In einem aktuellen Urteil hat das Verwaltungsgericht Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22) konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager getroffen. In diesem Blog-Beitrag beleuchten wir die wesentlichen Aussagen des Gerichts und geben wichtige Hinweise für Betreibende von Internetseiten.

Zum Sachverhalt

Gegenstand des Gerichtsverfahrens war die Internetseite der Neuen Osnabrücker Zeitung sowie insbesondere die Ausgestaltung des implementierten Cookie-Banners. Nutzenden wurde beim Besuch der Internetseite zunächst eine Auswahl mit eingeschränkten Entscheidungsoptionen präsentiert – namentlich Schaltflächen mit den Beschriftungen „Alle akzeptieren“ und „Einstellungen“. Erst durch einen weiteren Klick auf die Schaltfläche „Einstellungen“ öffnete sich eine detailliertere Ansicht, in der einzelne Kategorien von Cookies beziehungsweise Datenverarbeitungen auswählbar waren. Gleichzeitig kam ein Dienst zur Verwaltung von Tracking-Skripten – konkret der Google Tag Manager – ohne vorherige Einwilligung der Nutzenden zum Einsatz.

Die zuständige Datenschutz-Aufsichtsbehörde des Landes Niedersachsen äußerte Kritik an der Art und Weise der Einholung von Einwilligungen und beanstandete im Rahmen eines Bescheids insbesondere den Einsatz des Google Tag Managers ohne ausdrückliche Zustimmung. Das betroffene Unternehmen erhob Klage gegen den Bescheid.

Zum Urteil

Zunächst stellte das Gericht klar, dass die niedersächsische Datenschutz-Aufsichtsbehörde auch in Bezug auf die Überwachung und Einhaltung des § 25 TDDDG („Schutz der Privatsphäre bei Endeinrichtungen“) zuständig ist. Bei dieser Regelung hinsichtlich der rechtmäßigen Verarbeitung von Cookies handele es sich um „andere datenschutzrechtliche Bestimmungen“ im Sinne des § 20 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG).

Weiterhin sah es das Gericht als erwiesen an, dass die Beanstandung durch die Datenschutz-Aufsichtsbehörde zu Recht erfolgte:

„Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind […] werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht – im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht.“

Und weiter:

„Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf “Einstellungen” die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend.“

Schließlich würden die Nutzer darüber hinaus durch die Ausgestaltung des Cookie-Banners und dessen Schaltflächen hinsichtlich Gestaltung und Farbe ebenfalls zur Zustimmung gedrängt („Nudging“).

In Bezug auf die Verwendung des Google Tag Manager führte das Gericht aus, dass die Verwendung einer ausdrücklichen Einwilligung der Nutzenden bedürfe, da die Verwendung des Dienstes nicht notwendig und ebenfalls nicht vom berechtigten Interesse der Seitenbetreibenden gedeckt sei. Dies ergebe sich insbesondere aus der mit der Nutzung des Dienstes im Zusammenhang stehende Zugriff auf Endgeräte:

„Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. […] Im Internet werden dazu ebenfalls verschiedene Alternativen vorgeschlagen […]. Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.“

Fazit

Betreibende von Internetseiten sollten darauf achten, dass ihr Cookie-Banner bereits auf der ersten Ebene eine klare und gleichwertige Auswahl bietet. Gestaltungselemente, die Nutzer zu einer Zustimmung drängen, sind dabei zu vermeiden. Die Informationen zur Datenverarbeitung müssen transparent und verständlich sein, damit Nutzer eine informierte Entscheidung treffen können. Der Einsatz des Google Tag Managers ist ohne vorherige, ausdrückliche Einwilligung unzulässig, da er nicht technisch notwendig ist. Es empfiehlt sich, datenschutzfreundlichere Alternativen zu prüfen. Zudem muss sichergestellt sein, dass keine einwilligungspflichtigen Dienste vor der Zustimmung aktiviert werden. Eine regelmäßige rechtliche und technische Überprüfung des Einwilligungsmanagements ist daher dringend anzuraten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ende November 2024 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz: Datenschutzkonferenz (DSK), eine Orientierungshilfe für Anbieter:innen von digitalen Diensten veröffentlicht. Tatsächlich handelt es sich hierbei – mit geringfügig geänderten Namen – lediglich um die Aktualisierung einer bereits im Jahr 2021 veröffentlichten Orientierungshilfe. Was es hiermit auf sich hat und welche wesentlichen Änderungen sich aus der Orientierungshilfe ergeben, erfahren Sie im nachfolgenden Beitrag.

Telemedien werden zu digitalen Diensten

Vor etwas mehr als drei Jahren – am 20. Dezember 2021 – veröffentlichte die Datenschutzkonferenz die „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021“ (wir berichteten). Hintergrund hierfür war insbesondere die geänderte Rechtslage durch das Inkrafttreten des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) sowie durch Änderungen des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG). Wesentliche Auswirkungen hatte dies zum damaligen Zeitpunkt insbesondere auf den Einsatz von Cookies und vergleichbaren Technologien. Die Orientierungshilfe thematisierte den rechtskonformen Einsatz, den Grundsatz der Einwilligungsbedürftigkeit sowie die diversen Anforderungen an Einwilligungen und die Gestaltung sogenannter Cookie-Banner.

Zwischenzeitlich ergaben sich aufgrund des europäischen Digital Services Act (DSA) im Mai 2024 wiederum Änderungen am TTDSG sowie am TMG – die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz wurde so das Digitale-Dienste-Gesetz (DDG) und aus dem Telekommunikation-Telemedien-Datenschutzgesetz das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG). Insofern überrascht es nicht, dass auch die Datenschutzkonferenz die Notwendigkeit sah, die bisherige Orientierungshilfe an die neuen Begrifflichkeiten anzupassen. Doch bei einer rein sprachlichen Anpassung blieb es nicht…

Weitere Anpassungen an die aktuelle Rechtslage

Auch weitere Entwicklungen der Rechtslage fanden in die jüngst überarbeitete Orientierungshilfe Eingang: So wird das seit Juli 2023 bestehende EU-U.S. Data Privacy Framework für Übermittlungen personenbezogener Daten in die USA nun zumindest in einer Fußnote berücksichtigt.

Weiterhin wurden die Ausführungen der Orientierungshilfe an die Guidelines 2/2023 des Europäischen Datenschutzausschusses (EDSA) zum technischen Anwendungsbereich von Art. 5 Abs. 3 der ePrivacy-Richtlinie angelehnt. Änderungen ergeben sich hierdurch hauptsächlich im strengeren Verständnis des Begriffs Zugriff auf Endeinrichtungen. So liegt demnach ein Zugriff bereits dann vor, wenn bei der Nutzung eines digitalen Dienstes Informationen übermittelt werden, die Aufschluss über technische Konfigurationen liefern, sogenanntes Browser-Fingerprinting: „Auch ist es als Zugriff von Informationen auf Endeinrichtungen der Endnutzer:innen zu werten, wenn aktiv – beispielsweise mittels JavaScript-Code – Eigenschaften eines Endgerätes ausgelesen und für die Erstellung eines Fingerprints an einen Server übermittelt werden.“

Einige inhaltliche Ergänzungen

Ergänzungen sieht die überarbeitete Orientierungshilfe hinsichtlich der Gestaltung von Einwilligungsbannern („Cookie-Bannern“) vor. So heißt es beispielsweise nun: „Eine Ablehnfunktion auf erster Ebene ist aus Sicht der Aufsichtsbehörden nicht generell erforderlich, sondern nur dann, wenn Nutzer:innen mit dem Einwilligungsbanner interagieren müssen, um den Besuch der Webseite fortzusetzen.“

Auch zum Nudging führt die Datenschutzkonferenz nun differenzierter aus: „Eine Verhaltenssteuerung durch die Gestaltung, die allgemein als Nudging bezeichnet wird, ist daher nicht generell unzulässig. […] Zur Erfüllung des Merkmals der Freiwilligkeit ist es erforderlich, dass eine Wahlmöglichkeit deutlich erkennbar und auch tatsächlich möglich ist. Allein eine unterschiedliche Farbwahl muss nicht zwangsläufig dazu führen, dass die Freiwilligkeit abzulehnen ist.“ Jedoch: „Die Möglichkeit keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative zur Option „Einwilligung erteilen“ dargestellt werden. Dies ist anzunehmen, wenn sich z. B. neben einem Button „Einwilligung erteilen“ ein insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbarer Button „Weiter ohne Einwilligung“ finden lässt.“

Weiterhin führt die Orientierungshilfe nun ergänzend zu Informationspflichten und einigen Betroffenenrechten aus. In Bezug auf das Auskunftsrecht stellt die Datenschutzkonferenz beispielsweise dar, dass es Betreibern von Internetseiten oftmals nicht möglich ist, den Namen eines Betroffenen weiteren Daten zuzuordnen. In diesen Fällen sei es mit Verweis auf Art. 11 Abs. 2 Satz 2 DS-GVO möglich, weitere Identifikationsmerkmale anzufordern. Diese Vorschrift berechtige jedoch ausdrücklich nicht zu einer routinemäßigen Identitätsprüfung. Hinsichtlich des Rechts auf Löschung weist die Datenschutzkonferenz darauf hin, dass Cookies standardmäßig mit Laufzeiten zu versehen sind, die sich am Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. e) DS-GVO zu orientieren haben. Eine automatisierte Löschung von Cookies muss demnach in jedem Fall gegeben sein.

Über die umrissenen Ergänzungen hinaus, blieben die wesentlichen Aussagen der bisherigen Orientierungshilfe jedoch von Änderungen verschont.

Fazit

Betreiber von digitalen Diensten sollten die überarbeiteten Ausführungen der Datenschutzkonferenz unbedingt bei der Ausgestaltung von Einwilligungsbannern und dem Einsatz von Cookies berücksichtigen, hilft diese doch rechtliche Unsicherheiten zu minimieren. Nichtsdestotrotz macht die Orientierungshilfe an einigen Stellen deutlich, dass es stets einer fundierten Einzelfallbetrachtung bedarf. Hierbei kann der Datenschutzbeauftragte eine entscheidende Rolle spielen – wir unterstützen Sie gern!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Am 14. Mai 2024 ist in Deutschland das Digitale-Dienste-Gesetz (DDG) in Kraft getreten, welches die Anforderungen des europäischen Digital Services Act (DSA) in nationales Recht umsetzt. Eine wesentliche Änderung: Die bisher als Telemediendienste bezeichneten Dienste werden nunmehr unter dem Begriff der digitalen Dienste beschrieben. Aus dem bisherigen Telemediengesetz (TMG) wird so das Digitale-Dienste-Gesetz und aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Aus TMG wird DDG…

Betreiber von Internetseiten sollten im Zusammenhang mit der Pflicht zur Bereitstellung eines Impressums die dortigen Formulierungen überprüfen. Wurde im Rahmen der Anbieterkennzeichnungen bislang auf § 5 TMG verwiesen, ist dieser Verweis nun auf § 5 DDG anzupassen. Inhaltliche Änderungen sind hingegen nicht notwendig. Jedoch kann zugleich hinterfragt werden, ob ein spezifischer Normenverweis überhaupt erforderlich ist. Weder § 5 TMG, noch § 5 DDG setz(t)en dies voraus – eine gut aufzufindende Bezeichnung als Impressum oder Anbieterkennzeichnung ist ausreichend. Ein künftiger Aktualisierungsaufwand aufgrund von Änderungen an Gesetzesbezeichnungen kann so vermieden werden.

…TTDSG zu TDDDG…

Auch hinsichtlich des bisherigen TTDSG sind die Änderungen wenig aufregend: Es ändert sich ausschließlich der Name des Gesetzes – und somit wird aus einer sperrigen Abkürzung nur eine noch schrecklichere. Relevant ist dies hinsichtlich der weit überwiegenden Mehrheit an Datenschutzinformationen und Cookie-Banner. Für das Setzen von Cookies und der daraus resultierenden Verarbeitung personenbezogener Daten, bedarf es neben einer Rechtsgrundlage aus Art. 6 Abs. 1 DS-GVO auch einer nach § 25 TTDSG, nun § 25 TDDDG. Wird im Rahmen der Datenschutzinformation oder des Cookie-Banners über die jeweilige Rechtsgrundlage informiert (Art. 13 Abs. 1 lit. c) DS-GVO), sind auch hier die entsprechenden Verweise anzupassen.

MfG der DSB, ojemine?

Auch wenn die Namensänderungen für den juristischen Laien unnötig erscheinen, waren sie für eine zutreffende Beschreibung der jeweiligen Dienste erforderlich. Betreiber von Internetseiten sollten nun zeitnah die betreffenden Texte prüfen und erforderlichenfalls Anpassungen vornehmen. Auch wenn – entgegen einigen panischen Meldungen – aufgrund einer fehlerhaften Bezeichnung von Gesetzestexten keine flächenmäßigen Abmahnungen zu befürchten sind, lassen aktualisierte Pflichtinformationen die Betreiber von Internetseiten in einem besseren Licht dastehen. Zudem kann die Gelegenheit genutzt und beispielsweise die Datenschutzinformation grundsätzlich auf Aktualität geprüft werden. Im Ergebnis also alles nur halb so schlimm!

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.