VG Hannover: Anforderungen an die Gestaltung von Cookie-Bannern

Themen rund um Cookie-Banner haben in der Vergangenheit bereits so einige Gerichte beschäftigt. Nun hatte auch das VG Hannover (Urt. v. 19.03.2025 – 10 A 5385/22) über die Gestaltung bzw. die Anforderungen an die Gestaltung eines Cookie-Banners und die Einholung einer wirksamen Einwilligung zu entscheiden.

In dem Verfahren ging es insb. um die Zuständigkeit des Landesbeauftragten für den Datenschutz hinsichtlich der Überwachung der Einhaltung von § 25 TTDSG (inzwischen: TDDDG), welche das VG Hannover vorliegend bejahte. Gegenstand des Verfahrens war zudem die Frage nach der Wirksamkeit einer Einwilligung mittels des Cookie-Banners der Klägerin, welche das Gericht verneinte, sowie die Frage, ob der Einsatz des Dienstes „Google Tag Manager“ eine Verarbeitung personenbezogener Daten zur Folge hat und sein Einsatz insofern einer datenschutzrechtlichen Rechtsgrundlage bedarf. Diesbezüglich hielt das Gericht eine Einwilligung für erforderlich und bestätigte damit die Auffassung des niedersächsischen Landesdatenschutzbeauftragten.

Zum Sachverhalt

Die Klägerin, ein Verlagshaus, welches u.a. ein Online-Nachrichtenportal betreibt, nutzte diverse Tracking und Analyse-Dienste, darunter Google Analytics und Google DoubleClick. Nach einer Beschwerde aus dem Jahr 2018 und einem daraufhin erlassenen, bestandskräftig gewordenen Bescheid aus dem Jahr 2019, dem mehrere Umgestaltungen der Website der Klägerin folgten, forderte der Beklagte, der Landesdatenschutzbeauftragte Niedersachsen, die Klägerin im November 2022 ein weiteres Mal auf, auf ihrer Website wirksame Einwilligungen für den Einsatz von Cookies, Tracking-Technologien und Drittanbieterdiensten einzuholen.

Der Bescheid, der nach einer technischen Prüfung durch den Beklagten folgte, ordnete an, auf der Website der Klägerin die Anforderungen an wirksame, also insb. informierte und freiwillige Einwilligungen gem. Art. 4 Nr. 11, 7 DSGVO umzusetzen. Des Weiteren wurde angeordnet, die erforderliche wirksame Einwilligung für den Einsatz des Dienstes „Google Tag Manager“ einzuholen oder alternativ auf seine Nutzung zu verzichten.

Die Klägerin wendete sich mit ihrer Klage gegen diesen Bescheid des Beklagten. Sie bestritt die Zuständigkeit desselben und war der Auffassung, dass sie keine personenbezogenen Daten verarbeite und infolgedessen der Anwendungsbereich der DSGVO nicht eröffnet sei. Außerdem vertrat sie die Ansicht, dass auch kein Verstoß gegen § 25 TTDSG vorliege, da die über das Einwilligungsbanner eingeholten Einwilligungen wirksam seien. Insbesondere sei die Option eines „Alles ablehnen“-Buttons o.ä. zur Nichterteilung der Einwilligung auf erster Banner-Ebene nicht erforderlich. Auch hielt sie eine Einwilligung für den Einsatz des Google Tag Managers für nicht erforderlich, da dieser ihrer Ansicht nach der Umsetzung der Vorgaben aus § 25 Abs. 1 TTDSG diene.

Während die Klägerin die Aufhebung der Anordnung verfolgt, beantragte der Beklagte die Abweisung der Klage.

Zum Urteil des VG Hannover

Das VG Hannover entschied, dass der Bescheid des Beklagten vom 23. November 2022 rechtmäßig sei und die Klägerin nicht in ihren Rechten verletze.

Der Bescheid des Beklagten vom 23. November 2022 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

Befugnis des Landesbeauftragten für den Datenschutz zur Überwachung der Einhaltung des § 25 TTDSG bejaht

Das Gericht entschied, dass der Landesbeauftragte für den Datenschutz befugt sei, die Einhaltung des
§ 25 TTDSG als „andere datenschutzrechtliche Bestimmung“ zu überwachen.

Als Rechtsgrundlage für die Anordnung nannte das Gericht Art. 58 Abs. 2 lit. d DSGVO, soweit der Beklagte die Einhaltung der Vorschriften der DSGVO rüge und § 20 Abs. 1 NDSG i.V.m. Art. 58 Abs. 2 lit. d DSGVO für die Rüge bezgl. der Einhaltung von § 25 TTDSG.

Die Rechtsgrundlage für die Anordnung findet sich in Art. 58 Abs. 2 lit. d DSGVO, soweit der Beklagte die Einhaltung der Vorschriften der DSGVO rügt. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.

Wenn der Beklagte hingegen die Einhaltung der Vorschriften des TTDSG rügt, so ergibt sich die Rechtsgrundlage für die Verfügung aus § 20 Abs. 1 NDSG in Verbindung mit Art. 58 Abs. 2 lit. d DSGVO.

„Andere datenschutzrechtliche Bestimmungen“ im Sinne des § 20 Abs. 1 NDSG ist daher als Auffangregelung zu verstehen, die auch § 25 TTDSG umfasst. Dies entspricht insbesondere dem Sinn und Zweck, einer einheitlichen Behörde Befugnisse und Zuständigkeiten für alles, was mit dem Umgang mit Daten eines Endverbrauchers in Verbindung steht, zuzuweisen.

Verstoß gegen § 25 TTDSG sowie Art. 6 Abs. 1 DSGVO

Die Verwendung von Cookies und anderen Technologien auf der Website der Klägerin verstoße gegen
§ 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 DSGVO, so das Gericht.

Die Verwendung von Cookies und anderen Technologien auf der Website der Klägerin verstößt gegen § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 DSGVO.

Informiertheit der Einwilligung wird vom Gericht bezweifelt

Das Gericht nahm zunächst Bezug auf die Voraussetzungen einer „informierten“ Einwilligung und ging dabei auch auf die vom EuGH aufgestellten Maßstäbe ein. Es äußerte unter Heranziehung dieser Aspekte Zweifel hinsichtlich der Erfüllung des Merkmals der „Informiertheit“ der Einwilligung.

Die Informiertheit stelle jedoch ebenso wie die Freiwilligkeit und die unmissverständliche Abgabe einer Einwilligung gem. Art. 4 Nr. 11 DSGVO eine wesentliche Voraussetzung einer wirksamen Einwilligung dar. Diese Grundsätze gelten auch für Einwilligungen i.S.v. § 25 Abs. 1 TTDSG.

Für das Setzen dieser Cookies ist nach § 25 Abs. 1 TTDSG eine wirksame Einwilligung der Nutzer erforderlich, welche den Anforderungen der DSGVO entspricht. Eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. [...]

Welche Voraussetzungen an eine „in informierter Weise“ erteilte Einwilligung zu stellen sind, wird weder in § 25 Abs. 1 TTDSG noch in Art. 4 Nr. 11, 7 DSGVO geregelt. Der EuGH fordert als Mindestinformationen eine Angabe der Funktionsdauer sowie Angaben zu eventuellen Empfängern der in den Cookies enthaltenen Informationen (EuGH, Urteil vom 1. Oktober 2019 – C-673/17 –, juris Rn. 75-81). Die zu erteilenden klaren und umfassenden Informationen müssen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen (EuGH, ebd., Rn. 74). Nach Ansicht des Bundesgerichtshofs ist insoweit maßgeblich, von welchen Informationen der Nutzer aufgrund der Gestaltung der Einwilligungserklärung „regelmäßig“ Kenntnis nehmen wird (BGH, Urteil vom 28. Mai 2020 – I ZR 7/16 –, juris Rn. 33).

Daran gemessen ist zu bezweifeln, ob das Merkmal der Informiertheit für die mittels des Einwilligungsbanners der Klägerin erteilten Einwilligungen der Nutzer vorliegt

Das Gericht bemängelt die Gestaltung des Einwilligungsbanners

Neben einer fehlenden Angabe der Anzahl der Dienstleister der Klägerin bemängelte das Gericht auch, dass auf der ersten Bannerebene zunächst heruntergescrollt werden müsse, bevor der Hinweis auf die Datenverarbeitung durch Anbieter in Drittstaaten und die Möglichkeit des Widerrufs der Einwilligung sichtbar werde. Problematisch sei dies auch vor dem Hintergrund, dass ein Nutzer regelmäßig nur die erste Ebene des Banners überfliegen werde, ohne bis zum Ende zu scrollen.

Bei der (hohen) Anzahl der Dienstleister und der Verarbeitung der Daten durch Anbieter in Drittstaaten handle es sich jedoch um Informationen, die für eine informierte Entscheidung von Relevanz seien, um das Ausmaß einer erteilten Einwilligung zu überblicken. Durch die vorliegende Gestaltung seien sie dem durchschnittlichen Nutzer, dessen Hauptinteresse es sein werde, die dahinterliegende Website aufrufen zu können, gegebenenfalls nicht bewusst.

Einerseits fehlt auf erster Ebene des Einwilligungsbanners die Angabe der Anzahl der über hundert Drittdienstleister der Klägerin. Bei dieser Anzahl handelt es sich um eine Information, die vielleicht nicht über die Erteilung oder Nichterteilung der Einwilligung entscheiden mag, jedoch den Nutzer dazu veranlassen kann, nicht bereits auf erster Ebene auf den Button „Alle akzeptieren“ zu klicken, sondern sich die Liste der Partner vorher anzuschauen, auf zweiter Ebene die Einwilligung abzulehnen oder zu versuchen, die Anzahl der Partner zu reduzieren. Andererseits ist auf erster Ebene des Einwilligungsbanners ein Herunterscrollen notwendig, um zum Hinweis auf die Datenverarbeitung durch Anbieter in Drittstaaten wie den USA und die Möglichkeit des Widerrufs der Einwilligung zu gelangen. Regelmäßig wird ein Nutzer, der einen Artikel auf der Website der Klägerin lesen möchte, jedoch nur die erste Ebene des Einwilligungsbanners, wie es bei Erstaufruf der Website erscheint, überfliegen, ohne darin noch bis zum Ende zu scrollen. Sein Hauptinteresse wird es sein, die dahinterliegende Website aufrufen zu können. Sowohl die Einbindung von über hundert Drittdienstleistern als auch die Datenverarbeitung in Drittstaaten wie den USA sind Informationen, die dem durchschnittlichen Nutzer der Website der Klägerin gegebenenfalls nicht bewusst sind. Sie sind jedoch relevant für eine informierte Entscheidung, um das Ausmaß einer erteilten Einwilligung zu überblicken.

Die vorliegende Gestaltung des Einwilligungs-Banners stehe auch der Freiwilligkeit der Einwilligung entgegen

Hinsichtlich des Merkmals der Freiwilligkeit führte das VG Hannover an, dass eine Einwilligung nur dann als freiwillig betrachtet werden könne, wenn der betroffenen Person tatsächlich Wahlmöglichkeiten offen stünden. Sie müsse insb. ohne Nachteile auf die Erteilung einer Einwilligung verzichten können. Erforderlich sei, dass die Einwilligung aufgeklärt erfolgt und der Betroffene auf die Möglichkeit der Verweigerung der Einwilligung hingewiesen werde.

Jedenfalls beruhen die von der Klägerin eingeholten Einwilligungen nicht auf einer freiwilligen Entscheidung der Nutzer. Als freiwillig wird die Einwilligung nur betrachtet, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, also ohne Nachteile auf die Erteilung der Einwilligung verzichten kann (Klabunde/Horváth, in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 4 Rn. 53). Dazu muss die Einwilligung aufgeklärt erfolgen. In jedem Fall ist der Betroffene darauf hinzuweisen, dass er seine Einwilligung verweigern kann (Schild, in Wolff/Brink/von Ungern-Sternberg, BeckOK Datenschutzrecht, 51. Edition, Art. 4 DSGVO Rn. 128). [...]

Cookie-Banner dürfen nicht zur Abgabe einer Einwilligung hinlenken

Das Gericht führte an, dass durch die Rechtsprechung bislang nicht abschließend geklärt worden sei, ob die Möglichkeit der Ablehnung von Cookies in gleicher Weise zu gestalten sei wie die Einwilligung. Allerdings betonte es, dass ein Cookie-Banner jedenfalls nicht derart gestaltet sein dürfe, dass es den Nutzer von einer Ablehnung der Cookies abhalte und gezielt zur Abgabe der Einwilligung hinlenke. Dies sei vorliegend jedoch der Fall gewesen.

Ob aus diesen Vorschriften herzuleiten ist, dass die Möglichkeit zur Ablehnung von Cookies in gleicher Weise wie die Einwilligung in das Setzen von Cookies gestaltet sein muss, ist durch die Rechtsprechung noch keiner abschließenden Klärung zugeführt worden (vgl. Sesing, MMR 2021, S. 544 (547) m.w.N.; OLG Köln, Urteil vom 3. November 2023 – I-6 U 58/23 –, juris Rn. 50). Jedenfalls darf aber das Cookie-Banner nicht so gestaltet sein, dass es den Nutzer gezielt zur Abgabe der Einwilligung hinlenkt und von der Ablehnung der Cookies abhält (LG Köln, Urteil vom 4. Mai 2023 – 33 O 311/22; ähnlich BGH, Urteil vom 28. Mai 2020 – I ZR 7/16 –, juris Rn. 32).

Aus der Gesamtschau der Gestaltung der verschiedenen Ebenen des Einwilligungsbanners ergibt sich indes, dass Nutzer gezielt in Richtung einer Einwilligungserklärung gelenkt werden sollen und ihr Wahlrecht beeinflusst werden soll.

Begründet wurde dies u.a. mit dem aus der Bannergestaltung resultierenden Mehraufwand bei einer Nichterteilung der Einwilligung:

Wie vom Beklagten anschaulich beschrieben, besteht für Nutzer ein erheblicher Mehraufwand, wenn sie die Einwilligung nicht erteilen möchten. Während die umfassende Einwilligung auf erster Ebene gleich durch zwei Buttons („Alle akzeptieren“ sowie „Akzeptieren & schließen x“) erteilt werden kann, muss für eine Ablehnung zunächst auf erster Ebene der Button „Einstellungen“ ausgewählt werden. Auf zweiter Ebene des Banners folgen fünf verschiedene Drop Down Menus mit weiteren Unterpunkten, bei denen der Nutzer kontrollieren muss, ob die Opt-In-Regler abgeschaltet sind, um anschließend den Button „Auswahl speichern“ auszuwählen. In diesem Fall wird der Nutzer bei jedem Besuch der Website erneut mit dem Einwilligungsbanner konfrontiert, während hingegen die umfassende Erteilung der Einwilligung gespeichert wird und das Banner nicht bei jedem Aufruf der Website erneut erscheint.

Irreführende Gestaltung des Einwilligungsbanners mangels Hinweises auf Wahlmöglichkeiten

Da auf der ersten Bannerebene keine Ablehnungsmöglichkeit vorgesehen sei und auch sonst kein eindeutiger Hinweis auf die Möglichkeit der Ablehnung eingebunden werde, könne durchaus der Eindruck entstehen, dass eine solche gar nicht bestehe.

Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind, da die Hinweise auf die Datenverarbeitung in Drittländern oder die Anzahl der eingebundenen Drittdienstleister nicht wahrgenommen werden, werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht – im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht. Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf „Einstellungen“ die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung „es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen“. Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend. Bei den verschiedenen Auswahlmöglichkeiten auf erster Ebene („Alle akzeptieren“, „Akzeptieren & schließen x“, „Einstellungen“) kann vielmehr der Eindruck entstehen, dass eine Ablehnungsmöglichkeit gar nicht besteht.

Des Weiteren wertete das Gericht auch die Funktion des auf der zweiten Ebene befindlichen Buttons „Alles akzeptieren“ als unklar und thematisierte das sog. „Mürbemachen“ durch wiederholte Konfrontation mit dem Einwilligungsbanner bei vorheriger Nicht-Einwilligung.

Zudem ist die Funktion des Buttons „Alle akzeptieren“ auf der zweiten Ebene des Einwilligungsbanners unklar: Hiermit kann erneut die umfassende Einwilligung in die Speicherung von Cookies und die Verarbeitung von Daten erteilt werden. Nutzer können die Schaltfläche indes auch so verstehen, dass die vorgenommenen Einstellungen akzeptiert werden, insbesondere, da die Schaltfläche im Gegensatz zum Button „Auswahl speichern“ in blau hervorgehoben ist.

Auch das „Mürbemachen“ durch die ständige Konfrontation mit dem Einwilligungsbanner beim erneuten Aufruf der Website, bis die umfassende Einwilligung erteilt wird, ist technisch nicht notwendig und wird teilweise als unzulässige Manipulationstaktik angesehen (vgl. Loy/Baumgartner, ZD 2021, S. 404 (406)).

Buttongestaltung mit „Akzeptieren & schließen x“ verstößt gegen Grundsätze von Transparenz und Freiwilligkeit

Ein weiterer Aspekt, den das VG Hannover in der vorliegenden Konstellation als unzulässig erachtete, war die Gestaltung des in der Regel oben rechts platzierten „x“-Buttons, der üblicherweise als Schaltfläche zum Schließen eines Fensters verstanden werde. Die Klägerin fügte an dieser Stelle einen mit „Akzeptieren & schließen x“ beschrifteten Button ein. Die von ihr gewählte Gestaltung verstoße gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung. Dass mit einem Klick auf das "x" eine Einwilligung erteilt werde sei überraschend und unüblich.

Hinzu kommt die Gestaltung des sonst regelmäßig als „x“ bezeichneten Buttons oben rechts als „Akzeptieren & schließen x“. Die Gestaltung verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung (vgl. OLG Köln, Urteil vom 19. Januar 2024 – 6 U 80/23 –, juris Rn. 47). Das „x“-Symbol wird von Nutzern üblicherweise als Schaltfläche zum Schließen eines Fensters verstanden, wie derartige Kreuz-Schaltflächen es in den meisten Betriebssystemen bewirken. Eine Einwilligung in die Verwendung von Cookies und anderen Technologien durch einen Klick auf einen „x“-Button oben rechts ist hingegen überraschend und unüblich. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer daher nicht bewusst sein. Zwar steht unmittelbar neben dem „x“-Symbol „Akzeptieren & schließen“. Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei „Akzeptieren & schließen“ und dem „x“-Symbol um ein und denselben Button handelt, da dieser in schwarzer Schrift auf weißem Hintergrund und damit in derselben farblichen Gestaltung wie der Rest des Banners gehalten ist, sich also nicht als ein einziger Button vom Banner hervorhebt.

Argumente der Klägerin zur Unerlässlichkeit der Einwilligung festigen den Anschein der gezielten Lenkung des Nutzers

Die Ausführungen der Klägerin zu dem Umstand, dass die Erteilung der Einwilligung für das Real Time Bidding unerlässlich sei, deute auf das bewusste Ergreifen von Maßnahmen zur Lenkung der Nutzer zur Erteilung einer Einwilligung hin.

Für ein gezieltes Lenken der Nutzer hin zur Erteilung der umfassenden Einwilligung spricht auch das Argument der Klägerin, dass die Erteilung der Einwilligung insbesondere für das Real Time Bidding und damit die Finanzierung des Internetangebots der Klägerin unerlässlich sei. Dies deutet darauf hin, dass aufgrund der wirtschaftlichen Interessenlage der Klägerin bewusst Maßnahmen ergriffen werden, um die Nutzerentscheidung zu beeinflussen.

Die Möglichkeit des Nutzers, die Website nicht zu besuchen bzw. zu verlassen, ändere nichts daran, dass die von Nutzern erteilten Einwilligungen nicht auf Transparenz und Freiwilligkeit basieren.

Die Argumente der Klägerin, dass Nutzer die Website nicht besuchen müssen, wenn sie keine Einwilligung erteilen möchten, gehen hingegen fehl. Denn die Möglichkeit, die Website zu verlassen und stattdessen eine andere zu lesen, ändert nichts an der Tatsache, dass diejenigen Nutzer, die tatsächlich eine Einwilligung erteilen, dies nicht auf Grundlage einer transparenten und freien Entscheidung tun, sondern weil die Gestaltung des Einwilligungsbanners sie dahin lenkt.

Wortlaut muss die Erteilung einer Einwilligung erkennen lassen

Ferne handle es sich basierend auf dem Einwilligungsbanner der Klägerin nicht um eine unmissverständlich abgegebene Willensbekundung i.S.d. Art. 4 Nr. 11 DSGVO.

Der Wortlaut des Banners sei nicht eindeutig gestaltet, da er nicht ausdrücklich die Erteilung einer Einwilligung aufgreife. Das Gericht sieht das Ziel des Banners vielmehr in dem auch in der Überschrift des Banners genannten „optimalen Nutzererlebnis“.

Das Gericht weist jedoch zugleich darauf hin, dass der durchschnittliche Nutzer vergleichbare Banner gewöhnt sei und ihm insoweit bewusst sei, dass mit Klick auf den Button „Alles akzeptieren“ eine Einwilligungserklärung abgegeben werde. Allerdings betont es, dass dies jedoch gerade nicht für solche Nutzer gelte, die auf den zuvor bereits angesprochenen „Akzeptieren & schließen x“-Button klicken. Aufgrund der intransparenten Gestaltung könne dabei nicht von einer bewussten Erteilung einer Einwilligung ausgegangen werden.

Es handelt sich ferner nicht um eine unmissverständlich abgegebene Willensbekundung im Sinne des Art. 4 Nr. 11 DSGVO. Die verbindliche Erteilung der Einwilligung setzt wie jede verbindliche Willensäußerung im Rechtsverkehr in ihrem subjektiven Tatbestand ein entsprechendes Bewusstsein voraus, etwas rechtsgeschäftlich Erhebliches zu erklären. […] Das Einwilligungsbanner der Klägerin hat einen insgesamt nicht eindeutig gestalteten Wortlaut, da zu keinem Zeitpunkt ausdrücklich die Erteilung einer Einwilligung im Raum steht, sondern ausweislich der Überschrift vielmehr das „optimale Nutzererlebnis“ Ziel des Banners ist. Erst beim weiteren Scrollen innerhalb des Banners auf erster Ebene ist von einer „Zustimmung“ die Rede. Allerdings ist zu berücksichtigen, dass durchschnittliche Nutzer der Website der Klägerin vergleichbare Banner, wie sie auf beinahe jeder Website im Internet zu finden sind, gewöhnt sein werden und ihnen daher bewusst ist, eine Einwilligungserklärung beim Klick auf den Button „Alle akzeptieren“ abzugeben.

Etwas anderes gilt jedoch für diejenigen Nutzer, die oben rechts auf „Akzeptieren & schließen x“ klicken. Dass eine rechtserhebliche, bewusste Einwilligung abgegeben wird, kann aufgrund der intransparenten und überraschenden Gestaltung nicht angenommen werden (vgl. OLG Köln, Urteil vom 19. Januar 2024 – 6 U 80/23 –, juris Rn. 47). Stattdessen dürfte der durchschnittliche Nutzer davon ausgehen, durch das Anklicken des „x“-Symbols oben rechts das Einwilligungsbanner lediglich zu schließen, ohne eine rechtliche Erklärung abzugeben.

Einsatz des Dienstes „Google Tag Manager“ bedarf vorliegend einer Einwilligung nach TTDSG und DSGVO

Hinsichtlich des Einsatzes des Dienstes „Google Tag Manager“ entschied das VG Hannover, dass die Anordnung des Beklagten gegenüber der Klägerin, die erforderliche wirksame Einwilligung für den Einsatz des Google Tag Managers einzuholen oder alternativ auf seine Nutzung zu verzichten, formell sowie materiell rechtmäßig sei.

Auch die unter Ziffer 1.b. ausgesprochene Anordnung ist rechtmäßig.

Rechtsgrundlage für die Verfügung ist Art. 58 Abs. 2 lit. d DSGVO in Verbindung mit § 20 Abs. 1 NDSG. 118 b. Die Anordnung ist formell rechtmäßig ergangen.

Die Anordnung ist auch materiell rechtmäßig. Der Beklagte durfte nach Art. 58 Abs. 2 lit. d DSGVO in Verbindung mit § 20 Abs. 1 NDSG die Klägerin anweisen, die Nutzung des Google Tag Managers in Einklang mit der DSGVO, dem NDSG oder anderen datenschutzrechtlichen Bestimmungen zu bringen.

Das Gericht führte aus, dass die Nutzung des Dienstes im vorliegenden Fall ohne vorherige Einwilligung gegen § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 DSGVO verstoße. Das Programm speichere Informationen auf dem Endgerät des Nutzers oder greife auf dort gespeicherte Informationen zu. Da keine Ausnahme nach § 25 Abs. 2 TTDSG vorliege, sei für den Einsatz des Dienstes eine Einwilligung erforderlich.

Indem die Klägerin den Dienst Google Tag Manager nutzt, ohne eine vorherige Einwilligung der Nutzer einzuholen, verstößt sie gegen § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 DSGVO.

Da durch das Programm Google Tag Manager Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder auf Informationen zugegriffen wird, die bereits in der Endeinrichtung gespeichert sind, ist nach § 25 Abs. 1 TTDSG eine vorherige Einwilligung der Nutzer erforderlich. Für den Einsatz des Programms greift auch keine Ausnahme des § 25 Abs. 2 TTDSG.

Google Tag Manager setzt und liest Cookies aus

Abweichend von den Ausführungen der Klägerin habe die Überprüfung im Testlabor des Beklagten erwiesen, dass im vorliegenden Fall durch den Google Tag Manager auf dem Endgerät des Nutzers Informationen abgespeichert sowie ausgelesen werden. Dies geschehe bereits vor einer Interaktion mit dem Einwilligungsbanner und daher ohne die erforderliche Einwilligung.

Dass der Google Tag Manager selbst Cookies setzt und ausliest, hat sich zur Überzeugung des Gerichts aus den vom Beklagten in seinem IT-Labor durchgeführten Tests ergeben. Der Google Tag Manager ist ein Tool, welches Ersteller einer Website dabei unterstützt, weitere Bestandteile der Website, zum Beispiel Programmcode oder Dienste, bei Bedarf nachzuladen und zu verwalten (Sächsische Datenschutzbeauftragte, Tätigkeitsbericht Datenschutz 2023, S. 152 f.). Es entscheidet, wann und unter welchen Bedingungen bestimmte Programmcodes oder Dienste (Tags) geladen werden, und wird insbesondere dazu verwendet, nach Erteilung einer Einwilligung im Rahmen der Interaktion mit dem Einwilligungsbanner Tracking-Codes und Skripte auszuführen.

Die Klägerin nutzt den Dienst zu diesen Zwecken und behauptet, dass der Google Tag Manager selbst keine Cookies setze und auslese, sondern lediglich die durch das Tool verwalteten Dienste. Überprüfungen im Testlabor des Beklagten haben hingegen erwiesen, dass bei Aufruf der Website vor der Interaktion mit dem Einwilligungsbanner Daten des Endgerätenutzers – namentlich die IP-Adresse und Gerätedaten – an den US-Server www.googletagmanager.com übermittelt und ein Java-Skript namens gtm.js auf dem Endgerät des Nutzers gespeichert wird, welches die Google Tag Manager-ID der Klägerin enthält und Informationen der Nutzer ausliest. Damit werden durch den Dienst Google Tag Manager sowohl Informationen auf den Endgeräten der Nutzer gespeichert als auch ausgelesen.

Da die Informationen vor der Interaktion mit dem Einwilligungsbanner gespeichert bzw. übermittelt werden, geschieht dies ohne eine nach § 25 Abs. 1 TTDSG erforderliche Einwilligung der Nutzer.

Der Google Tag Manager sei auch nicht für die Einholung von Einwilligungen nach § 25 Abs. 1 TTDSG erforderlich

Entgegen der Auffassung der Klägerin entschied das VG Hannover, dass der Google Tag Manager nicht für die Einholung der Nutzereinwilligungen nach § 25 Abs. 1 TTDSG erforderlich sei. Der Dienst diene lediglich dazu, nach der Einwilligungserteilung einwilligungspflichtige Tools zu laden. Er sei jedoch auch dafür nicht technisch erforderlich.

Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. Vielmehr kann der Ladevorgang dieser Marketing-Tools und -Cookies auch ohne den Google Tag Manager bewerkstelligt werden, indem beispielsweise ein eigenes Skript programmiert wird. Dies hat der Beklagte in der mündlichen Verhandlung zur Überzeugung des Gerichts vorgetragen. […] Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.

Die Verarbeitung personenbezogener Daten durch den Dienst bedarf einer Rechtsgrundlage gem. Art. 6 Abs. 1 DSGVO

Aus den Tests des Beklagten ergebe sich, dass nach Aufruf der Website der Klägerin ohne vorherige Abfrage einer Einwilligung die IP-Adressen der Nutzer sowie Gerätedaten an die US-Server von Google (www.googletagmanager.com) übermittelt sowie ein Java-Skript auf dem Endgerät gespeichert werde, welches individuelle Browserdaten abfrage. Da es sich jedenfalls bei der IP-Adresse um ein Datum handle, das einen Personenzug herstellen ließe, verarbeite der Google Tag Manager im vorliegenden Sachverhalt ebenfalls personenbezogene Daten.

Wie die Tests des Beklagten ergeben haben, werden nach Aufruf der Website ohne Abfragen einer Einwilligung die IP-Adressen der Nutzer sowie Gerätedaten an die US-Server von Google (www.googletagmanager.com) übermittelt sowie ein Java-Skript auf dem Gerät der Nutzer gespeichert, welches individuelle Browserdaten abfragt, die in der Regel für das sogenannte Browserfingerprinting eingesetzt werden, das die Erstellung individueller Nutzerprofile ermöglicht. Unabhängig davon, ob es sich bei diesen Cookies um personenbezogene Daten handelt, ist jedenfalls die unverschlüsselte IP-Adresse ein Datum, welches einen Personenbezug herstellen lässt. Damit verarbeitet auch der Google Tag Manager selbst und nicht lediglich die durch den Dienst geladenen Drittdienstleister personenbezogene Daten der Nutzer (ähnlich auch Sächsische Datenschutzbeauftragte, Tätigkeitsbericht Datenschutz 2023, S. 152 f.).

Keine Rechtfertigung nach Art. 6 Abs. 1 lit. c und f DSGVO

Das Gericht lehnte eine Rechtfertigung der Datenverarbeitung nach Art. 6 Abs. 1 lit c DSGVO ab, da sie nicht für die Erfüllung einer rechtlichen Verpflichtung erforderlich sei. Es konkretisierte, dass insb. aus Art. 15 Abs. 1 TTDSG keine unmittelbare Rechtspflicht zur Datenverarbeitung folge.

Auch könne die Datenverarbeitung nicht gem. Art. 6 Abs. 1 lit f DSGVO (überwiegende berechtigte Interessen) gerechtfertigt werden. Das VG Hannover führte hierzu aus, dass die wirtschaftlichen Gründe der Klägerin vorliegend nicht die Grundrechte der durch die Datenverarbeitung betroffenen Nutzer auf den Schutz ihrer personenbezogenen Daten (Art. 8 GrCh) sowie ihr Recht auf Achtung des Privat- und Familienlebens (Art. 7 GrCh und Art. 8 EMRK) überwiegen würden.

Insbesondere könne die Übermittlung personenbezogener Daten an einen Akteur wie Google mit Blick auf die betroffenen Grundrechte nicht lediglich aus Gründen der Einfachheit gerechtfertigt werden.

Die Verarbeitung ist nicht zur Erfüllung einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO erforderlich. Aus § 25 Abs. 1 TTDSG folgt keine unmittelbare Rechtspflicht zur Datenverarbeitung.

Die Datenverarbeitung ist auch nicht zur Wahrung berechtigter Interessen der Klägerin im Sinne des Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Der Google Tag Manager dient dazu, nach Erteilung der Einwilligung der Nutzer im Rahmen des Einwilligungsbanners Skripte von Drittdienstleistern insbesondere zu Werbungs- und Marketingzwecken zu laden. Selbst wenn diese Datenverarbeitung daher aus wirtschaftlichen Gründen zur Ermöglichung der Einbindung von Drittdienstleistern im Rahmen des Real Time Biddings unter gleichzeitiger Aufrechterhaltung der Funktionsfähigkeit der Website der Klägerin erforderlich ist, so überwiegt dies nicht die Grundrechte der durch die Datenverarbeitung betroffenen Nutzer auf den Schutz ihrer personenbezogenen Daten nach Art. 8 GrCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GrCh und Art. 8 EMRK. Im Rahmen der Abwägung ist einerseits zu berücksichtigen, dass der Dienst Google Tag Manager nicht alternativlos ist, sondern die Steuerung und Verwaltung der Abfolge und Verwendung von Programmcode auch mit anderen Werkzeugen, zum Beispiel mittels einer Eigenentwicklung, offener Software oder eines anderen Einwilligungsmanagement-Tools erfolgen kann (Sächsische Datenschutzbeauftragte, Tätigkeitsbericht Datenschutz 2023, S. 152 f.). Die Nutzung des Dienstes Google Tag Manager ist dabei lediglich am einfachsten, da das Tool kostenlos ist und gut funktioniert. Die Übermittlung personenbezogener Daten insbesondere an Google als einen der weitverbreitetsten Akteure im Internet, dessen Geschäftsmodell es u.a. ist, Daten zur wirtschaftlichen Eigennutzung zu sammeln, kann im Hinblick auf die betroffenen Grundrechte nicht lediglich aus Gründen der Einfachheit gerechtfertigt werden.

Eine Einwilligung der Nutzer nach Art. 6 Abs. 1 lit. a DSGVO habe die Klägerin vorliegend nicht eingeholt, sodass ein Verstoß gegen die DSGVO vorliege. Das Gericht kam auch hinsichtlich der datenschutzrechtlichen Anordnung zu dem Ergebnis, dass diese rechtmäßig sei.

Fazit

Das Urteil des VG Hannover konkretisiert und schärft die Anforderungen an die Gestaltung von Cookie-Bannern. Die Entscheidung bietet insoweit relevante Anhaltspunkte, die Shopbetreibern Orientierung bieten können. Das Urteil verdeutlicht, dass Einwilligungen nur dann wirksam sind, wenn sie freiwillig, informiert und ausdrücklich erfolgen.

Zusammengefasst kritisierte das Gericht die Gestaltung des Cookie-Banners insb. dahingehend, dass das Ablehnen von Cookies bzw. die Nicht-Erteilung einer Einwilligung erheblich aufwendiger gestaltet wurde als die Erteilung einer solchen. Bemängelt wurde zudem die „Lenkung“ der Nutzer hin zu einer Einwilligung und dass der verwendete Wortlaut bzw. die Beschriftung der Buttons nicht immer eindeutig auf eine Einwilligung schließen ließen (insb. Akzeptieren & schließen x“-Button). Zudem fehlten im Banner zentrale Informationen bzw. waren erst nach Herunterscrollen sichtbar.

Nach wie vor sollte die Gestaltung von Cookie-Bannern daher sorgfältig und bedacht erfolgen. Als Kunde oder Kundin unserer Legal Produkte finden Sie in Ihrem Legal Account weitere relevante Informationen rund um das Thema "Cookies im Online-Shop".