In einem aktuellen Urteil hat das Verwaltungsgericht Hannover (VG Hannover, Urt. v. 19.3.2025, Az. 10 A 5385/22) konkrete Aussagen zur Ausgestaltung von Lösungen zum Einwilligungsmanagement auf Internetseiten („Cookie-Banner“) sowie zur Einwilligungsbedürftigkeit des Google Tag Manager getroffen. In diesem Blog-Beitrag beleuchten wir die wesentlichen Aussagen des Gerichts und geben wichtige Hinweise für Betreibende von Internetseiten.
Zum Sachverhalt
Gegenstand des Gerichtsverfahrens war die Internetseite der Neuen Osnabrücker Zeitung sowie insbesondere die Ausgestaltung des implementierten Cookie-Banners. Nutzenden wurde beim Besuch der Internetseite zunächst eine Auswahl mit eingeschränkten Entscheidungsoptionen präsentiert – namentlich Schaltflächen mit den Beschriftungen „Alle akzeptieren“ und „Einstellungen“. Erst durch einen weiteren Klick auf die Schaltfläche „Einstellungen“ öffnete sich eine detailliertere Ansicht, in der einzelne Kategorien von Cookies beziehungsweise Datenverarbeitungen auswählbar waren. Gleichzeitig kam ein Dienst zur Verwaltung von Tracking-Skripten – konkret der Google Tag Manager – ohne vorherige Einwilligung der Nutzenden zum Einsatz.
Die zuständige Datenschutz-Aufsichtsbehörde des Landes Niedersachsen äußerte Kritik an der Art und Weise der Einholung von Einwilligungen und beanstandete im Rahmen eines Bescheids insbesondere den Einsatz des Google Tag Managers ohne ausdrückliche Zustimmung. Das betroffene Unternehmen erhob Klage gegen den Bescheid.
Zum Urteil
Zunächst stellte das Gericht klar, dass die niedersächsische Datenschutz-Aufsichtsbehörde auch in Bezug auf die Überwachung und Einhaltung des § 25 TDDDG („Schutz der Privatsphäre bei Endeinrichtungen“) zuständig ist. Bei dieser Regelung hinsichtlich der rechtmäßigen Verarbeitung von Cookies handele es sich um „andere datenschutzrechtliche Bestimmungen“ im Sinne des § 20 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG).
Weiterhin sah es das Gericht als erwiesen an, dass die Beanstandung durch die Datenschutz-Aufsichtsbehörde zu Recht erfolgte:
„Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind […] werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht – im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht.“
Und weiter:
„Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf “Einstellungen” die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend.“
Schließlich würden die Nutzer darüber hinaus durch die Ausgestaltung des Cookie-Banners und dessen Schaltflächen hinsichtlich Gestaltung und Farbe ebenfalls zur Zustimmung gedrängt („Nudging“).
In Bezug auf die Verwendung des Google Tag Manager führte das Gericht aus, dass die Verwendung einer ausdrücklichen Einwilligung der Nutzenden bedürfe, da die Verwendung des Dienstes nicht notwendig und ebenfalls nicht vom berechtigten Interesse der Seitenbetreibenden gedeckt sei. Dies ergebe sich insbesondere aus der mit der Nutzung des Dienstes im Zusammenhang stehende Zugriff auf Endgeräte:
„Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. […] Im Internet werden dazu ebenfalls verschiedene Alternativen vorgeschlagen […]. Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.“
Fazit
Betreibende von Internetseiten sollten darauf achten, dass ihr Cookie-Banner bereits auf der ersten Ebene eine klare und gleichwertige Auswahl bietet. Gestaltungselemente, die Nutzer zu einer Zustimmung drängen, sind dabei zu vermeiden. Die Informationen zur Datenverarbeitung müssen transparent und verständlich sein, damit Nutzer eine informierte Entscheidung treffen können. Der Einsatz des Google Tag Managers ist ohne vorherige, ausdrückliche Einwilligung unzulässig, da er nicht technisch notwendig ist. Es empfiehlt sich, datenschutzfreundlichere Alternativen zu prüfen. Zudem muss sichergestellt sein, dass keine einwilligungspflichtigen Dienste vor der Zustimmung aktiviert werden. Eine regelmäßige rechtliche und technische Überprüfung des Einwilligungsmanagements ist daher dringend anzuraten.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
