Cookie-Banner vor Gericht - ap-datenschutz

Einleitung

Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 ein wegweisendes Urteil zur Gestaltung von Cookie-Bannern und zur Zuständigkeit der Datenschutzaufsicht gefällt. Im Zentrum stand die Frage, ob die Einwilligungen, die über ein zweistufiges Banner eingeholt wurden, den Anforderungen der DSGVO und des TTDSG genügen – und ob der Landesdatenschutzbeauftragte überhaupt für die Kontrolle des TTDSG zuständig ist.

Der Fall

Die Klägerin, ein Verlagshaus, setzte auf ihrer Website zahlreiche Cookies und Trackingdienste ein – unter anderem von Google, Facebook und weiteren Drittanbietern. Nach Beschwerden und einer technischen Prüfung durch den Landesdatenschutzbeauftragten Niedersachsen wurde festgestellt, dass der Dienst Google Tag Manager bereits beim ersten Seitenaufruf ohne Einwilligung aktiviert wurde und personenbezogene Daten wie IP-Adressen übermittelte.

Die rechtliche Auseinandersetzung

Die Klägerin argumentierte, dass der Landesdatenschutzbeauftragte nicht zuständig sei, da § 25 TTDSG keine datenschutzrechtliche Vorschrift im engeren Sinne sei. Außerdem sei die Einwilligung über das Banner wirksam und freiwillig erfolgt.
Das Gericht sah das anders:

Zuständigkeit: Der Landesdatenschutzbeauftragte ist laut § 20 Abs. 1 NDSG in Verbindung mit Art. 58 DSGVO auch für „andere datenschutzrechtliche Bestimmungen“ zuständig – darunter fällt auch § 25 TTDSG.
Gestaltung des Banners: Die Einwilligung war nicht freiwillig und nicht ausreichend informiert. Nutzer*innen wurden durch Design und Funktionalität des Banners gezielt zur Zustimmung gelenkt. Eine Ablehnung war mit deutlich höherem Aufwand verbunden.
Google Tag Manager: Auch dieser Dienst erfordert eine vorherige Einwilligung, da er personenbezogene Daten verarbeitet. Die Klägerin konnte sich nicht auf Ausnahmen nach § 25 Abs. 2 TTDSG berufen.

Cookie-Banner-Gestaltung

Was wurde konkret falsch gemacht und wie kann man die Fehler vermeiden?

Es gab zwei Buttons zur Zustimmung: „Alle akzeptieren“ und „Akzeptieren & schließen x“. Eine Ablehnungsoption (wie „Alle ablehnen“) fehlte vollständig auf der ersten Ebene. Nutzer*innen mussten erst auf „Einstellungen“ klicken, um überhaupt eine Möglichkeit zur Ablehnung zu erhalten. Das verstößt gegen das Prinzip der Freiwilligkeit nach Art. 4 Nr. 11 DSGVO und § 25 TTDSG. Die Lösung: Auch eine Option zum Ablehnen optionaler Cookies auf erster Ebene des Cookie-Banners anbieten.
Der Button „Akzeptieren & schließen x“ zum Schließen des Banners sah aus wie ein normales Schließen-Symbol, es hatte jedoch den gleichen Effekt wie die Schaltfläche „Alle Akzeptieren“. Somit konnten Nutzer*innen nicht erkennen, dass sie mit dieser Aktion ihre Einwilligung gaben. Die Lösung: Löst eine Aktion eine Rechtsfolge aus, sollte diese klar erkennbar sein.
Der „Alle akzeptieren“-Button war auffällig blau mit weißer Schrift, während die anderen Buttons mit schwarzer Schrift ohne auf weißem Hintergrund und ohne Rahmen kaum als solche erkennbar waren. Dies ist eine unzulässige „Dark Pattern“-Strategie, die gegen die Transparenzpflicht verstößt. Die Lösung: Alle Auswahlmöglichkeiten optisch gleich gestalten.
Wichtige Hinweise (z. B. Datenübertragung in die USA, Widerrufsrecht, Anzahl der Drittanbieter) waren nur auf zweiter Ebene sichtbar. Eine Einwilligung kann deshalb nicht „informiert“, wie es Art. 7 DSGVO verlangt, abgegeben werden. Die Lösung: Eine Aufteilung der Informationen in mehrere Ebenen ist praktikabel, allerdings sollten alle relevanten Informationen grob bereits auf erster Ebene dargestellt werden.

Die Entscheidung

Die Klage wurde abgewiesen. Die Klägerin muss die Kosten des Verfahrens tragen. Das Gericht bestätigte die Anordnungen des Landesdatenschutzbeauftragten, insbesondere:

Umsetzung wirksamer Einwilligungen auf der Website.
Einholung einer Einwilligung für den Einsatz von Google Tag Manager oder dessen Entfernung.
Nachweis der Umsetzung binnen eines Monats.

Fazit

Das Urteil stärkt die Rolle der Datenschutzaufsichtsbehörden bei der Kontrolle von Cookie-Bannern und Trackingdiensten. Es zeigt deutlich, dass Einwilligungen nicht nur formal, sondern auch tatsächlich freiwillig und informiert erfolgen müssen. Für Website-Betreiber bedeutet das: Die Gestaltung von Einwilligungsbannern muss – wie wir bisher stets in unseren Empfehlungen betonen – transparent, fair und technisch sauber sein – sonst drohen rechtliche Konsequenzen.

Cookie	Type	Duration	Description
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category 'Analytics'.
cookielawinfo-checkbox-necessary	1	11 months 29 days 23 hours 59 minutes	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category 'Necessary'.
viewed_cookie_policy	1	11 months 30 days 5 hours 48 minutes	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	1	11 months 30 days 5 hours 48 minutes	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Recent Posts

Recent Comments

Archives

Categories

Meta