202501.07.

VG Hannover: Anforderungen an Cookie Banner und Unzulässigkeit von Dark Patterns

von Tags: , , , ,

Mit seinem Urteil vom 19. März 2025 (Az. 10 A 5385/22) hat das Verwaltungsgericht Hannover wichtige Maßstäbe für den Umgang mit Cookie-Bannern gesetzt. Es geht dabei um die Wirksamkeit von Einwilligungen und die behördliche Zuständigkeit für Verstöße gegen § 25 TTDSG.

Der Fall betraf eine Anordnung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD Nds.) gegen einen Verlag, der auf www.noz.de über 100 Cookies von Drittanbietern einsetzt. Diese Cookies dienen unter anderem der Finanzierung journalistischer Inhalte durch personalisierte Werbung (Real Time Bidding).

Executive Summary

Das VG Hannover hat entschieden, dass der LfD Niedersachsen berechtigt ist, auch § 25 TTDSG zu überwachen.

Cookie-Banner, die Nutzer gezielt zur Zustimmung drängen, sind unzulässig. Ein Banner mit den Optionen „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ auf der ersten Ebene ist nicht ausreichend. Wenn zudem bei Auswahl von „Auswahl speichern“ das Banner bei jedem Besuch erneut erscheint, liegt keine freiwillige Einwilligung vor. Auch der Einsatz des Google Tag Managers ist nur mit vorheriger Einwilligung zulässig. Unternehmen sollten ihre Einwilligungslösungen jetzt überprüfen und anpassen.

Im Zentrum des Verfahrens standen zwei Fragen:

  • Ist der LfD Niedersachsen zuständig, auch die Vorschriften des TTDSG zu kontrollieren?
  • Ist das eingesetzte Cookie-Banner datenschutzrechtlich zulässig?

Das VG bejahte in beiden Punkten die Rechtsauffassung der Behörde und wies die Klage des Verlags ab.

Kritik am Cookie-Banner

Das zweistufige Banner bot auf der ersten Ebene nur die Schaltflächen „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“. Eine klare Ablehnmöglichkeit fehlte. Wer über die zweite Ebene „Auswahl speichern“ wählte, bekam das Banner beim nächsten Besuch erneut angezeigt. Diese Gestaltung bewertet das Gericht als gezielte Lenkung zur Einwilligung. Eine solche Einwilligung ist nicht freiwillig im Sinne von § 25 Abs. 1 TTDSG und Art. 4 Nr. 11 DSGVO.

Akzeptieren & schließen x“ – Ein irreführendes Element

Besonders kritisch sieht das Verwaltungsgericht die Schaltfläche „Akzeptieren & schließen x“. Diese suggeriert, dass man das Banner lediglich schließen kann. Tatsächlich gibt man aber eine umfassende Einwilligung ab. Für den durchschnittlichen Nutzer ist das nicht klar und ausdrücklich erkennbar. Deshalb fehlt es an einer eindeutigen und bewussten Entscheidung. Auch das macht die Einwilligung unwirksam.

Google Tag Manager erfordert Einwilligung

Das Gericht befasste sich auch mit dem Google Tag Manager. Dabei handelt es sich um ein kostenloses Tool von Google, das Website-Betreibern die zentrale Verwaltung und Auslösung von Tracking-Codes (sog. „Tags“) ohne direkten Eingriff in den Quellcode ihrer Website ermöglicht. Die Klägerin behauptete, der Google Tag Manager verwalte nur andere Tools und sei selbst nicht datenschutzrechtlich relevant. Das IT-Labor des LfD konnte jedoch nachweisen, dass bereits beim ersten Seitenaufruf, also ohne Interaktion, Daten an Google-Server in den USA übermittelt werden. Deshalb ist auch der Einsatz des Tag Managers nur mit vorheriger Einwilligung erlaubt.

Zuständigkeit des LfD Niedersachsen bestätigt

Die Klägerin argumentierte, dass der Landesdatenschutzbeauftragte für Verstöße gegen § 25 TTDSG nicht zuständig sei. Das Verwaltungsgericht widersprach. § 20 Abs. 1 des NDSG erlaubt dem LfD die Kontrolle „anderer datenschutzrechtlicher Bestimmungen“. Dazu gehört auch § 25 TTDSG, da dieser das Auslesen von Informationen auf Endgeräten betrifft – ein Aspekt, der eng mit der DSGVO verknüpft ist.

Anforderungen an eine wirksame Einwilligung

Das Urteil konkretisiert, was bei Cookie-Bannern zu beachten ist:

  • Nutzer müssen klar und verständlich informiert werden.
  • Die Ablehnung muss genauso einfach möglich sein wie die Zustimmung.
  • Irreführende Schaltflächen (z. B. „x“ als Zustimmung) sind unzulässig.
  • Das wiederholte Anzeigen des Banners bei Ablehnung ist nicht zulässig.
  • Einwilligungen dürfen nicht durch Druck oder Tricks erreicht werden.
  • Die Gestaltung muss echte Wahlfreiheit bieten.

Bisherige nationale und europäische Rechtsprechungen

Die rechtlichen Anforderungen an die Gestaltung von Cookie-Bannern sind durch eine mittlerweile gefestigte nationale und europäische Rechtsprechung konkretisiert worden. Ausgangspunkt ist die Entscheidung des EuGH vom 1. Oktober 2019 (C-673/17), wonach keine wirksame Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO und Art. 5 Abs. 3 der Richtlinie 2002/58/EG vorliegt, wenn die Speicherung oder der Zugriff auf Cookies durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer aktiv abwählen muss. Die Einwilligung muss vielmehr durch eine eindeutige bestätigende Handlung erfolgen. Darüber hinaus ist der Diensteanbieter verpflichtet, den Nutzer über die Funktionsdauer der Cookies und darüber zu informieren, ob Dritte Zugriff auf diese erhalten können.

In der Folgezeit befassten sich mehrere nationale Gerichte mit der Ausgestaltung von Cookie-Bannern. Das LG Köln stellte mit Beschluss vom 13. April 2021 (31 O 36/21) fest, dass die Formulierung „Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies zu“ keine ausreichende Einwilligung darstellt. Eine konkludente Einwilligung durch bloße Weiternutzung ist datenschutzrechtlich unzulässig.

Das VG Wiesbaden untersagte mit Beschluss vom 1. Dezember 2021 (6 L 738/21.WI) den Einsatz eines Cookie-Banners, über das ohne Einwilligung vollständige IP-Adressen an Server in den USA übermittelt wurden. Die Übermittlung sei auch dann datenschutzrechtlich relevant, wenn sie nur einmalig beim ersten Laden der Seite erfolgt. Die Voraussetzungen der Art. 44 ff. DSGVO seien nicht eingehalten worden, insbesondere fehle es an einer geeigneten Rechtsgrundlage sowie an ausreichenden Garantien für den Drittstaatentransfer. Diese Entscheidung wurde zwar vom VGH Kassel (Beschluss vom 17. Januar 2022 – 10 B 2486/21) aus verfahrensrechtlichen Gründen aufgehoben, jedoch enthält sie wichtige datenschutzrechtliche Erwägungen. Der VGH äußerte sich diesbezüglich nicht, somit sollten diese für die datenschutzrechtliche Praxis weiterhin beachtet werden.

In einem weiteren Urteil vom 20. Januar 2022 (3 O 17493/20) erklärte das LG München die dynamische Einbindung von Google Fonts für unzulässig, da hierdurch IP-Adressen der Webseitenbesucher an Google offengelegt werden. Die Einbindung könne auch technisch datenschutzfreundlich erfolgen, etwa durch lokale Einbindung. Ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 lit. f DSGVO wurde insoweit verneint.

Mit Urteil vom 19. Januar 2024 (6 U 80/23) hat das OLG Köln schließlich klargestellt, dass eine Einwilligung nicht freiwillig und informiert im Sinne von § 25 Abs. 1 TTDSG i.V.m. Art. 4 Nr. 11 DSGVO ist, wenn auf der ersten Ebene des Cookie-Banners keine Möglichkeit zur Ablehnung angeboten wird und auf der zweiten Ebene durch Gestaltungselemente gezielt auf die Zustimmung hingewirkt wird. Dies gilt insbesondere, wenn der Nutzer den Button „Alles akzeptieren“ auf der zweiten Ebene betätigt. Auch die Gestaltung eines Buttons mit der Aufschrift „Akzeptieren und schließen X“ in der Ecke des Banners wurde als Verstoß gegen die Grundsätze von Transparenz und Freiwilligkeit gewertet, was zur Unwirksamkeit der Einwilligung führt.

Diese Entscheidungen machen deutlich, dass an die datenschutzkonforme Gestaltung von Cookie-Bannern hohe Anforderungen zu stellen sind, insbesondere im Hinblick auf Transparenz, Freiwilligkeit und informierte Einwilligung.

Fazit und Empfehlung für die Praxis

Die Rechtsprechung gibt ein klares Signal an alle Website-Betreiber: Cookie-Banner müssen transparent, fair und freiwillig sein. Dark Patterns und manipulative Designs sind unzulässig. Auch weit verbreitete Tools wie der Google Tag Manager dürfen nicht ohne Einwilligung verwendet werden, wenn sie personenbezogene Daten verarbeiten.

Unternehmen sollten jetzt ihre Cookie-Banner und Consent-Management-Plattformen (CMP) rechtlich prüfen. Wir unterstützen Sie gerne bei der datenschutzkonformen Umsetzung und helfen bei der Auswahl geeigneter CMP-Lösungen sowie bei der Bewertung eingebundener Tools.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale