In den letzten Tagen wurde vermehrt über die Entscheidung des Verwaltungsgerichts Hannover (Urteil vom 19.März 2025, Az: 10 A 5385/22) zur unzulässigen Gestaltung eines Cookie-Banners auf der Webseite eines Verlagshauses berichtet.
In der Berichterstattung war zu lesen, dass das Gericht entschieden hätte, dass Cookie-Banner eine „Alles ablehnen“-Schaltfläche zwingend vorhalten müssten.
Und sogar die im Verfahren involvierte Aufsichtsbehörde aus Niedersachsen betitelt ihre Pressemeldung dazu leider wie folgt: „Urteil zu manipulativem Cookie-Banner: „Alles ablehnen“-Schaltfläche ist ein Muss“. Die Behörde führt dort weiter aus: „Webseitenbetreiber müssen bei Cookie-Einwilligungsabfragen eine gut sichtbare „Alles ablehnen“-Schaltfläche auf der ersten Ebene im Einwilligungsbanner anbieten, wenn es eine „Alle akzeptieren“-Option gibt“. Diese Aussage kann ich der Entscheidung des Gerichts nicht entnehmen.
Meines Erachtens ist diese Auslegung des Urteils und sind die Aussagen in der Pressemitteilung jedoch falsch. Das Gericht hat gerade nicht entschieden, dass es zwingend (und stets) eine Pflicht gibt, das Cookie-Banner eine solche Schaltfläche vorhalten müssen.
Dies möchte ich kurz anhand der Aussagen des Gerichts und dem zugrundeliegenden Sachverhalt begründen.
Erstens
Bereits die Leitsätze des Urteils geben eine Auslegung für eine Pflicht zu einem „Alles ablehnen“-Button nicht her.
Das Gericht stellt fest, dass eine Einwilligung nicht freiwillig erteilt wird (und damit unwirksam ist), wenn es wie hier die Gestaltung eines Cookie-Einwilligungsbanners mit zwei Ebenen betrifft, bei welchem auf erster Ebene nur die Auswahlmöglichkeiten „Alle akzeptieren“, „Akzeptieren & schließen x“ und „Einstellungen“ bestehen. Es ist meines Erachtens sehr wichtig zu verstehen, was das Gericht geprüft hat: einen Cookie-Banner, der auf der ersten Eben schlicht keine Ablehnungsmöglichkeit vorsah.
Die Pflicht, eine „Alles ablehnen“-Schaltfläche vorzuhalten, wird aber gar nicht angesprochen.
Im Übrigen hat auch die Aufsichtsbehörde selbst, in ihrem Bescheid gegenüber dem Unternehmen, dies gar nicht verlangt. In dem Bescheid vom 23.11.2022 verpflichtet die Aufsichtsbehörde das Unternehmen
„auf der Website www.noz.de die Anforderungen an wirksame – insbesondere informierte und freiwillige – Einwilligungen gemäß Art. 4 Nr. 11 und Art. 7 DSGVO umzusetzen, soweit es für die Rechtmäßigkeit des Einsatzes von lokalen Speicherobjekten, Tracking-Techniken und Drittdiensten erforderlich ist“.
Es geht um eine Umgestaltung, die zur Einholung wirksamer Einwilligungen führen soll. Wie dies konkret geschieht, wird nicht vorgegeben.
Zweitens
Das Gericht prüft, ob durch die damals verwendete Gestaltung des Banners auf der Webseite eine wirksame Einwilligung nach Art. 4 Nr. 11 DSGVO eingeholt werden konnte. Dies lehnt das Gericht unter mehreren Gesichtspunkten ab.
Zum einen, da die „Informiertheit“ der Betroffenen nicht gegeben war. Das Gericht verweist auf die Rechtsprechung des EuGH, der als Mindestinformationen eine Angabe der Funktionsdauer sowie Angaben zu eventuellen Empfängern der in den Cookies enthaltenen Informationen verlangt (C-673/17).
„Daran gemessen ist zu bezweifeln, ob das Merkmal der Informiertheit für die mittels des Einwilligungsbanners der Klägerin erteilten Einwilligungen der Nutzer vorliegt.“
Zum anderen fehlt nach Ansicht des Gerichts auch eine erforderliche „freiwillige Entscheidung“.
„Jedenfalls beruhen die von der Klägerin eingeholten Einwilligungen nicht auf einer freiwilligen Entscheidung der Nutzer.“
Es fehle etwa an einer tatsächlichen Wahlmöglichkeit, also dass Betroffene ohne Nachteile auf die Erteilung der Einwilligung verzichten können.
Und dann kommt die entscheidende Aussage des Gerichts.
„Ob aus diesen Vorschriften herzuleiten ist, dass die Möglichkeit zur Ablehnung von Cookies in gleicher Weise wie die Einwilligung in das Setzen von Cookies gestaltet sein muss, ist durch die Rechtsprechung noch keiner abschließenden Klärung zugeführt worden (vgl. Sesing, MMR 2021, S. 544 (547) m.w.N.; OLG Köln, Urteil vom 3. November 2023 – I-6 U 58/23 –, juris Rn. 50). Jedenfalls darf aber das Cookie-Banner nicht so gestaltet sein, dass es den Nutzer gezielt zur Abgabe der Einwilligung hinlenkt und von der Ablehnung der Cookies abhält“.
Juristisch entscheidet sich das Gericht also gar nicht, ob es eine Pflicht zur Möglichkeit der Ablehnung auf erster Ebene, wie die Akzeptieren-Schaltfläche, geben muss. Das muss es auch nicht, da die Einwilligung bereits aus anderen Gründen nicht wirksam war. Deutlich wird dies auch durch die Einleitung des zweiten Satzes: „Jedenfalls…“. Es kommt dem Gericht also für seine Begründung nicht auf die Klärung der Frage an, ob es eine „Alles ablehnen-Schaltfläche“ braucht.
Die Kritik des Gerichts, in Bezug auf die fehlende Wahlmöglichkeit, richtet sich etwa auf den erheblichen Mehraufwand für Betroffene, wenn sie die Einwilligung nicht erteilen möchten. Hierzu das Gericht:
„Während die umfassende Einwilligung auf erster Ebene gleich durch zwei Buttons („Alle akzeptieren“ sowie „Akzeptieren & schließen x“) erteilt werden kann, muss für eine Ablehnung zunächst auf erster Ebene der Button „Einstellungen“ ausgewählt werden. Auf zweiter Ebene des Banners folgen fünf verschiedene Drop Down Menus mit weiteren Unterpunkten,…“
Das Gericht geht in seiner Begründung auch ausdrücklich davon aus, dass „eine Ablehnungsoption auf erster Ebene nicht besteht“ – fügt jedoch nicht an, dass allein dies bereits einen Verstoß gegen die DSGVO oder das TDDDG darstellen würde. Wie gesagt, das musste es auch nicht.
Fazit
Die Frage, ob zwingend eine „Alles ablehnen-Schaltfläche“ vorzuhalten ist, hat auch das VG Hannover (verständlicherweise) nicht adressiert. Weil es auf diese Frage nicht ankam. Dass die zuständige Aufsichtsbehörde in ihrer Pressemitteilung aus dem Urteil eine solche Pflicht ableitet bzw. dem Gericht im Grunde diese Aussage zuspricht, finde ich sehr schade.
(P.S.: zudem würde mich die Meinung der Aufsichtsbehörde dazu interessieren, ob denn eine „Alles ablehnen-Schaltfläche“ tatsächlich auch gesetzeskonform und nicht selbst irreführend ist? Denn: wenn ich Nutzern suggeriere, dass sie alle Cookies ablehnen können, obwohl ich auch technisch erforderliche Cookies nutze, die man nicht ablehnen kann, dann stelle eine solche Schaltfläche aus meiner Sicht eine falsche Information dar)