Datenschutzprüfung von Webseiten: Was Betreiber jetzt unbedingt beachten müssen

Veröffentlicht am 21. April 2026 von SWinkler

Die Datenschutzaufsichtsbehörden verschärfen ihre Kontrollen – und das mit spürbaren Konsequenzen für Websitebetreiber. Der aktuelle Tätigkeitsbericht des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zeigt deutlich: Tracking-Technologien und Drittanbieter-Einbindungen stehen weiterhin im Fokus der Prüfungen. Wer hier nicht sauber arbeitet, riskiert nicht nur Beschwerden, sondern auch aufsichtsbehördliche Maßnahmen.

In diesem Artikel erfahren Sie, worauf es jetzt ankommt, welche typischen Fehler auftreten und wie Sie Ihre Website rechtssicher aufstellen.

Warum Webseiten aktuell verstärkt geprüft werden

Der HmbBfDI reagiert auf eine steigende Zahl von Beschwerden über unerwünschtes Tracking. Im Zentrum stehen dabei Technologien wie:

  • Cookies
  • Web Beacons
  • Browser-Fingerprinting
  • Drittanbieter-Skripte

Diese greifen häufig bereits beim ersten Seitenaufruf auf Endgeräte zu – oft ohne wirksame Einwilligung. Genau hier liegt das Problem.

Die rechtliche Grundlage: TDDDG und DSGVO

§ 25 TDDDG – Zugriff auf Endgeräte

Das Speichern oder Auslesen von Informationen im Browser ist grundsätzlich nur erlaubt, wenn:

eine Einwilligung vorliegt (§ 25 Abs. 1 TDDDG)

Eine Ausnahme besteht nur, wenn der Zugriff unbedingt erforderlich ist, etwa für die Anmeldung in einem Benutzerkonto (§ 25 Abs. 2 Nr. 2 TDDDG).

DSGVO – sobald Personenbezug besteht

In der Praxis kommt häufig zusätzlich die DSGVO zur Anwendung:

  • Nutzer werden identifizierbar (z. B. durch IDs)
  • Präferenzen werden gespeichert
  • Nutzungsverhalten wird analysiert

Ergebnis:

Doppelte Einwilligungspflicht (TDDDG und DSGVO)

Die Untersuchung des HmbBfDI: Zahlen und Ergebnisse

In einer anlasslosen Prüfung wurden:

  • 1.000 Webseiten untersucht
  • automatisiert mit dem Tool Website Evidence Collector (WEC) analysiert

Das Ergebnis:

  • Der Großteil der Websites war datenschutzkonform
  • 185 Webseiten wiesen jedoch Verstöße auf

Häufige Problemfälle

Besonders häufig wurden Tracking-Dienste ohne Einwilligung eingebunden:

  • Google Analytics (110 Fälle)
  • Google Maps (51)
  • Google Ads (42)
  • YouTube (20)
  • Facebook (15)

Kritisch war dabei insbesondere, dass diese Dienste bereits beim ersten Seitenaufruf aktiviert wurden, bevor die Nutzer eine Auswahl im Cookie-Banner treffen konnten.

Typische Fehler bei Websitebetreibern

Die Prüfung zeigt ein klares Muster:

Drittanbieter werden vor Einwilligung der Nutzer geladen.

  • Skripte werden direkt eingebunden
  • Cookie-Banner greift zu spät

Fehlendes Verständnis der Rechtslage

  • Anforderungen des TDDDG werden unterschätzt
  • DSGVO wird isoliert betrachtet

Fehlerhafte Cookie-Banner

  • keine echte Auswahlmöglichkeit
  • voreingestellte Einwilligungen
  • Tracking läuft unabhängig von der Entscheidung

Best Practices für eine datenschutzkonforme Website

Damit Ihre Website rechtssicher gestaltet ist, sollten Sie folgende Punkte beachten:

Einwilligung vorm Laden der Trackingtools: Drittanbieter dürfen erst eingebunden werden, wenn:

  • eine aktive Einwilligung vorliegt
  • zuvor keine Datenübertragung erfolgt ist

Saubere technische Umsetzung

  • Skripte werden bis zur Einwilligung blockiert
  • keine versteckten Verbindungen zu Drittanbietern
  • regelmäßige technische Prüfungen (z. B. mit Tools oder Entwicklertools)

Transparente Cookie-Banner

  • klare und verständliche Auswahlmöglichkeiten
  • keine manipulativen Gestaltungselemente
  • vollständige Informationen zu allen Diensten

Reduktion von Drittanbietern

  • möglichst wenige externe Dienste einzusetzen
  • lokale Lösungen zu bevorzugen
  • Tracking kritisch hinterfragen

Warum viele Websites dennoch scheitern

Die Nachprüfung des HmbBfDI zeigt ein gemischtes Bild:

  • viele Betreiber bemühen sich um Umsetzung
  • häufig bleibt die technische Umsetzung unvollständig
  • einige Verantwortliche reagieren gar nicht

Fazit:
Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess

Was jetzt entscheidend ist

Die Aufsichtsbehörden setzen weiterhin auf eine Kombination aus:

  • technischen Prüfungen
  • Beratung
  • und – falls erforderlich – aufsichtsrechtlichen Maßnahmen

Gleichzeitig zeigt sich ein erheblicher Informations- und Beratungsbedarf bei Websitebetreibern.

Fazit: Handlungsbedarf für Websitebetreiber

Die aktuellen Prüfungen verdeutlichen:
Tracking ohne Einwilligung stellt eines der größten Datenschutzrisiken dar.

Wer hier nicht sorgfältig arbeitet, riskiert:

  • Beschwerden von Nutzern
  • behördliche Prüfverfahren
  • mögliche Sanktionen

Gleichzeitig bietet sich die Chance, durch eine datenschutzkonforme Gestaltung Vertrauen aufzubauen und sich positiv vom Wettbewerb abzuheben.

Wenn Sie unsicher sind, ob Ihre Website den aktuellen datenschutzrechtlichen Anforderungen entspricht oder Sie Unterstützung bei der rechtssicheren Einbindung von Tracking-Technologien benötigen, stehen wir Ihnen sehr gern beratend zur Seite.

Veröffentlicht unter Unternehmen | Verschlagwortet mit , , , , , , , | Schreibe einen Kommentar

Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO: Neuer Fragenkatalog des HmbBfDI als praxisnaher Leitfaden

Veröffentlicht am 9. Februar 2026 von SWinkler

Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO gehört zu den am häufigsten genutzten – und zugleich anspruchsvollsten – Erlaubnistatbeständen der Datenschutz-Grundverordnung. Um Verantwortlichen mehr Rechtssicherheit zu geben, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen umfassenden und praxisnahen Fragenkatalog zur Interessenabwägung veröffentlicht. Das Dokument unterstützt Behörden, Unternehmen und Organisationen bei der strukturierten Durchführung einer sogenannten Legitimate Interests Assessment (LIA).

Ziel des Fragenkatalogs: Struktur, Nachvollziehbarkeit und Rechtssicherheit

Ziel des Fragenkatalogs ist es, Verantwortliche bei der sorgfältigen und dokumentierten Prüfung der Voraussetzungen des Art. 6 Abs. 1 lit. f DSGVO zu unterstützen. Im Mittelpunkt stehen dabei drei zentrale Prüfschritte, die kumulativ erfüllt sein müssen:

  1. Feststellung eines berechtigten Interesses,
  2. Erforderlichkeit der Datenverarbeitung zur Zweckerreichung sowie
  3. Abwägung mit den Interessen, Grundrechten und Grundfreiheiten der betroffenen Personen.

Der Leitfaden hilft, diese Schritte nicht nur rechtlich korrekt, sondern auch nachvollziehbar zu dokumentieren. Damit wird eine belastbare Entscheidungsgrundlage geschaffen, die sowohl internen Prüfungen als auch einer Kontrolle durch Aufsichtsbehörden standhält.

Dreistufige Prüfung als Kern des Leitfadens

Der Fragenkatalog des HmbBfDI folgt einer klaren Dreistufenlogik, die sich an den aktuellen Leitlinien des Europäischen Datenschutzausschusses orientiert.

1. Berechtigtes Interesse klar definieren

Im ersten Schritt müssen Verantwortliche präzise festlegen, welches konkrete Interesse mit der Verarbeitung verfolgt wird. Der Katalog macht deutlich, dass berechtigte Interessen nicht abstrakt oder spekulativ sein dürfen. Sie müssen real, gegenwärtig und rechtmäßig sein. Gleichzeitig wird betont, dass betroffene Personen über das berechtigte Interesse transparent zu informieren sind.

2. Erforderlichkeit und Datenminimierung prüfen

Der zweite Prüfungsschritt widmet sich der Frage, ob die geplante Verarbeitung notwendig ist oder ob mildere Mittel zur Verfügung stehen. Der Leitfaden stellt hier einen engen Bezug zum Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO her. Verantwortliche müssen prüfen, ob der Zweck auch mit weniger Daten, kürzerer Speicherdauer oder alternativen technischen Lösungen erreicht werden kann.

3. Interessenabwägung mit Fokus auf Betroffenenrechte

Der umfangreichste Teil des Fragenkatalogs betrifft die eigentliche Interessenabwägung. Hier werden unter anderem berücksichtigt:

  • Art und Sensibilität der verarbeiteten Daten,
  • vernünftige Erwartungen der betroffenen Personen,
  • mögliche negative oder positive Auswirkungen der Verarbeitung,
  • besondere Schutzbedarfe, etwa bei Kindern oder sensiblen Daten,
  • technische und organisatorische Schutzmaßnahmen.

Gerade dieser Teil macht den Leitfaden besonders wertvoll, da er Verantwortliche dazu anhält, die Perspektive der betroffenen Personen systematisch einzubeziehen.

Bedeutung für Datenschutzmanagement und Rechenschaftspflicht

Der Fragenkatalog ist mehr als eine theoretische Arbeitshilfe. Er ist ein zentrales Instrument für ein wirksames Datenschutzmanagement. Durch die strukturierte Dokumentation unterstützt er Verantwortliche bei der Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Gleichzeitig fördert er Transparenz, interne Abstimmungsprozesse und eine konsistente Entscheidungsfindung.

Besonders hervorzuheben ist, dass der Leitfaden ausdrücklich als lebendes Dokument verstanden wird: Interessenabwägungen sollen regelmäßig überprüft und an veränderte Umstände angepasst werden.

Fazit: Praktische Orientierung für eine komplexe Rechtsgrundlage

Mit dem Fragenkatalog zur Interessenabwägung stellt der HmbBfDI ein praxisnahes und detailliertes Arbeitsmittel zur Verfügung, das Verantwortlichen hilft, die Rechtsgrundlage des berechtigten Interesses rechtssicher anzuwenden. Gerade weil Art. 6 Abs. 1 lit. f DSGVO offen formuliert ist, schafft der Leitfaden wertvolle Klarheit und Struktur.

Wenn du Unterstützung bei der Durchführung oder Dokumentation einer Interessenabwägung benötigst oder Fragen zur Anwendung des Leitfadens hast, stehen wir dir jederzeit gern beratend zur Seite.

Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , | Kommentare deaktiviert für Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO: Neuer Fragenkatalog des HmbBfDI als praxisnaher Leitfaden

Urteil zum Datenschutz: Österreichisches BVwG untersagt reCAPTCHA-Einsatz ohne Zustimmung

Veröffentlicht am 15. Dezember 2025 von SWinkler

Google-Dienste auf Webseiten: Wann eine Einwilligung zwingend erforderlich ist

Ein Urteil des Bundesverwaltungsgerichts (13.09.2024, GZ: W298 2274626-1) schafft Klarheit: Die Einbindung von Google reCAPTCHA auf Webseiten ist ohne vorherige Einwilligung der Nutzerinnen und Nutzer nicht zulässig. Der Dienst, der Bots abwehren soll, setzt automatisch Cookies und überträgt Daten an Google – auch ohne Zustimmung. Genau das ist laut BVwG unzulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Urteil zum Datenschutz: Österreichisches BVwG untersagt reCAPTCHA-Einsatz ohne Zustimmung

Microsoft 365 auf dem Prüfstand des HBDI:

Veröffentlicht am 23. November 2025 von SWinkler

HBDI-Bericht zu Microsoft 365 (November 2025)

Am 15. November 2025 hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einen umfassenden Bericht zur datenschutzrechtlichen Bewertung von Microsoft 365 (M365) veröffentlicht. Dieser Bericht ist das Ergebnis mehrmonatiger Verhandlungen des HBDI (unter Leitung von Prof. Dr. Alexander Roßnagel) mit Microsoft. Ziel war es herauszufinden, unter welchen Bedingungen ein datenschutzkonformer Einsatz von M365 möglich ist – und zwar praxisnah für Unternehmen, Behörden und Bildungseinrichtungen. Zwar bezieht sich der Bericht hauptsächlich auf jene Einrichtungen in Hessen, gilt aber letztendlich in ganz Deutschland.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , , , , , | Kommentare deaktiviert für Microsoft 365 auf dem Prüfstand des HBDI:

Anwesenheitserfassung mit Teams?

Veröffentlicht am 5. November 2025 von SWinkler

Microsoft hat angekündigt, ab Dezember 2025 eine neue Funktion in Microsoft Teams einzuführen, mit der Arbeitgeber künftig die Anwesenheit ihrer Mitarbeitenden im Büro erfassen können. Dafür sollen Kalenderdaten, Statusinformationen und Arbeitsplatzbuchungen automatisch zusammengeführt werden.

Was Microsoft als Beitrag zu „Raum- und Ressourcenoptimierung“ bewirbt, ist in Wahrheit ein System zur digitalen Anwesenheitskontrolle – und damit in Deutschland datenschutzrechtlich nicht zulässig.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Anwesenheitserfassung mit Teams?

Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

Veröffentlicht am 17. Oktober 2025 von SWinkler

Wenn Mitarbeitende krank werden, stellt sich für Arbeitgeber schnell die Frage: Besteht weiterhin Anspruch auf Lohnfortzahlung – oder springt schon die Krankenkasse ein?
Damit ein Unternehmen das prüfen kann, werden manchmal Gesundheitsdaten benötigt. Doch der Umgang mit diesen Informationen ist heikel. Die Landesdatenschutzbeauftragte NRW (LDI NRW) hat nun erstmals konkret erklärt, was Arbeitgeber wissen dürfen – und wo die Grenzen liegen.

Weiterlesen
Veröffentlicht unter Arbeitgeber, Arbeitnehmer, Betriebsrat | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Gesundheitsdaten von Beschäftigten: Wo Datenschutz die Grenze zieht

EDPB startet EU-weite Datenschutzprüfung 2026: Fokus auf Transparenzpflichten nach der DSGVO

Veröffentlicht am 16. Oktober 2025 von SWinkler

Im Oktober 2025 hat der Europäische Datenschutzausschuss (EDSA / EDPB) entschieden, dass seine fünfte koordinierte Durchsetzungsaktion im Jahr 2026 den Transparenz- und Informationspflichten nach der Datenschutz-Grundverordnung (DSGVO) gewidmet wird. Damit nehmen die europäischen Aufsichtsbehörden genau jene Vorschriften ins Visier, die sicherstellen sollen, dass Bürgerinnen und Bürger wissen, was mit ihren personenbezogenen Daten geschieht – ein zentrales Element der Datenschutz-Compliance.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für EDPB startet EU-weite Datenschutzprüfung 2026: Fokus auf Transparenzpflichten nach der DSGVO

Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

Veröffentlicht am 11. Oktober 2025 von SWinkler

Versteckte Systeme – ein unsichtbares Sicherheitsproblem

Schatten-IT bezeichnet alle IT-Systeme, Anwendungen oder Cloud-Dienste, die in einem Unternehmen ohne Wissen oder Zustimmung der IT-Abteilung eingesetzt werden.

Das kann harmlos wirken – etwa, wenn Mitarbeitende schnell ein kostenloses Online-Tool nutzen, um ihre Arbeit zu erleichtern. Doch gerade diese unkontrollierte Nutzung führt dazu, dass sensible Daten in Systeme gelangen, die nicht abgesichert oder überprüft sind.

Weiterlesen
Veröffentlicht unter Uncategorized | Kommentare deaktiviert für Schatten-IT im Unternehmen: Wenn gute Absichten zum Risiko werden

OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Veröffentlicht am 29. September 2025 von SWinkler

Das Oberlandesgericht (OLG) Düsseldorf hat am 10. Juli 2025 in der Sache 16 U 83/24 ein Urteil gefällt, das für Unternehmen wie auch für Betroffene von Datenschutzverstößen von erheblicher Bedeutung ist. Kern der Entscheidung: Schon der Verlust der Kontrolle über personenbezogene Daten kann nach der DSGVO einen Anspruch auf Schadensersatz begründen.

Weiterlesen
Veröffentlicht unter Uncategorized | Kommentare deaktiviert für OLG Düsseldorf spricht 200 Euro Schadensersatz für Datenkontrollverlust zu

Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen

Veröffentlicht am 17. September 2025 von SWinkler

Am 4. September 2025 hat der Europäische Gerichtshof (EuGH) in der Rechtssache EDPS gegen Single Resolution Board (C-413/23 P) ein wegweisendes Urteil verkündet. Im Mittelpunkt stand die Frage: Wann sind pseudonymisierte Informationen personenbezogene Daten und wann sind sie es nicht – und für wen?

Das Urteil befasst sich mit einer für Unternehmen und Organisationen, die mit pseudonymisierten Daten arbeiten äußerst wichtigen Frage.

Weiterlesen
Veröffentlicht unter Uncategorized | Verschlagwortet mit , , , , , , , | Kommentare deaktiviert für Pseudonymisierte Daten: EuGH schafft Klarheit über personenbezogene Informationen