Im Bereich Datenschutz ergeben sich stetig neue Entwicklungen und Entscheidungen, die sowohl Unternehmen als auch Verbraucher vor spannende Herausforderungen stellen. Alle zwei Wochen werfen wir einen Blick auf die wichtigsten Ereignisse, die die Datenschutzlandschaft bewegt haben. Hier erfahren Sie alles Wissenswerte kompakt und in Kürze, um immer auf dem neuesten Stand zu sein.
Der Inhalt im Überblick
- Schluss mit Cookie-Bannern: Effizienteres Einwilligungsmanagement mit Consenter?
- Technische Entwicklungen im E-Commerce: Einführung von UCP als Wendepunkt?
- Weitere News zu Datenschutz und IT
- Urteil zum Unterlassungs- und Schadensersatzanspruch wegen Meta Business Tools
- Urteil zum Vorliegen personenbezogener Daten im Rahmen der Beitragsanpassungen einer privaten Krankenversicherung
- Weitere wichtige Meldungen
Schluss mit Cookie-Bannern: Effizienteres Einwilligungsmanagement mit Consenter?
Cookie-Banner fordern im Netz anhaltend unsere Zustimmung, stören den Arbeitsfluss und strapazieren die Geduld. Um dieser Entwicklung entgegenzuwirken, wurde von Forschern der TU Berlin eine neue Lösung entwickelt, die kürzlich das offizielle „OK“ der BfDI erhalten hat: Die höchste deutsche Datenschutzbehörde hat mit „Consenter“ den ersten Dienst zur automatisierten Verwaltung von Einwilligungen offiziell nach § 26 TDDDG anerkannt. Es handelt sich um ein Browser-Plug-in, das nach der Installation die Cookie-Banner vieler Websites automatisch nach den vordefinierten Präferenzen des Nutzers beantwortet. Anstatt bei jedem Besuch einer neuen Seite manuell eine Auswahl treffen zu müssen, übernimmt der Agent diese Aufgabe. Solche Dienste werden als „Personal Information Management Systems“ (PIMS) bezeichnet. Der offizielle Launch fand am 28. Januar 2026 statt. Für Website-Betreiber wurde parallel der „Consenter Manager“ angekündigt, mit dem sich ein kompatibles Cookie Banner konfigurieren lässt.
Bedeutung für die Praxis:
- Für Nutzer kann dieses Tool den (Arbeits-)Alltag im Internet erleichtern und beschleunigen. Aus Unternehmenssicht ist die Anerkennung durch die höchste deutsche Datenschutzbehörde ein klares Signal: Der Trend geht zu nutzerfreundlicheren und automatisierteren Lösungen im Einwilligungsmanagement. Die Anerkennung unterstreicht die Notwendigkeit, die eigenen Web-Angebote so zu gestalten, dass sie mit solchen Systemen reibungslos interagieren können. Es könnte ein Schritt hin zu einem praxisnäheren Umgang mit Online-Tracking sein.
Hilfreiche Links:
- Website des Anbieters zu Consenter
- heise.de: Gegen die Cookie-Banner-Flut: Erster „Einwilligungsagent“ geht an den Start
- BfDI: Dienste zur Einwilligungsverwaltung nach § 26 TDDDG
Technische Entwicklungen im E-Commerce: Einführung von UCP als Wendepunkt?
Das Universal Commerce Protocol (UCP) von Google markiert einen Meilenstein in der Verschmelzung von Künstlicher Intelligenz (KI) und Onlinehandel. Ziel des offenen Branchenstandards ist es, den gesamten Einkaufsprozess – von der Produktsuche über Preisverhandlungen bis hin zum Checkout – nahtlos und ohne Medienbrüche zu gestalten. UCP bietet eine offene Architektur, die bestehende Shop-Infrastrukturen der Händler integriert, ohne deren Kontrolle über Checkout und Kundenbeziehungen zu gefährden. Händler bleiben der offizielle Verkäufer, auch wenn der Kauf über externe KI-Assistenten initiiert wird. Für Zahlungsdienste ermöglicht UCP die Anbindung verschiedener Zahlungsmethoden wie Kreditkarten, Wallets und Rechnungen. Mit der Integration in eigene Dienste wie die Google-Suche und Gemini will Google wieder zur ersten Anlaufstelle für den Onlinehandel werden. Die Direktkauf-Funktion ermöglicht es Kunden, Produkte direkt über die Google-Plattform zu kaufen, ohne externe Websites besuchen zu müssen. Dies könnte die Konversionsraten erhöhen und die Abhängigkeit von Werbeeinnahmen reduzieren.
Bedeutung für die Praxis:
- Das Universal Commerce Protocol hat das Potenzial, den Onlinehandel grundlegend zu verändern und KI-Assistenten als zentrale Einkaufshelfer zu etablieren. Langfristig könnte UCP Kaufabbrüche reduzieren, Konversionsraten erhöhen und neue Geschäftsmodelle für Händler und Plattformen schaffen. Google positioniert sich mit UCP strategisch, um im Wettbewerb mit Amazon und anderen Konkurrenten wieder eine führende Rolle im E-Commerce einzunehmen. Dies betrifft naturgemäß auch den Umgang mit Kundendaten. Ein Grund, die Entwicklungen aktiv zu verfolgen.
Hilfreiche Links:
- Agentic Commerce: So stellt sich Google die Zukunft des Handels vor
- Under the Hood: Universal Commerce Protocol (UCP)
- Google UCP: Wenn der Algorithmus der beste Kunde wird (Paywall)
Weitere News zu Datenschutz und IT
- Microsoft verschiebt Einführung von Teams-Orts- und Bürozeiterfassung | heise.de
- Standortdaten: Bundesregierung kauft bei Datenbrokern ein | heise.de
- Millionenstrafe nach Datenpanne: CNIL sanktioniert französischen Provider Free | heise.de
- Lohnabrechnungen falsch verschickt: DSGVO-Vorfall bei der Datev | golem.de
Urteil zum Unterlassungs- und Schadensersatzanspruch wegen Meta Business Tools
Das Landgericht Lübeck hat mit Urteil vom 27.11.2025, Az.: 15 O 15/24, erklärt, dass Meta die Datenverarbeitung über die Meta Business Tools auf Drittseiten und in Dritt-Apps ohne Einwilligung zu unterlassen hat. Dem Kläger wurden 5.000 Euro Schadensersatz wegen Kontrollverlusts über persönliche Daten zugesprochen. Kurz gesagt ging es um die Frage, ob Meta Informationen über das Surfverhalten der Nutzer auf fremden Webseiten und Apps sammeln darf, nur weil diese einen Instagram-Account haben. Entscheidend war, dass Meta keine wirksame Einwilligung des Klägers für die Datensammlung nachweisen konnte. Diese war somit rechtswidrig. Meta kann die Verantwortung für die Datensammlung auch nicht einfach auf die Webseiten-Betreiber abwälzen. Da Meta die Tools entwickelt und die Daten zum eigenen Vorteil nutzt, ist das Unternehmen laut Gericht verantwortlich. Der Nutzer musste zudem nicht mühsam beweisen, welche Seiten er besucht hat. Das Gericht ging davon aus, dass bei der weiten Verbreitung dieser Tools jeder Nutzer betroffen ist. Meta hätte das Gegenteil beweisen müssen.
Bedeutung:
- Das Urteil stärkt die Rechte von Verbrauchern bei Auseinandersetzungen mit dem Social Media-Riesen weiter. Es bestätigt, dass das Recht auf informationelle Selbstbestimmung (also das Recht, selbst über Ihre Daten zu bestimmen) nicht „an der Tür“ zu Facebook oder Instagram endet. Für einen unrechtmäßigen Kontrollverlust über die eigenen Daten kann eine Entschädigung in Form von Schadensersatz gefordert werden. Das Landgericht Lübeck steht mit seiner Auffassung ferner nicht allein – immer mehr Gerichte urteilen entsprechend. Aufgrund der weit verbreiteten Nutzung der Meta Business Tools und deren Integration auf tausenden von Webseiten besteht hier für Meta ein nicht unerhebliches wirtschaftliches Risiko.
Hilfreiche Links:
- Urteil des LG Lübeck vom 27.11.2025, Az.: 15 O 15/24
- LG Leipzig 5. Zivilkammer, Urteil vom 4.Juli 2025 , Az: 05 O 2351/23
- Facebook und Datenschutz – Was ist zu beachten?
Urteil zum Vorliegen personenbezogener Daten im Rahmen der Beitragsanpassungen einer privaten Krankenversicherung
Der BGH lehnte einen Auskunftsanspruch auf Herausgabe von Informationen zu seinen Beitragsanpassungen sowie Tarifwechseln und -beendigungen mit Urteil vom 18.12.2025, Az.: I ZR 115/25, ab und verwies die Sache zurück an das Berufungsgericht. Das Gericht erklärte, es könne nicht angenommen werden, dass sämtliche vom Kläger begehrten Informationen personenbezogene Daten im Sinne von Art. 15 Abs. 1 und 3, Art. 4 Nr. 1 DSGVO darstellen. Der Erhöhungsbetrag sei nur das Ergebnis einer unter Berücksichtigung festgelegter Parameter angestellten Preisberechnung der Versicherung für einen bestimmten Tarif und lasse keine Rückschlüsse auf die Person des Versicherungsnehmers oder dessen individuellen Versicherungsvertrag zu. Der Umstand, dass eine Information einen Sachverhalt betreffe, der Auswirkungen auf eine bestimmte Person habe, reiche für die Annahme eines personenbezogenen Datums nach Art. 4 Nr. 1 DSGVO allein nicht aus. Vielmehr müsse die Information aufgrund einer solchen Auswirkung mit einer bestimmten Person in dem Sinne verknüpft sein, dass die Person auf Grundlage der Information identifiziert ist oder identifiziert werden kann.
Bedeutung:
- Der BGH stellt klar, dass irgendeine Art der „Auswirkung“ auf eine Person nicht ohne weiteres die Annahme eines personenbezogenen Datums rechtfertigt und es letztlich allein auf die Identifizierung oder Identifizierbarkeit ankommt. Informationen zu Beitragsanpassungen wie Informationen zu Beitragsanpassungen sowie Tarifwechseln und -beendigungen sind demnach nicht ohne Weiteres personenbezogene Daten. Bislang bestand ein erheblicher Meinungsstreit unter den Oberlandesgerichten zur Personenbezogenheit der Informationen zu Beitragsanpassungen, der nun durch das höchstrichterliche Urteil erledigt sein dürfte.
Hilfreiche Links:
- Urteil des BGH, 1. Zivilsenat, vom 18.12.2025, I ZR 115/25
- Personenbezogene Daten nach DSGVO einfach erklärt
- Sensible Daten nach der DSGVO: Definition & Beispiele
Weitere wichtige Meldungen
- CNIL: Bußgeld gegen American Express wegen nicht-rechtskonformen Einsatzes von Cookies
Mit Beschluss vom 27.11.2025, SAN-2025-011, hat die französische Datenschutzaufsichtsbehörde CNIL ein Bußgeld von 1,5 Millionen Euro wegen der Verstöße gegen Artikel 82 des französischen Datenschutzgesetzes (entspricht Artikel 5 Abs. 3 ePrivacy-RL, § 25 TDDDG) gegen American Express verhängt. Als Begründung für den Erlass und die Bemessung des Bußgeldes führt die CNIL an, das Unternehmen könne die geltenden Vorschriften angesichts ihres Alters und ihrer weiten Verbreitung nicht schlicht ignorieren. In der Höhe müsse das Bußgeld verhältnismäßig und abschreckend sein. Zudem berücksichtige es die Verantwortlichkeiten und finanziellen Möglichkeiten des Unternehmens.
Cookies : la CNIL sanctionne AMERICAN EXPRESS d’une amende de 1,5 million d’euros (Pressemitteilung), Délibération de la formation restreinte n°SAN-2025-011 du 27 novembre 2025 concernant la société AMERICAN EXPRESS CARTE FRANCE (Beschluss) - Haushaltsprivileg entfällt bei Verwendung privater E-Mails im Scheidungsverfahren
Das österreichische BVwG gab der Beschwerde einer Ehefrau teilweise statt, deren getrennt lebender Ehemann während der Trennungsphase auf ihren privaten E-Mail-Account zugegriffen hatte und darin enthaltene E-Mails (u. a. Tagebuch-/Notizeinträge) eingesehen, teilweise abfotografiert, gelöscht und im Scheidungsverfahren eingebracht hat. Das Gericht stellte insofern eine Verletzung des Rechts auf Geheimhaltung fest. Das Gericht hielt die DSGVO für anwendbar, weil der Ehemann sich nicht (mehr) auf das Haushaltsprivileg aus Art. 2 Abs. 2 lit. c DSGVO berufen könne, wenn die Datenverarbeitung den rein persönlichen/familiären Bereich überschreitet, etwa durch Offenlegung im Scheidungsverfahren. Eine Rechtfertigung über ein berechtigtes Interesse zur Beweissicherung wurde im konkreten Fall nicht getragen, weil die Erforderlichkeit/Abwägung nicht zugunsten des Ehemanns ausfiel.
Spruch des öBVerwG, Erk vom 23.10.2025 W605 2252724-1/27E