BDI Hessen: Werbedaten haben ein Haltbarkeitsdatum

Mit Urteil vom 19. März 2026 (C-526/24 | Brillen Rottler) hat der Europäische Gerichtshof (EuGH) eine für die Praxis wichtige Entscheidung getroffen: Ein Auskunftsantrag nach Art. 15 DSGVO kann bereits beim ersten Antrag als „exzessiv" und damit missbräuchlich eingestuft werden, wenn er allein dazu dient, künstlich die Voraussetzungen für einen Schadensersatzanspruch zu schaffen.

Weiterlesen

Die EU-Kommission hat im Rahmen ihres „Digital Omnibus“-Pakets einen Vorschlag vorgelegt, der mitunter die bisherigen Cookie-Regelungen spürbar verändern könnte. Eines der Ziele ist es, die allgegenwärtige Banner Flut zu reduzieren, ohne nach Aussage der Kommission das Datenschutzniveau abzusenken. Was bedeutet das für Unternehmen?

Weiterlesen

Zahlreiche Websites nutzen den Google Tag Manager (GTM), um Dienste wie Google Analytics, Facebook Pixel oder andere Marketing-Tools einzubinden. Während der Tag Manager in aller Regel so konfiguriert wird, dass die Tags solcher Analyse- und Marketing-Tools erst nach Einwilligung des Users im Cookie Consent Banner ausgelöst werden, wird der GTM selbst häufig direkt beim Aufruf der Website geladen; also unabhängig vom Consent des Users. Das ermöglichte die einfache Einbindung auch nicht-einwilligungspflichtiger Dienste wie Cookie-Banner. Für diesen Komfort nahmen viele Website-Betreibende ein rechtliches Risiko in Kauf. Sie argumentierten, der GTM sei für den Betrieb der Seite „erforderlich“. Diese Auffassung wurde nun vom Verwaltungsgericht Hannover mit Urteil vom 19.03.2025 (Az. 10 A 5385/22) klar abgelehnt: Der GTM darf erst nach Einwilligung des Users geladen werden.

Weiterlesen

Ein belgisches Berufungsgericht hat mit einer Entscheidung zum Transparency & Consent Framework (TCF) des IAB Europe für einen Paukenschlag gesorgt, der allerdings wenig überraschend kommt. Das TCF, welches die technische Grundlage für einen Großteil der Tracking-Einwilligungen auch großer Werbeanbieter wie Google oder Amazon ist, verstößt nach Auffassung der Richter gegen Vorgaben der DSGVO. Das Urteil und etwaige Folgeentscheidungen von Aufsichtsbehörden könnte weitreichende Konsequenzen für die Werbebranche haben. Die Art und Weise, wie heute tracking-basierte Ads ausgespielt werden, insbesondere durch “Real-Time-Bidding” auf Werbeplätze, könnte vor dem Aus stehen.

Weiterlesen

Nachdem europäische Unternehmen und Website-Betreiber lange darauf gewartet haben, ging es plötzlich doch ganz schnell: Am 10.07.2023 hat die EU-Kommission den lange angekündigten Angemessenheitsbeschluss für das EU-US Data Privacy Framework erlassen. Damit ist der Nachfolger des Privacy Shields offiziell in Kraft und kann ab sofort als Grundlage für Datentransfers an zertifizierte US-Unternehmen herangezogen. Hierdurch wird der Einsatz zahlreicher Software-Produkte wie beispielsweise Cloud-Dienste, Newsletter-Services oder auch Analysetools wieder deutlich einfacher – zumindest vorläufig.

Weiterlesen

Wir hatten kürzlich darüber berichtet, dass die von Aufsichtsbehörden verhängten Bußgelder wegen Datenschutzverstößen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen Risikoeinschätzung: Wie hoch könnte ein Bußgeld für einen ganz konkreten Verstoß ausfallen? Diese Frage lässt sich jedoch kaum seriös beantworten, hängt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhängt wurden, das Spektrum aufzuzeigen. 

Weiterlesen

Wer auf seiner Website Cookies und andere Technologien einsetzt, um das Nutzungsverhalten zu analysieren und Werbung gezielter ausspielen zu können, benötigt hierfür eine vorherige Einwilligung des Users. Diese wird heute über sogenannte Cookie Consent Management Plattformen (CMP) bzw. “Cookie Banner” eingeholt. Die konkrete Ausgestaltung dieser Banner ist nicht ausdrücklich gesetzlich geregelt und zwischen Datenschützern und Website-Betreibern umstritten: Letztere versuchen, durch eine entsprechende Gestaltung (“Nudging”, z.B. durch farbliche Hervorhebung des “Akzeptieren” Buttons) eine möglichst hohe Zustimmungsrate zu erzielen. Nachdem das Landgericht Rostock dieser Methode bereits 2020 einen ersten Riegel vorgeschoben hatte, macht das Landgericht München I nun in einer bemerkenswert umfangreichen Entscheidung deutlich, dass “Tricksereien” hier in aller Regel zur Unwirksamkeit der Einwilligung führen. 

Weiterlesen

Es vergeht derzeit kaum eine Woche, in der kein neuer US-Online-Dienst ins Visier von Datenschützern oder Abmahnern gerät. Angefangen hatte es damit, dass mehrere Datenschutz-Aufsichtsbehörden europäischen Unternehmen den Einsatz von Google Analytics und MailChimp untersagt hatten. Dann kam das inzwischen berühmt berüchtigte Urteil des Landgerichts München I zu Google Fonts und die hierauf folgende Abmahnwelle. Hochaktuell sind die Meldungen, dass eine Aufsichtsbehörde den Einsatz von Shopify als rechtswidrig eingestuft und eine Anwaltskanzlei Unternehmen wegen der Nutzung des Marketing-Automation-Tools Klaviyo abgemahnt habe. Kernproblem ist meist dasselbe: Die Übermittlung personenbezogener Daten an Anbieter in den USA. Es stellt sich inzwischen die Frage: Lassen sich amerikanische Dienste überhaupt noch risikofrei einsetzen?

Weiterlesen

Die Datenschutzaufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen und Sachsen-Anhalt haben eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen veröffentlicht. Hintergrund ist die geplante Überprüfung von Auftragsverarbeitungsverträgen von Webhosting-Unternehmen durch die Aufsichtsbehörden. Auslöser dafür war die Vielzahl rechtswidriger Verträge.

Weiterlesen