Ein neues Urteil des Europäischen Gerichtshofs macht klar: Ein Online-Netzwerk wie Facebook darf nicht sämtliche personenbezogenen Daten, die es für Zwecke der zielgerichteten Werbung erhalten hat, zeitlich unbegrenzt verwenden. Nicht nur der Meta-Konzern muss nun die Löschkonzepte überprüfen, sondern alle Unternehmen, die personenbezogene Daten für gezielte Werbung nutzen.
Es ist nicht so einfach, alle Vorgaben zum datenschutzkonformen Löschen umzusetzen. Mit dem neuen „Meta“-Urteil des EuGH wird es sogar noch komplizierter.
(Bild: Skórzewiak - stock.adobe.com)
Es gibt Bereiche im Datenschutz, die schon seit langem zu Schwierigkeiten bei der Umsetzung führen, das fristgerechte und sichere Löschen personenbezogener Daten gehört eindeutig dazu. In Zeiten, in denen Daten als das „neue Öl“ bezeichnet und als die Basis einer erfolgreichen Nutzung von KI (Künstlicher Intelligenz) gelten, ist das Löschen von Daten eher keine Priorität. Auch die Kosten für die Speicherung der Daten ändert daran nichts, solange es dafür bezahlbare Optionen gibt.
Anders sieht es allerdings aus, wenn den Forderungen des Datenschutzes nach einem richtigen Löschen mit einem höchstrichterlichen Urteil Nachdruck verliehen wird. Dann erlangen die Löschpflichten nach DSGVO (Datenschutz-Grundverordnung) neue Aufmerksamkeit. Genau dies ist jetzt mit einem neuen Urteil des Europäischen Gerichtshofs (EuGH) geschehen.
EuGH urteilt zur „Haltbarkeit“ von Daten zur Werbenutzung
Max Schrems hatte sich vor den österreichischen Gerichten gegen die seiner Ansicht nach rechtswidrige Verarbeitung seiner personenbezogenen Daten durch Meta Platforms Ireland im Rahmen des sozialen Online-Netzwerks Facebook gewandt. Dabei ging es unter anderem um Daten zu seiner sexuellen Orientierung und deren Verarbeitung durch Meta. Der österreichische Oberste Gerichtshof hatte den EuGH um Auslegung der DSGVO ersucht. Der EuGH kam dabei im Wesentlichen zu dem Schluss, dass ein soziales Online-Netzwerk wie Facebook nicht sämtliche personenbezogenen Daten, die es für Zwecke der zielgerichteten Werbung erhalten hat, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art verwenden darf.
Ohne an dieser Stelle auf alle Punkte des Urteils des EuGHs einzugehen, soll ein Punkt genauer betrachtet werden: Der EuGH erklärt, dass der in der DSGVO festgelegte Grundsatz der „Datenminimierung“ dem entgegensteht, dass sämtliche personenbezogenen Daten, die ein Verantwortlicher wie der Betreiber einer Online-Plattform für ein soziales Netzwerk von der betroffenen Person oder von Dritten erhält und die sowohl auf als auch außerhalb dieser Plattform erhoben wurden, zeitlich unbegrenzt und ohne Unterscheidung nach ihrer Art für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden. Es gibt also insbesondere eine zeitliche Grenze für die Nutzung zum Zwecke der zielgerichteten Werbung.
Katharina Raabe-Stuppnig, die Rechtsanwältin, die Max Schrems vertritt, kommentierte: „Meta hat im Grunde seit 20 Jahren einen riesigen Datenpool über die Nutzenden aufgebaut, der täglich wächst. EU-Recht verlangt jedoch eine ‚Datenminimierung‘. Nach diesem Urteil darf nur ein kleiner Teil des Datenbestands von Meta für Werbezwecke verwendet werden – selbst wenn die Nutzer der Werbung zustimmen“. Dieses Urteil gelte auch für alle anderen Online-Werbeunternehmen, die oft keine Verfahren zur Datenminimierung haben.
Die im Bereich Datenschutz aktive NGO „noyb“ führte aus, dass die Anwendung des „Grundsatzes der Datenminimierung“ die Verwendung personenbezogener Daten für Werbezwecke radikal einschränkt. Der Grundsatz der Datenminimierung gilt demnach unabhängig von der Rechtsgrundlage für die Verarbeitung. Somit könnten selbst dann, wenn eine Person in personalisierte Werbung eingewilligt hat, nicht auf unbestimmte Zeit ihre personenbezogenen Daten verwendet werden.
Löschpflichten müssen genauer betrachtet werden
Noyb beschreibt die nun deutlich gewordene Herausforderung so: Während es in einigen Fällen eine klare Löschfrist gibt (zum Beispiel wenn eine gesetzliche Aufbewahrungspflicht endet), ist das Thema Werbung komplexer. Unternehmen müssen Datenverwaltungsprotokolle entwickeln, um nicht mehr benötigte Daten schrittweise zu löschen oder nicht mehr zu verwenden.
Dabei haben viele Unternehmen schon ganz allgemein Probleme damit, ihr Löschkonzept zu entwickeln und umzusetzen. So erklärt die DSGVO: Personenbezogene Daten sind gemäß Artikel 17 DSGVO auf Verlangen von betroffenen Personen grundsätzlich zu löschen. Personenbezogene Daten sind auch ohne, dass Betroffene dies explizit verlangen, grundsätzlich unverzüglich zu löschen, wenn es keine andere Rechtsgrundlage für die weitere Speicherung mehr gibt.
Nun ist die Einwilligung der Betroffenen eine mögliche Rechtsgrundlage, auch bei Nutzung von personenbezogenen Daten besonderer Kategorien (wie der sexuellen Orientierung). Das neue Urteil des EuGH macht aber klar, dass eine Einwilligung nicht für immer als Grundlage für die Speicherung und Nutzung zu Werbezwecken angesehen werden kann.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht ) weist im Zusammenhang mit Löschpflichten auch auf mögliche Aufbewahrungspflichten hin: „Personenbezogene Kundendaten sind in der Regel auf Verlangen oder bei Wegfall der Erforderlichkeit zu löschen. Allerdings nur dann, wenn dem keine gesetzlichen Aufbewahrungsfristen entgegenstehen, z. B. aus dem Steuer- oder Handelsrecht, nach denen bestimmte Daten, die im Zusammenhang mit dem Vertragsverhältnis gespeichert wurden, noch für eine bestimmte Zeit aufbewahrt werden müssen.“
Offensichtlich ist es nicht so einfach, alle Vorgaben zum Löschen umzusetzen. Mit dem neuen Urteil des EuGH wird es sogar noch schwieriger. So kommentierte Susanne Dehmel, Mitglied der Bitkom-Geschäftsleitung: „Das heutige Urteil des Europäischen Gerichtshofs hat weitreichende Auswirkungen auf die Digitalwirtschaft, insbesondere auf Unternehmen, die personenbezogene Daten für zielgerichtete Werbung nutzen. Es erhöht die Unsicherheit für Unternehmen bei der Verarbeitung von Daten zu Werbezwecken, da unklar bleibt, wie genau die Begrenzung für die bezweckte Datenverarbeitung festzulegen ist und was das für die Verarbeitung bestimmter Datentypen wie zum Beispiel die besuchten Websites oder die Auswahl von Präferenzen heißt“.
Zudem bleibe die Frage offen, was das für die Weitergabe von Daten mit Einwilligung der Betroffenen an Dritte bedeutet. Unternehmen müssten nun klären, wie lange und in welchem Umfang sie personenbezogene Daten verwenden dürfen, um den Anforderungen gerecht zu werden – oder wann womöglich eine neue Einwilligung eingeholt werden muss. Insbesondere bei der Auslegung und der Bestimmung der Verhältnismäßigkeit bleibe abzuwarten, wie Gerichte dies bewerten werden. Es werde für Unternehmen schwierig sein abzuschätzen, was noch als verhältnismäßig gilt, so Susanne Dehmel vom Digitalverband Bitkom.
Der Bayerische Landesbeauftragte für den Datenschutz hatte bereits vor einigen Jahren erklärt, dass die Prüfungs- und Beratungspraxis der Datenschutz-Aufsichtsbehörden zeige, dass das Recht auf Löschung zahlreiche Fragen aufwirft. Diese könnten die verschiedenen Löschungsgründe sowie die Reichweite der Ausnahmetatbestände betreffen, jedoch auch etwa das Verhältnis von Löschungsrecht und Löschungspflicht oder die praktische Umsetzung entsprechender Ersuchen. Auch wenn der Leitfaden aus Bayern das neue Urteil noch nicht berücksichtigen konnte, ist die Orientierungshilfe „Das Recht auf Löschung nach der Datenschutz-Grundverordnung“ mehr als nützlich in Zeiten, in denen viele Löschkonzepte nun nochmals genauer betrachtet werden müssen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c8/77/c8777a9c7b67a3d4b7fc875598704159/0121013668v3.jpeg "Auf dem Prüfstand stehen die Fragen: Dürfen alle personenbezogenen Daten ohne zeitliche Einschränkung verarbeitet werden? Und: Wann hat jemand sensible Daten derart öffentlich gemacht, dass Facebook sie für Werbung nutzen darf? (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/e5/dde573927ce146ad48759d2fa1cb84be/0120873928v2.jpeg "Max Schrems erläutert auf der MCTTP das Wirrwarr rund um FISA, transatlantischer Datenaustausch und Datenschutz. (Bild: Paula Breukel)")
:quality(80)/p7i.vogel.de/wcms/13/56/1356472468aa93a42551824e15bc86d1/0114006798.jpeg "Mit dem richtigen Löschkonzept schaffen es auch KMU, personenbezogene Daten strukturiert und sicher zu löschen. (Bild: Mego-studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/0c/5c0c849eef580cdc219dca71c46b6ea4/0115870249v2.jpeg "In der DACH-Region sind Unternehmen dazu verpflichtet, steuerrechtlich relevante Unterlagen über mehrere Jahre hinweg vollständig, revisionssicher und dauerhaft verfügbar aufzubewahren, auch wenn diese auf elektronischem Weg versendet und empfangen werden. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/55/4b551d44958f3a88d9f9e0e6a120a8b6/0127697451v2.jpeg "Das EuGH-Urteil zur Pseudonymisierung schafft Rechtssicherheit: Ob Daten personenbezogen sind, hängt von den Umständen und der Zugriffsmöglichkeit des Verantwortlichen ab. (Bild: © btiger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/10/b3108c3d8ec22330b0d1ec9ea9e1c650/0126537990v1.jpeg "Der Datenschutz wird durch die fortschreitende Entwicklung der Informationstechnologie und der Digitaltechnik immer wichtiger. (Bild: Warchi via Getty Images)")