Cookie-Banner

Nachtrag zum Blogbeitrag vom 28. Mai 2025 – Korrektur und Analyse zum Urteil des VG Hannover zur Cookie-Banner-Gestaltung und zum Einsatz des Google Tag Managers

Wolfgang Riegger

In unserem Blogbeitrag vom 28. Mai 2025 berichteten wir über das Urteil des Verwaltungsgerichts (VG) Hannover zur datenschutzkonformen Gestaltung von Cookie-Bannern und dem Einsatz des Google Tag Managers (GTM). Damals stützten wir uns auf die Pressemitteilung des Gerichts. Inzwischen liegt das Urteil im Volltext vor, und es gibt wichtige Klarstellungen durch den Klägervertreter, Rechtsanwalt Stephan Hansen-Oest.

Klarstellung durch den Klägervertreter

Rechtsanwalt Stephan Hansen-Oest, der die Klägerin – ein Verlagshaus – in dem Verfahren vertritt, hat in seinem aktuellen Newsletter mitgeteilt, dass die Pressemitteilung des Gerichts wichtige Differenzierungen nicht abbildet. Insbesondere stellt er klar, dass die Vertreterinnen der Aufsichtsbehörde während der mündlichen Verhandlung erklärten, dass der Einsatz des Google Tag Managers nicht pauschal einwilligungspflichtig sei. Es gäbe Konfigurationen, die keine Einwilligung erforderten. Im konkreten Fall sei jedoch aufgrund der Ergebnisse des IT-Prüflabors eine Einwilligung erforderlich gewesen. Diese Differenzierung fehlt im Urteil, was zu Missverständnissen führen kann. RA Hansen-Oest hat daher für seine Mandantin einen Antrag auf Zulassung der Berufung gestellt. Das Verfahren ist nun beim Niedersächsischen Oberverwaltungsgericht anhängig.

Wesentliche Inhalte des Urteils

1. Gestaltung des Cookie-Banners

Das VG Hannover stellte fest, dass die Gestaltung des Cookie-Banners der Klägerin nicht den Anforderungen an eine informierte, freiwillige und eindeutige Einwilligung gemäß § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO entspricht. Kritisiert wurden insbesondere:

  • Fehlende „Alles ablehnen“-Schaltfläche auf der ersten Ebene des Banners.
  • Irreführende Beschriftungen wie „optimales Nutzungserlebnis“ und „akzeptieren und schließen“.
  • Unklare Anzahl der eingebundenen Partner und Drittdienste.
  • Wesentliche Informationen, wie das Widerrufsrecht und Datenverarbeitung in Drittstaaten, waren erst nach Scrollen sichtbar.

Diese Gestaltung führte dazu, dass Nutzer keine informierte, freiwillige und eindeutige Einwilligung geben konnten.

2. Einsatz des Google Tag Managers

Das Gericht entschied, dass der Einsatz des Google Tag Managers einer ausdrücklichen Einwilligung bedarf. Der Dienst greife auf Endgeräte zu, indem er Skripte und Cookies setze, was eine ausdrückliche Zustimmung notwendig mache. Der Zweck des Dienstes sei allein, andere Dienste leichter einzubinden, was jedoch nur ein Vorteil für den Websitebetreiber und nicht für den Nutzer sei. Da es an einer Zustimmung fehle, sei der Einsatz rechtswidrig.

3. Zuständigkeit der Datenschutzbehörde

Das VG Hannover bestätigte die Zuständigkeit des Landesbeauftragten für den Datenschutz Niedersachsen für die Überwachung und Einhaltung von § 25 TTDSG. Es handele sich um eine „andere datenschutzrechtliche Bestimmung“ im Sinne des § 20 Abs. 1 NDSG, wodurch die Behörde befugt sei, die Einhaltung des § 25 TTDSG zu überwachen.

Fazit

Das Urteil des VG Hannover betont die Bedeutung einer klaren Gestaltung von Cookie-Bannern und die Notwendigkeit einer Einwilligung für bestimmte Dienste wie den Google Tag Manager. Allerdings zeigt die Kritik von RA Hansen-Oest, dass eine pauschale Bewertung des Einsatzes des Google Tag Managers nicht angemessen ist. Es kommt auf die konkrete Konfiguration an. Webseitenbetreiber sollten daher sorgfältig prüfen, ob und in welcher Form der Dienst eingesetzt wird und ob eine Einwilligung erforderlich ist.

Cookie-Banner müssen fair sein: Verwaltungsgericht Hannover stärkt Datenschutz durch Pflicht zur „Alles ablehnen“-Schaltfläche

Wolfgang Riegger

Nahezu jede Webseite konfrontiert Nutzerinnen und Nutzer heute mit einem sogenannten Cookie-Banner. Oft dominieren diese durch die prominente Platzierung einer „Alle akzeptieren“-Schaltfläche, während eine Option zur Ablehnung nur versteckt oder gar nicht angeboten wird. Dass dies nicht dem geltenden Datenschutzrecht entspricht, stellte das Verwaltungsgericht Hannover nun klar.

Hintergrund des Verfahrens

Gegenstand des Urteils war eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gegenüber einem Medienhaus, das mittels eines Cookie-Banners Einwilligungen einholte – jedoch ohne echte Wahlmöglichkeit. Der LfD beanstandete dies als Verstoß gegen § 25 TDDDG (ehemals TTDSG) sowie Art. 4 Nr. 11 und Art. 7 DSGVO.

Die Entscheidung des Gerichts

Das Verwaltungsgericht Hannover bestätigte die Sichtweise der Aufsichtsbehörde. Webseitenbetreiber, so das Gericht, müssen bei Einwilligungsbannern eine gleichwertig sichtbare „Alles ablehnen“-Schaltfläche auf derselben Ebene wie die „Alle akzeptieren“-Option anbieten.

Zudem erkannte das Gericht mehrere Verstöße:

  • Das Ablehnen war umständlicher als das Akzeptieren.
  • Wiederholende Banner zwangen zur Einwilligung.
  • Irreführende Begriffe wie „optimales Nutzungserlebnis“ und „akzeptieren und schließen“.
  • Fehlender Begriff der „Einwilligung“.
  • Unklare Anzahl an Drittanbietern.
  • Wesentliche Informationen (z. B. Widerrufsrecht, Datenübertragung in Drittstaaten) nur nach Scrollen sichtbar.

Diese Ausgestaltung führte dazu, dass keine informierte, freiwillige und eindeutige Einwilligung im Sinne der DSGVO vorlag – und die Nutzung personenbezogener Daten somit rechtswidrig war.

Bedeutung für Webseitenbetreiber

Das Urteil hat weitreichende Bedeutung für alle Betreiber von Webseiten, die auf Nutzertracking oder Online-Werbung setzen. Es macht deutlich, dass manipulative Gestaltung von Cookie-Bannern nicht zulässig ist. Eine echte Wahlmöglichkeit – insbesondere durch eine gleichwertige „Alles ablehnen“-Schaltfläche – ist zwingend.

Fazit

Die Entscheidung stärkt die Rechte der Nutzerinnen und Nutzer im digitalen Raum und gibt den Datenschutzaufsichtsbehörden Rückenwind bei der Durchsetzung datenschutzkonformer Gestaltung von Einwilligungsprozessen. Für Unternehmen bedeutet dies: Cookie-Banner müssen neu gedacht werden – klar, transparent und fair.

Gericht: Verwaltungsgericht Hannover
Datum der Entscheidung: 19. März 2025
Aktenzeichen: 10 A 5385/22

Aktuell liegt die Entscheidung im Volltext noch nicht vor, nur die Pressemitteilung des Gerichts.

Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

Wolfgang Riegger

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.

Rechtswidriger Cookie-Banner

Wolfgang Riegger

Das Landgericht Köln hat mit Beschluss vom 13.04.2021, Az.: 31 O 36/21, entschieden, dass die „alten“, aber zum Teil immer noch gebräuchlichen Cookie-Banner rechtswidrig sind.

Bei dem Beschluss handelt es sich um eine einstweilige Verfügung des Landgerichts Köln, welche nur kurz begründet ist. Aus der Begründung geht hervor, dass ein nach dem Unterlassungsklagegesetz berechtigter Verband einen Unterlassungsanspruch gegen einen Webseitenbetreiber geltend gemacht hatte. Dieser nutzte noch einen – zwischenzeitlich veralteten – Cookie-Banner mit folgendem Text:

„Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Ok. Datenschutzerklärung.“

Nach dem Urteil des BGH zur Gestaltung von Cookie-Bannern aus dem Mai 2020 war klar, dass eine solche Cookie-Banner-Gestaltung nicht mehr den gesetzlichen Erfordernissen entspricht, weswegen das Landgericht im Wege der einstweiligen Verfügung die weitere Nutzung eines solchen Banners untersagt hatte. Der Streitwert wurde auf EUR 2.500,00 festgesetzt, so dass zumindest die dadurch entstehenden Kosten einigermaßen übersichtlich blieben.