DSGVO-Briefing

Die Ransomware-Gruppierung "Stormous" deklariert einen Angriff auf die Volkswagen-Gruppe. Das VG Hannover entscheidet: Cookie-Banner müssen auf erster Ebene die Ablehnung aller Cookies erlauben, und auch die Nutzung des Google Tag Managers erfordert eine Einwilligung. Die BfDI erließ eine 45 Mio. EUR-Strafe bestehend aus 2 Bußgeldern gegen Vodafone Deutschland.

"Stormous"-Ransomware-Gang will die Volkswagen Group angegriffen haben.

Am 31. Mai 2025 listete die "Stormous"-Ransomware-Gruppe die Online-Umgebung der Volkswagen Group als Opfer. Die Hacker machten keine Angaben dazu, welchen Umfang ihre angebliche Beute haben soll, sprachen jedoch von Account-Daten, Authentifizierungs-Tokens, Login-Links interner Systeme, Session-Cookies, sowie weitere Daten zur Authentifizierung, Identifizierung und für das Login. Diese wollten sie am 7. Juni 2025 veröffentlichen – doch dies geschah schon am 6. Juni.

Die BfDI verhängt 2 Bußgelder von insg. 45 Mio. EUR gegen Vodafone.

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit untersuchte Vodafone. Dabei stellte sie fest, dass das Unternehmen die Auftragsverarbeiter, die es engagierte, nicht regelmäßig und umfassend genug datenschutzrechtlich überprüfte bzw. überwachte. So war es Mitarbeitenden der Partneragenturen möglich, Fake-Verträge zu erstellen oder bestehende Verträge zulasten der Kunden zu ändern. Die hierfür (Art. 28 Abs. 1 DSGVO) ausgesprochene Geldstrafe beträgt 15 Mio. EUR.

Die BfDI sprach zudem eine Verwarnung wegen mangelhafter technischer und organisatorischer Maßnahmen zum Schutz verarbeiteter Daten aus.

Eine Strafe von 30 Mio. EUR erließ die BfDI wegen Mängeln bei der Sicherheit von Authentifizierungs-Prozessen. Diese betrafen die Nutzung des Onlineportals "Mein Vodafone" in Verbindung mit der Unternehmens-Hotline. So konnten unbefugte Dritte eSIM-Profile abrufen.

Die BfDI betonte auch, dass Vodafone seine Arbeitsabläufe und Systeme mittlerweile verbessert bzw. gegebenenfalls ersetzt hat.

Cookie-Banner müssen Ablehnung auf erster Ebene erlauben – Nutzung des Google Tag Manager erfordert Einwilligung.

Gegenstand des Verfahrens vor dem Verwaltungsgericht Hannover war die Ausgestaltung des Cookie-Banners auf der Website der Neuen Osnabrücker Zeitung sowie der Einsatz des Google Tag Managers (GTM) ohne ausdrückliche Nutzereinwilligung.

Auf der ersten Ebene des Cookie-Banners bot die Seite lediglich die Auswahlmöglichkeiten "Alle akzeptieren" oder "Einstellungen". Erst auf der zweiten Ebene, nach einem Klick auf "Einstellungen", konnten Nutzer einzelne Kategorien von Cookies verwalten – eine direkte "Alles ablehnen"-Option fehlte jedoch auch hier. Darüber hinaus wurde auf der Website der Google Tag Manager eingesetzt, um Tracking-Codes und Skripte von Drittanbietern zu laden, ohne dass zuvor eine ausdrückliche Einwilligung der Nutzer eingeholt wurde.

Der Niedersächsische Landesdatenschutzbeauftragte beanstandete beides: die fehlende Ablehnungsoption auf der ersten Ebene des Banners sowie den datenschutzrechtlich nicht abgesicherten Einsatz des GTM. Gegen die behördliche Anordnung klagte das Verlagshaus.

Das VG Hannover wies die Klage ab. Es stellte klar, dass die Datenschutzbehörde für die Kontrolle der Einhaltung von § 25 TTDSG zuständig ist. Die Gestaltung des Cookie-Banners ohne gleichwertige "Alles ablehnen"-Schaltfläche sei irreführend und verstoße gegen die Anforderungen an eine wirksame Einwilligung. Nutzer würden auf der ersten Ebene nicht ausreichend über ihre Ablehnungsmöglichkeiten informiert und zu einer Zustimmung gedrängt.

Auch der Einsatz des Google Tag Managers sei rechtswidrig, da dieser nicht technisch erforderlich sei, personenbezogene Daten verarbeite und eine ausdrückliche Einwilligung verlange. Die Vorteile des GTM lägen allein beim Website-Betreiber, nicht beim Nutzer.