusst“ erfolgen muss (§ 13 Abs. 2 TMG) und die Webseite nicht nur bei einer Zustimmung zugänglich gemacht werden darf (§ 12 Abs. 3 TMG)", siehe auch Akademie.de zu den Bedingungen, um Google Analytics rechtskonform zu nutzen)