HmbBfDI prüft Hamburger Websites: Tracking durch Drittdienste oft ohne Einwilligung

by|14. Mai 2025|Aktuelles

Im April 2025 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) eine umfassende Prüfung von Websites mit Sitz in Hamburg gestartet. Ziel war es, den datenschutzkonformen Einsatz von Drittdiensten zu untersuchen – insbesondere im Hinblick auf das Tracking von Nutzer:innen ohne deren ausdrückliche Einwilligung. Hintergrund der Maßnahme waren zahlreiche Beschwerden, wonach beim Besuch von Websites personenbezogene Daten an Drittanbieter übermittelt wurden, noch bevor eine informierte Zustimmung erteilt worden war.

Erhebliche Datenschutzverstöße festgestellt – HmbBfDI bietet Nachbesserungshilfe

Im Rahmen der Untersuchung wurden 1.000 zufällig ausgewählte Websites überprüft. Dabei stellte die Aufsichtsbehörde in 185 Fällen Verstöße fest. Besonders häufig betroffen waren bekannte Dienste wie Google Analytics, Google Maps, Google Ads, aber auch Integrationen von YouTube, Facebook, Vimeo, Microsoft Advertising, Pinterest und LinkedIn. In vielen Fällen wurde bereits beim Aufruf der Website automatisch eine Verbindung zu diesen Drittanbietern hergestellt – ohne vorherige Einwilligung der Nutzer:innen. Diese Praxis verstößt sowohl gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) als auch gegen die Datenschutz-Grundverordnung (DSGVO), da Tracking-Technologien nur eingesetzt werden dürfen, wenn eine vorherige, informierte und freiwillige Zustimmung der Betroffenen vorliegt.

Die betroffenen Website-Betreiber:innen werden nun schriftlich über die festgestellten Mängel informiert und erhalten Gelegenheit zur Nachbesserung. Der HmbBfDI begleitet diesen Prozess mit Beratungsangeboten und einer Telefonsprechstunde, um eine datenschutzkonforme Umgestaltung der Webseiten zu unterstützen.

Warum der Einsatz von Drittdiensten problematisch ist

Doch was genau sind Drittdienste – und warum ist deren Einsatz problematisch? Drittdienste sind externe Anbieter, die Funktionen wie Analyse-Tools, Kartenmaterial, eingebettete Videos oder Social-Media-Plugins bereitstellen. Wird ihre Technologie auf einer Website eingebunden, können sie das Surfverhalten der Nutzer:innen aufzeichnen und personenbezogene Daten wie IP-Adressen oder Cookie-IDs erfassen – häufig unbemerkt und ohne Zustimmung.

Rechtlich greifen hier zwei zentrale Regelwerke: Das TDDDG verbietet das Speichern oder Auslesen von Daten auf Endgeräten ohne vorherige Einwilligung – es sei denn, es handelt sich um technisch notwendige Vorgänge. Ein einfacher Test hilft: Funktioniert die Website auch ohne den eingebundenen Dienst, ist dieser nicht notwendig und somit einwilligungspflichtig. Zusätzlich regelt die DSGVO die Verarbeitung personenbezogener Daten und fordert ebenfalls eine vorherige Einwilligung der betroffenen Personen.

Anforderungen an Einwilligungsbanner und Handlungsoptionen

Einwilligungsbanner spielen in diesem Zusammenhang eine zentrale Rolle. Sie müssen vor der Datenerhebung erscheinen, klar über Zweck, Anbieter und Datenverarbeitung informieren und eine echte Wahlmöglichkeit bieten – beispielsweise durch gleichwertige Optionen wie „Alle akzeptieren“ und „Alle ablehnen“. Auch die Gestaltung darf nicht manipulativ sein: Dark Patterns, also irreführende Designtricks, sind unzulässig. Wichtig ist zudem, dass keine Drittdienste ohne vorherige Einwilligung aktiv werden dürfen.

Website-Betreiber:innen, bei denen Mängel festgestellt wurden, haben grundsätzlich zwei Optionen: Entweder sie schalten die betreffenden Drittdienste ab oder sie holen eine korrekte Einwilligung ein, etwa mithilfe eines professionellen Consent-Tools.

Unterstützung und Fazit

Für weitere Informationen stellt der HmbBfDI einen Leitfaden mit dem Titel „Wie geht ein datenschutzkonformer Internetauftritt?“ zur Verfügung. Auch die Datenschutzkonferenz (DSK) bietet mit ihrer Orientierungshilfe zu digitalen Diensten eine praxisnahe Unterstützung.

Die Prüfung des HmbBfDI zeigt deutlich, dass Datenschutz kein optionales Extra ist, sondern eine gesetzliche Pflicht. Wer externe Dienste auf seiner Website einsetzt, muss seiner Verantwortung gerecht werden – nicht nur zur Vermeidung von Bußgeldern, sondern auch, um das Vertrauen der Nutzer:innen nachhaltig zu sichern.

Nähere Informationen finden Sie unter Pressemitteilung vom 24.04.2025

Datenminimierung im Onlinehandel

Neueste Beiträge

  • AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27

    Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10

    Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31

    Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30

    Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Ausschluss eines Betriebsratsmitglieds BAG Betroffenenrecht BGH Bildnisse Bußgeld Cookie-Banner Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitales Zeitalter Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Foto- und Videoaufnahmen Gesundheitsdaten Google Fonts HmbBfDI Kundengewinnung Kurzbeitrag Künstliche Intelligenz Mental Privacy Microsoft Nachbarschaftskontrolle Online-Werbung Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media TikTok Tracking unberechtigte Veröffentlichung Unzulässigkeit privater Foto- und Videoaufnahmen Update Verbraucherrechte Website Wettbewerbsverstoß „Transparency & Consent Framework“ (TCF)

Wichtiges Update: Microsoft ändert Datenschutzbedingungen zum 01.04.2025BAG: Keine Entschädigung allein wegen verspäteter DSGVO-Auskunft