Am 5. Febru­ar 2019 hat das Bay­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) die Ergeb­nis­se sei­ner Prü­fung von 20 Web­sei­ten zu den Kri­te­ri­en “Cyber­si­cher­heit” und von 40 Web­sei­ten zu den Kri­te­ri­en “Tracking” ver­öf­fent­licht.

Cyber­si­cher­heit

Unter­sucht wur­den 20 Web­sei­ten aus den Kate­go­ri­en Strea­ming-/Vi­deo­por­ta­le, E-Mail-Dien­ste, Elek­tro­nik-Shops, Foto­ser­vices, Gesund­heit und Kos­me­tik, Möbel, Mode, Preis­ver­gleich und Ticket­ver­kauf, sowie sozia­le Netz­wer­ke. Das BayL­DA kam u.a. zum fol­gen­den Ergeb­nis:

  • 75% der Dien­ste bie­ten unzu­rei­chen­de Erläu­te­run­gen zur Wahl eines star­ken Pass­worts an; ausser­dem infor­mie­ren nur 50% der Dien­ste ihre Nut­zer per E-Mail über eine Pass­wor­t­än­de­rung;
  • 9 von 20 Dien­sten for­dern ein Pass­wort mit weni­ger als 8 Zei­chen (das BayL­DA emp­fiehlt eine Min­dest­län­ge von 12 Zei­chen);
  • alle Dien­ste akzep­tie­ren schwa­che Pass­wör­ter (z.B.:123456, abcdefgh oder P@asswort) und schwa­che Pass­wör­ter wer­den oft irr­tüm­li­cher­wei­se als “sicher” oder “stark” ange­zeigt;
  • nur 25% der Dien­ste ver­lan­gen die E-Mail­be­stä­ti­gung einer Regi­strie­rung auf der Web­sei­te und 80% der Dien­ste bie­ten kei­ne Mehr-Fak­tor-Anmel­dung an (z.B. Log­in mit Pass­wort und SMS-Code); und
  • kei­ne Web­sei­te infor­miert die Nut­zer genü­gend über Phis­hing; nur 1 Web­sei­te infor­miert die Nut­zer über fehl­ge­schla­ge­ne Log­ins bzw. Log­ins über frem­de Gerä­te und nur 6 von 20 Web­sei­ten bie­ten Sup­port bei Sicher­heits­fra­gen und Hacking.

Tracking

Unter­sucht wur­den 40 Web­sei­ten aus den Kate­go­ri­en Online-Shops, Sport, Ver­si­che­run­gen & Ban­ken, Medi­en, Auto & Elek­tro­nik, Haus & Woh­nen, sowie Son­sti­ges. Das BayL­DA kam u.a. zum fol­gen­den Ergeb­nis:

  • alle Web­sei­ten bin­den Tracking-Tools von Dritt­an­bie­tern ein;
  • 75% der Web­sei­ten infor­mie­ren gar nicht oder nur unzu­rei­chend über den Ein­satz von Tracking-Tools;
  • 20% der Web­sei­ten holen kei­ne Ein­wil­li­gung für die Ver­wen­dung von Coo­kies ein; die übri­gen 80% holen eine nicht daten­schutz­kon­for­me Ein­wil­li­gung ein, sodass kei­ne Ein­wil­li­gung wirk­sam ist; und
  • nur 1 Web­sei­te erlaubt den Nut­zern die effek­ti­ve Wahl, ob ihre Daten von Tracking-Tools bear­bei­tet wer­den dür­fen.

Das BayL­DA hat sein Vor­ha­ben geäu­ssert, die Miss­stän­de abzu­stel­len sowie die Ein­lei­tung von Buss­geld­ver­fah­ren zu prü­fen.

Posted by Jacqueline Sievers

RA Dr. Jaqueline Sievers war von 2013-2015 bei Homburger tätig und ist zurzeit LL.M-Studentin in Edinburgh.