Datenschutz: Digitaler Widerruf-Button ab 19. Juni 2026 Pflicht

Unternehmen im Europäischen Wirtschaftsraum müssen sich auf härtere Datenschutzauflagen und neue technische Sicherheitsstandards einstellen.

Google Chrome startet Hardware-Bindung für Sitzungscookies

Ende Mai begann Google Chrome mit der Einführung von Device Bound Session Credentials (DBSC). Die Ausrollphase startete am 25. Mai 2026 und soll innerhalb von 60 Tagen abgeschlossen sein. Die Technologie bekämpft den Diebstahl von Sitzungscookies durch Infostealer, die zunehmend Authentifizierungstoken umgehen, um Multi-Faktor-Authentifizierung zu knacken.

IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen. Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. Zum kostenlosen Cyber-Security-Ratgeber

DBSC bindet Sitzungscookies kryptografisch an die Hardware des Nutzergeräts – konkret an das Trusted Platform Module (TPM) unter Windows oder die Secure Enclave unter macOS. Für Google-Workspace-Kunden ist die Funktion standardmäßig aktiviert und lässt sich nicht über die Administrationskonsole deaktivieren. Parallel dazu treibt Google die Entwicklung als potenziellen W3C-Standard voran. Das deutet auf einen breiten Branchentrend hin: Künftig sollen digitale Identitäten fest an die Hardware gebunden sein.

Strengere Vorgaben für Cookie-Consent in Deutschland

Seit 2026 regelt § 25 TDDDG (Nachfolger des TTDSG) die Cookie-Einwilligung in Deutschland. Bei Verstößen drohen Bußgelder von bis zu 300.000 Euro. Die Rechtslage hat sich durch mehrere Gerichtsentscheidungen verschärft, die den Spielraum für Datensammlung ohne aktive Nutzerzustimmung deutlich eingeschränkt haben.

Bereits im Frühjahr 2025 entschied das Verwaltungsgericht Hannover: Der Einsatz von Google Tag Manager erfordert eine ausdrückliche Einwilligung der Nutzer. Das Urteil reiht sich ein in die Rechtsprechung des Europäischen Gerichtshofs – etwa den Planet49-Fall, der klarstellte, dass für das Setzen von Cookies ein aktives Opt-in nötig ist. Im August 2025 kippte zudem das österreichische Bundesverwaltungsgericht das Consent-Banner eines großen Medienhauses, weil Nutzern keine granularen Auswahlmöglichkeiten geboten wurden.

Angesichts strengerer Kontrollen und hoher Bußgelder ist eine lückenlose Dokumentation Ihrer Datenverarbeitung wichtiger denn je. Diese kostenlose Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage jetzt herunterladen

Auch auf europäischer Ebene zeichnet sich eine Verschärfung ab: Der Europäische Datenschutzausschuss (EDPB) stellte Ende 2024 fest, dass „Pay or Consent“-Modelle (Pur-Abos) großer Plattformen nicht zwangsläufig eine freiwillige Einwilligung darstellen.

Neue Pflicht: Digitaler Widerruf-Button bis Juni 2026

Händler und Dienstleister müssen bis zum 19. Juni 2026 einen digitalen Widerruf-Button für Fernabsatzverträge in der EU bereitstellen. Die Pflicht geht auf die Richtlinie 2023/2673 zurück und soll Verbrauchern die Kündigung erleichtern.

Der Button muss leicht auffindbar und klar beschriftet sein – etwa mit „Vertrag widerrufen“. Wer den zweistufigen Prozess nicht korrekt umsetzt, riskiert eine massive Verlängerung der Widerrufsfrist: bis zu 12 Monate und 14 Tage.

Digitaler Omnibus: EU plant GDPR-Reform

Die EU-Kommission arbeitet an einem „Digital Omnibus“-Paket, das erstmals im November 2025 vorgeschlagen wurde. Die geplanten Änderungen umfassen:

• Artikel 88a und 88b: Neue Regeln, die Cookie-Vorschriften direkt in die GDPR integrieren und Standards für Browser-Signale festlegen
• Artikel 88c: Eine Rechtsgrundlage für das Training von KI-Modellen
• Vereinfachte Meldepflichten: Weniger Bürokratie bei bestimmten Datenpannen

Vollständig umgesetzt sein dürften die Änderungen allerdings erst 2030, erste Anwendungen sind frühestens Ende 2027 zu erwarten. Klar ist: Die EU treibt eine stärker zentralisierte Digitalpolitik voran.

Sonderfall Steuerdaten: KI-Training rückt näher

In Deutschland sorgt ein Entwurf des Jahressteuergesetzes 2026 für Diskussionen. Er sieht vor, dass Finanzämter KI-Systeme mit echten, unveränderten Steuerdaten trainieren dürfen. Das wäre ein Bruch mit dem GDPR-Grundsatz der Zweckbindung – und könnte weitreichende Folgen haben.

Europrivacy: Neuer globaler GDPR-Zertifizierungsstandard

Der Europäische Datenschutzausschuss hat „Europrivacy“ als globalen GDPR-Zertifizierungsstandard anerkannt. Das Siegel, das unter Artikel 46 GDPR firmiert, dient als formaler Datentransfermechanismus. Unternehmen erhalten damit einen standardisierten Weg, um Compliance über verschiedene Rechtsräume hinweg nachzuweisen.

Parallel dazu haben Datenschutzbehörden in 25 Regionen koordinierte Prüfungen von Datenschutzerklärungen gestartet. Auch das britische Information Commissioner's Office (ICO) arbeitet an aktualisierten Leitlinien für Cookie-Consent.

de | wirtschaft | 69472772 |