Aufsichtsbehörde 2019 - Wehe wenn die Bayern losgelassen ...


Sicherheit im Internet und digitale Dienste im Datenschutzcheck. Diese Headline stand für das Bayerische Landesamt für Datenschutzaufsicht 2019 im Fokus. Mit gemischten Gefühlen und gemischten Ergebnissen wurde Anfang 2020 der 19. offizielle Bericht veröffentlicht. Zwei Prüfbereiche standen im Fokus: 1. Cybersicherheit, 2. Tracking.


Laut Jahresbericht hat die Aufsichtsbehörde anlässlich des "Safety Internet Day 2019" 20 ausgesuchten Internetseiten hinsichtlich in den Prüfblöcken Cybersicherheit und Tracking untersucht.


Welche Kategorien von Websites wurden untersucht?


2 Steaming-/Videoportale

2 E-Mail-Dienste

2 Elektronik Shops

2 Fotoserices

2 Gesundheit-/Kosmetik-Websites

2 Möbel-Shops

3 Mode-Shops

2 Preisvergleich-/Ticketseiten

3 Soziale Netzwerke


Die wichtigsten Prüfpunkte:


  • 22 Punkte im Bereich "Sichere Gestaltung eines Nutzeraccounts"

  • 17 Punkt im Bereich "Login - Schutz vor Übernahme eines Nutzeraccounts durch Cyberkriminelle


Die Frage: Verfügt der Dienst über eine ausreichende HTTPS-Verschlüsselung zum Schutz der eingegebenen personenbezogenen Daten?


  • Ein eingeschränkt gutes Ergebnis, aufgrund der Verwendung des unsicheren RC4-Chiffre: 40 Prozent

  • Sehr gute HTTPS-Konfiguration: 40 Prozent

  • Hervorragende HTTPS-Verschlüsselung: 50 Prozent


Zwei Dienste fielen bei der Überprüfung durch das Raster. Für den Rest der Unternehmen besteht jedoch kein Probleme bezüglich der HTTPS-Transportverschlüsselung. Wobei es auf die konkrete Umsetzung ankommt. Um das "grüne Schlosssymbol" zu erhalten, müssen die Verantwortlichen einiges beachten.


2. Frage: Wird dem Nutzer erklärt, wie ein starkes Passwort gewählt werden kann?

  • 10 Prozent lieferten gute Informationen

  • 15 Prozent kamen auf mäßige Hinweise

  • 75 Prozent jedoch auf unzureichende Erläuterungen


3. Frage: Wird ein starkes Passwort vom Dienst "erzwungen" oder kann ein Nutzer auch ein schwaches Passwort verwenden?


Das Ergebnis ist eindeutig: 100 Prozent lassen ein schwaches Passwort zu. Wobei es erschreckend ist, dass einige Passwortrichtlinien nicht mehr zeitgemäß sind und die Verantwortlichen die schwachen Passwörter sogar als "sicher" bezeichneten.


4. Frage: Erhält der Nutzer eine E-Mail, um die im Account hinterlegte E-Mail-Adresse erfolgreich zu bestätigen und die Registrieung abzuschließen?


Nur 25 Prozent der Unternehmen kommen der Bestätigung der E-Mail-Adresse nach.

Immerhin 30 Prozent geben Informationen über eine Registrierung per E-Mail weiter

45 Prozent verzichten gänzlich auf die Verifizierung der E-Mail-Adresse


5. Frage: Wird ein Nutzer während oder kurz nach der Registrierung über die Gefahren möglicher Pishing-Angriffe informiert?


Kurz gesagt, in 100 Prozent der geprüften Fälle lautet die erschreckende Antwort: Nein!


6. Frage: Stellt die Website Informationen zu Fragen rund um die Account-Sicherheit bereit, wenn z. B. der Account des Nutzers von einem unbefugten übbernommen wurde?


Nur 6 von 20 Websites bieten einen Support an, wenn ein Nutzer befürchtet oder feststellt, dass der eigene Account von Fremden übernommen wurde.


Beim Datenschutz-Tracking untersuchte die Aufsichtsbehörde 40 ausgewählte Websites hinsichtlich datenschutzkonformer Einbindung von Tracking-Tools (u. a. Informationen und Einwilligungen) Untersucht wurden:

  • 27,5 Prozent: Online-Shops

  • 12,5 Prozent: Sport

  • 12,5 Prozent: Versicherung und Banken

  • 17,5 Prozent: Medien

  • 10 Prozent: Auto und Elektronik

  • 7,5 Prozent: Haus und Wohnen

  • 12,5 Prozennt: Sonstige


Das positive Ergebnis: Von 40 geprüften Websites binden 40 Websites Tracking-Tools ein, veranlassen eine Datenverarbeitung durch fremde Dienste.


1. Frage: Wird der Nutzer über den Einsatz von Tracking-Tools informiert?


Lediglich 25 Prozent der Verantwortlichen liefern Informationen zu eingesetzten Tracking-Tools in ihren Datenschutzhinweisen. 75 Prozent liefern statt dessen nur unzureichende Informationen in ihren Datenschutzhinweisen.


2. Frage: Wie viele Websites fragen nach der Einwilligung über einen Cookie-Banner?


In 20 Prozent der Fälle wird keine Einwilligung des Nutzers eingeholt, während 80 Prozent zwar eine Einwilligung einholen, die jedoch nicht datenschutzkonform sind.


3. Frage: Kann der Nutzer die Profilbildung durch Tracking-Tools auf der Website selbst durch eigene Einstellungen im Browser verhindern?


Auch das Ergebnis auf diese Frage ist erschreckend negativ. Lediglich auf 1 Website von 40 kann der Nutzer eine Profilbildung selbst verhindern.

Fazit:
In beiden geprüften Bereichen (Cybersicherheit / Tracking) gibt es für Verantwortliche teils erheblichen Nachholbedarf, um eine Verbesserung ihres Datenschutzkonzepts zu erreichen.
0 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.