Der Blog untersucht reale Datenschutzverletzungen, die die Mängel traditioneller Zustimmungssysteme offenlegen. Er argumentiert, dass statische, einheitliche Zustimmungsmodelle das Vertrauen und die Nutzerrechte untergraben können. Stattdessen wird ein adaptives Zustimmungsmanagement gefordert – flexibel, transparent und reaktionsfähig auf sich entwickelnde Technologien, Vorschriften und Nutzererwartungen.
Einwilligung ist zum Eckpfeiler des Vertrauens zwischen Organisationen und Einzelpersonen geworden. Jedes Mal, wenn wir eine App herunterladen, uns für einen Dienst anmelden oder auch nur im Internet surfen, werden wir um unsere Zustimmung zur Erfassung, Speicherung und manchmal auch Weitergabe unserer Daten gebeten.
Allzu oft wird diese „Einwilligung“ jedoch entweder im juristischen Fachjargon versteckt, durch dunkle Muster manipuliert oder nach ihrer Erteilung vollständig ignoriert. Jüngste, viel beachtete DSGVO-Urteile und Bußgelder gegen Unternehmen wie Spotify, Vodafone und Flightradar24 zeigen, wie selbst etablierte Marken weiterhin mit Nutzerdaten falsch umgehen. Manchmal geschieht dies aus Fahrlässigkeit, manchmal durch veraltete Systeme, die mit den modernen Datenschutzherausforderungen nicht Schritt halten können.
Unabhängig davon, warum oder wie, unterstreichen solche Fälle die dringende Notwendigkeit eines adaptiven Einwilligungsmanagements: Systeme, die sich an die Erwartungen der Nutzer, regulatorische Änderungen und neue Technologien wie KI anpassen.
Im Juni 2025 rügte die schwedische Datenschutzbehörde (IMY) Flightradar24 AB wegen Verstoßes gegen Artikel 12 Absatz 2 und 6 der DSGVO zwischen dem 25. Mai 2018 und dem 22. Juni 2021. Das Problem? Der Flugverfolgungsdienst verlangte von Flugzeugbesitzern routinemäßig die Vorlage offizieller Registrierungsbescheinigungen, selbst wenn bereits andere angemessene Identitätsnachweise erbracht worden waren. Dies verzögerte oder verhinderte die rechtmäßige Löschung ihrer Daten. IMY stellte fest, dass dies das Recht der Nutzer auf Löschung und Transparenz verletzte. Obwohl die Behörde das berechtigte Interesse an einer solchen Verfolgung anerkannte, ordnete sie an, dass Flightradar24 diese starre Anforderung aufhebt und die Überprüfungsmethoden innerhalb eines Monats nach Rechtskraft der Entscheidung vereinfacht.
Dieser Fall verdeutlicht, wie selbst scheinbar harmlose Standardverfahren die Ausübung von Datenschutzrechten erschweren können. Ein System, das davon ausgeht, dass nur eine einzige Überprüfungsmethode akzeptabel ist, kann legitime Anfragen vereiteln und dazu führen, dass die Vorteile der Organisation gegenüber den Rechten des Einzelnen überwiegen.
Ebenfalls Mitte 2025 bestätigte das Stockholmer Berufungsgericht eine Geldbuße in Höhe von 58 Millionen schwedischen Kronen (ca. 5,2–5,4 Millionen Euro) gegen Spotify AB. Das Gericht bestätigte die Feststellung, dass Spotifys Datenschutzbestimmungen nicht klar und verständlich genug seien und Nutzer nicht darüber informierten, wie sie ihre DSGVO-Rechte ausüben können. Darüber hinaus ließ Spotify wichtige Angaben zur Speicherdauer personenbezogener Daten und zu den geltenden Schutzmaßnahmen bei der Übermittlung an Drittländer oder internationale Organisationen weg.
Indem Spotify rechtliche Verpflichtungen nicht klar und nutzerfreundlich formulierte und wichtige Strukturinformationen vorenthielt, entzog es den Nutzern effektiv die Kontrolle über ihre Daten. Dies unterstreicht den Grundsatz, dass Einwilligung nicht nur das Ankreuzen eines Kästchens ist, sondern nachhaltige Klarheit und Verständlichkeit erfordert.
Im Juni 2025 verhängten die deutschen Aufsichtsbehörden gegen die Vodafone GmbH eine Geldbuße in Höhe von 45 Millionen Euro (ca. 51 Millionen US-Dollar). Davon entfallen 15 Millionen Euro auf mangelhafte Aufsicht über Partneragenturen, die Kunden zum Abschluss fiktiver Verträge verleiteten, und 30 Millionen Euro auf Authentifizierungsschwächen, die dazu führten, dass eSIM-Profile über das Online-Portal und die Hotline des Unternehmens unbefugten Dritten zugänglich wurden.
Dieser Fall unterstreicht, dass Einwilligungsverletzungen nicht immer auf Nutzerhandlungen oder Fahrlässigkeit zurückzuführen sind, sondern auch auf strukturelle Mängel: Unklare Vereinbarungen zum Datenaustausch, unzureichende Aufsicht über Dritte und unsichere Authentifizierungskanäle können dazu führen, dass Einwilligungsrahmen nicht mehr funktionieren und spürbare Schäden entstehen.
Datenschützer argumentieren, dass viele Dating-Apps die Einwilligungsfunktion nicht in ihr Design integrieren, selbst wenn sie KI-basierte Funktionen einführen. Laut der Electronic Frontier Foundation setzen Apps wie Grindr, Tinder, Bumble, Hinge und OK-Cupid KI-Tools ein – von Chatbots bis hin zu Profileditoren. Dabei nutzen sie oft „Ihre persönlichsten Informationen, um ihre KI-Tools zu trainieren“. Sie behandeln höchstpersönliche Daten als Innovationsquelle, anstatt eine explizite, kontextspezifische Einwilligung einzuholen.
Dies unterstreicht die komplexe Dynamik der Einwilligung im KI-Bereich: Nutzer können bei der Anmeldung zwar allgemein zustimmen, aber nicht ausdrücklich, dass ihre Daten zum Trainieren von KI oder zum Manipulieren von Algorithmen mit extrem persönlichen Eingaben verwendet werden.
Ein weiterer Fall verdeutlicht die langsame oder unvollständige Kommunikation von Löschmaßnahmen. Eine ungarische Behörde stellte fest, dass ein Verantwortlicher im November 2018 das Konto eines Nutzers gelöscht, den Nutzer jedoch erst im März 2019 darüber informiert hatte. Dies verstieß gegen Artikel 12 Absatz 3 (rechtzeitige Mitteilung der ergriffenen Maßnahmen) und die Transparenzanforderungen der DSGVO. Die Behörde verhängte eine Geldbuße von rund 13.244 Euro.
Selbst wenn die Daten schließlich gelöscht werden, kann eine unterlassene umgehende Benachrichtigung der Nutzer das Vertrauen untergraben und Verwirrung stiften, wodurch das Recht auf Löschung praktisch zunichte gemacht wird.
Diese Verstöße in der Praxis zeigen, dass statische, einheitliche Einwilligungsmodelle nicht mehr ausreichen. Eine Umstellung auf ein adaptives, dynamisch konzipiertes Einwilligungsmanagement ist unerlässlich. Die Gründe dafür sind:
Starre Verifizierungsprozesse – wie die Anforderung eines bestimmten Zertifikats – können legitime Anfragen blockieren. Einwilligungsmanagementsysteme sollten mehrere Verifizierungswege beinhalten, die dynamisch und kontextbezogen ausgewählt werden. Hat ein Nutzer bereits zuverlässige Dokumente vorgelegt, sollte sich das System anpassen und alternative Nachweise akzeptieren. Der Fall Flightradar24 zeigt deutlich, wie gefährlich es ist, diese Anpassungsfähigkeit zu ignorieren.
Das Verständnis der Nutzer für ihre Einwilligungen muss sich mit den Systemänderungen weiterentwickeln. Systeme sollten mehrschichtige Hinweise und adaptive Schnittstellen einführen, die relevante Informationen – wie Datenaufbewahrungsfristen oder internationale Datenübermittlungen – zum Zeitpunkt der Datenverarbeitung oder -anfrage sichtbar machen und nicht erst in langen Rechtsdokumenten verstecken. Die Strafe von Spotify ist in dieser Hinsicht ein Weckruf.
Unternehmen müssen ihre Partner aktiv überwachen und prüfen, um sicherzustellen, dass Einwilligungen und Datenschutz im gesamten Ökosystem gewahrt bleiben. Die Versäumnisse von Vodafone Deutschland unterstreichen die Notwendigkeit dynamischer Kontrolle, einschließlich Echtzeit-Dashboards, automatisierter Audits und schneller Eskalation bei Anomalien.
KI und maschinelles Lernen führen zu neuen Komplexitätsfaktoren bei der Einwilligung. Die Verwendung persönlicher Daten für das KI-Training ist eine sekundäre Nutzung und erfordert eine ausdrückliche, informierte und widerrufliche Einwilligung. Einwilligungsrahmen müssen solche Entscheidungen dynamisch erfassen und widerspiegeln. Wenn ein Nutzer KI-basierte Makros ablehnt, sollte das System dies durchsetzen und KI-Tools mit spontanen, granularen Einwilligungsoptionen bereitstellen.
Nutzer sollten umgehend benachrichtigt werden, wenn Verantwortliche Maßnahmen im Zusammenhang mit ihren Datenanfragen ergreifen (oder ablehnen). Der ungarische Fall zeigt, wie eine unterlassene Benachrichtigung der Nutzer Kontrolle und individuelle Rechte untergräbt. Adaptive Systeme sollten automatisierte Bestätigungsnachrichten mit klaren nächsten Schritten oder Zeitplänen enthalten.
Die Beispiele von Flightradar24, Spotify, Vodafone Deutschland und anderen zeigen, dass Datenschutzverletzungen und fehlende Einwilligungen nicht nur auf böswillige Absichten zurückzuführen sind, sondern auch auf statische Systeme, die nicht auf die differenzierten, sich entwickelnden Realitäten vorbereitet sind. Ob Löschanfragen, Transparenzanforderungen, Risiken durch Dritte oder KI-basierte Nutzung – Einwilligungen müssen flexibel, kontextbezogen und reaktionsschnell erfolgen.
Um die Grundrechte im heutigen digitalen Ökosystem zu schützen, muss sich das Einwilligungsmanagement weiterentwickeln und anpassungsfähig, transparent, nutzerzentriert und belastbar werden. Nur dann können Einzelpersonen in einer Welt, in der Daten dynamisch und Erwartungen veränderlich sind, wirklich die Kontrolle über personenbezogene Daten ausüben.
©2025 CookieHub ehf.
