Cookie-Banner: Strengere Maßstäbe für wirksame Cookie-Einwilligungen

Der Gestaltung von Cookie-Bannern kommt für die Praxis enorme Bedeutung zu: Einerseits wollen Website-Betreiber Tracking und Werbeeinnahmen sichern, andererseits verlangt das Datenschutzrecht eine freiwillige, informierte und eindeutige Einwilligung. Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (10 A 5385/22) präzisiert, wie ein Cookie-Banner beschaffen sein muss, um diesen Anforderungen zu genügen. Das Urteil ist ein klares Signal gegen manipulative „Dark Patterns“ in Einwilligungsbannern.

Inhalte Anzeigen

Sachverhalt

Ein regionales Verlagshaus betrieb eine Nachrichten-Website, die sich über Werbung finanziert. Nutzer mussten beim Erstaufruf ein zweistufiges Cookie-Banner bedienen: Auf der ersten Ebene bot das Banner die Optionen „Alle akzeptieren“, „Akzeptieren & schließen x“ sowie „Einstellungen“. Wer „Einstellungen“ wählte, gelangte zur zweiten Ebene mit feineren Auswahlmöglichkeiten – allerdings war die Ablehnung umständlich, teilweise intransparent, und bei einer Ablehnung erschien das Banner bei jedem neuen Aufruf erneut. Der Landesdatenschutzbeauftragte untersagte diese Praxis und verpflichtete die Klägerin, eine datenschutzkonforme Lösung umzusetzen.

Dark Patterns

Juristische Analyse

Zuständigkeit der Datenschutzbehörde

Das Gericht stellte zunächst klar, dass der Landesdatenschutzbeauftragte auch für die Überwachung des § 25 TTDSG zuständig ist. Diese Vorschrift, die auf Art. 5 Abs. 3 der ePrivacy-Richtlinie beruht, gilt als „andere datenschutzrechtliche Bestimmung“ im Sinne des Landesdatenschutzgesetzes. Damit ist eine einheitliche Aufsicht sichergestellt, da das Setzen von Cookies regelmäßig mit der Verarbeitung personenbezogener Daten verbunden ist.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Das VG Hannover zieht eine klare Linie: Cookie-Banner müssen transparent und fair gestaltet sein. Die Freiwilligkeit der Einwilligung erfordert eine echte, gleichwertige Wahlmöglichkeit. Wer weiter auf manipulative Banner setzt, riskiert aufsichtsrechtliche Anordnungen und Bußgelder. Ein Cookie-Banner muss damit bereits auf der ersten Ebene eine klare und gleichwertige Wahl zwischen Akzeptieren und Ablehnen bieten. Zudem darf keine Gestaltung gewählt werden, die Nutzer durch Mehraufwand oder optische Tricks in eine Zustimmung drängt. Der Einsatz von Diensten wie Google Tag Manager darf nicht ohne ausdrückliche Zustimmung erfolgen.

Anforderungen an die Einwilligung

Die Einwilligung muss nach Art. 4 Nr. 11 DSGVO freiwillig, informiert und eindeutig sein. Das Gericht beanstandete insbesondere drei Punkte:

  1. Keine Freiwilligkeit: Das Banner lenkte die Nutzer gezielt zur Einwilligung, weil eine Ablehnung nur über mehrere Klicks in tieferen Ebenen möglich war. Die Schaltfläche „Alle akzeptieren“ war auffällig gestaltet, während eine gleichwertige Ablehn-Option auf erster Ebene fehlte.
  2. Irreführende Gestaltung: Das „x“ oben rechts („Akzeptieren & schließen x“) suggerierte ein bloßes Schließen, führte tatsächlich aber zur Einwilligung – ein Verstoß gegen das Transparenzgebot.
  3. Unzureichende Information: Wichtige Details, wie die Anzahl der Tracking-Partner und Datenübertragungen in Drittländer, wurden teils versteckt oder nur nach Scrollen sichtbar gemacht. Damit fehlte eine vollumfänglich informierte Entscheidungsmöglichkeit auf den ersten Blick.
Aktuelles zur Zulässigkeit von Cookies aus der Rechtsprechung: Ein Leitfaden für Webseitenbetreiber

Einsatz von Google Tag Manager

Der Einsatz des Google Tag Managers war ebenfalls rechtswidrig: Das Tool speichert Informationen auf Nutzergeräten und überträgt Daten an Google-Server, ohne dass hierfür eine spezifische Einwilligung eingeholt wurde. Das Gericht stellte klar, dass auch für technische Hilfsdienste, die Tracking ermöglichen, eine Einwilligung erforderlich ist.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist erfahrener Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht mit über einem Jahrzehnt Berufspraxis und widmet sich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!