HmbBfDI prüfte Netzseiten automatisiert – wachsam bleiben!
Im April 2025 prüfte die hamburgische Datenschutzbehörde erstmals an 1000 zufällig ausgesuchten Unternehmen mit Sitz in Hamburg die Konformität von Tracking-Diensten wie Cookies auf ihre Übereinstimmung mit DSGVO und TDDDG*. Die Suche förderte 18,5 % rechtswidrige Seiten zu Tage. Der weit überwiegende Anteil betraf die Einbindung von Google-Diensten wie Analytics, Maps, Ads oder Youtube, aber auch Meta (Facebook) und andere waren betroffen. Wenn eine Datenschutzbehörde so ein Analyse-Werkzeug entwickelt hat, dauert es meist nicht lange, bis die anderen nachziehen.
Hauptproblem war, dass oft keine vorherige Einwilligung gefunden wurde, sondern die Cookies schon bei erstem Seitenaufruf automatisch gesetzt wurden. Die betroffenen Unternehmen bekamen nur ein automatisiertes Schreiben mit einer Fristsetzung zur Fehlerbehebung sowie einem Beratungsangebot. Wer die Fehler sofort und richtig korrigiert, muss nichts weiter befürchten. Die Datenschutzbehörden hatten bisher nicht die Mittel, um flächendeckend zu sanktionieren, sondern konzentrierten sich auf Beratung. Mit der Verwendung solcher automatisierten Suchen wird aber der Verfolgungsdruck höher: Die Behörden können ab jetzt die Unternehmen gezielt sanktionieren, die auf solche automatisierten Verfahren nicht entsprechend reagieren.
Unser Rat ist deshalb: Sollten Sie so ein Schreiben erhalten, wenden Sie sich umgehend an Ihren Datenschutzbeauftragten. Kleiner Juristen-Tipp: Falls Sie Ihre Seiten durch eine externe Agentur betreuen lassen, kosten die Änderungen wahrscheinlich nichts extra, da nach Art. 25 DSGVO Datenschutz durch Technikgestaltung und Voreinstellungen (Privacy by Design & Default) regelmäßig bereits geschuldet sein, die Leistung also einen Rechtsmangel im Sinne von § 633 Abs. 1 BGB darstellen und sie die Gewährleistungsrechte nach BGB geltend machen können sollten. Sie müssten ohnehin mit diesem Unternehmen ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen haben, in dem die Verpflichtung auf die DSGVO nochmal schwarz auf weiß bekräftigt wird.
- Zum TDDDG: Viele Netzseiten & Cookie-Einwilligungen sind schon alleine deshalb formell nicht mehr ganz richtig, weil das TTDSG umbenannt wurde. Sie nehmen noch auf den alten § 25 TTDSG Bezug, der jetzt § 25 TDDDG heißt. Sie sollten bei Gelegenheit Ihre Einwilligungen und Datenschutzerklärungen darauf überprüfen und „TTDSG“ überall durch „TDDDG“ ersetzen.
Weiterführend
-
bbg bitbase group: Der Weg zur rechtssicheren Webseite
-
HmbBfDI: Tracking durch Drittdienste: 185 von 1000 geprüften Websites müssen nachbessern vom 24.04.2025
-
HmbBfDI: Tipps zum richtigen Tracking
Autor: Thomas Hofmann, Data Privacy Legal Consultant, 18.08.2025
