Datenschutz in der Bedrohungslage?
Tilman Herbrich Schriftleitung Datenschutz-Berater
Sehr geehrte Leserinnen und Leser,
befindet sich der Datenschutz aktuell in einer Bedrohungslage? Diese Frage drängt sich auf, wenn man die jüngsten Entwicklungen aus Brüssel betrachtet. Anfang September erreichten uns Breaking News: Unter der Überschrift „Reality check on the Cookie Policy Framework under Article 5(3) ePrivacy Directive“ hat die Kommission für den 15. September zur Anhörung geladen. Aus Brüsseler Kreisen hört man, dass sogar eine Abschaffung der Cookie-Regelung debattiert wird, nachdem man die ePrivacy-VO im vergangenen Jahr beerdigt hatte (vgl. Herbrich DSB 2023, 317). Man wolle nun die „Cookie-Fatigue“ zum Schutz der Wirtschaft endgültig beenden.
Nichts scheint mehr übrig vom einstigen Geiste der Kommission, den unzureichenden Schutz der informationellen Selbstbestimmung aufgrund der Widerspruchslösung in Art. 5 Abs. 3 RL 2002/58/EG mit Konsolidierung durch die RL 2009/136/EG durch ein striktes Einwilligungserfordernis abzulösen, das so letztlich auch Eingang in § 25 TDDDG gefunden hat. Kernanliegen der Reform im Jahr 2009 war laut KOM(2007) 698 endgültig: „Ausweitung des Schutzes der Privatsphäre und der personenbezogenen Daten der Bürger in der elektronischen Kommunikation, insbesondere durch verschärfte Sicherheitsbestimmungen und verbesserte Durchsetzungsmechanismen.“
ErwGr. 24 ePrivacy-RL formuliert es unmissverständlich: „Spyware, Web-Bugs, Hidden Identifiers und ähnliche Instrumente können ohne das Wissen des Nutzers in dessen Endgerät eindringen und eine ernsthafte Verletzung der Privatsphäre darstellen.“ Dazu zählen auch Cookies, ergänzt ErwGr. 25 ePrivacy-RL. Wir wissen seit den Snowden-Enthüllungen, dass die NSA auch über Cookies Nachverfolgungen vorgenommen hat – mit nicht zu unterschätzendem Erfolg. Ein Klick auf eine Werbeanzeige kann Spyware über sogenannte In-Ad-Tags in Werbemitteln installieren. Bei Cookies geht es nicht um kleine Textdateien, sondern um den Schutz der Privatsphäre vor permanenter Identifizierung und Profilierung während wir uns im Internet politisch informieren oder sensibel einkaufen. Was daran ist heute weniger wichtig als vor 15 Jahren?
Der Skandal um Metas Local Host-Tracking verdeutlicht die Brisanz: Forscher der Radboud Universität in den Niederlanden stellten im Mai 2025 fest, dass native Android-Apps – darunter Facebook, Instagram und mehrere Yandex-Apps – heimlich auf festen lokalen Ports des Browsers zu Tracking-Zwecken Netzwerkverkehr mitschneiden und dabei alle Sicherheitsmechanismen des Browsers umgehen. Meta zweckentfremdete Websites, die den Meta Pixel integriert hatten, als Gehilfen, ignorierte Nutzerentscheidungen und umging Sicherheitsmechanismen wie den Private Mode, das Löschen von Cookies und Berechtigungskontrollen von Android, um eine persistente, nicht mehr löschbare ID zu generieren und das Nutzerverhalten außerhalb der App auszuspionieren. Dabei öffnet Meta für andere Apps, die die offenen Netzwerksignale ansteuern, Tür und Angel für den Missbrauch von Nutzerdaten. Zwei-Faktor-Authentifizierung hilft nicht mehr, wenn mein Endgerät gehijackt wurde. Endgeräte als Einstiegspunkt in die unternehmensinterne Infrastruktur? Meta macht’s möglich. Es drängt sich die Frage auf: Hat Meta einen Data Breach auf sechs Millionen Websites ausgelöst? Es dürfte schwerfallen, die Erfüllung aller Tatbestandsmerkmale der Legaldefinition in Art. 4 Nr. 12 DSGVO zu negieren.
Würde man Art. 5 Abs. 3 ePrivacy-RL streichen, gäbe es möglicherweise keine Pflicht zur informierten Einwilligung und auch keine Transparenz für Endgerätezugriffe. Es gäbe auch weniger Fachwissen von Datenschutzberater:innen, weniger kritische Nachfragen „beim Marketing“ und damit generell weniger Freiheit in unserem Land. Ich wünsche Europa deshalb in diesen Bedrohungszeiten ein starkes Parlament und einen starken Rat, der versteht, warum die Endgeräteintegrität einen besonderen Schutz benötigt, nicht zuletzt, um Manipulation bei demokratischen Willensbildungsprozessen zu verhindern. Das BVerfG hat kürzlich in Trojaner I und II zum Grundrecht auf IT-Sicherheit vorgelegt, Berlin und Brüssel sollten nicht in die Gegenrichtung schlafwandeln.
Wir werden Sie über die weiteren Entwicklungen auf dem Laufenden halten; für den Moment wünsche ich Ihnen im Namen der Redaktion eine wie gewohnt spannende Lektüre.
Ihr
Tilman Herbrich
Datenschutz-Berater
Datenschutz-Berater
Der Datenschutz-Berater (DSB) ist eine der führenden Fachzeitschriften für Datenschutz und Datensicherheit. Mit den täglich wachsenden Möglichkeiten der Datenerhebung, -verarbeitung und -nutzung wird das Thema Datenschutz immer wichtiger. Technische und rechtliche Neuerungen – wie etwa die EU-Datenschutzgrundverordnung – fordern von den Verantwortlichen, sich fortlaufend zu informieren. Der Datenschutz-Berater bringt monatlich die wichtigsten Neuigkeiten, Risiken und die aktuelle Rechtsprechung auf den Punkt und berät seine Leser mit konkreten Handlungsempfehlungen, Arbeitsmitteln und Checklisten für die tägliche Praxis. Literaturtipps und Terminhinweise für Aus- und Weiterbildung runden das Angebot ab.
Zielgruppen
Alle, die sich tagtäglichen mit Fragen des Datenschutzes auseinandersetzen müssen:
- Fach- und Führungskräfte in Datenschutzabteilungen
- interne und externe Datenschutzbeauftragte
- Personalabteilungen und HR Specialists
- Geschäftsführer
- IT-Sicherheitsexperten - Revisoren
2. Deutschen Beschäftigtendatenschutztag
2.Deutschen Beschäftigtendatenschutztag
Melden Sie sich jetzt zum 2. Deutschen Beschäftigtendatenschutztag an und profitieren Sie an zwei Tagen von aktuellem Fachwissen zum Datenschutz im Beschäftigungsverhältnis!
Die Veranstaltung richtet sich an Datenschutzbeauftragte, Personalverantwortliche, Unternehmensjurist:innen und alle, die mit Beschäftigtendaten arbeiten.
📅 29.–30. Oktober 2025 | München
📍 Veranstaltungsort: POELLATH, Hofstatt 1, 80331 München
Anmeldung unter: 🌐 www.ruw.de/dbdt
Eine Veranstaltung des Datenschutz Berater
Vom Lebenswerk zum erfolgreichen Verkauf: Nachfolgelösungen für Datenschutz-Unternehmer
Nachfolgelösungen für Datenschutz-Unternehmer
📅 Datum: Donnerstag, 13. November 2025
🕙 Uhrzeit: 10:00 – 12:00 Uhr
📍 Ort: Online-Webinar
Wie gelingt es, ein Datenschutz-Unternehmen erfolgreich zu übergeben und den Unternehmenswert zu maximieren?
In diesem praxisnahen Webinar erfahren Sie alles über Vorbereitung, Unternehmensbewertung, Vertragsgestaltung und Verhandlungen – inklusive Tipps zu Stolperfallen, Käufererwartungen und innovativen Nachfolgelösungen speziell für Datenschutz-Unternehmen.
💬 Mit Expert:innen aus Praxis und Beratung
🧾 Teilnahme: kostenfrei | Anmeldung erforderlich
Jetzt anmelden: www.ruw.de/nachfolge
Eine Veranstaltung des Datenschutz-Beraters in Kooperation mit Gaius Capital GmbH
Ihre Ansprechpartnerin:
Maria Belz | Projektmanagerin
📧 Maria.Belz@dfv.de | 📞 +49 69 7595-1157
Praxisseminar zur KI-Verordnung
Erhalten Sie kompakte Einblicke in die KI-Verordnung, ihre praktische Umsetzung im Unternehmen, datenschutzrechtliche Herausforderungen und neue Standards & Regulierungen. Diskutieren Sie mit Expert:innen aus Recht, Wirtschaft und Verwaltung den rechtskonformen und ethischen Einsatz von KI.
🗓️ Termin: 12. November 2025
🕘 Beginn: 14:00 – 18:45 Uhr
📍 Ort: PwC, Georg-Glock-Straße 22, Düsseldorf
🎯 Jetzt anmelden unter www.ruw.de/ki-verordnung
1. Deutscher Microsoft-Datenschutztag
1. Deutscher Microsoft-Datenschutztag
Im Fokus: Datenschutz in Microsoft-Umgebungen – mit Einblicken aus der Unternehmenspraxis, Diskussion regulatorischer Anforderungen und praktischer Umsetzung.🗓️ Termin: 04. Dezember 2025
📍 Ort: dfv Mediengruppe, Frankfurt
🎯 Anmelden unter: www.ruw.de/MSFT-datenschutztag
Praxisseminar: Datenschutz in der Unternehmensgruppe
Praxisseminar: Datenschutz in der Unternehmensgruppe
Jetzt anmelden und Datenschutzpraxis in Konzernstrukturen kompakt und auf den Punkt gebracht erleben!
In diesem intensiven Tagesseminar erhalten Sie konkrete Einblicke in Governance-Modelle, operative Datenschutzprozesse, Konfliktmanagement und aktuelle Technologietrends – direkt aus der Unternehmenspraxis.
📌 Themenschwerpunkte:
-
Governance & Struktur: zentrale vs. dezentrale Modelle, DSMS, Rollenverteilung, Teamführung
-
Operative Umsetzung: Prozesse zur Steuerung von VVT, DSFA, Incident-Handling und Betroffenenrechten
-
Konfliktmanagement: Umgang mit Aufsichtsbehörden, Klagen & internen Eskalationen
-
Praxis-Update: Datenschutz bei KI, Voice-Bots, Analytics, Opt-In-Designs, Lead-Sharing u. v. m.
🗓️ Termin: 5. November 2025
📍 Veranstaltungsort: RSM Ebner Stolz, Holzmarkt 1, 50676 Köln
💻 JETZT ANMELDEN UNTER: www.ruw.de/didu
3. Deutscher DSGVO-Bußgeldtag
3. Deutscher DSGVO-Bußgeldtag
Praktische Einblicke in laufende und abgeschlossene Bußgeldverfahren, Verteidigungsstrategien, Behördenperspektiven und ein Ausblick auf die KI-Verordnung & das EU-Digitalrecht.
🗓️ Termin: 27. November 2025
📍 Ort: Latham & Watkins LLP, Frankfurt
🎯 Jetzt anmelden unter www.ruw.de/dsgvo
Siehe auch:
DSB 2025, 253
Property in Goods and the CISG (2024), S. 151—221
