EuGH formt Datenschutz: Strengere Regeln, neue Rechte für Unternehmen

Nach dem Scheitern der ePrivacy-Verordnung im Februar 2025 sind die Luxemburger Richter zur zentralen Instanz für digitale Compliance geworden. Die Bilanz bis Mai 2026: strengere Vorgaben für Tracking und Einwilligungen, aber auch neue rechtliche Instrumente für betroffene Unternehmen.

„TC String“ wird zu personenbezogenen Daten

Ein Meilenstein war das Urteil des EuGH vom 7. März 2024 im Fall IAB Europe (C?604/22). Die Richter entschieden, dass der sogenannte Transparency and Consent String (TC String) – eine technische Zeichenfolge, die Nutzerpräferenzen speichert – als personenbezogenes Datum gilt, sobald er etwa mit einer IP-Adresse verknüpfbar ist.

Angesichts der strengeren EuGH-Rechtsprechung wird die lückenlose Dokumentation Ihrer Datenverarbeitung zur Existenzfrage. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Noch folgenreicher: Der EuGH weitete den Begriff der gemeinsamen Verantwortlichkeit aus. Selbst Organisationen, die keine direkten Datenzugriffe haben, können haften, wenn sie die technischen Standards für Tracking-Frameworks setzen. Die belgische Datenschutzbehörde verhängte daraufhin ein Bußgeld von 250.000 Euro gegen IAB Europe – ein Signal an alle Branchenverbände.

„Pay or Consent“ unter Druck

Im April 2024 legte der Europäische Datenschutzausschuss (EDSA) mit seiner Stellungnahme 08/2024 nach. Große Plattformen, die Nutzer vor die Wahl zwischen Bezahlen oder Tracking stellen, müssen künftig eine dritte Option anbieten. Die Begründung: Ein reines Binärmodell verletze die Freiwilligkeit der Einwilligung, besonders bei Diensten mit hoher gesellschaftlicher Relevanz.

Bis Anfang 2026 haben die meisten Betreiber reagiert. Statt der harten Wahl setzen sie nun auf kontextbezogene Werbung als weniger invasive Alternative – ein Zugeständnis an die Regulierer, die eine spaltung der Nutzerbasis in Zahlende und Getrackte verhindern wollen.

Klarheit für E-Mail-Marketing

Der EuGH brachte am 13. November 2025 im Fall Inteligo Media (C?654/23) Licht ins Dunkel des Direktmarketings. Kernaussage: Die ePrivacy-Richtlinie geht als Spezialgesetz der DSGVO vor, wenn es um die „sanfte Opt-in“-Regelung geht.

Entscheidend ist der erweiterte Verkaufsbegriff. Schon die Erstellung eines kostenlosen Kontos begründet ein Rechtsverhältnis, das den Versand von Newslettern für ähnliche Produkte erlaubt – ohne separate DSGVO-Einwilligung. Voraussetzung: Ein klares Opt-out bei der Registrierung und in jeder Nachricht. Für Unternehmen entfällt damit die lästige „Doppelprüfung“ bei Bestandskunden.

2026: Neue Waffen für Unternehmen

Zwei wegweisende Entscheidungen in diesem Jahr stärken die Position der Datenverantwortlichen:

Februar 2026: Der EuGH erlaubt Unternehmen, verbindliche Entscheidungen des EDSA direkt anzufechten – ohne den Umweg über nationale Aufsichtsbehörden. Damit entsteht ein „zweigleisiger“ Rechtsschutz, der es Firmen ermöglicht, EU-weite Sanktionen schneller zu bekämpfen.

März 2026, Fall Brillen Rottler (C?526/24): Erstmals kann ein Auskunftsersuchen als missbräuchlich eingestuft werden, wenn der Antragsteller offensichtlich andere Ziele verfolgt als die Prüfung der Datenverarbeitung. Das schützt Unternehmen vor taktischen Anfragen in parallelen Rechtsstreitigkeiten.

Die aktuelle Rechtsprechung zeigt, dass technische Lücken bei der Dokumentation teuer werden können – oft fallen diese erst bei behördlichen Prüfungen auf. Experten zeigen Ihnen in diesem kostenlosen Leitfaden die häufig übersehenen Pflichtfelder im Verarbeitungsverzeichnis auf. Erfahren Sie, was viele Unternehmen beim DSGVO-Verarbeitungsverzeichnis falsch machen

Deutsche Einwilligungsverwaltung startet

Seit dem 1. April 2025 gilt in Deutschland die Einwilligungsverwaltungsverordnung (EinwV). Sie erlaubt Nutzern, ihre Präferenzen zentral über zertifizierte Dienste zu verwalten – theoretisch das Ende der lästigen Cookie-Banner. Die Praxis hinkt noch hinterher: Mitte 2026 steckt die Umsetzung in den Kinderschuhen. Doch der Trend ist klar: Weg von der individuellen Klick-Belastung, hin zu systemischen Standards.

Ausblick: Was bleibt, ist die Rechtsprechung

Mit dem Rückzug der ePrivacy-Verordnung Anfang 2025 bleibt das Zusammenspiel von ePrivacy-Richtlinie (2002) und DSGVO der rechtliche Rahmen. Neuerungen kommen künftig vor allem durch Urteile – nicht durch Gesetze.

Für Unternehmen heißt das: Audit der Einwilligungssysteme steht ganz oben auf der Agenda. Grenzüberschreitende Prüfungen nehmen zu, „Alles ablehnen“-Buttons und transparente Cookie-Laufzeiten sind nicht verhandelbar. Die Strafen bleiben hart – bis zu 4 Prozent des globalen Jahresumsatzes. Doch die neuen Rechtsschutzmöglichkeiten zeigen: Compliance wird nicht nur strenger, sondern auch fairer. Wer transparente Datenarchitektur als Teil seiner digitalen Strategie begreift, ist für die kommenden Jahre gut gerüstet.

de | wirtschaft | 69268798 |