VG Hannover: Google Tag Manager nur mit Einwilligung zulässig
Cookie-Banner beschäftigen immer wieder die Aufsichtsbehörden und die Gerichte. Das VG Hannover hat nun noch einmal formale Aspekte hervorgehoben. Außerdem hat es entschieden, dass der Google Tag Manager nur eingesetzt werden darf, wenn der User ausdrücklich eingewilligt hat.
Das VG Hannover (Urt. v. 19.03.2025, 10 A 5385/22) hat eine Entscheidung zur datenschutzrechtlichen Bewertung des Einsatzes des Google Tag Managers (GTM) sowie zur Gestaltung von Cookie-Bannern getroffen.
Gegenstand des Verfahrens war die Frage, ob der Betrieb eines journalistischen Onlineportals datenschutzkonform gestaltet ist, insbesondere hinsichtlich der Einholung von Einwilligungen für Cookies, Drittanbietertracking und den Einsatz des GTM.
Die Entscheidung befasst sich detailliert mit den Voraussetzungen an eine freiwillige und informierte Einwilligung im Sinne von § 25 TTDSG und Art. 6 Abs. 1 lit. a DSGVO.
Hinweis: Das TTDSG heißt mittlerweile TDDDG, in dem Verfahren war jedoch die Rechtslage vom 23.11.2022 maßgeblich. Inhaltlich hat sich allerdings in den hier relevanten Punkten das Gesetz nicht geändert, sodass das Urteil ohne Weiteres auf die aktuelle Rechtslage übertragbar ist.
Google Tag Manager auf Webseite
Die Klägerin, ein regionales Verlagshaus, betreibt ein journalistisches Onlineangebot über ihre Webseite, das sich über Abonnements und Werbung finanziert. Auf der Webseite setzte sie eine Vielzahl von Cookies und Drittdiensten ein, unter anderem Google Analytics, Facebook Pixel sowie den Google Tag Manager.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hatte ihr nach einer technischen Überprüfung untersagt, bestimmte Dienste ohne wirksame Einwilligung der Nutzer einzusetzen.
Dabei bemängelte der LfD insbesondere, dass der Google Tag Manager bereits beim erstmaligen Laden der Seite aktiv war und Daten an Server von Google in den USA übermittelte, ohne dass die Nutzer zuvor eine ausdrückliche Einwilligung erteilten. Der LfD ordnete die Klägerin an, auf ihrer Webseite wirksame Einwilligungen für die Nutzung von Cookies einzuholen bzw. umzusetzen.
Gegen diese Anordnung klagte sie vor dem Verwaltungsgericht.
Die Klägerin verteidigte sich damit, dass der Google Tag Manager lediglich als technisches Hilfsmittel diene, um weitere Skripte nachzuladen, und dass insofern keine datenschutzrechtlich relevante Datenverarbeitung vorliege.
Zudem bestritt sie, dass der LfD überhaupt zuständig sei, da es sich beim TDDDG nicht um eine datenschutzrechtliche Vorschrift handle.
Entscheidung des Gerichts: LfD ist zuständig
Das VG Hannover hat die Klage des Verlagshauses abgewiesen.
Dabei stellte es zunächst klar, dass der Landesdatenschutzbeauftragte für die Kontrolle der Einhaltung des § 25 TTDSGG sehr wohl zuständig sei.
Bei § 25 TTDSGG handele es sich um eine „andere datenschutzrechtliche Bestimmung“ im Sinne des § 20 Abs. 1 des Niedersächsischen Datenschutzgesetztes. Auch wenn das TTDSG neben datenschutzrechtlichen Zielen auch das Kommunikationsgeheimnis schütze, bestehe ein enger inhaltlicher Zusammenhang zur DSGVO. Der Zugriff auf Endgeräte und die damit verbundene Verarbeitung personenbezogener Daten seien regelmäßig nicht voneinander zu trennen. Ein Auseinanderfallen der Aufsichtsverantwortlichkeiten wäre daher systemwidrig und praktisch nicht handhabbar.
Die Frage der Zuständigkeit für die Einhaltung des TTDSG ist sehr wichtig. Dieses Gesetz trat erst lange Zeit nach der DSGVO in Kraft. Geht also eine Landesdatenschutzbehörde aus diesem Gesetz gegen ein Unternehmen vor, muss zunächst innerhalb der Landesdatenschutzgesetze geprüft werden, ob die Behörde überhaupt zur Überwachung des TTDSG berufen ist.
Für Niedersachsen hat dies nun das VG Hannover geklärt. Für andere Bundesländer hat die Entscheidung zu dieser Frage aber keine Bedeutung.
Ausgestaltung des Cookie-Banners
Im Zentrum der Entscheidung stand die rechtliche Einordnung des eingesetzten Cookie-Banners und die Behandlung des Google Tag Managers.
Nach der Überzeugung des Gerichts entsprach die Gestaltung des Banners nicht den Anforderungen an eine informierte und freiwillige Einwilligung.
Bei Aufruf der Webseite zeigte sich zunächst die „erste Ebene“ des Banners. Auf dieser konnten die Nutzer zwischen „alle Cookies akzeptieren“ oder einem Wechsel in die Einstellungen wählen. Eine direkte Ablehnungsoption fehlte auf dieser Ebene.
Wer den Weg über die Einstellungen wählte, sah sich mit Unter-Ebenen, komplexen Drop-Down-Menüs sowie Voreinstellungen konfrontiert.
Die Nutzer wurden nach Ansicht des Gerichts somit faktisch dazu gedrängt, die Einwilligung zu erteilen. Außerdem machten die verschiedenen Unterebenen und Kategorien den Eindruck, dass der Nutzer die Art der Datenverarbeitung nicht wesentlich beeinflussen konnte.
Erschwerend kam hinzu: Bei Ablehnung der Einwilligung erschien das Banner bei jedem Seitenaufruf erneut, während bei Zustimmung das Surfen ungehindert möglich war.
Das Gericht bewertete diese Gestaltung als sogenanntes „Dark Pattern“, also als manipulative Nutzerführung. Diese Ausgestaltung führte – auch in Verbindung mit der unterschiedlichen farblichen Ausgestaltung der Optionen – dazu, dass das Gericht die Freiwilligkeit der abgegebenen Einwilligungen verneinte. Damit waren diese nicht wirksam – weder im Sinne des § 25 TTDSG noch im Sinne der DSGVO.
Google Tag Manager nur mit Einwilligung?
Besondere Aufmerksamkeit widmet das Urteil dem Einsatz des Google Tag Managers. Das Gericht stellt klar, dass es sich dabei nicht um eine bloße technische Infrastruktur handelt, die als neutrale Plattform lediglich andere Skripte nachlädt.
Vielmehr werde durch die Einbindung des GTM bereits selbst ein Zugriff auf das Endgerät des Nutzers vorgenommen, und es finde eine Datenübertragung in die USA statt – namentlich durch den Abruf des Skripts gtm.js von Google-Servern. Dabei würden unter anderem IP-Adressen und Geräteeigenschaften übermittelt.
Die Tatsache, dass der GTM selbst keine konkreten Analysedienste ausführt, sei unerheblich. Die Verarbeitung personenbezogener Daten beginne bereits mit dem ersten Aufruf des Google-Skripts, was eine Einwilligungspflicht nach § 25 TTDSG auslöse.
Auch der Versuch der Klägerin, sich auf die Ausnahmeregelung des § 25 Abs. 2 TTDSG zu berufen, blieb erfolglos. Danach ist keine Einwilligung erforderlich, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.
Der GTM sei weder technisch erforderlich noch ausdrücklich vom Nutzer gewünscht. Das Gericht betonte, dass die Einbindung des GTM in keiner Weise notwendig sei, um die Grundfunktionalität der Webseite – etwa das Abrufen redaktioneller Inhalte – zu ermöglichen. Vielmehr diene der GTM ausschließlich der flexiblen Nachladung von Marketing- und Trackingdiensten und sei daher typischerweise mit einer datenschutzrechtlich relevanten Verarbeitung verbunden.
Konsequenzen für die Praxis
Das Urteil des VG Hannover ist ein deutliches Signal an Betreiber von Webseiten und Onlineplattformen: Die Nutzung des Google Tag Managers – selbst ohne unmittelbar nachgeladene Tracking-Skripte – stellt nach Auffassung des Gerichts eine einwilligungspflichtige Maßnahme im Sinne des TTDSG dar.
Auch andere Behörden, wie etwa die LfDI NRW, sehen das so.
Webseitenbetreiber sollten daher sicherstellen, dass der GTM erst dann geladen wird, wenn eine entsprechende Einwilligung des Nutzers vorliegt. Dies erfordert eine technische Implementierung, die das Nachladen des GTM abhängig von der Zustimmung durch den Nutzer steuert.
Ebenso wichtig ist eine datenschutzkonforme Gestaltung des Einwilligungsbanners. Die Entscheidung stellt klar, dass Nutzer nicht durch Design, Farbe, Platzierung oder technische Hürden zur Zustimmung gedrängt werden dürfen. Eine einfache, gleichwertige Möglichkeit zur Ablehnung der Einwilligung sollte bereits auf der ersten Ebene des Banners vorhanden sein.
Die Information über Zwecke, Umfang und Empfänger der Datenverarbeitung muss zudem klar und verständlich bereitgestellt werden.
Lösung und Handlungsempfehlung
Webseitenbetreiber, die auf den Google Tag Manager zurückgreifen, sollten kurzfristig prüfen, ob dieser bereits vor einer erteilten Einwilligung ausgelöst wird. Ist dies der Fall, drohen aufsichtsbehördliche Maßnahmen.
Technisch kann dies durch eine bedingte Script-Ausführung über eine Consent-Management-Plattform (CMP) realisiert werden. Dabei wird das Skript des GTM erst dann geladen, wenn der Nutzer in die Verwendung entsprechender Cookies und Drittanbieter-Technologien eingewilligt hat.
Zugleich sollte der Consent-Banner angepasst werden: Eine „Ablehnen“-Schaltfläche sollte auf gleicher Ebene und mit gleicher visueller Gewichtung wie die Zustimmungsoptionen angeboten werden.
Das wiederholte Erscheinen des Banners bei Ablehnung sollte ebenso vermieden werden.
Fazit
Das Urteil des VG Hannover bestätigt hinsichtlich der Ablehnen-Funktion auf der ersten Ebene die Auffassung vieler Aufsichtsbehörden. Die Entscheidung zeigt auch: Selbst scheinbar neutrale Dienste wie der GTM sind datenschutzrechtlich relevant, wenn sie auf Endgerätedaten zugreifen oder die Kommunikation mit Drittstaaten initiieren. Betreiber digitaler Angebote sollten daher nicht nur ihr Einwilligungsbanner, sondern auch die gesamte technische Architektur ihrer Webseite datenschutzrechtlich überprüfen.
Autor
Verknüpfte Anwälte
Partner, Fachanwalt für Informationstechnologierecht, CIPP/E
