Nachtrag zum Blogbeitrag vom 28. Mai 2025 – Korrektur und Analyse zum Urteil des VG Hannover zur Cookie-Banner-Gestaltung und zum Einsatz des Google Tag Managers

In unserem Blogbeitrag vom 28. Mai 2025 berichteten wir über das Urteil des Verwaltungsgerichts (VG) Hannover zur datenschutzkonformen Gestaltung von Cookie-Bannern und dem Einsatz des Google Tag Managers (GTM). Damals stützten wir uns auf die Pressemitteilung des Gerichts. Inzwischen liegt das Urteil im Volltext vor, und es gibt wichtige Klarstellungen durch den Klägervertreter, Rechtsanwalt Stephan Hansen-Oest.


Klarstellung durch den Klägervertreter

Rechtsanwalt Stephan Hansen-Oest, der die Klägerin – ein Verlagshaus – in dem Verfahren vertritt, hat in seinem aktuellen Newsletter mitgeteilt, dass die Pressemitteilung des Gerichts wichtige Differenzierungen nicht abbildet. Insbesondere stellt er klar, dass die Vertreterinnen der Aufsichtsbehörde während der mündlichen Verhandlung erklärten, dass der Einsatz des Google Tag Managers nicht pauschal einwilligungspflichtig sei. Es gäbe Konfigurationen, die keine Einwilligung erforderten. Im konkreten Fall sei jedoch aufgrund der Ergebnisse des IT-Prüflabors eine Einwilligung erforderlich gewesen. Diese Differenzierung fehlt im Urteil, was zu Missverständnissen führen kann. RA Hansen-Oest hat daher für seine Mandantin einen Antrag auf Zulassung der Berufung gestellt. Das Verfahren ist nun beim Niedersächsischen Oberverwaltungsgericht anhängig.


Wesentliche Inhalte des Urteils

1. Gestaltung des Cookie-Banners

Das VG Hannover stellte fest, dass die Gestaltung des Cookie-Banners der Klägerin nicht den Anforderungen an eine informierte, freiwillige und eindeutige Einwilligung gemäß § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO entspricht. Kritisiert wurden insbesondere:

  • Fehlende „Alles ablehnen“-Schaltfläche auf der ersten Ebene des Banners.
  • Irreführende Beschriftungen wie „optimales Nutzungserlebnis“ und „akzeptieren und schließen“.
  • Unklare Anzahl der eingebundenen Partner und Drittdienste.
  • Wesentliche Informationen, wie das Widerrufsrecht und Datenverarbeitung in Drittstaaten, waren erst nach Scrollen sichtbar.

Diese Gestaltung führte dazu, dass Nutzer keine informierte, freiwillige und eindeutige Einwilligung geben konnten.

2. Einsatz des Google Tag Managers

Das Gericht entschied, dass der Einsatz des Google Tag Managers einer ausdrücklichen Einwilligung bedarf. Der Dienst greife auf Endgeräte zu, indem er Skripte und Cookies setze, was eine ausdrückliche Zustimmung notwendig mache. Der Zweck des Dienstes sei allein, andere Dienste leichter einzubinden, was jedoch nur ein Vorteil für den Websitebetreiber und nicht für den Nutzer sei. Da es an einer Zustimmung fehle, sei der Einsatz rechtswidrig.

3. Zuständigkeit der Datenschutzbehörde

Das VG Hannover bestätigte die Zuständigkeit des Landesbeauftragten für den Datenschutz Niedersachsen für die Überwachung und Einhaltung von § 25 TTDSG. Es handele sich um eine „andere datenschutzrechtliche Bestimmung“ im Sinne des § 20 Abs. 1 NDSG, wodurch die Behörde befugt sei, die Einhaltung des § 25 TTDSG zu überwachen.


Fazit

Das Urteil des VG Hannover betont die Bedeutung einer klaren Gestaltung von Cookie-Bannern und die Notwendigkeit einer Einwilligung für bestimmte Dienste wie den Google Tag Manager. Allerdings zeigt die Kritik von RA Hansen-Oest, dass eine pauschale Bewertung des Einsatzes des Google Tag Managers nicht angemessen ist. Es kommt auf die konkrete Konfiguration an. Webseitenbetreiber sollten daher sorgfältig prüfen, ob und in welcher Form der Dienst eingesetzt wird und ob eine Einwilligung erforderlich ist.

BGH zu Bewertungen im Internet: Kein Auskunftsanspruch bei wertender Kritik

Der BGH (Urteil vom 11.03.25, AZ: VI ZB 79/23, NJW 2025, 1585) hat klargestellt, dass Arbeitgeber nicht ohne weiteres Anspruch auf Herausgabe von Nutzerdaten gegenüber Bewertungsplattformen haben, wenn es um negative Bewertungen geht. Entscheidend ist, ob es sich bei der Kritik um eine Meinungsäußerung oder um eine falsche Tatsachenbehauptung handelt.

Worum ging es?

Eine Anwaltskanzlei wollte von einer Arbeitgeberbewertungsplattform die Daten eines Nutzers erhalten, der eine kritische Bewertung zum „Vorgesetztenverhalten“ abgegeben hatte. Der Nutzer hatte unter anderem geschrieben, dass „ausgeschiedene Mitarbeiter ausstehendes Gehalt und sogar die Erteilung von Arbeitszeugnissen gerichtlich durchsetzen müssen“. Die Kanzlei empfand dies als falsche Tatsachenbehauptung und sah sich in ihrem Persönlichkeitsrecht verletzt. Sie beantragte beim Gericht eine Anordnung zur Auskunftserteilung über die Bestandsdaten des Nutzers gemäß § 21 Abs. 2 TDDDG (früher TTDSG).

Was entschied das Gericht?

Der Antrag wurde in allen Instanzen abgelehnt – zuletzt auch vom BGH. Die Richter sahen in der streitigen Äußerung keine strafbare Tatsachenbehauptung, sondern eine zulässige Meinungsäußerung. Zwar habe es in der Vergangenheit tatsächlich nur einen einzelnen Fall gegeben, in dem ein Mitarbeiter Ansprüche gerichtlich durchsetzen musste. Der BGH betonte aber:

  • Der Plural („Mitarbeiter“) lässt sich auch als rhetorisch gemeint oder verallgemeinernd verstehen.
  • Der Kontext („Bewertung des Vorgesetztenverhaltens“) spricht für eine subjektive Einschätzung.
  • Die Formulierung sei im Präsens gehalten („durchsetzen müssen“), was eher für eine Wertung oder Prognose spreche als für eine rückblickende Tatsachenschilderung.

Da die Äußerung nicht den Straftatbestand der §§ 185, 186 oder 187 StGB erfülle, seien die Voraussetzungen des § 21 Abs. 2 TDDDG für eine Auskunftserteilung nicht erfüllt.

Fazit für Unternehmer:

Negative Onlinebewertungen müssen Unternehmer nicht automatisch hinnehmen – aber nicht jede Kritik begründet einen Anspruch auf Herausgabe von Nutzerdaten. Nur bei klar falschen Tatsachenbehauptungen, die strafrechtlich relevant sind (z. B. Verleumdung oder üble Nachrede), kann ein solcher Anspruch bestehen. Wertende Kritik hingegen – selbst wenn sie überspitzt oder polemisch formuliert ist – fällt regelmäßig unter die Meinungsfreiheit und ist zulässig.

Wer gegen anonyme Bewertungen vorgehen möchte, sollte also sorgfältig prüfen (lassen), ob es sich um eine Tatsachenbehauptung oder um ein Werturteil handelt. Nur im ersten Fall bestehen überhaupt Chancen auf die Ermittlung des Verfassers.

Datenschutz im Internet: TTDSG tritt ab 01.12.2021 in Kraft

Ab 01. Dezember 2021 tritt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) in Kraft. Ziel des Gesetzes ist es, die bereichspezifischen Datenschutzregeln aus dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) in ein eigenes Gesetz zu überführen und diese den Vorgaben der DSGVO und der sog. ePrivacy-Richtlinie anzupassen.

Einer der Schwerpunkte des neuen Gesetzes ist – bezogen auf den Datenschutz bei Webseiten – die (Neu-)Regelung von Cookies bzw. Cookie-Bannern.

Jeder Internetnutzer kennt die Cookie-Banner, die auf das Setzen sog. Cookies hinweisen. Die wenigsten Nutzer beschäftigten sich auch wirklich mit dem Inhalt der entsprechenden Cookie-Banner und klicken auf „Zustimmen“ oder ähnliche vorformulierte Einwilligungserklärungen, um die Webseite auch nutzen zu können. Gerade auch wegen dieses typischen Nutzerverhaltens waren diverse Gestaltungen von Cookie-Bannern in den letzten zwei bis drei Jahren vermehrt Gegenstand gerichtlicher Entscheidungen.

Das neue TTDSG erlaubt nun explizit den Einsatz sog. „Personal Information Management-Systeme“ (kurz „PIMS“). „PIMS“ ist eine Software, die Nutzern mehr Kontrolle über ihre Daten geben soll. Der Anwender kann mithilfe von „PIMS“ auf seinem jeweiligen Endgerät abspeichern, welche Einwilligungen er erteilen möchte und welche nicht. Es können also Voreinstellungen für die Nutzung von Cookies für alle Webseiten festgelegt werden, so dass nicht auf jeder Webseite eine gezielte Auswahl der zu setzenden Cookies getroffen werden muss. Die Webseite erkennt beim Aufrufen der Webseite das benutzte „PIMS“, so dass der für viele lästige Cookie-Banner erst gar nicht erscheint und weggeklickt werden muss.

Allerdings wird nicht jedes „PIMS“ vom neuen TTDSG akzeptiert. Das Gesetz sieht ein Anerkenntnisverfahren für solche Software vor. Das bedeutet, dass der jeweilige Softwareanbieter eines „PIMS“ künftig ein Anerkennungsverfahren durchlaufen muss. Dieses kann nur erfolgreich durchlaufen werden, wenn bestimmte Anforderungen an das „PIMS“ erfüllt werden: So muss die Software insbesondere wettbewerbsneutral und unabhängig von den Tools sein, für die die Einwilligung erfolgen soll. Das genaue Verfahren dazu soll in einer Rechtsverordnung geregelt werden.

Damit die lästigen Cookie-Banner tatsächlich verschwinden, muss die Bundesregierung also zunächst eine (wirksame) Verordnung erlassen, in der die verschiedenen Voraussetzungen festgelegt werden. Sodann muss es natürlich ausreichend Anbieter solcher Software geben, die auch bereit sind, das Anerkennungsverfahren zu durchlaufen. Und schließlich müssen die Nutzer die „PIMS“ auch tatsächlich nutzen. Es dürfte also noch eine Weile dauern, bis die lästigen Cookie-Banner tatsächlich verschwinden.

Sofern kein „PIMS“ eingesetzt wird, enthält das TTDSG die Vorgabe, dass Cookies nur mit Einwilligung des Nutzers gesetzt werden dürfen.

§ 25 Abs. 1 Satz 1 TTDSG bestimmt dies explizit. Allerdings gibt es auch Ausnahmen. § 25 Abs. 2 TTDSG regelt, dass eine Einwilligung nicht erforderlich ist, wenn der alleinige Zweck der Speicherung die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder – dies ist die wichtige Ausnahme für die Webseitenbetreiber – die Speicherung von Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

Letztgenannte Ausnahme sind die “technisch notwendigen Cookies“.

Dies sind z.B. Cookies, die einen Login auf eine Seite ermöglichen oder die für die Nutzung eines Warenkorbs eines Onlineshops nötig sind. Eine konkrete Definition im Gesetz, wann ein Cookie „unbedingt erforderlich“ ist, findet sich allerdings nicht.

Hier wird es also weiterhin Aufgabe der Gerichte sein, die „unbedingte Erforderlichkeit“ von Cookies zu bestimmen. Mit sehr großer Wahrscheinlichkeit gehören allerdings Tracking-Cookies, die lediglich Marketingzwecken dienen oder personalisierte Werbung ermöglichen sollen, nicht dazu.