Die Durchsetzungsmaßnahmen des EDPB im Jahr 2025 zielen auf Artikel 17 der DSGVO ab und überprüfen die Einhaltung der Löschpflichten, einschließlich Cookies. Steigende Löschanfragen, hohe Kosten und Risiken bei Nichteinhaltung erfordern automatisierte Workflows, die Nachverfolgung von Einwilligungen, rechtliche Vorbereitung und robuste Datenschutzprozesse, um Strafen zu vermeiden und Vertrauen aufzubauen.
Der Europäische Datenschutzausschuss (EDPB) hat Anfang 2025 seine Maßnahme im Rahmen des Koordinierten Durchsetzungsrahmens (CEF) gestartet, mit dem Schwerpunkt auf der Umsetzung des Rechts auf Löschung oder Rechts auf Vergessenwerden (Art. 17 DSGVO). Die Verschiebung der Durchsetzungsprioritäten der europäischen Datenschutzbehörden (DSB) spiegelt eine verstärkte Durchsetzung von Artikel 17 der DSGVO wider, der den Personen das Recht gibt, ihre personenbezogenen Daten unter bestimmten Umständen löschen zu lassen.
Werden Löschanfragen ordnungsgemäß bearbeitet?
Im Jahr 2025 werden 30–32 EU-Datenschutzbehörden (DSB) Verantwortliche im Rahmen von Ermittlungen und formellen Untersuchungen prüfen, ob Löschanfragen ordnungsgemäß bearbeitet werden. Das heißt: Werden Löschersuchen im Rahmen des Gesetzes, fristgerecht und unter Beachtung der Ausnahmen gemäß DSGVO bearbeitet?
Das härtere Vorgehen beruht auf der Tatsache, dass Löschanfragen zu den am häufigsten geltend gemachten Rechten der DSGVO gehören und zahlreiche Beschwerden von Betroffenen auslösen. Verantwortliche sind verpflichtet, personenbezogene Daten „unverzüglich“ zu löschen (in der Regel innerhalb eines Monats) und müssen Dritte ausfindig machen und informieren, die diese Daten besitzen.
Ein 2025-Bericht zu den Datenschutztrends zeigte einen jährlichen Anstieg der Löschanfragen um 82 %. Für Unternehmen mit mittlerem bis hohem Traffic ist dies kostspielig – geschätzt 1,26 Mio. USD pro Jahr bei fünf Millionen einzelnen Besuchern. Laut Gartner-Studie belaufen sich die Kosten für eine einzelne Betroffenenanfrage auf 1.524 USD – ein Betrag, der schnell in die Höhe schnellen kann.
Im Rahmen des Bestrebens der Verbraucher, die Kontrolle über ihre Daten zurückzugewinnen, steigt auch die Zahl der „Do-not-sell“-Anfragen stark an. Obwohl Aufsichtsbehörden Unternehmen strenger unter die Lupe nehmen, sollte man annehmen, dass Firmen Opt-out-Anfragen vorbildlich umsetzen. Doch derselbe Datenschutztrend-Bericht behauptet, dass über 69 % der Unternehmen den Verbraucherwillen missachten und Tracking-Cookies einsetzen – ungeachtet der erteilten oder verweigerten Einwilligung.
Dieses Ergebnis deckt sich mit anderen Beobachtungen: So haben laut Untersuchung des isländischen Amts für elektronische Kommunikation alle überprüften Online-Dienste Cookies auf den Geräten der Nutzer platziert, obwohl diese dies ausdrücklich abgelehnt hatten. Zudem hat die niederländische Datenschutzbehörde kürzlich ihre Durchsetzungsmaßnahmen verschärft und mehrere Organisationen verwarnt, die irreführende Cookie-Banner eingesetzt oder unrechtmäßig Tracking-Cookies ohne gültige Einwilligung platziert hatten.
Das Recht auf Löschung beschränkt sich nicht auf personenbezogene Daten in Ihrem CRM – es gilt auch für Cookies und Tracker, die direkt mit Einwilligungsmechanismen verknüpft sind.
Nach den Vorgaben der DSGVO und der ePrivacy-Regeln muss die Einwilligung für Cookies freiwillig, spezifisch und widerrufbar sein. Das EU-Recht schreibt vor, dass die Einwilligung jederzeit widerrufen werden kann und in diesem Fall alle entsprechenden Cookies gelöscht werden müssen.
Doch Prüfungen in der Praxis zeigen eine alarmierende Nicht-Compliance: Eine 2024-Studie mit 20.000 Domains ergab:
19,9 % machten den Widerruf schwieriger als die Erteilung der Einwilligung
57,5 % löschten Cookies nicht nach dem Widerruf der Einwilligung
Einige verhinderten den Widerruf gegenüber Dritten und ermöglichten so ein fortgesetztes Tracking
Darüber hinaus setzen rund 50 % der Websites „nicht entfernbare Cookies“ ein, die selbst nach einer Ablehnung bestehen bleiben – oft länger als 10 Tage.
Die Nichteinhaltung der Vorschriften zur Verwaltung von Cookies und Einwilligungen kann als Verstoß gegen das Recht auf Löschung betrachtet werden und setzt die betroffene Organisation somit einem höheren Risiko für Durchsetzungsmaßnahmen und Strafen aus.
Neben der Entstehung unvorhersehbarer Kosten werden auch kommerzielle und technische Zusatzaufwände zu einem Problem, sobald immer mehr Personen ihre Datenschutzrechte wahrnehmen. Besonders im Hinblick auf Cookies löst jede Interaktion mit einem Banner Protokollierungen, Cookie-Audits und die Integration mit Consent-Management-Systemen aus, was die Komplexität und die Kosten erhöht – und all dies muss Teil der Gesamtbetrachtung für die Einhaltung des Rechts auf Löschung sein.
Viele dieser Zusatzaufwände werden dadurch verschärft, dass Organisationen oft keinen klaren Überblick darüber haben, wo sich alle Verbraucherdaten tatsächlich befinden und wie (oder ob) sie eine gültige Einwilligung für die gesetzten Cookies und die damit erhobenen Daten eingeholt haben.
Um der kommenden Flut von Löschanfragen gewachsen zu sein, ist ein neuer Ansatz für den Datenschutz und das Consent-Management erforderlich. Um sich auf diese neue Ära strengerer Durchsetzung vorzubereiten, ist es an der Zeit, Bilanz zu ziehen und in einige zentrale Maßnahmen zu investieren:
Datenflüsse in internen und externen Systemen abbilden, einschließlich Speicherorten, Aufbewahrungsfristen und Datenübertragungen an Dritte.
Automatisierte Workflows einrichten, um die Identität zu prüfen, Anfragen zu verfolgen, Daten zu lokalisieren, die Löschung auszulösen und Bestätigungen auszustellen.
Prüfprotokolle mit Nachweisen über die Löschung und die Kommunikation führen.
Wissen, wann eine Löschung rechtmäßig verweigert werden darf.
Wissen, wie man diese Ausnahmen erklärt.
Da die CEF-Audits laufen, ist damit zu rechnen, dass Datenschutzbehörden im Rahmen von Ermittlungen Informationen anfordern. Die Beweiskette vorbereiten, einschließlich Richtlinien, Protokollen und Kommunikationsunterlagen.
Die Löschkapazitäten ausbauen, um Verwaltungssanktionen und Reputationsschäden zu vermeiden.
Sicherstellen, dass das CMP (Consent-Management-Platform) Echtzeit-Widerruf, automatische Cookie-Löschung und die Kommunikation mit Dritten unterstützt. Audits durchführen, um nicht entfernbare Cookies zu erkennen.
Prozesse zwischen Rechts-, Compliance- und IT-Teams koordinieren.
Cookies und Einwilligung in die umfassende Datenschutzstrategie einbeziehen.
Die Ära der passiven Datenverarbeitung ist vorbei. Im Rahmen der EDPB’s 2025CEF enforcement drive müssen Unternehmen ihre Datenschutzprozesse auf ein höheres Niveau bringen, insbesondere in den Bereichen Löschung und einwilligungsorientierte Cookie-Verwaltung. Die Einsätze sind hoch: manuelle Verarbeitungskosten im hohen sechsstelligen Bereich, Investitionen in automatisierte Infrastrukturen, mögliche Bußgelder und Reputationsschäden.
Um konform und wettbewerbsfähig zu bleiben:
Automate so viel wie möglich vom Workflow zur Löschung und zum Widerruf.
Track und audit Einwilligungen und Löschungen in Echtzeit.
Document die rechtlichen Begründungen für etwaige Ablehnungen oder Verzögerungen.
Prioritize die Vorbereitung auf Anfragen der Datenschutzbehörden: Interne Prüfungen sollten die Tiefe einer wahrscheinlichen Untersuchung widerspiegeln.
Adopt a comprehensive consent management platform.
Indem diese Schritte heute umgesetzt werden, können Unternehmen die Löschung von einem reinen Compliance-Problem in eine trust-building opportunity verwandeln.
©2025 CookieHub ehf.
