Am 19. März 2025 hat das Verwaltungsgericht Hannover ein wichtiges Urteil zur Cookie-Banner-Gestaltung gefällt (Az. 10 A 5385/22). Im Zentrum des Verfahrens stand die Frage, ob eine zweistufige Gestaltung eines Consent-Banners mit Buttons wie „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ eine wirksame Einwilligung im Sinne der DSGVO und des TDDDG (vormals TTDSG) darstellt. Die Antwort des Gerichts ist deutlich: Nein – eine so gestaltete Einwilligung gilt nicht als freiwillig und ist daher rechtswidrig.
Keine Transparenz und keine Freiwilligkeit im Cookie-Banner
Das Urteil macht deutlich, dass Nutzer:innen durch ein solches Design bewusst zur Zustimmung gedrängt werden sollen – ein sogenanntes Dark Pattern. Es fehlt ganz klar ein „Alles ablehnen“- Button auf der ersten Cookie-Banner-Ebene.
Ein Button wie „Akzeptieren & schließen x“, der zusätzlich in der Cookie-Banner-Ecke erscheint, führt die Betroffenen zusätzlich in die Irre. Bei einem „x“ denkt der durchschnittliche User, dass nur ein Fenster nur geschlossen und keine aktive Zustimmung erteilt wird. Auf der hier streitgegenständlichen Webseite wurden jedoch durch den Klick auf diesen Button eine Einwilligung erteilt und weitere Cookies gesetzt.
Die Folge: Eine Einwilligung, die unter solchen Bedingungen eingeholt wird, erfüllt weder die Anforderungen an Transparenz noch an Freiwilligkeit – beides zentrale Voraussetzungen für eine datenschutzkonforme Verarbeitung personenbezogener Daten.
Google Tag Manager nur mit Einwilligung
Besonders heikel wird es, wenn Tracking-Technologien wie bspw. der Google Tag Manager ohne ausdrückliche, wirksame Einwilligung eingesetzt werden. Nach Auffassung des Gerichts – und entsprechend der Rechtsauffassung vieler Aufsichtsbehörden – darf derartige Technik erst aktiviert werden, wenn Nutzer:innen aktiv und freiwillig zugestimmt haben. Eine bloße Information oder ein technisches Einbinden vor der Einwilligung genügt nicht. Die Einbindung des Google Tag Managers ist für den Betrieb der Webseite nicht technisch notwendig, auch nicht für die Einbindung des Google Consent Mode oder weiteren Google Diensten.
Was bedeutet das für Cookie-Banner in der Praxis?
Webseitenbetreiber sollten ihre Cookie-Banner jetzt dringend prüfen. Eine transparente Gestaltung mit gleichwertigen Optionen für „Einwilligen“, „Ablehnen“ und „Einstellungen“ ist unumgänglich. Dabei sollten alle Auswahlmöglichkeiten auf einer Ebene präsentiert werden – eine gestufte Darstellung, bei der zunächst nur die Zustimmung nahegelegt wird, ist unzulässig. Auch die optische Gestaltung spielt eine Rolle: Die Buttons müssen gleich auffällig und zugänglich sein, um eine echte Wahl zu ermöglichen. Irreführende Beschriftungen wie „OK“, „Schließen“ oder „Akzeptieren & schließen x“ sollten konsequent vermieden werden. In diesem Blogbeitrag geben wir weitere Tipps zur Gestaltung von Cookie-Bannern.
Zudem ist sicherzustellen, dass Dienste wie der Google Tag Manager erst dann aktiv werden, wenn eine wirksame Einwilligung erteilt wurde. Hierfür bedarf es einer datenschutzkonformen Consent-Management-Plattform, die nicht nur technisch sauber eingebunden, sondern auch regelmäßig auditiert wird. Die Dokumentation der Einwilligungen muss ebenfalls den gesetzlichen Anforderungen entsprechen – etwa durch Protokollierung der Entscheidung mit Zeitstempel und Versionierung der verwendeten Texte im Cookie-Banner.
Fazit
Das Urteil des VG Hannover bringt Klarheit – und gleichzeitig Handlungsdruck. Webseitenbetreiber sind gut beraten, ihre Cookie-Banner und Einwilligungsprozesse umfassend zu überprüfen und gegebenenfalls anzupassen. Wer jetzt handelt, reduziert nicht nur rechtliche Risiken, sondern stärkt auch das Vertrauen seiner Nutzerinnen und Nutzer. Und das zahlt sich langfristig aus – nicht nur in Sachen Compliance, sondern auch in Bezug auf digitale Reputation und Nutzerbindung.
Wenn Sie Fragen zur Cookie-Banner-Gestaltung haben, sprechen Sie uns einfach an. Wir sind bundesweit tätig und unterstützen Sie gerne: info@sidit.de oder 0931-780 877-0.
