Playbook Deutschland: BDSG, TDDDG und was die deutschen Aufsichtsbehörden tatsächlich durchsetzen

Deutschland ist der größte Einzelmarkt der Europäischen Union mit rund 84,6 Millionen Einwohnern und hat die fragmentierteste Datenschutz-Vollzugslandschaft aller Mitgliedstaaten. Es gibt eine bundesweite Aufsichtsbehörde — die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, abgekürzt BfDI — und sechzehn Landesbehörden, eine je Bundesland. Mit den Landesbehörden haben die meisten Betreiber zuerst zu tun, denn die Mehrheit der privatwirtschaftlichen Verantwortlichen unterliegt der Aufsicht der Länder, nicht des Bundes.

Dieses Playbook ist die operative Sicht eines Praktikers darauf, was das konkret bedeutet: mit welcher Behörde Sie sprechen, welche Gesetze über die GDPR hinaus gelten und was die deutschen DPAs tatsächlich durchgesetzt haben.

Der gesetzliche Stack

Drei Gesetzgebungsschichten sind relevant, in dieser Reihenfolge der Spezifität.

1. GDPR

Die General Data Protection Regulation der Europäischen Union gilt in Deutschland unmittelbar wie in jedem Mitgliedstaat. Die materiellen Regeln zur Rechtsgrundlage, zu Betroffenenrechten und zur Rechenschaftspflicht stammen von hier.

2. Bundesdatenschutzgesetz (BDSG)

Das BDSG ist das deutsche Bundesdatenschutzgesetz. Es füllt die Öffnungsklauseln der GDPR aus — die Stellen, an denen die Verordnung den Mitgliedstaaten ausdrücklich Regelungsspielraum einräumt — und ergänzt Regelungen zu Beschäftigtendaten, zur Videoüberwachung und zur Stellung des Datenschutzbeauftragter. Zwei praktische Folgen für Betreiber:

• Die Pflicht zur Bestellung eines DPO ist weiter gefasst als nach GDPR Art. 37. Nach BDSG § 38 muss jeder Verantwortliche in Deutschland mit mindestens 20 Beschäftigten, die regelmäßig automatisiert personenbezogene Daten verarbeiten, einen Datenschutzbeauftragter bestellen. Diese Schwelle ist deutsch-spezifisch und erfasst viele KMU, die in Spanien oder Italien keinen DPO bräuchten.
• Beschäftigtendaten unterliegen BDSG § 26, der besondere Anforderungen an die Verarbeitung personenbezogener Daten im Beschäftigungskontext aufstellt.

3. TDDDG (vormals TTDSG)

Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, abgekürzt TDDDG, ist die deutsche Umsetzung von ePrivacy Directive Art. 5(3) — dem Cookie-Recht. Es wurde 2024 von TTDSG umbenannt, um seinen erweiterten Anwendungsbereich auf digitale Dienste im Allgemeinen widerzuspiegeln.

Für Website-Betreiber ist die maßgebliche Vorschrift TDDDG § 25, die eine Opt-in-Einwilligung verlangt, bevor Informationen auf dem Endgerät eines Nutzers gespeichert oder darauf zugegriffen wird, soweit dies nicht unbedingt erforderlich ist. Das ist die Regel, an der cookie banners in Deutschland gemessen werden.

Die deutschen DPAs haben in einer gemeinsamen Orientierungshilfe der Datenschutzkonferenz (DSK), prominent in der DSK-Stellungnahme vom 11. Juli 2023 zu Telemedien, folgende Auffassung vertreten:

• „Unbedingt erforderlich" wird eng ausgelegt — Warenkorb-Cookies, Session-Token und CSRF-Cookies fallen darunter; Analytics, auch First-Party-Analytics, in der Regel nicht.
• Eine Ablehnen-Schaltfläche muss auf derselben Bannerebene wie die Akzeptieren-Schaltfläche liegen.
• Vorangekreuzte Kästchen und Hinweise wie „Durch das Weitersurfen willigen Sie ein" stellen keine Einwilligung dar.

Wer wen beaufsichtigt

Die Aufsichtskarte ist wichtig, weil Beschwerden an die Behörde am Sitz des Verantwortlichen geleitet werden, nicht an die am Wohnsitz der betroffenen Person.

• Bundesbehörde — BfDI. Beaufsichtigt öffentliche Stellen des Bundes, Telekommunikationsanbieter und Postdienstleister. Für einen typischen kommerziellen Website-Betreiber ist die BfDI nicht die zuständige Aufsicht.
• Landesbehörden — sechzehn Landesdatenschutzbeauftragte. Beaufsichtigen privatwirtschaftliche Verantwortliche und öffentliche Stellen der Länder. Am bekanntesten sind das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) für private Verantwortliche in Bayern, der Hessischer Beauftragter für Datenschutz und Informationsfreiheit (HBDI) und die Berliner Beauftragte (BlnBDI), die einen überproportionalen Anteil an Tech-Verfahren sieht, schlicht weil so viele deutsche Tech-Unternehmen in Berlin sitzen.

Ist Ihre deutsche juristische Person in München ansässig, sprechen Sie mit dem BayLDA. Sind Sie in Frankfurt, sprechen Sie mit dem HBDI. Haben Sie keine deutsche Niederlassung, richten Sie Ihre Dienste aber auf den deutschen Markt aus, gilt über den One-Stop-Shop-Mechanismus der GDPR die federführende Aufsichtsbehörde außerhalb Deutschlands — ein deutscher Nutzer kann sich dennoch lokal beschweren, und die deutsche DPA wird die Beschwerde weiterleiten.

Aktuelle Vollzugstendenzen

Drei Bereiche sind im deutschen Vollzug sichtbar geworden.

Vollzug bei Cookie-Bannern

Deutsche DPAs haben Orientierungshilfen und Entscheidungen zu Bannern veröffentlicht, die die Ablehnen-Schaltfläche versteckten oder Tracker vorab luden. Konkrete Anordnungen, Bußgelder und Falldetails sind in den Tätigkeitsberichten der Behörden dokumentiert.

Das Muster, das Vollzugsmaßnahmen anzieht, ist genau jenes, das unser Scanner als pre_consent_tracking kennzeichnet: Das Banner erscheint, aber das Netzwerk ist bereits beschäftigt.

Der Risk-Score ist ein scanner-internes Signal; er ist keine rechtliche Bewertung. Die zugrunde liegende Netzwerkaufzeichnung — welche Anfragen vor der Einwilligungsentscheidung gefeuert haben und was sie transportierten — ist das Artefakt, das eine Behörde oder ein DPO prüfen würde.

Beschäftigtendaten bleiben ein Aufmerksamkeitsbereich des Bundes

Die BfDI und mehrere Landesbehörden haben Orientierungshilfen zu Mitarbeiterüberwachungstools, Zeiterfassung und zum Einsatz generativer KI auf Beschäftigtendaten veröffentlicht. Betreiber, die HR-Plattformen mit globalen Anbietern nutzen, sollten Fragen zu Datenübermittlungen und zur Rechtsgrundlage nach BDSG § 26 statt der gewöhnlichen GDPR Art. 6(1)(f) erwarten.

Übermittlungen in die Vereinigten Staaten

Auch nach Inkrafttreten des EU-US Data Privacy Framework im Juli 2023 haben die deutschen DPAs US-Übermittlungen weiterhin kritisch geprüft. Für Übermittlungen in Drittländer ohne Angemessenheitsbeschluss ist ein Transfer Impact Assessment auf Grundlage von SCCs der Maßstab, den die deutschen DPAs seit Schrems II anlegen. Für Übermittlungen in die Vereinigten Staaten bietet das EU-US Data Privacy Framework spezifisch für unter ihm zertifizierte Empfänger Angemessenheit; Übermittlungen an nicht zertifizierte US-Empfänger laufen weiterhin über SCCs mit ergänzenden Maßnahmen. Betreiber, die sich allein auf SCCs ohne dokumentierte Analyse stützen, sollten Rückfragen erwarten.

Operator-Checkliste

Wenn Sie im oder in den deutschen Markt operieren, die praktische Kurzliste:

• Prüfen Sie, ob Ihre Schwelle zur Bestellung eines DPO nach BDSG § 38 überschritten ist, nicht nur nach GDPR Art. 37.
• Auditieren Sie Ihr Einwilligungsbanner gegen TDDDG § 25 und die DSK-Orientierungshilfe: Ablehnen muss auf derselben Ebene wie Akzeptieren liegen, keine vorab geladenen Tracker, kein Nudging.
• Identifizieren Sie, welche Landesbehörde Ihre deutsche juristische Person beaufsichtigt, und lesen Sie deren veröffentlichte Schwerpunktthemen — sie variieren.
• Dokumentieren Sie Ihren Übermittlungsmechanismus für jeden in den USA ansässigen Auftragsverarbeiter.
• Führen Sie einen Scan Ihrer deutschsprachigen Landingpages durch und vergleichen Sie ihn mit dem Knowledge-Artikel zum Tracking vor Einwilligung.

Der deutsche Markt ist groß, anspruchsvoll und gut beaufsichtigt. Deutsche DPAs veröffentlichen Orientierungshilfen zur Cookie-Banner-Compliance und haben Anordnungen gegen Betreiber erlassen, deren Banner diesen Vorgaben nicht entsprachen. Das Muster, das funktioniert, ist das einfache: nichts Nicht-Essenzielles laden, klar fragen, die Antwort respektieren.