Am 19. März 2025 hat das Verwaltungsgericht Hannover (Az. 10 A 5385/22) ein Urteil gefällt, das weitreichende Folgen für den Einsatz des Google Tag Managers (GTM) auf Webseiten hat. Im Zentrum steht die Frage, ob GTM – als „Container“ für Tracking-Skripte – bereits beim Betreten einer Website geladen werden darf, bevor Nutzer ausdrücklich zugestimmt haben.
Die Antwort des Gerichts ist klar: Nein.
Der Kern des Urteils
Das VG Hannover entschied, dass bereits der bloße Einsatz des Google Tag Managers ohne vorherige Einwilligung eine unzulässige Datenverarbeitung darstellt. Hintergrund ist, dass der GTM beim Laden gewisse Informationen wie IP-Adresse, Browserdaten und Referrer automatisch an Google übermittelt – und damit personenbezogene Daten verarbeitet, noch bevor eine Nutzerentscheidung gefallen ist.
Damit liegt nach Auffassung des Gerichts kein zulässiger technischer Einsatz im Sinne des § 25 TTDSG vor, sofern keine ausdrückliche und vorherige Einwilligung durch ein Cookie-Consent-Banner vorliegt.
Kritik an gängigen Consent-Bannern
Besondere Aufmerksamkeit widmete das Gericht auch der Gestaltung von Cookie-Bannern. Beanstandet wurden sogenannte „Dark Patterns“ – also manipulative Designtechniken, die Nutzerinnen und Nutzer gezielt zur Zustimmung bewegen sollen. Dazu gehören u. a.:
- schwer erkennbare Ablehnen-Buttons
- versteckte Optionen hinter mehreren Klicks
- irreführende X-Schaltflächen, die eine Ablehnung suggerieren
Das Gericht stellte klar: Eine echte Freiwilligkeit liegt nur dann vor, wenn Nutzer ohne Umwege und ohne Druck ablehnen können.
Was ist mit dem Google Advanced Consent Mode?
Ein weiteres kritisches Thema betrifft den Google Advanced Consent Mode (v2). Auch wenn dieser von Google als datenschutzfreundliche Lösung vermarktet wird, ist bereits die Übermittlung eines „denied“-Signals als unzulässige Datenverarbeitung ohne gültige Einwilligung. Denn schon beim Laden der Seite wird eine Verbindung zu Google hergestellt – auch wenn der Nutzer ausdrücklich noch keine Zustimmung erteilt hat.
Damit ist klar: Auch der Advanced Mode erfüllt nicht die Anforderungen an eine DSGVO-konforme Einwilligung und darf ohne vorheriges Opt-In nicht verwendet werden. Webseitenbetreiber sollten sich daher nicht auf „technisch elegante“ Workarounds verlassen, sondern auf eindeutig rechtskonforme Lösungen setzen.
Bedeutung für Webseitenbetreiber
Für Betreiber von Webseiten – insbesondere solche mit hoher Reichweite oder Marketing-Fokus – ist dieses Urteil ein deutlicher Weckruf. Die bisher häufig praktizierte Vorgehensweise, den Google Tag Manager direkt beim ersten Seitenaufruf zu laden, verstößt gegen geltendes Datenschutzrecht, sofern keine valide Einwilligung vorliegt.
Zudem wird deutlich, dass nicht nur das ob, sondern auch das wie der Einwilligung entscheidend ist. Unternehmen müssen daher sicherstellen, dass ihre Cookie-Banner nicht nur technisch funktionieren, sondern auch rechtlich belastbar und fair gestaltet sind.
Unsere Einschätzung
Als Agentur, die sich auf DSGVO-konforme Webseiten-Setups spezialisiert hat, sehen wir in diesem Urteil sowohl eine Herausforderung als auch eine Chance. Es zeigt, wie wichtig eine rechtskonforme Nutzerführung und ein sensibler Umgang mit Tracking-Tools geworden ist – gerade im Spannungsfeld zwischen Marketinginteressen und Datenschutzgrundsätzen. Als Premium-Partner von Cookiebot by Usercentrics sind wir der perfekte Ansprechpartner für eine DSGVO-konforme Einrichtung des Cookie-Consent-Tools.
Viele Webseiten sind nach wie vor nicht vollständig compliant – sei es durch technische Voreinstellungen, unklare Einwilligungsprozesse oder mangelnde Transparenz. Das VG Hannover hat hier nun klare Maßstäbe gesetzt, die wohl auch über den Einzelfall hinaus Wirkung entfalten dürften.
Fazit
Das Urteil des VG Hannover unterstreicht, was Datenschützer schon lange betonen: Transparenz, Fairness und Freiwilligkeit sind die zentralen Prinzipien der Einwilligung. Wer auf Google Tag Manager oder ähnliche Dienste setzt, muss dies datenschutzkonform und nutzerzentriert gestalten.
Webseitenbetreiber sollte unbedingt, ihre aktuellen Consent-Lösungen und Skript-Einbindungen genau prüfen. Denn bei Verstößen drohen nicht nur Bußgelder, sondern auch Reputationsverluste.
Quelle: Shopbetreiber-Blog
