Das Verwaltungsgericht Hannover (VG Hannover, Urteil vom 19.03.2025 – 10 A 5385/22) hat entschieden, dass der Einsatz des Google Tag Manager (GTM) ohne wirksame Einwilligung unzulässig ist. Darüber hinaus konkretisiert das Gericht die Anforderungen an die Gestaltung von Cookie-Bannern – insbesondere im Hinblick auf die Möglichkeit der Ablehnung.

Was ist passiert?

Gegenstand des Verfahrens war die Frage, ob ein Webseitenbetreiber den GTM ohne vorherige Einwilligung der Nutzer verwenden darf. Das Gericht stellte klar: Bereits der bloße Einsatz des GTM – selbst wenn keine eigenen Cookies gesetzt werden – kann personenbezogene Daten betreffen, da über den Tag Manager Drittanbieter wie Google Analytics eingebunden werden können. Damit greifen § 25 Abs. 1 TTDSG (in der bis zum 13.05.2024 gültigen Fassung) sowie Art. 6 Abs. 1 lit. a DSGVO – eine vorherige, informierte und freiwillige Einwilligung ist zwingend erforderlich.

Besondere Bedeutung kommt den Ausführungen zur Gestaltung von Einwilligungsbannern zu: Eine wirksame Einwilligung liegt laut Gericht nur dann vor, wenn Nutzer die Möglichkeit haben, ebenso einfach abzulehnen wie zuzustimmen. Das VG Hannover verlangt, dass ein „Ablehnen“-Button gleichwertig zum „Zustimmen“-Button gestaltet ist – also hinsichtlich Sichtbarkeit, Erreichbarkeit und Positionierung. Eine Ablehnung darf nicht über versteckte oder mehrstufige Menüs erfolgen. Gestaltungselemente, die die Ablehnung erschweren oder unattraktiv erscheinen lassen (sogenannte „Dark Patterns“), sind unzulässig.

Auswirkungen für die Praxis

Betreiber von Internetseiten müssen sicherstellen, dass Google Tag Manager und vergleichbare Dienste ausschließlich nach wirksamer Einwilligung der Nutzer aktiviert werden. Consent-Management-Plattformen (CMP) sind daher technisch so zu konfigurieren, dass ein Laden solcher Tools erst nach ausdrücklicher Zustimmung erfolgt.

Besonders relevant – wenn auch nicht überraschend – ist die Klarstellung des Gerichts zur Gestaltung von Einwilligungsbannern. Cookie-Banner, die lediglich einen hervorgehobenen „Zustimmen“-Button anzeigen, während die Ablehnungsoption versteckt oder schwer auffindbar ist, genügen den Anforderungen an eine wirksame Einwilligung nicht. Solche Gestaltungen stellen keine informierte und freiwillige Entscheidung im Sinne der DSGVO dar.

Unternehmen sollten daher bestehende Consent-Lösungen sorgfältig prüfen und erforderlichenfalls anpassen. Wer weiterhin auf UX-Muster setzt, die die Ablehnung bewusst erschweren – etwa durch kleinere Schrift, schwächere Kontraste oder zusätzliche Klickebenen – riskiert nicht nur aufsichtsbehördliche Beanstandungen, sondern auch wettbewerbsrechtliche Abmahnungen.

Die Klarstellungen des Gerichts stehen im Einklang mit der bereits veröffentlichten Orientierungshilfe der Datenschutzkonferenz (DSK) für Anbieter:innen digitaler Dienste. Diese stellt in Rn. 134 klar, dass die Ablehnoption als gleichwertige Alternative eindeutig erkennbar, leicht wahrnehmbar und unmissverständlich sein muss. In Rn. 135 heißt es: „Die Möglichkeit, keine Einwilligung zu erteilen, muss eindeutig als gleichwertige Alternative zur Option ‚Einwilligung erteilen‘ dargestellt werden. Dies ist anzunehmen, wenn sich z. B. neben einem Button ‚Einwilligung erteilen‘ ein insbesondere in Größe, Farbe, Kontrast und Schriftbild vergleichbarer Button ‚Weiter ohne Einwilligung‘ finden lässt.“

Allerdings betont die Orientierungshilfe auch (Rn. 124/125), dass die Ablehnungsfunktion nicht in jedem Fall zwingend auf der ersten Ebene des Banners angezeigt werden muss. Dies ist dann zulässig, wenn die Website auch ohne Zustimmung uneingeschränkt nutzbar bleibt – etwa, weil das Banner nicht als Overlay eingeblendet ist und keine Inhalte blockiert. In solchen Fällen genügt eine Ablehnungsoption auf der zweiten Ebene, sofern der Nutzer nicht unter Druck gesetzt wird, eine Entscheidung zu treffen.

Empfehlungen

Gleichwertige Ablehnung ermöglichen

Websitebetreiber sollten sicherstellen, dass Einwilligungsbanner grundsätzlich eine Ablehnung genauso einfach und sichtbar ermöglichen wie eine Zustimmung. Die Schaltfläche „Alle ablehnen“ muss auf gleicher Ebene und mit vergleichbarer visueller Gestaltung wie „Alle akzeptieren“ eingebunden sein. Eine versteckte oder technisch benachteiligte Ablehnungsoption genügt nicht den Anforderungen des Gerichts.

Google Tag Manager erst nach Zustimmung laden

Der Einsatz von Google Tag Manager darf erst erfolgen, nachdem die Nutzer aktiv ihre Einwilligung erteilt haben. Der Container darf nicht voreingestellt oder im Hintergrund bereits aktiv sein. Eine rechtmäßige Verarbeitung setzt zwingend ein vorgelagertes Opt-in voraus.

Dark Patterns konsequent vermeiden

Die Gestaltung des Cookie-Banners muss frei von manipulativen Designelementen sein. Unauffällige oder abgeschwächte Ablehnungsbuttons, irreführende Formulierungen oder das Verstecken der Ablehnung in Untermenüs stellen Verstöße gegen das Gebot der Freiwilligkeit dar.

Nachweis und Dokumentation sicherstellen

Einwilligungen sollten revisionssicher protokolliert werden. Nur so kann im Fall einer datenschutzrechtlichen Prüfung durch Aufsichtsbehörden der Nachweis einer wirksamen Einwilligung geführt werden. Auch die technische Steuerung der Consent-Logik muss nachvollziehbar dokumentiert sein.

Systeme regelmäßig prüfen und anpassen

Consent-Management-Plattformen sollten in regelmäßigen Abständen technisch wie rechtlich überprüft werden. Änderungen in der Rechtsprechung oder bei den eingesetzten Tracking-Technologien erfordern eine laufende Anpassung, um die Rechtskonformität dauerhaft sicherzustellen.

Fazit

Das Urteil des VG Hannover schafft wichtige Klarheit: Die Einbindung von Tracking-Tools wie GTM ohne vorherige, informierte und freiwillige Einwilligung ist unzulässig. Ebenso eindeutig ist die Vorgabe zur Gestaltung von Cookie-Bannern – Nutzer müssen in der Lage sein, genauso einfach abzulehnen wie zuzustimmen. Unternehmen sind jetzt in der Pflicht, ihre Websites und Consent-Systeme auf Konformität zu prüfen – andernfalls drohen Bußgelder und rechtliche Risiken.