Urteil zum Cookie-Banner: „Alles ablehnen“-Button auf erster Ebene Pflicht

Verwaltungsgericht Hannover, Urteil vom 19. März 2025, Az. 10 A 5385/22)

by|3. Juli 2025|Rechtsprechung

Das Verwaltungsgericht Hannover hat mit Urteil vom 19. März 2025 (Az. 10 A 5385/22) entschieden, dass Cookie-Banner und Cookie-Consent-Tools für technisch nicht notwendige Cookies eine „Alles ablehnen“-Schaltfläche gut sichtbar und auf der ersten Ebene anbieten müssen. Hintergrund war ein Verfahren gegen ein niedersächsischen Medienunternehmens, dessen  Webseite beim Besuch der Nutzer*innen nur die Optionen „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ anzeigte.

Eine direkte Möglichkeit, alle Cookies abzulehnen, fehlte auf der ersten Ebene vollständig. Erst in einem  weiteren Menü konnten Nutzer*innen einzelne Einstellungen vornehmen oder Cookies ablehnen. Besonders kritisch war zudem, dass der Button „Akzeptieren & schließen x“ den Eindruck erweckte, man schließe nur das Banner – tatsächlich bedeutete er aber die Zustimmung zu allen Cookies. Zudem wurde das Banner bei wiederholtem Besuch der Webseite auch nach einer Ablehnung erneut eingeblendet, was das Gericht als unzulässigen Zustimmungsdruck bewertete.

Einwilligung muss freiwillig und eindeutig sein

Das Gericht betonte, dass eine Einwilligung in technisch nicht notwendige Cookies nur dann gültig ist, wenn sie freiwillig, spezifisch, informiert und eindeutig erfolgt – das schreiben § 25 Abs. 1 TTDSG in Verbindung mit Art. 4 Nr. 11 und Art. 6 Abs. 1 lit. a DSGVO vor. Ein Cookie-Banner muss daher schon auf der ersten Ebene gleichwertige und klar erkennbare Optionen zum Akzeptieren und Ablehnen bieten. Die fehlende „Alles ablehnen“-Schaltfläche und die irreführende Gestaltung des „Akzeptieren & schließen x“-Buttons verletzen diese Vorgaben und beeinflussen die Entscheidung der Nutzer unzulässig. Dies sei ein klassischer Fall von „Nudging“, also einer Gestaltung, die gezielt darauf abzielt, die Nutzer zur Zustimmung zu bewegen, und damit nicht den Anforderungen an eine freiwillige Einwilligung entspreche.

Ablehnung darf nicht erschwert werden

Darüber hinaus kritisierte das Gericht, dass die Ablehnungsoption nur über mehrere Klicks und eine tiefer liegende Ebene erreichbar war. Das erschwert eine freie Entscheidung und beeinflusst Nutzer unangemessen.

Außerdem wurde das Cookie-Banner bei jedem erneuten Besuch erneut angezeigt, obwohl eine Ablehnung bereits erfolgt war. Das erzeugt laut Gericht Zustimmungsdruck, was ebenfalls unzulässig ist.

Weitere Mängel im Cookie-Banner

Neben der fehlenden Ablehnmöglichkeit und der irreführenden Gestaltung stellte das Gericht noch weitere Mängel fest:

  • Die Überschrift „optimales Nutzungserlebnis“ suggerierte fälschlich Vorteile durch Zustimmung.
  • Die Bezeichnung „Einwilligung“ fehlte vollständig.
  • Die Zahl der eingebundenen Partner und Drittdienste wurde nicht transparent genannt.
  • Hinweise zu Widerrufsrechten und Datenübertragungen außerhalb der EU waren nur durch Scrollen sichtbar.

Diese Punkte verstoßen gegen die Informationspflichten nach DSGVO, insbesondere Art. 13 DSGVO.

Gericht bestätigt Datenschutzbehörde

Das Gericht teilte die Ansicht der Datenschutzbehörde Niedersachsen, dass die Gestaltung des Cookie-Banners nicht den gesetzlichen Vorgaben entspricht. Es stellte klar, dass eine Einwilligung in die Verarbeitung technisch nicht notwendiger Cookies nur dann wirksam ist, wenn sie freiwillig, spezifisch, informiert und eindeutig abgegeben wird (§ 25 Abs. 1 TTDSG i. V. m. Art. 6 Abs. 1 lit. a, Art. 4 Nr. 11 DSGVO).

Die Klage des Medienunternehmens wurde abgewiesen. Der Bescheid der Aufsichtsbehörde blieb damit wirksam.

Was Webseitenbetreiber jetzt tun sollten

Das Urteil stärkt die Rechte von Internetnutzern deutlich und setz klare Anforderungen an Cookie-Banner:

  • Auf der ersten Ebene muss eine gleichwertige „Alles ablehnen“-Option neben „Alle akzeptieren“ angeboten werden.
  • Die Einwilligung muss frei, informiert und eindeutig erfolgen – ohne Irreführung oder Druck.
  • Cookie-Banner dürfen keine manipulative Gestaltung (Nudging) verwenden.

Praxistipp

Webseitenbetreiber sollten ihre Cookie-Consent Lösungen dringend prüfen und anpassen. Wer gegen die Anforderungen verstößt, riskiert Abmahnungen und Bußgelder.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27

    Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10

    Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31

    Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30

    Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Ausschluss eines Betriebsratsmitglieds BAG Betroffenenrecht BGH Bildnisse Bußgeld Cookie-Banner Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitales Zeitalter Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Foto- und Videoaufnahmen Gesundheitsdaten Google Fonts HmbBfDI Kundengewinnung Kurzbeitrag Künstliche Intelligenz Mental Privacy Microsoft Nachbarschaftskontrolle Online-Werbung Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media TikTok Tracking unberechtigte Veröffentlichung Unzulässigkeit privater Foto- und Videoaufnahmen Update Verbraucherrechte Website Wettbewerbsverstoß „Transparency & Consent Framework“ (TCF)

TikTok: 530 Millionen Euro Bußgeld wegen Datenübermittlung nach ChinaAusschluss eines Betriebsratsmitglieds wegen groben Datenschutzverstoßes