Hinweis: Das Urteil verwendet noch die Bezeichnung TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz). Dieses wurde im Mai 2024 durch Gesetzesänderung in TDDDG (Digitale-Dienste-Datenschutz-Gesetz) umbenannt. Aus Gründen der rechtlichen und inhaltlichen Klarheit bleibt im Beitrag die ursprüngliche Bezeichnung TTDSG erhalten.
Was bedeutet das für Website-Betreiber?
Der Einsatz von Tag-Management-Tools ohne vorherige Zustimmung ist rechtswidrig. Zugleich stellt das Urteil die Zulässigkeit gängiger Cookie-Banner-Gestaltungen infrage – insbesondere dann, wenn diese keine echte Ablehnungsoption bieten oder Nutzer gezielt zur Einwilligung drängen.
Der Google Tag Manager
Die niedersächsische Datenschutzaufsicht (LfD) untersagte der Klägerin (ein Verlag) den GTM zu nutzen – mit Verweis auf fehlende Einwilligungen und eine unzulässige Gestaltung des Cookie-Banners.
Der GTM ermöglicht es den Website-Betreibern, verschiedene Tracking- und Marketingdienste zentral zu verwalten und bedarfsgerecht zu steuern – etwa Google Analytics, Facebook Pixel oder Conversion-Skripte. Anstatt diese Codes manuell in den Quelltext der Website einzubinden, werden sie über den GTM dynamisch nachgeladen. Dies erleichtert die Pflege und beschleunigt die Integration neuer Dienste erheblich.
Viele Verantwortliche und so auch die Klägerin stuften den GTM bislang als „technisch notwendig“ ein – insbesondere, wenn er dazu verwendet wurde, Cookies erst nach Einwilligung zu setzen oder andere Tools über eine Consent Management Plattform (CMP) zu steuern. Diese Einschätzung führte in der Praxis häufig dazu, dass der GTM bereits beim Laden der Website aktiv war – unabhängig von der Einwilligung des Nutzers.
Einwilligungspflicht des GTM (§ 25 Abs. 1 TTDSG)
Das Gericht widerspricht mit dem Urteil (Az. 10 A 5385/22) dieser weit verbreiteten Praxis, den Google Tag Manager als „neutrales Verwaltungstool“ zu betrachten. Es stellt klar:
„Durch das Programm Google Tag Manager werden Informationen in der Endeinrichtung des Endnutzers gespeichert oder auf diese zugegriffen. (…) Dass der Google Tag Manager selbst Cookies setzt und ausliest, hat sich (…) aus den vom Beklagten in seinem IT-Labor durchgeführten Tests ergeben.“ (Rn. 121–122)
Konkret wurde festgestellt, dass bereits vor einer Interaktion mit dem Einwilligungsbanner ein Skript („gtm.js“) auf dem Endgerät gespeichert wird. Weiter werden Informationen wie IP-Adresse und Gerätedaten an den Server www.googletagmanager.com übermittelt sowie individuelle Daten verarbeitet , die potenziell für Browser-Fingerprinting genutzt werden könnten.
Nach Überzeugung des Gerichts handelt es sich damit um einen aktiven Zugriff auf Endgerätedaten, der keiner Ausnahme nach § 25 Abs. 2 TTDSG unterfällt (Rn. 125–126).
IP-Adresse als Anknüpfungspunkt für § 25 TTDSG – und mehr
Das Gericht stellt klar, dass bereits die Übertragung der IP-Adresse beim Aufruf einer Website einen Zugriff auf Endgeräte im Sinne des § 25 Abs. 1 TTDSG darstellt – und somit einwilligungspflichtig ist. Dies betrifft nicht nur den GTM: Zahlreiche Dienste und Skripte, die schon beim ersten Laden einer Seite aktiv werden (etwa Webfonts, Analyse-Skripte, Social Media Plugins), fallen damit ebenfalls in den Anwendungsbereich. Website-Betreiber müssen daher sämtliche initial geladenen Dienste auf mögliche Datenübertragungen prüfen – auch dann, wenn keine Cookies gesetzt werden. Entscheidend ist der tatsächliche Zugriff auf Informationen im Endgerät oder die Übermittlung technischer Identifikatoren wie IP-Adressen, Nutzerkennungen oder Fingerprinting-Daten.
GTM ist nicht „unbedingt erforderlich“ (§ 25 Abs. 2 Nr. 2 TTDSG)
Die Klägerin argumentierte, der GTM sei technisch notwendig zur Einholung von Einwilligungen. Das Gericht verneinte dies: Die Funktion könne auch ohne des GTM erfüllt werden – z. B. über eigene Skripte oder andere Tools wie beispielsweise Cookie-Banner-Lösungen.
Keine Rechtfertigung über berechtigte Interessen (Art. 6 Abs. 1 lit. f DS-GVO)
Ein berechtigtes Interesse des Websitebetreibers an der Nutzung des GTM überwiege ebenfalls nicht, da es datenschutzfreundlichere Alternativen gibt (Open-Source, eigene Lösungen, andere Consent Management Plattforms (CMP). Die Übermittlung personenbezogener Daten an ein datengetriebenes Unternehmen wie Google wiegt schwer – Komfort allein rechtfertigt keinen Eingriff in Grundrechte.
Warum durfte der LfD Niedersachsen die Einhaltung des TTDSG prüfen?
Ein wichtiger Punkt des Urteils war die Zuständigkeit der Aufsichtsbehörde bei Sachverhalten, welche das TTDSG berühren. Der LfD war zuständig, obwohl es sich um eine Regelung außerhalb der DS-GVO handelt. Das VG Hannover führt aus, dass § 25 TTDSG als „andere datenschutzrechtliche Bestimmung“ im Sinne des § 20 Abs. 1 Niedersächsisches Datenschutzgesetz (NDSG) zu werten ist. Der Zugriff auf Endgeräte steht oft im Zusammenhang mit der Verarbeitung personenbezogener Daten – insbesondere bei Tracking-Technologien. Um Kompetenzlücken und behördliche Doppelstrukturen zu vermeiden, sei es geboten, dem LfD auch für § 25 TTDSG die Aufsichtskompetenz zuzuweisen. Damit wird eine einheitliche Prüfung von Einwilligungsprozessen ermöglicht.
Gestaltung des Cookie-Banners: Warum das Gericht ihn für unzulässig hält
Ein weiterer Schwerpunkt des Urteils war die rechtliche Bewertung des Cookie-Banners der Klägerin. Das VG Hannover kommt zu dem Schluss: Die Gestaltung verletzt die Anforderungen an eine wirksame Einwilligung im Sinne des § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 lit. a DS-GVO – insbesondere hinsichtlich der Freiwilligkeit, Transparenz und Klarheit.
Das Gericht kritisiert dabei mehrere Aspekte:
- Keine echte Ablehnungsoption auf erster Ebene: Während der Banner prominent zwei Zustimmungsoptionen bietet („Alle akzeptieren“ und „Akzeptieren & schließen x“), fehlt eine gleichwertige Möglichkeit zur Ablehnung. Nutzer müssten erst umständlich über „Einstellungen“ zur zweiten Ebene navigieren, um dort selektiv abzulehnen.
- Irreführende Gestaltung und Dark Patterns: Der eingesetzte Cookie-Banner bot die Möglichkeit einen Button mit „Akzeptieren & schließen x“ zu betätigen. Dies suggeriert nach Ansicht des Gerichts lediglich das Schließen des Banners – tatsächlich wird aber eine umfassende Einwilligung abgegeben. Diese Verknüpfung aus Schließen und Zustimmen sei intransparent und manipulativ.
- Gestalterische Lenkung zur Zustimmung: Die Schaltflächen zur Zustimmung waren farblich hervorgehoben (blau), während ablehnende oder alternative Optionen dezent und kaum als klickbare Elemente erkennbar dargestellt waren. Auch das erneute Anzeigen des Banners bei Ablehnung („Mürbemachen“) wurde als unzulässige Beeinflussung bewertet.
- Fehlende Informationen zur Datenverarbeitung: Hinweise auf Datenübermittlungen in Drittstaaten (z. B. USA), auf die Zahl der eingebundenen Dienstleister oder auf die Möglichkeit des Widerrufs waren nur durch Scrollen sichtbar. Das Gericht betont: Wesentliche Informationen müssen direkt auf der ersten Ebene des Banners zugänglich und klar verständlich sein.
Fazit: Das VG Hannover macht deutlich, dass Einwilligungen unter solchen Bedingungen nicht als freiwillig, eindeutig oder informiert gewertet werden können. Die Gestaltung des Banners selbst kann zur Unwirksamkeit der Einwilligung führen – unabhängig vom technischen Verhalten der Tools.
Empfehlungen für die Praxis
Das Urteil hat weitreichende Bedeutung – nicht nur für Betreiber großer Onlineportale, sondern für alle, die den GTM oder ähnliche Tools einsetzen:
- Einbindung des GTM auf der Website überprüfen
- GTM in die Consent-Logik einbinden – erst nach Einwilligung laden
- CMP nutzen – z. B. Borlabs, Usercentrics, Osano u. a.
- Keine Verbindung zu googletagmanager.com ohne vorherige Einwilligung
- Datenschutzinformationen überprüfen und ggf. Aktualisieren
- Rechtsgrundlage im VVT überprüfen und ggf. aktualisieren
- Datenschutzfreundliche Alternativen prüfen – etwa Open-Source-Tag-Manager oder eigenentwickelte Skriptverwaltungen
- Zur rechtssicheren Gestaltung des Cookie-Banners empfehlen wir einen Blick in unsere Beitragsreihe “Einwilligungen mit dem Cookie-Banner” aufrufbar unter: https://www.audatis.de/aktuelles/freiwillige-einwilligung
Fazit: Entscheidung mit Signalwirkung
Das VG Hannover macht deutlich: Nicht das Marketingversprechen eines Tools entscheidet, sondern die tatsächliche technische Umsetzung auf dem Nutzergerät. Der Google Tag Manager ist einwilligungspflichtig. Wer ihn ohne Einwilligung nutzt, handelt rechtswidrig – ebenso wie bei Cookie-Bannern, die Nutzer in die Zustimmung lenken oder keine echte Ablehnung zulassen.
Das Urteil verpflichtet Verantwortliche, technische Prozesse umfassend zu überdenken – vom ersten Seitenaufruf bis zur letzten eingebundenen Drittanwendung. Transparenz, Freiwilligkeit und echte Wahlmöglichkeiten sind keine Option, sondern Pflicht.
