Ein Urteil des Verwaltungsgerichts (VG) Hannover sorgt für Aufruhr in der Online-Marketing-Welt: Cookie-Banner müssen eine gleichwertige „Alles Ablehnen“-Option bieten und der beliebte Google Tag Manager (GTM) bedarf einer ausdrücklichen Einwilligung. Die Entscheidung vom 19. März 2025 (Az.: 10 A 5385/22) hat massive Auswirkungen auf unzählige Websites.

Der Fall: Cookie-Banner der Neuen Osnabrücker Zeitung auf dem Prüfstand

Die niedersächsische Datenschutzbehörde beanstandete den Cookie-Banner der Neuen Osnabrücker Zeitung. Auf der ersten Ebene des Banners gab es nur die Optionen „Alle akzeptieren“ und „Einstellungen“. Ein „Ablehnen“-Button fehlte. Erst auf einer zweiten Ebene konnten Nutzer ihre Auswahl einschränken. Zudem setzte die Zeitung den Google Tag Manager ohne vorherige Einwilligung ein. Das Unternehmen klagte gegen die Anordnung der Behörde.

Das Urteil: Gleichwertiger „Ablehnen“-Button ist Pflicht!

Das VG Hannover gab der Datenschutzbehörde recht. Die Gestaltung des Cookie-Banners sei rechtswidrig. Die Begründung des Gerichts ist eine klare Absage an gängige Praktiken:

Irreführendes Design: Nutzer würden durch das Fehlen einer direkten Ablehn-Option dazu gedrängt („genudged“), eine umfassende Einwilligung zu erteilen, nur um den Banner schnell verschwinden zu lassen und die Website nutzen zu können.

Fehlende Transparenz: Auf der ersten Ebene sei für Nutzer nicht erkennbar, dass eine Ablehnung überhaupt möglich ist. Dies verstoße gegen das Gebot der freiwilligen und informierten Einwilligung.

Gleichwertigkeit der Optionen: Die Möglichkeit, die Einwilligung zu verweigern, muss genauso einfach und prominent zugänglich sein wie die Möglichkeit, sie zu erteilen.

Zweites Kriterium: Google Tag Manager nur mit expliziter Einwilligung

Auch beim Einsatz des Google Tag Managers (GTM) stellte das Gericht einen klaren Rechtsverstoß fest. Die Argumente des Gerichts treffen den Kern vieler aktueller Website-Setups:

GTM ist nicht technisch erforderlich: Der GTM dient lediglich der Vereinfachung für den Website-Betreiber, um andere Dienste (wie Analyse- oder Marketing-Tools) zu laden. Diese Funktion sei aber kein Mehrwert für den Nutzer und auch nicht technisch notwendig, da die Skripte auch anders, z.B. durch Eigenprogrammierung, geladen werden könnten.

Zugriff auf Endgeräte: Der GTM greift auf die Endgeräte der Nutzer zu, indem er Skripte und Cookies setzt. Dieser Zugriff bedarf nach § 25 TDDDG einer ausdrücklichen und vorherigen Einwilligung.

Kein berechtigtes Interesse: Das Interesse des Betreibers an einer einfacheren Verwaltung seiner Tools rechtfertigt nicht den Einsatz des GTM ohne Einwilligung. Das Betreiberinteresse überwiegt hier nicht die Rechte der Nutzer.

Die Implikationen: Was dieses Urteil für Ihre Website bedeutet

Sofortiger Handlungsbedarf bei Cookie-Bannern: Überprüfen Sie Ihr Consent-Tool. Gibt es einen „Alles Ablehnen“-Button auf der ersten Ebene, der genauso gestaltet und platziert ist wie der „Akzeptieren“-Button? Wenn nicht, besteht akuter Handlungsbedarf.

Google Tag Manager muss hinter den Consent-Banner: Der GTM darf erst dann geladen werden, wenn der Nutzer aktiv und informiert zugestimmt hat. Ein Laden des GTM auf Basis eines „berechtigten Interesses“ ist nach diesem Urteil nicht mehr haltbar.

Datenschutzbehörden sind zuständig: Das Gericht bestätigte, dass die Datenschutzbehörden auch für die Einhaltung des § 25 TDDDG (der den Zugriff auf Endgeräte regelt) zuständig sind. Dies erhöht den Druck auf Unternehmen, die Vorschriften einzuhalten.

FAQ: Cookie-Banner & GTM – Die häufigsten Fragen

Was macht einen Cookie-Banner rechtskonform?
Er muss eine gleichwertige und leicht zugängliche Option zum Akzeptieren und Ablehnen auf der ersten Ebene bieten. Die Einwilligung muss freiwillig, informiert und unmissverständlich sein.

Warum genau braucht der Google Tag Manager eine Einwilligung?
Weil er auf das Endgerät des Nutzers zugreift (§ 25 TDDDG) und nicht als technisch notwendig für die Grundfunktion der Website angesehen wird. Seine Hauptfunktion dient der Bequemlichkeit des Betreibers.

Was ist der Unterschied zwischen TDDDG und DSGVO?
Das TDDDG regelt speziell den Schutz der Privatsphäre bei Endgeräten (z.B. das Setzen von Cookies). Die DSGVO regelt die anschließende Verarbeitung der personenbezogenen Daten. Beide Gesetze greifen hier ineinander.

Welche Konsequenzen drohen bei non-konformen Bannern?
Es drohen Anordnungen der Aufsichtsbehörden, die den Betrieb der Website einschränken können, sowie Bußgelder.

Fazit: Handlungsbedarf für Website-Betreiber ist akut

Die Entscheidung des VG Hannover ist eine der detailliertesten und klarsten zu den Themen Cookie-Banner-Design und Google Tag Manager. Website-Betreiber sind dringend aufgerufen, ihre aktuellen Konfigurationen zu überprüfen und anzupassen, um rechtliche Risiken zu vermeiden.

Cookie-Banner & Google Tag Manager: Ist Ihre Website rechtswidrig?

Der Fall: Cookie-Banner der Neuen Osnabrücker Zeitung auf dem Prüfstand

Das Urteil: Gleichwertiger „Ablehnen“-Button ist Pflicht!

Zweites Kriterium: Google Tag Manager nur mit expliziter Einwilligung

Die Implikationen: Was dieses Urteil für Ihre Website bedeutet

FAQ: Cookie-Banner & GTM – Die häufigsten Fragen

Fazit: Handlungsbedarf für Website-Betreiber ist akut

Inhalt

Mehr zum Thema Datenschutz

Kontakt

Downloadbereich

Neueste Blogeinträge

Cookie-Banner & Google Tag Manager: Ist Ihre Website rechtswidrig?

Darf Meta öffentliche Nutzerdaten für KI-Training verwenden?

Sind Geschäftsführer-Daten durch die DSGVO geschützt?

Können DSGVO-Verstöße auf Webseiten kommerziell ausgenutzt werden?

DSGVO Auskunftspflicht: Unverhältnismäßiger Aufwand ist keine Ausrede!

Videoüberwachung des Nachbarn: Gericht verbietet Beweismittel wegen DSGVO-Verstoß

Sitemap