HmbBfDI prüft Hamburger Websites: Tracking durch Drittdienste oft ohne Einwilligung

by|14. Mai 2025|Aktuelles

Im April 2025 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) eine umfassende Prüfung von Websites mit Sitz in Hamburg gestartet. Ziel war es, den datenschutzkonformen Einsatz von Drittdiensten zu untersuchen – insbesondere im Hinblick auf das Tracking von Nutzer:innen ohne deren ausdrückliche Einwilligung. Hintergrund der Maßnahme waren zahlreiche Beschwerden, wonach beim Besuch von Websites personenbezogene Daten an Drittanbieter übermittelt wurden, noch bevor eine informierte Zustimmung erteilt worden war.

Erhebliche Datenschutzverstöße festgestellt – HmbBfDI bietet Nachbesserungshilfe

Im Rahmen der Untersuchung wurden 1.000 zufällig ausgewählte Websites überprüft. Dabei stellte die Aufsichtsbehörde in 185 Fällen Verstöße fest. Besonders häufig betroffen waren bekannte Dienste wie Google Analytics, Google Maps, Google Ads, aber auch Integrationen von YouTube, Facebook, Vimeo, Microsoft Advertising, Pinterest und LinkedIn. In vielen Fällen wurde bereits beim Aufruf der Website automatisch eine Verbindung zu diesen Drittanbietern hergestellt – ohne vorherige Einwilligung der Nutzer:innen. Diese Praxis verstößt sowohl gegen das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) als auch gegen die Datenschutz-Grundverordnung (DSGVO), da Tracking-Technologien nur eingesetzt werden dürfen, wenn eine vorherige, informierte und freiwillige Zustimmung der Betroffenen vorliegt.

Die betroffenen Website-Betreiber:innen werden nun schriftlich über die festgestellten Mängel informiert und erhalten Gelegenheit zur Nachbesserung. Der HmbBfDI begleitet diesen Prozess mit Beratungsangeboten und einer Telefonsprechstunde, um eine datenschutzkonforme Umgestaltung der Webseiten zu unterstützen.

Warum der Einsatz von Drittdiensten problematisch ist

Doch was genau sind Drittdienste – und warum ist deren Einsatz problematisch? Drittdienste sind externe Anbieter, die Funktionen wie Analyse-Tools, Kartenmaterial, eingebettete Videos oder Social-Media-Plugins bereitstellen. Wird ihre Technologie auf einer Website eingebunden, können sie das Surfverhalten der Nutzer:innen aufzeichnen und personenbezogene Daten wie IP-Adressen oder Cookie-IDs erfassen – häufig unbemerkt und ohne Zustimmung.

Rechtlich greifen hier zwei zentrale Regelwerke: Das TDDDG verbietet das Speichern oder Auslesen von Daten auf Endgeräten ohne vorherige Einwilligung – es sei denn, es handelt sich um technisch notwendige Vorgänge. Ein einfacher Test hilft: Funktioniert die Website auch ohne den eingebundenen Dienst, ist dieser nicht notwendig und somit einwilligungspflichtig. Zusätzlich regelt die DSGVO die Verarbeitung personenbezogener Daten und fordert ebenfalls eine vorherige Einwilligung der betroffenen Personen.

Anforderungen an Einwilligungsbanner und Handlungsoptionen

Einwilligungsbanner spielen in diesem Zusammenhang eine zentrale Rolle. Sie müssen vor der Datenerhebung erscheinen, klar über Zweck, Anbieter und Datenverarbeitung informieren und eine echte Wahlmöglichkeit bieten – beispielsweise durch gleichwertige Optionen wie „Alle akzeptieren“ und „Alle ablehnen“. Auch die Gestaltung darf nicht manipulativ sein: Dark Patterns, also irreführende Designtricks, sind unzulässig. Wichtig ist zudem, dass keine Drittdienste ohne vorherige Einwilligung aktiv werden dürfen.

Website-Betreiber:innen, bei denen Mängel festgestellt wurden, haben grundsätzlich zwei Optionen: Entweder sie schalten die betreffenden Drittdienste ab oder sie holen eine korrekte Einwilligung ein, etwa mithilfe eines professionellen Consent-Tools.

Unterstützung und Fazit

Für weitere Informationen stellt der HmbBfDI einen Leitfaden mit dem Titel „Wie geht ein datenschutzkonformer Internetauftritt?“ zur Verfügung. Auch die Datenschutzkonferenz (DSK) bietet mit ihrer Orientierungshilfe zu digitalen Diensten eine praxisnahe Unterstützung.

Die Prüfung des HmbBfDI zeigt deutlich, dass Datenschutz kein optionales Extra ist, sondern eine gesetzliche Pflicht. Wer externe Dienste auf seiner Website einsetzt, muss seiner Verantwortung gerecht werden – nicht nur zur Vermeidung von Bußgeldern, sondern auch, um das Vertrauen der Nutzer:innen nachhaltig zu sichern.

Nähere Informationen finden Sie unter Pressemitteilung vom 24.04.2025

Datenminimierung im Onlinehandel

Neueste Beiträge

  • TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach China20. Mai 2025 - 13:06

    Die irische Datenschutzbehörde hat TikTok ein Bußgeld von 530 Millionen Euro auferlegt – wegen unzulässiger Datenübermittlung europäischer Nutzer*innen nach China. Trotz Sicherheitsmaßnahmen wie „Project Clover“ sah die DPC gravierende Mängel beim Schutz vor staatlichen Zugriffen und bei der Transparenz. Besonders sensibel: der Umgang mit Kinderdaten

  • BGH stärkt Verbraucherrechte: Datenschutzverstöße als Wettbewerbsverstöße14. Mai 2025 - 10:21

    Am 27. März 2025 hat der Bundesgerichtshof (BGH) mit drei wegweisenden Urteilen (I ZR 186/17, I ZR 222/19, I ZR 223/19) die Verbraucherrechte gestärkt und klargestellt, dass Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) auch als wettbewerbswidrige Handlungen einzustufen sind. Damit können künftig nicht nur Aufsichtsbehörden, sondern auch Verbraucherschutzverbände und Mitbewerber Datenschutzverstöße zivilrechtlich verfolgen. Dieser Paradigmenwechsel hat erhebliche Auswirkungen auf Unternehmen und deren rechtliche Risikolage.

  • LAG Baden-Württemberg, Urteil vom 27.07.2023, Az. 3 Sa 33/22: Schadensersatz wegen unzulässiger Bildverwendung eines Ex-Mitarbeiters14. Mai 2025 - 9:57

    Ein ehemaliger, angestellter Werbetechniker klagte gegen seinen früheren Arbeitgeber auf Schadensersatz. Während des laufenden Arbeitsverhältnisses hatte der Arbeitgeber Fotos und Videos des Klägers zu Werbezwecken auf der Firmenwebsite verwendet. Nach seinem Wechsel zu einem direkten Wettbewerber im Mai 2019 forderte der Kläger die Entfernung dieser Bildaufnahmen. Der ehemalige Arbeitgeber kam dieser Aufforderung jedoch erst im Februar 2020 vollständig nach.

  • AG Mainz: DSGVO-Rüge zur Kundengewinnung ist rechtsmissbräuchlich14. Mai 2025 - 9:48

    Ein Webdesigner hatte einen Zahnarzt per E-Mail auf angebliche DSGVO-Verstöße hingewiesen – verbunden mit einem kostenpflichtigen Dienstleistungsangebot. Als der Zahnarzt nicht reagierte, machte der Webdesigner Auskunfts- und Schadensersatzansprüche geltend (1.160,25 € für ein Gutachten seines Bruders).
    Das Amtsgericht Mainz (Urteil vom 27.03.2025 – Az. 88 C 200/24) wies die Klage ab: Das Vorgehen sei rechtsmissbräuchlich (§ 242 BGB). Der Kläger habe keine echte Betroffenheit i.S.d. DSGVO dargelegt, sondern den Datenschutz nur vorgeschoben, um Kunden zu akquirieren.
    Ein Auskunftsanspruch nach Art. 15 DSGVO sowie ein Schadenersatzanspruch nach Art. 82 DSGVO bestünden nicht. Auch das Gutachten sei unnötig und geschäftlich motiviert gewesen.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Aufbewahrungsfristen Auskunft BAG Betroffenenrecht BGH Bildnisse Bußgeld Cyber Resilience Act Cybersicherheit Datenminimierung Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitaler Produkte DPA Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Google Fonts HmbBfDI IT-Sicherheit Kundengewinnung Kurzbeitrag Künstliche Intelligenz Löschkonzept Microsoft Natural Language Processing Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media Technologien TikTok Tracking Update Verbraucherrechte Website Wettbewerbsverstoß

Wichtiges Update: Microsoft ändert Datenschutzbedingungen zum 01.04.2025BAG: Keine Entschädigung allein wegen verspäteter DSGVO-Auskunft