Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
Ausprobieren Online Webseiten-Check sofort das Ergebnis sehen
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Datenschutz: Wichtige Themen der Datenschutztage

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 15. Oktober 2025 · Lesezeit: 7 Minuten
2
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Datenschutz

Cookies, Endgerätezugriffe und weitere Datenverarbeitungen sowie Google Analytics, aber auch die Rechte Betroffener bei Verstößen gegen die DSGVO: Das und mehr sind die Themen der Datenschutztage 2023. Meine Einordnung und Empfehlung zu diesen Themen.

Einleitung

Im vorigen Jahr war ich Referent bei den FFD Datenschutztagen und hielt einen Vortrag zum Thema „Datenschutz für Webseiten und Apps“. Danach hielt ich auf einer anderen Konferenz des Weka-Verlags zusammen mit einem mir gut bekannten Juristen auch noch einen Vortrag zum Thema Cloud Computing.

Wie im letzten Jahr finden die Datenschutztage wieder virtuell statt. Voriges Jahr war eine Hybridveranstaltung angedacht. Die Mehrheit der Teilnehmer hatte sich allerdings für die Online Variante eingebucht, sodass der Kongress nicht vor Ort stattfand. Gerne wäre ich nach Mainz (quasi um die Ecke) gekommen, habe ich aber auch gefreut, virtuell vortragen zu dürfen.

Diesmal wird der Kongress vom 25. bis 27. April virtuell ausgetragen. Details finden Sie auf der Webseite des Veranstalters.

Datenschutztage 2023

Das Programm ist meiner Ansicht nach wieder gut mit allen möglichen Privacy-Themen gespickt. Aus den Vorträgen picke ich mir ein paar heraus und kommentiere einige der Themen für alle, die nicht am Kongress teilnehmen können sowie alle, die teilnehmen und meine Hintergrundinfos gebrauchen können.

Wichtige Themen der Datenschutztage

Zu drei der zahlreichen Themen der Kongress-Vorträge fallen mir einige Dinge ein, die für Sie nützlich sein könnten. Entweder erhalten Sie so hoffentlich einen Vorausblick als Kongress-Teilnehmer. Oder Sie bekommen wenigstens einen Einblick, wenn Sie den Kongress nicht besuchen können.

Cookie, Fingerprint und Co. nur mit Einwilligung? – Anforderungen und Bedingungen für den Einsatz nach dem TTDSG

Hinweis: Am 14. Mai 2024 wurde das TTDSG in TDDDG umbenannt.

Der § 25 TDDDG thematisiert Endeinrichtungszugriffe. Das sind insbesondere Zugriffe, wie sie mit Cookies realisiert werden. Aber auch Zugriffe über Programmfunktionen wie mit JavaScript oder über Updates gehören dazu. Updates sind für Endeinrichtungen wie Smart Home Geräte relevant. Die Endgeräte sind in den Endeinrichtungen eingeschlossen.

Ein Fingerprinting ist jedenfalls dann kritisch gemäß § 25 TDDDG, wenn ein expliziter Endgerätezugriff stattfindet. Nachdem Cookies oder andere Daten aus dem Endgerät ausgelesen wurden, müssen sie nach DSGVO legitimiert werden. Dann gilt also Art. 6 DSGVO, oder auch Art 44ff DSGVO. Cookie-Werte sind im Übrigen immer als personenbezogen anzusehen. Und das TDDDG gilt für Cookies auch dann, wenn sie keine personenbezogenen Daten speichern.

Die Hauptbedingung aus § 25 TDDDG lautet: Cookies bedürfen einer Einwilligung, wenn sie nicht unbedingt erforderlich sind. Dies schließt das berechtigte Interesse aus. Wenn im TDDDG stehen würde „erforderlich“ und nicht „unbedingt erforderlich“, könnte man über Weiteres sprechen. Aber unbedingt erforderlich deutet schon sehr auf eine technische Erforderlichkeit hin.

Sofern Cookies legitimiert sind, entweder über die unbedingt Erforderlichkeit oder über eine Einwilligung, geht der Spaß jedenfalls weiter. Dann muss, wie oben geschrieben, für die Verarbeitung oft auch eine Einwilligung abgefragt werden. Haben Sie schon mal ein „Cookie Popup“ gesehen, dass sowohl nach Ihrer Erlaubnis für einen Endgerätezugriff fragt als auch nach der Weiterverarbeitung der Werte? Das dürfte (in rechtskonformer Weise) eher die seltene Ausnahme unter den Abfragen sein.

Wer jedenfalls sogenannte Cookie Tools (CMPs) einsetzt, hat meist schon einen Fehler gemacht. Vor alle sogenannte Cookie Blocker sind kritisch zu betrachten, ebenso vorgegeben Mustertexte für die Einwilligungsabfrage. Aber auch Cookie Scanner sind Bullshit. Mehr in einem früheren Beitrag. Ebenso Informationen zur zentralen Einwilligungsverwaltung – PIMS – nach § 26 TDDDG).

Meine Empfehlung: Einwilligungspflichtige Vorgänge so weit wie möglich vermeiden. Siehe auch den folgenden Abschnitt (oder mein Karten-Plugin, falls Sie immer noch das Google Maps Plugin verwenden). Dann brauchen Sie kein Cookie-Popup. Wer eines braucht, sollte von null anfangen und kann in diesem Fall mein kostenfreies Consent Tool nutzen.

Google Analytics 4: Datenschutzkonformes Tracking auf Servern in den USA?

Die einfache Antwort lautet: Google Analytics, egal in welcher Version, ist rechtswidrig, entweder vor oder auch nach Einwilligung durch den Nutzer (wie die CNIL feststellte und das Server Side Tracking als einzige Möglichkeit einer Abhilfe für GA sah).

Google überträgt sämtliche Analyse-Daten immer in die USA, hat Google selbst zugegeben. Bei Bedarf suche ich die Quelle heraus (in dem Verfahren war ich damals eingebunden).

Google Analytics nutzt zudem technisch nicht notwendige Cookies. Beweis: Die Cookies lassen sich durch vorgesehene Analytics-Konfiguration deaktivieren.

Weiterhin nutzt GA4 sogar nicht notwendige Endgerätezugriffe ungleich Cookies.

Meine Empfehlung: Lieber Matomo nutzen und 100 % der Daten erhalten und auswerten, als rechtswidrig mit GA4 arbeiten und nur ca. 25 % der Daten ausbeuten.

Datenschutz vor Gericht? Umgang mit aufsichtsrechtlichen Entscheidungen

Dieses Vortrag hält der von mir geschätzte ehemalige Richter (Verwaltungsgericht Wiesbaden) Hans-Hermann Schild, den ich zuletzt bei einem Datenschutzkongress sah. Er ist Co-Moderator der Veranstaltung.

Soviel kann ich zum Thema des Vortrags von Herrn Schild sagen: Der BGH hatte bereits mindestens zweimal eine Entscheidung getroffen, die von den Rechten betroffener Personen handelt, deren Daten entgegen der Regelungen der DSGVO verarbeitet wurden.

Einmal hatte der BGH entschieden, dass ein Unterlassungsanspruch demjenigen zusteht, dessen Daten nicht gemäß Art. 6 (1) DSGVO verarbeitet wurden (siehe BGH, Urteil vom 21.01.2021 – I ZR 207/19, Rn. 36-42 – „Sascha Hehn“).

Ein anderes Mal hatte der BGH aus dem Art. 17 DSGVO (Löschanspruch) heraus abgeleitet, dass gegen eine rechtswidrige Datenspeicherung (nach DSGVO) als besondere Form der Datenverarbeitung auch ein Unterlassungsanspruch besteht. Das Urteil hierzu habe ich nicht zur Hand, kann es aber bei Bedarf heraussuchen. Allerdings ist jede Art der Datenverarbeitung durch die DSGVO geschützt, nicht nur die Speicherung.

Somit besteht bei rechtswidriger Datenverarbeitung aus Art. 6 oder 17 DSGVO gemäß BGH-Urteilen ein Unterlassungsanspruch (§ 1004 BGB) für betroffene Personen. Das LG München hatte in der Google Fonts Entscheidung den Unterlassungsanspruch auch für Verstöße gegen Art. 44ff DSGVO bejaht (LG München, Urteil vom 20.01.2022 – 3 O 17493/20).

Ansonsten stelle ich fest: Ein prominenter Vertreter des Hessische Datenschutzbeauftragten empfiehlt öffentlich, sich bei Problemen mit Datenschutzverstößen nicht an seine Behörde zu wenden (jedenfalls nicht bei Problemen mit Web Tracking, einem nur ganz selten (Ironie) vorkommenden Verstoß). Vielmehr sollen Betroffene doch vor Gericht gehen.

OK, habe ich gemacht. Das Gericht teilte mir daraufhin mit, ich solle doch zur Aufsichtsbehörde gehen. Sicher und zum Glück ist nicht jedes Gericht so unlustig. Die Chancen für Sie stehen gut.

Eine Beschwerde bei einer Aufsichtsbehörde (außerhalb von Hessen) gegen eine prominente Online-Plattform mit verantwortlicher Stelle in der deutschen Stadt, in der auch die Behörde sitzt, führte zum Ignorieren der Vorgaben der DSK. Die DSK ist die Datenschutzkonferenz von Bund und Ländern. Die DSK beschloss, wie mir Herr Dr. Ambrock bei einem persönlichen Treffen auf einer Datenschutzkonferenz mitteilte: Datentransfers in die USA ohne Rechtsgrundlage müssen von der Aufsichtsbehörde ausgesetzt oder sanktioniert werden. Punkt. Die Behörde, an die ich mich wandte, tat das nicht. Sie schrieb vielmehr, dass sie das berechtigte Interesse gelten lasse, welches die Verantwortliche anführte.

Meine Empfehlung lautet hier: gehen Sie den Klageweg, wenn eine vorige Abmahnung nicht erfolgreich ist. Wenn Sie es nicht ganz so ernst meinen, reichen Sie eine möglichst fundierte Beschwerde bei einer Aufsichtsbehörde ein. Wenn Sie einen Sachverständigen für ein Verfahren benötigen, wenden Sie sich gerne an mich.

Wer schnell starten möchte, kann das mit meinem Auskunftsgenerator für Webseiten tun. Nach Art 15. DSGVO steht Ihnen als Besucher einer Webseite das Recht zu, zu erfahren, wie Ihre Daten verarbeitet wurden.

Fazit

Wenn Sie ein spannendes Thema haben, über das ich berichten könnte, sei es auf einer Konferenz, in einem eigenen Webinar auf Dr. DSGVO oder in einem Beitrag meines Datenschutz Blogs, dann schreiben Sie mir.

Die FFD Datenschutztage kann ich jedenfalls empfehlen. Die Organisation fand bei mir als Referent anklang, ebenso die Themenauswahl. Für nächstes Jahr ist meine Teilnahme auf der Konferenz als Referent angedacht.

Kernaussagen dieses Beitrags

Cookies und andere Datenverarbeitungen auf Webseiten und Apps brauchen meist die Einwilligung der Nutzer, es sei denn, sie sind unbedingt erforderlich für die technische Funktion.

Die Verwendung von Cookies ist komplex und oft rechtswidrig, besonders Google Analytics. Es ist wichtig, Einwilligungen richtig einzuholen und Datenschutzbestimmungen zu beachten.

Wenn Datenschutzverstöße auftreten, sollten Betroffene lieber direkt vor Gericht gehen anstatt sich an die Aufsichtsbehörden zu wenden, da diese oft nicht effektiv genug sind.

Über diese Kernaussagen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere KI-Lösungen an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/datenschutz-wichtige-themen-der-datenschutztage
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Gabimarie Cissek

    Hallo und guten Tag Herr Meffert,
    vielen Dank für die Empfehlung. Sobald man die Seite https://www.datenschutztage.de/ aufruft, erscheint ein Cookie-Banner. In den Informationen dieses Cookie-Banners lese ich, dass folgende Dienste technisch notwendig sind: reCAPTCHA, Google Tag Manager, Usercentrics Consent Management Platform. Auch Google Fonts werden als technisch notwendig klassifiziert.
    Nicht zuletzt durch die Informationen Ihrer Webseite dr-dsgvo.de/ weiß ich, dass das so nicht stimmt. Es ist immer wieder frustrierend, dass auch Webseiten, die zum Thema Datenschutz Aufklärung betreiben wollen, solche Schwächen haben. Es ist kein Einzelfall.

    Antworten
    • Dr. DSGVO

      Danke für Ihre Rückmeldung. Ich habe die öffentlichen Teile Ihres Kommentars an den Veranstalter weitergegeben. Wie es nach Sichtung der Startseite zumindest scheint, werden Google Fonts gar nicht eingebunden, sondern "nur" erklärt.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Datenschutz: Google Ads sind gleichermaßen schlecht für Werbetreibende und für Werbeopfer