Es mutet schon ein bisschen wie „Hasenfußrennen“ an. Wer zuerst aus dem Auto springt oder gar bremst, verliert. Wer sein Leben riskiert – wie weiland James Dean – ist eben cooler. Nun rasen die Websites der DAX-Unternehmen nicht wirklich auf einen Abgrund zu. Im Gegenteil: Die meisten dümpeln gemütlich vor sich hin und scheren sich vergleichsweise wenig um die aktuellen digitalen Trends wie Personalisierung, Conversational oder gar Mobile first. Aber immerhin sollten die Verantwortlichen verstehen, dass sie seit Mai für Verstöße gegen den Datenschutz möglicherweise persönlich haften. Und sie sollten auch wissen, dass sich die Datenschützer und Abmahnanwälte zuerst die Websites der Großen anschauen, denn da gibt es am meisten zu holen. Am meisten Publicity, aber auch am meisten Bares: Bis zu vier Prozent vom Jahresgruppenumsatz.
UserCentrics analysiert Websites der DAX-30
Und genau das ist soeben passiert. Glücklicherweise führt UserCentrics nichts Böses im Schilde. Aber das mit der Publicity hat schon mal geklappt. Man hat die Websites der Dax30-Unternehmen analysiert und festgestellt, dass zwölf davon den Datenschutz nicht ernst nehmen, zumindest nicht nach Maßstäben von UserCentrics. 24 Serveranfragen stellt die durchschnittliche Dax-Website, wenn sie geladen wird. Nicht mitgezählt sind das Abrufen von Bildern, Videos und Texten. Nein, es geht nur um den Datenaustausch und zwar den mit Dritten. Und hier wird es besonders spannend: Die DSGVO verlangt, dass der Websitebetreiber jederzeit Auskunft geben kann, was mit den Daten geschieht. Er muss ein Dienstleisterverzeichnis pflegen und die Dienstleister müssen sich zur DSGVO bekannt haben. Bei den wichtigsten Dienstleistern haben die Dax30-Unternehmen das zweifellos sorgfältig getan. Da wären zum Beispiel die Agenturen, der Tracking-Dienstleister für die Webanalyse und – sofern vorhanden – das eingebundene Werbenetzwerk.
Sonderfunktionalitäten für noch mehr Datenklau
Aber das ist eben nur die Spitze des Eisbergs. Seit Javascript sogenannte „Runtime-Libraries“ zulässt, also seit mindestens 15 Jahren, ist es einfach geworden, Sonderfunktionalität in Webseiten einzubauen. Sonderfunktionalität, die man selbst nicht programmiert hat, vielleicht auch nicht programmieren könnte. Aber vor allem Sonderfunktionalität, die man nicht ausreichend kontrollieren kann. Die Rede ist von ganz einfachen Dingen. Der Videoplayer, eine Online-Umfrage, eine externe Recommendation-Engine, der Facebook-Like-Button. Selbst beim Nachladen von Schriften können personenbezogene Daten der Nutzer ausgelesen werden. Und ganz krass wird es, wenn man externe „Skripte“ einsetzt, um zum Beispiel die Rechtschreibung in einem Formular zu validieren.
Wer auch nach Halloween noch Spaß am Gruseln hat, widme sich dem Artikel von David Gilbertson. Er beschreibt auf Hackernoon, wie einfach es ist, mit Software-Bibliotheken Kreditkartennummern mitzulesen. Er hat zwar auch profunde Hackerkenntnisse, aber sein einfachster Trick ist, eine Softwarebibliothek mit irgendeiner Sonderfunktion als OpenSource zur Verfügung zu stellen. Die erste Version, die er auf Plattformen wie Github veröffentlicht, ist frei von Schadcode. Nach gewisser Zeit überschreibt David diese mit einer neuen „Spionage-Version“ und die wird offensichtlich vom Sitebetreiber nicht geprüft.
Jede App ein Trojanisches Pferd
Und Website-Betreiber haben noch Glück, denn die Browser arbeiten in einer Sandbox, einem einigermaßen geschützten Bereich. Böswillige Programmierungen können vor allem das mitlesen, was der User tut und eingibt. Viel härter trifft das die Verbreiter von Apps. Die allermeisten Apps enthalten so genannte SDKs (Software Development Kits) und schon der Name sollte hellhörig machen. Durch ein SDK kann jede App zum Trojanischen Pferd werden. Das SDK kann grundsätzlich auf die Berechtigungen zugreifen, die der App vom Nutzer gegeben wurden. Wer also zum Beispiel eine Wetter-App nutzt und ihr den eigenen Standort freigibt, muss sich nie wieder Sorgen machen, dass er sich in der ukrainischen Taiga verirren könnte. Irgendein Hacker wird ihn finden, hoffentlich rechtzeitig.
Und spätestens hier bricht auch das feinziselierte DSGVO-Konstrukt zusammen, dessen sich die meisten Unternehmen heute bedienen. 20 der 30 Dax Unternehmen gehen von einer konkludenten Einwilligung zur Datenspeicherung aus. Zwar verlangt die DSGVO die explizite Einwilligung (ziemlich genau das Gegenteil), kennt aber die Ausnahme des „berechtigten Interesses“. Das liegt allerdings garantiert nicht vor, wenn die gelesenen Daten an Dritte gehen, von denen man nicht einmal weiß. Ein großes Industrieunternehmen stellte im Mai erstaunt fest, dass sich 85 Serveraufrufe in der Startseite festgefressen hatten. Bei über der Hälfte konnte keiner im Unternehmen mehr sagen, wozu das mal eingebaut wurde. Manche der Dienstleister – die immer gerne so euphemistisch werben mit: „eine Zeile Code einbauen genügt“ – gibt es heute längst nicht mehr.
Es führt kein Weg daran vorbei: Jedes einzelne Skript in Website und App muss analysiert und dessen Funktion dokumentiert werden. Stammen die Skripte aus Quellen, die nicht DSGVO-konform operieren, fliegen sie raus. Alternativlos. Die UserCentrics-Analyse muss ein dringender Warnschuss sein für die Unternehmen, die meinen, der große DSGVO-Sturm legt sich gerade. Das ist falsch. Er braut sich eben erst zusammen. Sobald es erste Präzedenzfälle gibt, geht es richtig los.
Einen Vorteil aber hat das Ganze. Weniger Skripte machen die Websites schneller und das hat erwiesenermaßen positive Effekte auf die Conversions. Und vielleicht macht man sich darüber hinaus noch ein paar grundsätzliche Gedanken, wie die Datenstrategie im eigenen Haus eigentlich aussieht.