Urteil VG Hannover: Wie müssen Cookie-Banner gestaltet sein?

„Cookies sind kleine Textdateien, die Websites in Ihrem Browser setzen, um Informationen über Ihre Nutzung der Website zu speichern und so Ihre Surferfahrung zu personalisieren.“ Diesen Satz haben sicherlich schon viele und das unzählige Male gehört oder gelesen. Auch wenn sich die Geister daran scheiden, ob es sich wirklich um Textdateien handelt oder eher um Datensätze, bleiben Cookies und deren Verwendung ein heißes Thema in der Datenschutzwelt. Das Verwaltungsgericht Hannover hatte erst kürzlich einen spannenden Fall zu entscheiden.

Cookies für unterschiedliche Zwecke

Doch warum ist das mit den Cookies überhaupt so wichtig? Ganz einfach: Cookies können vielfältig eingesetzt werden und unterschiedliche Zwecke der Website-Betreiber erfüllen. Diese kleinen Text- oder Datenschnipsel werden beim Aufruf einer Website auf das Endgerät der Nutzer gesetzt oder es werden dort Informationen gespeichert, mit welchen der jeweilige Nutzer wiedererkannt werden kann. In der Regel enthalten Cookies ein Ablaufdatum und eine zufällig generierte User-ID. Da diese Informationen in dieser Kombination einzigartig sind und somit Personenbezug entsteht, kommt also auch die DSGVO ins Spiel.

Für das Online-Marketing waren Cookies in den vergangenen Jahrzehnten nahezu unentbehrlich. Aber auch für Website- und Online-Shop-Besucher können diese kleinen „Kekse“ ganz praktisch sein. Ohne die allseits bekannten Warenkorb-Cookies wäre das Weitersurfen deutlich umständlicher. Und manchmal erscheint es ja auch ganz angenehm, direkt auf die eigenen Zugangsdaten oder User-Voreinstellungen auf diversen Webseiten zugreifen zu können. In der jüngeren Vergangenheit gab es viele Gerichtsentscheidungen und aufsichtsbehördliche Empfehlungen, wie man Cookies datenschutzkonform einbinden kann. Eine der wichtigsten Entscheidungen hierzu war das sogenannte „Planet49-Urteil“ des EuGH aus Oktober 2019.

EuGH-Urteil und das TDDDG

Hier wurde erstmals höchstrichterlich klargestellt, dass grundsätzlich eine aktive Einwilligung der Nutzer notwendig ist, damit Cookies rechtskonform verwendet werden sollen. Ausnahmen gelten in der Regel nur bei technisch erforderlichen Cookies, wenn also der Betrieb der Website anders nicht möglich ist. Marketing- oder Tracking-Cookies sind von dieser Ausnahme also gerade nicht erfasst. Neben der DSGVO regelt in Deutschland ergänzend das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) genauere Vorgaben zum Eingriff auf die Endgeräte der Nutzer.

Die Gestaltung von Cookie-Bannern oder Cookie-Consent-Bannern wurde in den letzten Jahren immer wieder viel diskutiert. Vor allem das sogenannte „Nudging“ im Rahmen der Einwilligung stand dabei im Fokus. Das war auch Thema bei dem jüngsten Urteil des VG Hannover (Urteil vom 19.03.2025, Az. 10 A 5385/22). Dem gerichtlichen Verfahren war eine Anordnung des niedersächsischen Datenschutzbeauftragten gegenüber einem bekannten Verlagshaus vorausgegangen. Das Verlagshaus hatte nach Auffassung der Behörde durch die Gestaltung des Cookie-Banners auf der Website gegen mehrere Vorgaben aus der DSGVO verstoßen.

Keine Einwilligung ohne Freiwilligkeit

Konkret kritisierte der Landesdatenschutzbeauftragte, dass die Einwilligungen der Nutzer für die Verwendung von Cookies nicht den Anforderungen an Freiwilligkeit und Transparenz gemäß § 25 Abs. 1 TTDSG (jetzt TDDDG) und Art. 4 Nr. 11 DSGVO entsprächen. Auf dem Cookie-Banner standen lediglich die beiden Möglichkeiten „Alle akzeptieren“ oder „Einstellungen“ zur Auswahl. Dies reiche laut LfD Niedersachsen nicht aus, um eine informierte und freiwillige Einwilligung gemäß Art. 4 Nr. 11 DSGVO einzuholen. Daraufhin erließ der LfD Niedersachsen eine Anordnung, mit der er das Verlagshaus verpflichtete, auf seiner Website wirksame Einwilligungen für die Nutzung von Cookies einzuholen bzw. umzusetzen. Der LfD Niedersachsen war insbesondere der Auffassung, dass auch die unterschiedliche Farbgebung und Optik der Auswahl-Buttons gegen geltendes Recht verstoße.

Zudem monierte die Behörde, dass erst auf der zweiten Ebene Informationen zu den möglichen Cookies und Tracking-Technologien einsehbar waren. Das Verlagshaus war der Auffassung, dass die DSGVO schon nicht anwendbar sei. Weder aus der gespeicherten Nutzer-ID noch den IP-Adressen der Nutzer werde ein Personenbezug hergestellt. Zudem sei der LfD Niedersachsen nicht zuständig, da Vorschriften aus dem damaligen TTDSG keine datenschutzrechtlichen Bestimmungen seien. Das Verlagshaus hat dementsprechend vor Gericht beantragt, die Anordnung aufzuheben.

Anordnung der Behörde war rechtmäßig

Das Verwaltungsgericht hat sich eindeutig auf die Seite der Behörde geschlagen und die Klage des Verlagshauses vollumfänglich zurückgewiesen. Nach Auffassung des Gerichts wurden die Nutzerinnen und Nutzer durch die konkrete Ausgestaltung des Banners gezielt zur Zustimmung gedrängt. Dies geschah insbesondere durch die optische Hervorhebung des „Zustimmen“-Buttons, während die Ablehnungsoption weniger auffällig dargestellt oder erst über mehrere Klicks erreichbar war. Eine solche Gestaltung beeinträchtige die Freiwilligkeit der Entscheidung und stelle eine unzulässige Beeinflussung dar.

Auch den Bedenken hinsichtlich der formellen Vorgaben erteilte das Gericht eine klare Absage. Entgegen der Ansicht des Verlagshauses verarbeite dieses sehr wohl personenbezogene Daten. Der Personenbezug der Nutzerdaten sei entweder durch die IP-Adresse oder individuelle Nutzer-IDs gegeben, die durch Cookies auf den Endgeräten gespeichert und anschließend ausgelesen sowie durch Java-Skripte abgefragt würden. Zudem sei der LfD Niedersachsen auch zuständig, da sich schon aus dem Namen des Gesetzes ergebe, dass es sich bei den Regelungen des ehemaligen TTDSG um datenschutzrechtliche Vorschriften handele.

Einwilligung: Eindeutig und unmissverständlich

Inhaltlich führte das Verwaltungsgericht weiter aus, dass eine wirksame Einwilligung nur dann vorliegt, wenn sie eindeutig und unmissverständlich erfolgt. Ein bloßes Weitersurfen oder Unterlassen aktiven Widerspruchs sei hierfür nicht ausreichend. Auch die Verwendung voreingestellter Zustimmungen – beispielsweise durch bereits aktivierte Häkchen – sei unzulässig, da dies nicht dem Erfordernis einer aktiven Wahlhandlung entspreche.

Schließlich stellte das Gericht klar, dass auch der Einsatz des Google Tag Managers – wie im vorliegenden Fall – eine vorherige Einwilligung der Nutzer erfordert, sofern dieses Tool bereits beim Laden der Website Daten verarbeitet oder an Dritte weiterleitet. Auch technische Hilfsmittel, die selbst keine Analyse durchführen, aber Drittinhalte einbinden oder ermöglichen, unterliegen dem Einwilligungserfordernis.

Das Ergebnis ist nicht überraschend

Das VG Hannover hat wenig überraschend sehr betroffenenfreundlich entschieden. Das Gericht hat klargestellt, dass der „Zustimmen“- und der „Ablehnen“-Button auf dem Cookie-Banner optisch gleichwertig, sofort sichtbar und mit einem Klick erreichbar sein müssen – ohne zusätzliche Navigation oder versteckte Optionen. Jede Form der Beeinflussung durch Design („Nudging“) ist kritisch zu prüfen. Die Einwilligung darf nur aktiv und ausdrücklich erfolgen; voreingestellte Häkchen oder voraktivierte Tools sind unzulässig.

Das Verwaltungsgericht folgt damit dem Trend, der seit Jahren besteht. Bereits das OLG Köln (Az. 6 U 80/23), das LG Rostock (Az. 3 O 762/19) und das österreichische Bundesverwaltungsgericht (W108 2284491-1/00) haben vergleichbar entschieden. Diese Urteile sind klare Hinweise darauf, dass Aufsichtsbehörden und Gerichte künftig verstärkt auf die korrekte Gestaltung von Cookie-Bannern achten werden. Man darf davon ausgehen, dass quasi jede Abweichung beim „Ablehnen“-Button als Verstoß gegen die DSGVO einzustufen ist. Das muss natürlich nicht direkt zu einem Bußgeld führen, allerdings sollten Unternehmen – jetzt erst recht – vorgewarnt sein.