Hohe Anforderungen an Cookie-Banner

Verwaltungsgericht Hannover bekräftigt hohe Anforderungen an Cookie-Banner – Cookie-Banner darf nicht zur Einwilligung „hinlenken“

VG Hannover Urteil vom 19.03.2025 – 10 A 5385/22

Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 wichtige Maßstäbe für die Gestaltung datenschutzkonformer Cookie-Banner festgelegt. Das Gericht bestätigte die Anordnung des Landesdatenschutzbeauftragten, mit welcher dieser die Klägerin, ein Verlagshaus, angewiesen hatte, auf ihrer Website wirksame Einwilligungen für die Nutzung von Cookies einzuholen bzw. umzusetzen. Die von ihr eingesetzte Einwilligungslösung auf der Website des Verlags ist unzulässig.

Rechtlicher Hintergrund

Nach § 25 Abs. 1 Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) dürfen Informationen – etwa durch Cookies – nur mit vorheriger Einwilligung auf dem Endgerät des Nutzers gespeichert oder abgerufen werden. Die einzige Ausnahme: technisch zwingend erforderliche Cookies (§ 25 Abs. 2 Nr. 2 TTDSG).

Zusätzlich verlangt Art. 6 Abs. 1 DSGVO eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten – etwa durch eine informierte, freiwillige und unmissverständliche Einwilligung (Art. 4 Nr. 11 DSGVO).

Rechtswidrige Gestaltung des Cookie-Einwilligungsbanners im konkreten Fall:

1.  „Akzeptieren & schließen x“ ist keine Einwilligung:

Das Cookie-Banner der Klägerin war zweistufig aufgebaut. Auf der ersten Ebene zeigte es nur die drei Optionen „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“, ein „Alle ablehnen“-Button auf der ersten Ebene fehlte. Um die Speicherung der Cookies abzulehnen mussten sich die Nutzer erst über „Einstellungen“ auf eine zweite Ebene navigieren, dort mehrere Unterpunkte manuell kontrollieren und deaktivieren – um dann über einen weniger auffälligen Button („Auswahl speichern“) die Ablehnung zu bestätigen. Diese Gestaltung hat das Gericht als unzulässig eingestuft. Es fehle eine echte Ablehnungsoption auf erster Ebene. Zudem sei die Darstellung gezielt auf die Einholung einer Einwilligung ausgerichtet („Hinlenken“) – das widersprich dem Grundsatz der Freiwilligkeit.

• Folge: Die Einwilligungen sind nicht wirksam im Sinne von 25 Abs. 1 TTDSG i.V.m. Art. 6 Abs. 1 lit. a DSGVO. freiwillige und informierte Einwilligung gemäß Art. 4 Nr. 11 DSGVO und § 25 Abs. 1 TTDSG.

2. Unzureichende Informationen über Drittanbieter

Ein zentrales Problem im vorliegenden Fall war zudem, dass die Nutzer nicht ausreichend über die eingesetzten Drittanbieter informiert wurden. Zwar konnten sie über den Button „Einstellungen“ auf eine zweite Ebene des Cookie-Banners gelangen, auf der über mehr als 100 Drittanbieter informiert wurde – jedoch war diese Information auf der ersten Ebene nicht einmal angedeutet. Nach der Rechtsprechung des EuGH (Urt. v. 1.10.2019 – C-673/17) müssen Nutzer aber bereits vor Abgabe ihrer Einwilligung über wesentliche Punkte informiert werden. Dazu gehören u. a.:

• die Anzahl und Identität der Empfänger (Drittanbieter),
• die Dauer der Speicherung,
• und Hinweise zu Datenübermittlungen in Drittländer, insbesondere die USA, wo kein gleichwertiges Datenschutzniveau gilt.

3. Problematischer Einsatz des Google Tag Managers:

Zusätzlich problematisch war im vorliegenden Fall der Einsatz des Tools „Google Tag Manager“, das der Steuerung weiterer Dienste auf der Website dient. Nach technischen Analysen der Aufsichtsbehörde wurde festgestellt, dass beim Aufruf der Seite bereits vor dem Klick auf das Cookie-Banner:

• IP-Adressen und Gerätedaten an Google-Server in den USA übermittelt wurden,
• und ein Skript (gtm.js) auf dem Endgerät der Nutzer gespeichert wurde.

Damit erfolgte eine Zugriffs- und Speichervorgang im Sinne von § 25 Abs. 1 TTDSG, ohne dass zuvor eine Einwilligung erteilt wurde. Die Klägerin argumentierte, der Google Tag Manager sei nur ein „neutrales Verwaltungswerkzeug“, das selbst keine Cookies setze. Die Analyse der Aufsichtsbehörde widerlegte dies aber überzeugend.

Das Gericht hat festgestellt, dass auch keine technische Erforderlichkeit im Sinne von § 25 Abs. 2 Nr. 2 TTDSG vorlag, da vergleichbare Funktionen (z. B. Laden von Tracking-Skripten) auch mit anderen Tools oder eigenen Mitteln umsetzbar wären. Die Nutzung erfolgte vor allem aus Bequemlichkeit – nicht, weil sie zwingend notwendig war.

Als Fachkanzlei für IT- und Datenschutzrecht stehen wir Ihnen gerne beratend zur Seite – von der Prüfung Ihres Cookie-Banners bis zur rechtssicheren Umsetzung Ihrer Einwilligungsstrategie.

Termine unter 0931 – 35939-0 oder über unser Kontaktformular.