US-Techkonzerne er­füllen DSGVO mangelhaft

Google, Facebook, Twitter und Co. erfüllen die Anforderungen der DSGVO laut einer Studie kaum. Insbesondere der Umgang mit sensiblen Daten ist "unzureichend" bis "völlig unbefriedigend".
 
Grosse Internet- und Online-Konzerne haben die Vorgaben der EU-Datenschutzgrundverordnung noch nicht ordentlich umgesetzt. Dies geht aus einer eben erst publizierten Studie hervor, die vom deutschen Justizministerium in Auftrag gegeben wurde.
 
"Nicht ansatzweise alle Dienste haben die DSGVO umgesetzt, und dies schon gar nicht vollständig", sagte Justizstaatssekretär Gerd Billen dem 'Handelsblatt'. Vor allem bei sozialen Netzwerken und Messenger-Diensten gibt es laut der Studie der Universität Göttingen "weiter eklatante Mängel".
 
Untersucht wurden 35 Online-Dienste, darunter Anbieter von sozialen Medien wie Facebook oder Twitter, Online-Shops und Buchungsportale wie Zalando und Booking.com sowie die Online-Präsenzen von Unternehmen, darunter die Deutsche Bank. Dabei wurde laut Bericht etwa der Einsatz von Tracking-Technologien überprüft, oder wie die Daten für die Erstellung von Persönlichkeitsprofilen verwendet werden.
 
Nachlässiger Umgang mit sensiblen Daten
Insbesondere beim Umgang mit sensiblen Daten fanden die Autoren die "gravierendsten Mängel", heisst es laut der Zeitung in der Studie. "Nachlässig ist oft der Umgang mit den Daten, die eigentlich besonders zu schützen sind: sensible Informationen zur Herkunft, zur Gesundheit oder zu politischen Ansichten", sagte Billen.
 
Insgesamt fielen laut dem Bericht 19 der 35 untersuchten Dienste im Umgang mit sensiblen Daten durch, darunter Snapchat ("unzureichend"), Facebook ("stark defizitär"), Instagram ("völlig unbefriedigend") sowie Google ("völlig unzureichend").
 
Bei Facebook werde bemängelt, dass die Information zur Verarbeitung sensibler Daten "vage" bliebe. Twitter komme den Anforderungen für die Verarbeitung sensibler Daten "in keiner Weise" nach, berichtet das 'Handelsblatt'.
 
Es gebe ein paar positive Ausnahmen, allerdings nur wenige. "Lediglich zwei Dienste informieren überhaupt über die Verarbeitung sensibler Daten", heisst es in der Untersuchung. Beispielsweise seien die Datenschutzhinweise auf der Webseite der Deutschen Bank "transparent und präzise gestaltet". "Insbesondere die Informationen zu einzelnen Trackern, dem Profiling und der Einbindung von Social Media Plugins sind ausführlich und gut verständlich." Positiv aufgefallen seien auch die Online-Shops von Otto ("insgesamt sehr positiv") und Zalando ("vorbildlich").
 
Die grössten DSGVO-Bussen 2019
Unternehmen, die gegen die DSGVO verstossen, können mit einer Strafe belegt werden, die bis zu vier Prozent des Jahresumsatzes betragen kann.
 
Vergangenes Jahr wurden von verschiedenen Datenschutzbehörden, Bussen ausgesprochen. Die grössten hat Precise Security zusammengetragen. Demnach hatten die zehn grössten Verstösse gegen die DSGVO im Jahr 2019 Bussen über 400 Millionen Euro zur Folge. Dabei teilten sich drei Unternehmen 90 Prozent dieser Strafzahlungen, wie aus einer Mitteilung von Precise Security hervorgeht.
 
Im Juli 2019 wurde British Airways mit einer Busse von 204,6 Millionen Euro belegt. Dies war gleichzeitig die höchste Summe, die bis dato weltweit für unzureichenden Datenschutz eingefordert wurde. Die britische Behörde für Datenschutz, ICO, bestrafte die Fluglinie, nachdem Kriminelle die Kreditkarten-Informationen von bis zu einer halben Million Kunden des Unternehmens auslesen konnten.
 
Die zweithöchste Strafe 2019 wurde laut Precise Security ebenfalls von der britischen Behörde ICO ausgesprochen. Das US-Unternehmen Marriott International wurde mit 110,4 Millionen Euro gebüsst. Grund war eine Sicherheitslücke im November 2018, die die Daten von 339 Millionen Gästen offen legte.
 
Der US-Konzern Google findet sich auf dem dritten Platz dieser Liste. Die französische Datenschutz-Behörde CNIL büsste das Unternehmen mit 50 Millionen Euro. Google habe es versäumt, Nutzern angemessene Informationen für die Zustimmung zu den Datenschutz-Richtlinien zu liefern. Zudem bot der Tech-Riese seinen Kunden keine ausreichende Kontrolle über die Nutzung ihrer persönlicher Informationen, hiess es. (kjo, mit Material von Keystone-sda)