Die wichtigsten EuGH-Urteile zur DSGVO für Website-Betreiber
Von Planet49 über Schrems II bis Meta/Bundeskartellamt: Die relevantesten EuGH-Urteile zur DSGVO und was sie konkret für deine Website bedeuten.
Die DSGVO ist seit Mai 2018 in Kraft — aber ihren tatsächlichen Umfang definieren erst die Urteile des Europäischen Gerichtshofs (EuGH). Für Website-Betreiber sind diese Entscheidungen von unmittelbarer Relevanz: Sie bestimmen, ob ein Cookie-Banner genügt, welche Drittanbieter-Dienste zulässig sind und wann eine Einwilligung wirklich wirksam ist. Dieser Artikel fasst die wichtigsten Urteile chronologisch zusammen und erklärt, was sich jeweils konkret für deinen Webauftritt ändern muss.
Übersicht: Die wichtigsten Urteile
| Urteil | Aktenzeichen | Jahr | Kernaussage |
|---|---|---|---|
| Breyer (IP-Adressen) | C-582/14 | 2016 | Dynamische IP-Adressen sind personenbezogene Daten |
| Fashion ID (Like-Button) | C-40/17 | 2019 | Gemeinsame Verantwortlichkeit bei Social-Plugins |
| Planet49 (Cookies) | C-673/17 | 2019 | Aktives Opt-in für Cookies verpflichtend |
| Schrems II (Privacy Shield) | C-311/18 | 2020 | EU-US Privacy Shield ungültig |
| Deutsche Wohnen (Haftung) | C-807/21 | 2023 | Unternehmenshaftung ohne individuelles Verschulden |
| Meta/Bundeskartellamt | C-252/21 | 2023 | Marktmacht beeinflusst Freiwilligkeit der Einwilligung |
| SCHUFA (Scoring) | C-634/21 | 2023 | Automatisiertes Scoring unterliegt Art. 22 DSGVO |
| Noyb/Meta (Rechtsgrundlage) | C-446/21 | 2024 | Berechtigtes Interesse rechtfertigt kein Behavioral Advertising |
1. Breyer — Dynamische IP-Adressen (C-582/14, 2016)
Sachverhalt: Patrick Breyer klagte gegen die Bundesrepublik Deutschland, weil Websites des Bundes die dynamischen IP-Adressen der Besucher speicherten.
Kernaussage: Dynamische IP-Adressen sind personenbezogene Daten im Sinne der Datenschutzrichtlinie (und damit der DSGVO), wenn der Website-Betreiber über rechtliche Mittel verfügt, die Person hinter der IP-Adresse zu identifizieren — was durch Auskunftsansprüche gegenüber dem ISP grundsätzlich möglich ist.
Bedeutung für Website-Betreiber:
- Jeder Server-Log-Eintrag mit IP-Adresse ist ein personenbezogenes Datum
- IP-Adressen in Access-Logs benötigen eine Rechtsgrundlage (in der Regel Art. 6 Abs. 1 lit. f DSGVO, berechtigtes Interesse an IT-Sicherheit)
- Speicherdauer begrenzen: 7-14 Tage für Access-Logs ist die gängige Empfehlung
- Drittanbieter, die IP-Adressen erhalten (CDNs, Fonts, Analytics), verarbeiten personenbezogene Daten
2. Fashion ID — Gemeinsame Verantwortlichkeit (C-40/17, 2019)
Sachverhalt: Fashion ID, ein Online-Modeshop, hatte den Facebook-Like-Button auf seiner Website eingebunden. Dadurch wurden bei jedem Seitenaufruf Daten an Facebook übermittelt — auch von Nutzern ohne Facebook-Konto.
Kernaussage: Ein Website-Betreiber, der ein Social-Plugin einbindet, ist gemeinsam mit dem Plugin-Anbieter verantwortlich (Art. 26 DSGVO) für die Datenerhebung und -übermittlung, die durch das Laden des Plugins ausgelöst wird. Er ist jedoch nicht für die nachfolgende Verarbeitung durch den Plugin-Anbieter verantwortlich.
Bedeutung für Website-Betreiber:
- Wer Social-Media-Plugins, Like-Buttons oder Embeds einbindet, wird zum gemeinsam Verantwortlichen
- Eine Vereinbarung nach Art. 26 DSGVO ist nötig (bei Facebook: “Addendum für gemeinsame Verantwortlichkeit” im Business Manager)
- Die Datenschutzerklärung muss den Einsatz und die Verantwortlichkeitsverteilung erklären
- Am sichersten: Social-Plugins durch datenschutzkonforme Alternativen ersetzen (Shariff, reine Links, Two-Click-Lösungen)
Betroffene Dienste: Facebook Like-Button, Facebook-Pixel, Instagram-Embeds, Twitter-Widgets, LinkedIn Insight Tag, Pinterest-Button, TikTok-Pixel.
3. Planet49 — Aktives Opt-in für Cookies (C-673/17, 2019)
Sachverhalt: Bei einem Gewinnspiel von Planet49 war eine Checkbox für den Einsatz von Cookies bereits vorausgewählt (Opt-out statt Opt-in).
Kernaussage: Die Einwilligung in das Setzen von Cookies muss durch eine aktive Handlung des Nutzers erfolgen. Eine vorausgewählte Checkbox genügt nicht. Außerdem muss der Nutzer über die Funktionsdauer der Cookies und darüber informiert werden, ob Dritte Zugriff auf die Cookies erhalten.
Bedeutung für Website-Betreiber:
- Vorausgewählte Checkboxen im Cookie-Banner sind rechtswidrig
- Auch “Indem Sie weitersurfen, stimmen Sie zu”-Banner sind unwirksam
- Der Cookie-Banner muss die Speicherdauer jedes Cookies angeben
- Drittanbieter-Zugriff muss offengelegt werden
- Die Einwilligung muss vor dem Setzen nicht-notwendiger Cookies eingeholt werden
| Cookie-Consent-Methode | DSGVO-konform? | Planet49-konform? |
|---|---|---|
| Vorausgewählte Checkboxen (Opt-out) | Nein | Nein |
| ”Weitersurfen = Zustimmung” | Nein | Nein |
| Nur “OK”-Button ohne Ablehn-Option | Nein | Nein |
| Aktives Opt-in mit Cookie-Details | Ja | Ja |
| Kein Banner, nur technisch notwendige Cookies | Ja (kein Banner nötig) | Nicht relevant |
4. Schrems II — Privacy Shield ungültig (C-311/18, 2020)
Sachverhalt: Max Schrems klagte gegen Facebook Ireland wegen der Übermittlung seiner Daten an Facebook Inc. in den USA. Streitgegenstand war die Gültigkeit des EU-US Privacy Shield als Grundlage für den Datentransfer.
Kernaussage: Das EU-US Privacy Shield ist ungültig, weil die US-Überwachungsgesetze (insbesondere Section 702 FISA und Executive Order 12333) keinen gleichwertigen Schutz wie die DSGVO bieten. Standardvertragsklauseln (SCCs) bleiben grundsätzlich gültig, aber der Datenexporteur muss im Einzelfall prüfen, ob im Zielland tatsächlich ein angemessenes Schutzniveau besteht.
Nachfolgeentwicklung: Im Juli 2023 erliess die EU-Kommission den Angemessenheitsbeschluss für das EU-US Data Privacy Framework (DPF). Dieses soll die Lücke schließen — ist aber bereits Gegenstand von Kritik (erwartbar: “Schrems III”).
Bedeutung für Website-Betreiber:
- US-Dienste (Google Analytics, Google Fonts, Meta Pixel, Cloudflare, AWS) übertragen Daten in die USA
- Prüfen, ob der Anbieter unter dem DPF zertifiziert ist (Liste: dataprivacyframework.gov)
- Für nicht-zertifizierte Anbieter: SCCs + Transfer Impact Assessment (TIA) erforderlich
- Besser: EU-Alternativen oder Self-Hosting nutzen, wo möglich
- Datenschutzerklärung muss Drittlandtransfer und Schutzgarantien benennen
5. Deutsche Wohnen — Unternehmenshaftung (C-807/21, 2023)
Sachverhalt: Die Berliner Datenschutzbehörde verhängte ein Bußgeld von 14,5 Millionen Euro gegen die Deutsche Wohnen SE wegen unzulässiger Speicherung von Mieterdaten. Das Unternehmen argumentierte, ein Bußgeld könne nur verhängt werden, wenn ein individuelles Verschulden eines Mitarbeiters nachgewiesen werde.
Kernaussage: Für die Verhängung eines DSGVO-Bußgeldes genügt es, dass eine den Verantwortlichen treffende Pflicht objektiv verletzt wurde. Ein individuelles Verschulden einer bestimmten natürlichen Person muss nicht nachgewiesen werden. Es genügt, dass der Verstoß durch eine Person begangen wurde, die befugt ist, im Namen des Unternehmens zu handeln.
Bedeutung für Website-Betreiber:
- “Das hat unsere Agentur falsch eingerichtet” schützt nicht vor Bußgeldern
- ”Davon wusste die Geschäftsführung nichts” ist keine Entschuldigung
- Unternehmen müssen organisatorische Maßnahmen treffen, um Verstöße zu verhindern
- Regelmäßige Compliance-Prüfungen sind nicht optional, sondern notwendig
6. Meta/Bundeskartellamt — Marktmacht und Consent (C-252/21, 2023)
Sachverhalt: Das Bundeskartellamt untersagte Meta, die Daten von Facebook-Nutzern mit Daten aus Drittquellen (Instagram, WhatsApp, Like-Button, Pixel) ohne freiwillige Einwilligung zusammenzuführen.
Kernaussage: Bei der Beurteilung, ob eine Einwilligung “freiwillig” im Sinne von Art. 6 Abs. 1 lit. a DSGVO ist, muss die marktbeherrschende Stellung des Verantwortlichen berücksichtigt werden. Wenn Nutzer keine echte Alternative haben (z.B. weil das Netzwerk monopolartig ist), ist die Freiwilligkeit zweifelhaft. Das Bundeskartellamt darf Datenschutzverstöße im Rahmen der Missbrauchsaufsicht ahnden.
Bedeutung für Website-Betreiber:
- Die Zusammenführung von Nutzerdaten über verschiedene Dienste (Cross-Service-Tracking) wird noch kritischer bewertet
- Das Meta-Pixel, das Nutzerdaten plattformübergreifend zusammenführt, ist besonders betroffen
- ”Berechtigtes Interesse” als Rechtsgrundlage für personalisierte Werbung wird zunehmend ausgeschlossen
- Nur eine echte, informierte Einwilligung legitimiert plattformübergreifendes Tracking
7. Google Fonts — LG München I (Az. 3 O 17493/20, 2022)
Kein EuGH-Urteil, aber für Website-Betreiber im DACH-Raum mindestens ebenso wirksam:
Kernaussage: Das dynamische Einbinden von Google Fonts ohne Einwilligung verstößt gegen die DSGVO. Die IP-Adresse des Besuchers wird an Google (USA) übermittelt, ohne dass eine Rechtsgrundlage vorliegt. Das berechtigte Interesse (Art. 6 Abs. 1 lit. f) scheidet aus, weil Google Fonts auch lokal gehostet werden können.
Schadensersatz: 100 EUR pro Besucher (Art. 82 DSGVO). Es folgten tausende Maßenabmahnungen.
Was du tun musst:
- Alle Google Fonts lokal hosten (WOFF2-Dateien herunterladen, per
@font-faceeinbinden) - Auch andere externe Fonts prüfen: Adobe Fonts, Font Awesome CDN, Bootstrap Icons CDN
- Den Compliso Scanner nutzen, um versteckte externe Font-Anfragen zu finden
8. DSK-Beschlüsse zu Cookie-Bannern
Die Datenschutzkonferenz (Zusammenschluss der deutschen Aufsichtsbehörden) hat in mehreren Beschlüssen konkretisiert, wie Cookie-Banner gestaltet sein müssen:
- Reject-Button: Muss auf der ersten Ebene des Banners sichtbar sein — nicht erst hinter “Einstellungen”
- Gleichwertigkeit: Akzeptieren und Ablehnen müssen in Größe, Farbe und Position gleichwertig sein
- Kein Nudging: Farbige Hervorhebung des “Akzeptieren”-Buttons bei gleichzeitig grauem “Ablehnen”-Button ist unzulässig
- Script-Blocking: Tracking-Scripte dürfen erst nach Einwilligung geladen werden; ein Banner, der nur informiert aber nicht blockiert, genügt nicht
- Widerruf: Muss jederzeit und ebenso einfach wie die Erteilung möglich sein (Art. 7 Abs. 3 DSGVO)
Zeitleiste: Was sich konkret geändert hat
| Jahr | Urteil/Ereignis | Änderung für Website-Betreiber |
|---|---|---|
| 2016 | Breyer (IP-Adressen) | IP-Adressen = personenbezogene Daten, Log-Files benötigen Rechtsgrundlage |
| 2018 | DSGVO tritt in Kraft | Umfassende Pflichten: DSE, Cookie-Banner, AVV, Verarbeitungsverzeichnis |
| 2019 | Planet49 (Cookies) | Aktives Opt-in Pflicht, vorausgewählte Checkboxen verboten |
| 2019 | Fashion ID (Like-Button) | Gemeinsame Verantwortlichkeit bei Social-Plugins |
| 2020 | Schrems II (Privacy Shield) | US-Dienste ohne zusätzliche Garantien rechtswidrig |
| 2021 | TTDSG/TDDDG tritt in Kraft | Cookie-Einwilligung auch unabhängig von DSGVO (Endgerätezugriff) |
| 2022 | LG München (Google Fonts) | Externe Fonts rechtswidrig, Maßenabmahnungen |
| 2023 | Deutsche Wohnen (Haftung) | Unternehmen haften ohne individuelles Verschulden |
| 2023 | DPF-Angemessenheitsbeschluss | Neue Rechtsgrundlage für US-Transfers (für DPF-zertifizierte Unternehmen) |
| 2023 | Meta/Bundeskartellamt | Marktmacht schränkt Freiwilligkeit der Einwilligung ein |
Was sich aus den Urteilen für deine Website ergibt
Die Summe der EuGH-Rechtsprechung ergibt ein klares Bild:
- Jede Drittanbieter-Verbindung beim Seitenaufruf ist potenziell rechtswidrig, wenn sie ohne Einwilligung erfolgt
- Einwilligung muss aktiv, informiert und freiwillig sein — keine Tricks, keine Vorauswahlen, keine Dark Patterns
- US-Dienste benötigen entweder DPF-Zertifizierung oder SCCs mit TIA — am sichersten ist Self-Hosting oder EU-Alternative
- Unternehmen haften direkt — unabhängig davon, ob die Geschäftsführung von dem Verstoß wusste
- Regelmäßige Prüfung ist keine Kür, sondern Pflicht: Neue Plugins, Theme-Updates oder Agenturarbeiten können jederzeit neue Verstöße einführen
Praxis-Checkliste: Urteils-Compliance
- Cookie-Banner mit aktivem Opt-in und gleichwertigem Reject-Button eingerichtet?
- Keine vorausgewählten Checkboxen im Cookie-Banner?
- Google Fonts und andere externe Ressourcen lokal gehostet?
- Social-Media-Plugins durch Two-Click-Lösungen oder Shariff ersetzt?
- US-Dienste auf DPF-Zertifizierung geprüft oder durch EU-Alternativen ersetzt?
- Datenschutzerklärung aktuell (alle Dienste, Drittlandtransfer, Speicherdauern)?
- Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen?
- Server-Access-Logs mit begrenzter Speicherdauer?
- Regelmäßige automatisierte Compliance-Prüfung eingerichtet?
Immer auf dem aktuellen Stand mit Compliso
Die EuGH-Rechtsprechung entwickelt sich laufend weiter. Was heute konform ist, kann morgen durch ein neues Urteil rechtswidrig werden. Der Compliso Scanner prüft deine Website automatisch und regelmäßig auf 30 DSGVO-relevante Kriterien — darunter alle Punkte, die aus der oben dargestellten Rechtsprechung resultieren: externe Verbindungen, Cookie-Consent, Tracking vor Einwilligung, fehlende Reject-Buttons und mehr.
Kombiniert mit dem Compliso Cookie-Banner, der Script-Blocking, aktives Opt-in und gleichwertige Buttons out-of-the-box liefert, bist du gegen aktuelle und künftige Anforderungen gewappnet.
Scanne deine Website jetzt kostenlos und prüfe, ob dein Webauftritt der aktuellen Rechtsprechung standhält.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.