Uncategorized

Cookie-Banner-Urteil des VG-Hannover – eine kurze AnalyseBorns IT

Misterjudie

May 21, 2025


Denis Lehmkemper, Landesdatenschutzbeauftragter von Niedersachsen, hat wegen der Gestaltung eines konkreten Cookie-Banners einem Webseitenbetreiber eine Verfügung zur Anpassung geschickt. Dieser hatte dagegen geklagt. Das Verwaltungsgericht Hannover bestätigte nun wohl die Rechtsauffassung von Lehmkemper, dass im aktuellen Fall eine “Alles ablehnen”-Option im Cookie-Consent-Dialog anzubieten sei, wenn eine “Alles zulassen”-Option angezeigt wird. Eine kurze Analyse, um was es geht, und welche Implikationen das hat.

Das Cookie-Banner-Urteil des VG Hannover

Möchte eine Webseite Cookies für Drittanwender auf den Systemen der Besucher speichern, um Werbung einzublenden, wird in Europa eine Zustimmung über die sogenannten Cookie-Banner erforderlich. Einerseits nerven solche Cookie-Banner die Nutzer. Andererseits stören sich Datenschutzbeauftragte an der Gestaltung dieser Banner.

Cookie-Banner

Eine Implementierung sieht eine Schaltfläche Zustimmen zur Cookie-Speicherung vor, und bietet, wie in obigem Screenshot gezeigt, eine zweite Option zum Ablehnen oder Anpassen der Einstellungen an. An dieser Gestaltung der Cookie-Banner entzündete sich ein Streit zwischen Werbeanbietern und Landesdatenschutzbeauftragten.

Denis Lehmkemper, Landesdatenschutzbeauftragter von Niedersachsen, hatte der Neuen Osnabrücker Zeitung einen Bescheid geschickt, in der die Gestaltung des obigen Banners zur Einwilligung bemängelt und eine Schaltfläche “Ablehnen”, mit der alle Cookie-Einwilligungen verweigert werden, gefordert.

Die Neue Osnabrücker Zeitung hatte gegen diesen Bescheid geklagt und zum 19. Mai 2025 gab es eine mündliche Verhandlung (AZ 10 A 5385/22) vor dem Verwaltungsgericht Hannover. Dabei ging es insbesondere um die Frage, wie genau ein Einwilligungsbanner ausgestaltet sein muss, um rechtmäßig Cookies auf den Geräten der Nutzer zu speichern. Im streitgegenständlichen Bescheid verlangte der Landesdatenschutzbeauftragte eine Umgestaltung des Banners, da das Einwilligungsbanner auf der Website der Klägerin keine wirksamen, insbesondere keine informierten und freiwilligen Einwilligungen einhole, bevor sie Cookies setze und personenbezogene Daten verarbeite.

In der mündlichen Verhandlung schloss sich das Verwaltungsgericht Hannover der Rechtsauffassung des Landesdatenschutzbeauftragten von Niedersachsen an. Die Redaktion von heise hat das Ganze im Beitrag Verwaltungsgericht: Cookie-Banner muss “Alles ablehnen”-Button enthalten aufbereitet. Mir liegt der Urteilstext nicht vor – daher das Zitat aus dem heise-Artikel:

Webseitenbetreiber müssen demnach bei Cookie-Einwilligungsabfragen einen gut sichtbaren “Alles ablehnen”-Button auf der ersten Ebene im entsprechenden Banner anbieten, wenn es dort auch die häufig zu findende “Alle akzeptieren”-Option gibt.

Ohne diese Gestaltung sei die Einholung der Einwilligung zur Cookie-Speicherung unwirksam. Hintergrund ist, dass die Speicherung von Cookies gemäß Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) sowie die Datenschutz-Grundverordnung (DSGVO) erforderlich ist.

Der Landesbeauftragte für Datenschutz Niedersachsen hat einige Aussagen aus der Verhandlung in dieser Pressemitteilung aufbereitet. Denis Lehmkemper gibt an, dass das Gericht im gegenständlichen Fall gleich mehrere Verstöße erkannt habe. So habe das Verwaltungsgericht die Aufmachung und Gestaltung des Cookie-Banners in mehrerer Hinsicht kritisiert:

  • das Ablehnen von Cookies war deutlich umständlicher als das Akzeptieren,
  • Nutzerinnen und Nutzer wurden durch ständige Banner-Wiederholungen zur Einwilligung gedrängt,
  • die Überschrift “optimales Nutzungserlebnis” und die Beschriftung “akzeptieren und schließen” auf dem Schließen-Button seien irreführend gewesen,
  • der Begriff der “Einwilligung” fehlte vollständig,
  • die Zahl der eingebundenen Partner und Drittdienste war nicht ersichtlich und
  • Hinweise auf das Recht zum Widerruf der Einwilligung und eine Datenverarbeitung in Drittstaaten, außerhalb der EU waren erst nach Scrollen sichtbar.

Das sind bereits eine Reihe Punkte, die das Gericht zum Urteil bewogen, dass Nutzerinnen und Nutzer keine informierte, freiwillige und eindeutige Einwilligung gegeben hatten, wie es die DSGVO verlangt. Denis Lehmkemper hofft, dass das Urteil ein Signal an möglichst viele Anbieter sendet und so dazu beiträgt, datenschutzkonforme Einwilligungslösungen umzusetzen.

Praktische Konsequenzen, Versuch einer Analyse

Hier bei mir sind dann bereits Lesermails mit dem Tenor “Gerichtsurteil – pass mal deine Banner an” eingeschlagen. Daher versuche ich eine kurze Bewertung und Analyse, was dieses Urteil bedeutet. Grundsätzlich: Die Verwaltungsrichter führen eine juristische Bewertung dessen durch, was die angezogenen Rechtsregelungen vorgeben. Da gibt es auch wenig zu diskutieren.

So ad-hoc geht mir aber “ganz schön bigotte Situation” durch den Kopf. Wir haben zwar die Rechtsauffassung des Landesdatenschutzbeauftragten und der Deutschen Datenschutzkonferenz (DSK), wie Cookie-Einwilligungsbanner gefälligst auszusehen haben. Kann man zur Kenntnis nehmen – problematisch sehe ich dann aber die Situation, dass wir aktuell vor dere “Nutzung von Microsoft 365, US-Cloud-Produkte und AI-Einführung” in Unternehmen stehen. Bezüglich Windows und Office 365 gab es beispielsweise eine Aussage der DSK, dass die Produkte nicht DSGVO-konform einsetzbar seien. Und wenn ich die obigen Buzzwords Microsoft 365, US-Cloud, AI-Lösungen so ansehe, ist das alles andere als DSGVO-konform.

Im Cookie-Banner-Kontext diskutieren wir darüber, dass ein Tracking der Webseitenbesucher möglich wäre und IP-Adressen übertragen werden und es werden juristische Maßnahmen aufgefahren. Im Kontext Microsoft 365, US-Cloud, AI-Lösungen werden dagegen persönliche Daten in oft erheblichen Umfang verarbeitet und an Auftragsverarbeiter außerhalb der EU transferiert, ohne dass dies (bisher) gravierende juristische Folgen zeitigt. Hier im Blog habe ich öfters “soll doch jemand klagen – solange da kein finales Urteil vorliegt, wird das weiter gemacht und ist zulässig” vernommen.

Juristische Folgen offen

Zurück zum obigen Thema: Es liegt nach meinem Wissen eine erste Erkenntnis aus der mündlichen Verhandlung vor dem VG Hannover vor. Bevor nicht die Urteilsbegründung vorliegt und bevor nicht das VG Urteil rechtskräftig ist, wird sich erst einmal gar nichts ändern. Danach werden die betreffenden Stellen das Ganze bewerten und ggf. entsprechende Schritte einleiten oder Revision einlegen.

Das VG-Urteil aus Hannover gilt zudem – nach meiner Interpretation, ich bin kein ausgebildeter Jurist – nur für die Neue Osnabrücker Zeitung. Die Landesdatenschutzbeauftragten könnten ein rechtskräftiges Urteil dann nutzen, um massenhaft Bescheide an Webseitenbetreiber zwecks Cookie-Banner-Anpassung zu verschicken. Muss man abwarten.

Was in meinen Augen völlig offen ist: Viele Webseiten greifen inzwischen auf Abo-Lösungen nach dem PUR-Modell zurück. Wer solche Abos hat, bekommt keine Werbung und auch keine ständigen Cookie-Abfragen angezeigt.

Abo-Lösung für Webseiten

Ob dies über Contentpass oder andere PUR-Abo-Lösungen erfolgt (siehe obiger Screenshot), spielt erst einmal keine Rolle. Das obige Urteil des VG Hannover trifft diesbezüglich keine Aussage und auch der Bescheid des Landesdatenschutzbeauftragten von Niedersachsen hat dies meines Wissens auch nicht adressiert.

Passe mal deine Cookie-Banner an …

Im Sinne “pass mal deine Cookie-Banner an”-Aufforderung ist also gar nichts entschieden. Zudem ist eine solche Aufforderung eine vollständige Verkennung bzw. Unkenntnis der Sachverhalte geschuldet. Die Cookie-Consent-Lösungen werden in der Regel nicht von einzelnen Webseitenbetreibern, sondern von den Vermarktungspartnern für die Werbung gestaltet. Da sitzen die Verantwortlichen mit Juristen und ggf. Landesdatenschutzbeauftragten zusammen, in der Hoffnung, am Ende des Tages eine Lösung zu bekommen, die etwas hält.

Ich verfolge dieses “Spiel” ja bereits einige Tage und habe gegenüber meinem Werbevermarkter immer wieder kommuniziert “schaut, dass eine rechtssichere Lösung kommt”. Schau ich mir die Volten von Google in Bezug auf Third-Party-Cookie-Unterstützung im Chrome-Browser an, tut jeder Webseitenbetreiber gut daran, erst einmal abzuwarten, was bei Rechtskraft des Urteils wirklich die Folge ist.

Die Dickschiffe der Medien- und Tech-Plattformen gewinnen

Gesetzt der Fall, es muss von deutschen Webseiten eine “Alles ablehnen”-Option prominent in “jedem” Cookie-Consent-Banner kommen, steht jetzt schon fest, wo die Gewinner sitzen. Die großen Medienplattformen wie Facebook, TikTok, X, Instagram und YouTube sind diesbezüglich außen vor. Durch den Zwang zur Benutzeranmeldung lässt sich von den Plattformen sehr genau, auch ohne Cookie-Consent, erkennen, wer welche Interessen hat und wer welche Werbung gesehen hat.

Ein Influencer, der über Twitch, YouTube etc. streamt, oder sich auf Instagram etc. vermarktet, wird sich – nach meiner aktuellen Einschätzung – über obigen Sachverhalt keine Gedanken machen müssen. Und die großen Medienseiten (Spiegel, Focus, Zeit etc.) werden das “Problem” schlicht durch eine Paywall samt Zwang zur Anmeldung lösen. Finanziert das Abo die Kosten, sind die Anbieter nicht auf Werbung angewiesen. Andernfalls lässt sich eine Zustimmung zur Werbeeinwilligung über AGBs oder explizite Abfragen im Benutzerkonto einholen.

Auf der Strecke bleiben dann die (kleineren) Webseiten, die auf externe Werbenetzwerke und damit auf die Cookie-Einwilligung über Consent-Banner zur Finanzierung angewiesen sind. Wird die Cookie-Annahme durch den Nutzer abgelehnt, schalten die Werbenetzwerke keine Anzeigen – die Webseiten bekommen keine Werbeeinnahmen. Dann stellt sich sehr schnell die Frage: Lässt sich ein Angebot monetarisieren, oder wird es eingestellt. Hier wird jeder Betreiber seinen Weg finden müssen.

Implikationen für Borncity

Ich sitze ja seit zwei, drei Jahren an obigem Thema dran. Mein Versuch, die Werbenetzwerke für cookie-less Anzeigen zu gewinnen, ist gescheitert bzw. im Sande verlaufen. Solange noch die Einstellung der Third-Party-Cookie-Unterstützung durch Google im Chrome-Browser drohte, hieß es “wir untersuchen und überlegen”. Aber unter der Hand hieß es “es werden max. 5% der bisherigen Einnahmen auf diesem Weg zu erwirtschaften sein”.

Eine Finanzierung der Blogs über Sponsoring ist aus meinen bisherigen Erfahrungen unrealistisch. Sollte am Ende des Tages dann eine Option “Alle Cookies ablehnen” in einem, wie auch immer gearteten Cookie-Consent-Banner stehen, wird das von den Werbepartnern (und in meinem Fall von Contentpass als weiteren Dienstleister) implementiert.

Dann schaue ich mir am Ende des Tages an, wie die Cookie-Consent-Rate ausschaut. Aus 2024 weiß ich, dass die Zustimmungsrate zwischen 50 und 60 % lag. Rechne ich die potentiellen Einnahmen hoch und schaue mir an, wie das Ganze, trotz Contentpass, in 2025 ausschaut, macht das voraussichtlich wirtschaftlich keinen Sinn mehr, noch viel in die Blogs zu investieren.

Aktuell bin ich in der Evaluierung, um von Google Adsense- und AdExchange-Anzeigen weg zu kommen und rein deutsche Werbenetzwerke für Anzeigen hier im Blog einzusetzen. Mit etwas Glück normalisieren sich die Einnahmen dann – aktuell bröckelt alles – und wenn Googles KI in der Suche dann noch den Traffic weg nimmt, läuft es in einen kritischen Bereich.

Aber am Ende des Tages kommt das zum Tragen, was ich seit März 2021 kommuniziere: Ich betreibe die Blogs solange ich es persönlich (von der Gesundheit und den Fähigkeiten her) noch kann, es technisch funktioniert, juristisch zulässig und wirtschaftliche sinnvoll ist.

Am Ende des Tages könnte es dann so kommen, dass mir die juristische und wirtschaftliche Seite die Entscheidung, weiter zu bloggen, abnimmt. Meine Frau würde einen Freudensprung machen “endlich hast Du als Rentner Zeit, den Keller aufzuräumen”.

Ich selbst formuliere es so: Abwarten, was kommt. Vielleicht haben die Landesdatenschutzbeauftragten mit obigem VG-Urteil bei Rechtskraft eine Schlacht gewonnen, aber am Ende des Tages den “Krieg doch verloren” – nämlich, wenn Webseiten eingestellt oder auf Abo-Lösungen etc. umgestellt werden.

Im Kontext der von mir oben aufgeworfenen Stichwörter “Cloud, AI-Lösungen etc.” befassen wir uns im Bereich Cookie-Consent – zumindest in meinen Augen – mit Petitessen. Die dickeren DSGVO-Fische lauern imho eher in den Stichwörtern AI und Cloud, wo komplette Dokumente mit persönlichen Daten ohne Zustimmung in “Black-Boxen” wandern, die Landesdatenschutzbeauftragten sich aber an den Dickschiffen der Tech-Firmen und Großunternehmen die “Zähne ausbeißen”. Schaun mer mal, pflegte Franz Beckenbauer zu sagen.



law

Leave a Reply

Your email address will not be published. Required fields are marked *