Entscheidungsgründe

Die Klage hat keinen Erfolg, da sie zwar zulässig (I.), aber unbegründet ist (II.).

I. Die Klage ist zulässig. Gemäß § 20 Abs. 1 Satz 1 BDSG ist für Rechtsansprüche aus der DSGVO nach Art. 78 Abs. 1 und 2 der DSGVO der Verwaltungsrechtsweg gegeben. Das Verwaltungsgericht Hannover ist gemäß § 20 Abs. 3 BDSG örtlich zuständig, da der Beklagte seinen Sitz in Hannover hat. Die Klage gegen die Verfügungen des Beklagten aus dem Bescheid vom 23. November 2022 ist als Anfechtungsklage statthaft.

II. Die Klage ist indes unbegründet. Der Bescheid des Beklagten vom 23. November 2022 ist rechtmäßig und verletzt die Klägerin nicht in ihren Rechten (§ 113 Abs. 1 Satz 1 VwGO).

1. Für die Beurteilung der Rechtmäßigkeit der Verfügungen maßgeblich sind das NDSG und das TTDSG in ihren Fassungen zum Zeitpunkt des Erlasses der Verfügung vom 23. November 2022. Spätere Änderungen, etwa die Umbenennung des TTDSG in das TDDDG und die Einfügung des § 20a NDSG, sind nicht zu berücksichtigen. Denn bei der Beurteilung der Erfolgsaussichten einer Klage richtet sich der für die Entscheidung maßgebliche Zeitpunkt nach der materiellen Rechtslage. Bei Anfechtungsklagen, die die Beurteilung der Rechtswidrigkeit eines Verwaltungsaktes zum Gegenstand haben, ist grundsätzlich die Sach- und Rechtslage zum Zeitpunkt der behördlichen Entscheidung zugrunde zu legen (Kopp/Schenke, VwGO, 30. Aufl. 2024, § 113 Rn. 41). Eine Ausnahme stellen Verwaltungsakte mit Dauerwirkung dar: Diese müssen für ihre Rechtswidrigkeit dauerhaft rechtswidrig sein, also auch noch zum Zeitpunkt der gerichtlichen Entscheidung (Kopp/Schenke, VwGO, 30. Aufl. 2024, § 113 Rn. 43 ff.). Bei der Anordnung des Beklagten, rechtswirksame Einwilligungen einzuholen, handelt es sich lediglich um ein einmaliges Gebot, nicht jedoch um einen Dauerverwaltungsakt. Denn der Befehl dauert zwar bis zum Zeitpunkt seiner Erfüllung an, ist aber nicht strukturell mit einem Dauerverwaltungsakt wie etwa einer Gewerbeuntersagung vergleichbar.

2. Die unter Ziffer 1.a. ausgesprochene Anordnung ist rechtmäßig.

a. Die Rechtsgrundlage für die Anordnung findet sich in Art. 58 Abs. 2 lit. d DSGVO, soweit der Beklagte die Einhaltung der Vorschriften der DSGVO rügt. Danach verfügt die Aufsichtsbehörde über sämtliche Befugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.

Wenn der Beklagte hingegen die Einhaltung der Vorschriften des TTDSG rügt, so ergibt sich die Rechtsgrundlage für die Verfügung aus § 20 Abs. 1 NDSG in Verbindung mit Art. 58 Abs. 2 lit. d DSGVO.

Art. 58 DSGVO gilt weder unmittelbar noch entsprechend für die Einhaltung der Bestimmungen des TTDSG, sondern für eine Anwendbarkeit der Befugnisse aus Art. 58 DSGVO müssten die Länder in den Landesdatenschutzgesetzen eigene Befugnisnormen oder Verweise auf die Befugnisse des Art. 58 DSGVO schaffen (vgl. Benedikt, in Gierschmann/Baumgartner, TTDSG, 1. Aufl. 2023, § 29 Rn. 27, 31-33; Engeler, in Assion, TTDSG, 1. Aufl. 2022, § 29 Rn. 56; Hadidi, in Geppert/Schütz, Beck'scher TKG-Kommentar, 5. Aufl. 2023, § 29 TTDSG Rn. 5; Golland, NJW 2021, S. 2238 (2242)). § 29 Abs. 3 TTDSG schafft eine Verweisung auf die Befugnisse des Art. 58 DSGVO nur für den Bundesdatenschutzbeauftragten, die Länder müssten eine solche Verweisungsnorm für ihre Landesdatenschutzbeauftragten selbst schaffen, so wie im neuen § 20a Abs. 2 NDSG (Burkhardt/Reif/Schwartmann, in Schwartmann/Jaspers/Eckhardt, TTDSG, 1. Aufl. 2022, § 25 Rn. 159; Engeler, in Assion, TTDSG, 1. Auf. 2022, § 29 Rn. 54; Piltz, CR 2021, S. 555 (564)).

In § 20 Abs. 1 NDSG werden der von der oder dem Landesbeauftragten für den Datenschutz geleiteten Behörde die Befugnisse nach Art. 58 Abs. 1 bis 3 DSGVO auch in Bezug auf die Vorschriften des NDSG und "andere datenschutzrechtliche Bestimmungen" zugewiesen. Hierunter lässt sich auch § 25 TTDSG fassen.

§ 25 TTDSG stellt zwar keine datenschutzrechtliche Vorschrift im engeren Sinne dar, welche dezidiert den Schutz der personenbezogenen Daten im Sinne des Art. 8 GrCh bezweckt, da § 25 TTDSG Informationen unabhängig vom Personenbezug schützt. Die Bestimmung, welche Art. 5 Abs. 3 der ePrivacy-Richtlinie umsetzt, dient ausweislich Erwägungsgründen 24, 25, 65 und 66 der diese ändernden Richtlinie 2009/136/EG dem in Art. 7 GrCh garantierten Schutz der Privatsphäre der Nutzer. Im Hinblick auf ihre Schutzrichtung kann die Vorschrift allerdings auch als Datenschutzvorschrift verstanden werden, da der Anwendungsbereich zwar breiter als derjenige von Art. 6 Abs. 1 DSGVO ist, personenbezogene Daten aber auch vom Anwendungsbereich des TTDSG umfasst werden (LG München I, Urteil vom 29. November 2022 - 33 O 14776/19 -, juris Rn. 117; Benedikt in Gierschmann/Baumgartner, TTDSG, 1. Aufl. 2023, § 29 Rn. 21).

Sowohl das Rechtsgut der Privatsphäre als auch das der personenbezogenen Daten stehen zudem in engem Zusammenhang miteinander (EuGH, Urteil vom 9. November 2010 - C-92/09 und C-93/09 -, juris Rn. 47). Im Grundgesetz wären sowohl das Recht auf den Schutz der Privatsphäre als auch auf den Schutz personenbezogener Daten als Ausprägungen des Allgemeinen Persönlichkeitsrecht zu verstehen. Vielmals bestehen deshalb Überschneidungen beider Grundrechte, die entweder durch einen Vorrang des spezielleren Rechts auf den Schutz personenbezogener Daten (so Jarass, in ders., Charta der Grundrechte der EU, 4. Aufl 2021, Art. 8 Rn. 4) oder durch parallele Anwendung von Art. 7 und Art. 8 GrCh als einheitliches Recht auf "Achtung des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten" (EuGH, Urteil vom 9. November 2010 - C-92/09 und C-93/09 -, juris Rn. 47, 52) gelöst werden. Von solch einer Verwandtschaft beider Rechtsgüter scheint auch der europäische Gesetzgeber auszugehen, wenn er in Art. 95 DSGVO für bestimmte Anwendungsbereiche einen lex-specialis-Grundsatz zwischen der DSGVO und der ePrivacy-Richtlinie ausformt. Gemäß Art. 1 Abs. 2 ePrivacy-Richtlinie bezweckt die Richtlinie außerdem eine "Detaillierung und Ergänzung" der Bestimmungen der DSGVO im Bereich der elektronischen Kommunikation.

Ob das TTDSG eine "andere datenschutzrechtliche Bestimmung" ist, ist zudem auch eine Frage der Auslegung des § 20 NDSG, nicht allein des TTDSG. Versteht man "datenschutzrechtliche Bestimmungen" so wie die Klägerin allein als das Recht zum Schutz personenbezogener Daten und damit als ein "Datenschutzrecht im engeren Sinne", so würde das TTDSG nicht unter § 20 Abs. 1 NDSG fallen. Allerdings ist in § 20 Abs. 1 NDSG ausdrücklich nicht die Rede von "Bestimmungen zum Schutz personenbezogener Daten", sondern bloß von "datenschutzrechtlichen Bestimmungen". Insofern ist bereits die Auslegung der Klägerin, hierunter könnten nur solche Bestimmungen fallen, die allein das Rechtsgut des Art. 8 GrCh schützen sollen, nicht im Wortlaut der Norm angelegt. Insbesondere die Formulierung "andere datenschutzrechtliche Bestimmungen" lässt vielmehr darauf schließen, dass es sich um eine Auffangregelung für sonstige, neben der DSGVO und dem NDSG geltende Vorschriften handeln soll, die mit der Verarbeitung von Daten und dem Schutz der Rechte dieses Dateninhabers im Zusammenhang stehen, wie beispielsweise § 25 TTDSG.

Dass es sich bei § 20 Abs. 1 NDSG gerade um eine Auffangregelung handeln soll, die das Auseinanderfallen der Zuständigkeiten im Zusammenhang mit der Datenverarbeitung zum Ziel hat, zeigt gerade das hier vorliegende Beispiel der Aufsicht über die Einhaltung des § 25 TTDSG:

Würde man diese Bestimmung im Rahmen einer engen Auslegung nicht unter § 20 Abs. 1 NDSG fallen lassen, würde dies womöglich zu einer unsinnigen Kompetenzspaltung für die Aufsicht über einen einheitlichen Lebenssachverhalt führen. Denn beim Speichern und Auslesen von Cookies und anderen Informationen in Endgeräten von Nutzern werden typischerweise auch personenbezogene Daten ausgelesen und verarbeitet. Eine scharfe Trennung zwischen der Verarbeitung personenbezogener Daten und dem Speichern und Auslesen von Informationen wie Cookies ist oftmals unmöglich, wie insbesondere der durch die Klägerin beschriebene Vorgang des Real Time Biddings zeigt: Vorgänge, die sich innerhalb weniger Sekundenbruchteile abspielen, müssten voneinander abgegrenzt werden. Regelmäßig werden beim Speichern und Auslesen von Informationen wie Cookies ohnehin personenbezogene Daten verarbeitet, wenn die Cookies gerade der Erstellung eines individuellen Nutzerprofils dienen (ähnlich auch DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten, Version 1.2, Stand: November 2024, Rn. 14). Wäre hierfür nicht dieselbe Aufsichtsbehörde zuständig, würde dies zur unnötigen Aufspaltung eines einzigen Vorgangs führen. Dies wäre einerseits ein Mehraufwand für zwei verschiedene Aufsichtsbehörden, die beispielsweise bei der Überprüfung der Rechtmäßigkeit einer Einwilligung in die Datenverarbeitung nach Art. 6 Abs. 1 DSGVO und in das Speichern und Auslesen von Informationen nach § 25 TTDSG dasselbe Prüfprogramm hätten, da § 25 Abs. 1 Satz 2 TTDSG für die Einwilligung ausdrücklich auf die DSGVO Bezug nimmt. Die Landesdatenschutzbeauftragten verfügen ohnehin schon über die personelle und technische Ausstattung, um die Sachverhalte umfassend zu ermitteln. Andererseits könnten zwei verschiedene Aufsichtsbehörden voneinander abweichende, sogar widersprüchliche Entscheidungen treffen. Sowohl für die Betroffenen als auch die Verantwortlichen der Datenverarbeitung wäre dies intransparent und könnte zu absurden Ergebnissen führen. Das Schaffen einer Auffangregelung, um eine solche letztendlich rechtsunsichere Trennung im Bereich der Verarbeitung von Daten - personenbezogener, aber auch sonstiger - zu verhindern, kann daher als Zielrichtung der Zuweisung von Befugnissen in § 20 Abs. 1 NDSG einheitlich an den Beklagten verstanden werden.

Auch der Gesetzgeber des TTDSG hat den Zugriff auf Endeinrichtungen nach § 25 TTDSG und die anschließende Verarbeitung von personenbezogenen Daten als einheitlichen Lebenssachverhalt bewertet, der durch dieselbe Behörde zu beaufsichtigen ist. Dieser gesetzgeberische Wille wird in § 29 TTDSG deutlich, welcher auf Bundesebene die Zuständigkeit und die Befugnisse für die Überwachung der Einhaltung des § 25 TTDSG dem auf Bundesebene auch für die DSGVO zuständigen Bundesdatenschutzbeauftragten zuweist.

Da auch der Landesgesetzgeber - bis zur Schaffung des § 20a NDSG zur eindeutigen Klarstellung aus Gründen der Rechtssicherheit (Nds. LT-Drs. 19/3433, S. 7) - eine spezielle Befugnisnorm zur Kontrolle der Einhaltung des TTDSG nicht geschaffen hat und ein aufsichtsfreier Raum Art. 15a ePrivacy-Richtlinie widersprechen würde, darf angenommen werden, dass auch dieser von einer Befugnis des Beklagten zur Kontrolle der Einhaltung des § 25 TTDSG als Datenschutzaufsichtsbehörde Niedersachsens ausging.

"Andere datenschutzrechtliche Bestimmungen" im Sinne des § 20 Abs. 1 NDSG ist daher als Auffangregelung zu verstehen, die auch § 25 TTDSG umfasst. Dies entspricht insbesondere dem Sinn und Zweck, einer einheitlichen Behörde Befugnisse und Zuständigkeiten für alles, was mit dem Umgang mit Daten eines Endverbrauchers in Verbindung steht, zuzuweisen.

Diese Lesart des § 20 Abs. 1 NDSG kann auch mit § 113 Satz 1 MStV in Einklang gebracht werden, welcher die Überschrift "Datenschutzaufsicht bei Telemedien" trägt und die "Einhaltung der allgemeinen Datenschutzbestimmungen" den "nach den allgemeinen Datenschutzgesetzen des Bundes und der Länder zuständigen Aufsichtsbehörden" zuweist. Die Bestimmung wird ebenfalls so verstanden, dass im Bereich der Datenverarbeitung durch Telemedien einheitlich die allgemeinen Datenschutzaufsichtsbehörden zuständig sein sollen (für die inhaltsgleiche Vorgängerregelung des § 59 Abs. 1 RStV Volkmann, in Spindler/Schuster, Recht der elektronischen Medien, 4. Aufl. 2019, § 59 RStV Rn. 21). Unter "allgemeine Datenschutzbestimmungen" im Sinne des § 113 Satz 1 MStV werden neben den Anforderungen aus DSGVO, BDSG und dem ehemaligen TMG auch das TTDSG verstanden (Cornils, in Binder/Vesting, Beck'scher Kommentar zum Rundfunkrecht, 5. Aufl. 2024, § 113 MStV Rn. 2; Fiedler, in Gersdorf/Paal, BeckOK Informations- und Medienrecht, 47. Edition, § 113 MStV Rn. 5; Hanloser, ZD 2021, S. 399). Auch das Ziel dieser Regelung ist es, eine Zersplitterung von Kompetenzen und Zuständigkeiten im Bereich der Aufsicht über den Umgang mit Nutzerdaten durch Telemedien zu vermeiden und diese stattdessen unter die einheitliche Aufsicht einer Behörde zu stellen.

b. Der Bescheid ist formell rechtmäßig.

aa. Der Beklagte ist für den Erlass des Bescheides zuständig.

Dies ergibt sich aus § 40 Abs. 1 BDSG, § 22 Satz 1 Nr. 1 NDSG und Art. 55 f. DSGVO. Der Beklagte beanstandet mit seiner Anordnung, dass die Klägerin personenbezogene Daten ihrer Nutzer ohne rechtswirksame Einwilligungen im Sinne des Art. 6 Abs. 1 lit. a DSGVO verarbeite. Insofern ist der Beklagte als Aufsichtsbehörde für die Überwachung der Einhaltung der DSGVO zuständig.

In Bezug auf die Überwachung der Einhaltung des TTDSG ergibt sich die Zuständigkeit des Beklagten aus § 1 Abs. 1 Nr. 8 TTDSG in Verbindung mit § 19 Abs. 1 NDSG. Gemäß § 1 Abs. 1 Nr. 8 TTDSG bestimmt sich die Zuständigkeit für die Überwachung der Einhaltung des TTDSG nach dem jeweiligen Landesrecht, wenn es sich bei den Normadressaten des § 25 TTDSG um öffentliche Stellen eines Landes oder um eine private Stelle, die kein Anbieter eines Telekommunikationsdienstes ist, handelt. Nach § 19 Abs. 1 NDSG übt der Beklagte seine Aufgabe als Aufsichtsbehörde nach der DSGVO auch in Bezug auf das NDSG und andere datenschutzrechtliche Bestimmungen aus.

bb. Die Klägerin ist vor Erlass des angegriffenen Bescheids am 27. Juli 2022 angehört worden und hat am 25. August 2022 zu den durch den Beklagten gerügten Rechtsverstößen Stellung genommen.

c. Die Verfügung zu Ziffer 1.a. ist materiell rechtmäßig.

Nach Art. 58 Abs. 2 lit. d DSGVO in Verbindung mit § 20 Abs. 1 NDSG kann die Aufsichtsbehörde den Verantwortlichen anweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO, dem NDSG oder anderen datenschutzrechtlichen Bestimmungen zu bringen. Voraussetzung für eine Anweisung ist, dass die Verarbeitungsvorgänge von der DSGVO oder anderen datenschutzrechtlichen Vorschriften abweichen und die Anweisungen diese Abweichung beseitigen.

aa. Die Verwendung von Cookies und anderen Technologien auf der Website der Klägerin verstößt gegen § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 DSGVO.

(1) Nach § 25 TTDSG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat, es sei denn, der alleinige Zweck ist die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz oder die Speicherung oder der Zugriff sind unbedingt erforderlich, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.

(a) Unstreitig werden im Speicher der Endgeräte der jeweiligen Nutzer der Website der Klägerin sogenannte Cookies gespeichert. Cookies sind Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Website wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen (BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 -, juris Rn. 49). Die Tests des Beklagten haben ergeben, dass nach dem Klick auf den Button "Alle akzeptieren" bzw. "Akzeptieren & schließen x" im Einwilligungsbanner der Klägerin verschiedene First- und Third-Party-Cookies sowie Objekte im Local Storage auf den Endgeräten der Nutzer gespeichert werden. Lediglich die Anzahl der gesetzten Cookies wird von der Klägerin teilweise in Abrede gestellt. Darauf kommt es vorliegend allerdings nicht an.

Das Setzen und Auslesen von Cookies stellt eindeutig eine Speicherung von Informationen in der Endeinrichtung und einen Zugriff auf dort bereits gespeicherte Informationen im Sinne des § 25 Abs. 1 TTDSG dar, unabhängig davon, ob First- oder Third-Party-Cookies gesetzt und ausgelesen werden.

(b) Es ist weder vorgetragen noch ersichtlich, dass es sich bei den nach dem Klick im Einwilligungsbanner auf "Alle akzeptieren" bzw. "Akzeptieren & schließen x" gesetzten Cookies um technisch erforderliche Cookies handelt, für welche nach § 25 Abs. 2 Nr. 2 TTDSG kein Einwilligungserfordernis besteht.

(c) Für das Setzen dieser Cookies ist nach § 25 Abs. 1 TTDSG eine wirksame Einwilligung der Nutzer erforderlich, welche den Anforderungen der DSGVO entspricht. Eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Hinsichtlich des Zeitpunkts der Einwilligungserteilung muss eine entsprechende Erklärung bereits erteilt sein, bevor der einwilligungsbedürftige Zugriff auf die Endeinrichtung erfolgt.

(aa) Welche Voraussetzungen an eine "in informierter Weise" erteilte Einwilligung zu stellen sind, wird weder in § 25 Abs. 1 TTDSG noch in Art. 4 Nr. 11, 7 DSGVO geregelt. Der EuGH fordert als Mindestinformationen eine Angabe der Funktionsdauer sowie Angaben zu eventuellen Empfängern der in den Cookies enthaltenen Informationen (EuGH, Urteil vom 1. Oktober 2019 - C-673/17 -, juris Rn. 75-81). Die zu erteilenden klaren und umfassenden Informationen müssen den Nutzer in die Lage versetzen, die Konsequenzen einer etwaigen von ihm erteilten Einwilligung leicht zu bestimmen, und gewährleisten, dass die Einwilligung in voller Kenntnis der Sachlage erteilt wird. Sie müssen klar verständlich und detailliert genug sein, um es dem Nutzer zu ermöglichen, die Funktionsweise der verwendeten Cookies zu verstehen (EuGH, ebd., Rn. 74). Nach Ansicht des Bundesgerichtshofs ist insoweit maßgeblich, von welchen Informationen der Nutzer aufgrund der Gestaltung der Einwilligungserklärung "regelmäßig" Kenntnis nehmen wird (BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 -, juris Rn. 33).

Daran gemessen ist zu bezweifeln, ob das Merkmal der Informiertheit für die mittels des Einwilligungsbanners der Klägerin erteilten Einwilligungen der Nutzer vorliegt.

Einerseits fehlt auf erster Ebene des Einwilligungsbanners die Angabe der Anzahl der über hundert Drittdienstleister der Klägerin. Bei dieser Anzahl handelt es sich um eine Information, die vielleicht nicht über die Erteilung oder Nichterteilung der Einwilligung entscheiden mag, jedoch den Nutzer dazu veranlassen kann, nicht bereits auf erster Ebene auf den Button "Alle akzeptieren" zu klicken, sondern sich die Liste der Partner vorher anzuschauen, auf zweiter Ebene die Einwilligung abzulehnen oder zu versuchen, die Anzahl der Partner zu reduzieren. Andererseits ist auf erster Ebene des Einwilligungsbanners ein Herunterscrollen notwendig, um zum Hinweis auf die Datenverarbeitung durch Anbieter in Drittstaaten wie den USA und die Möglichkeit des Widerrufs der Einwilligung zu gelangen. Regelmäßig wird ein Nutzer, der einen Artikel auf der Website der Klägerin lesen möchte, jedoch nur die erste Ebene des Einwilligungsbanners, wie es bei Erstaufruf der Website erscheint, überfliegen, ohne darin noch bis zum Ende zu scrollen. Sein Hauptinteresse wird es sein, die dahinterliegende Website aufrufen zu können. Sowohl die Einbindung von über hundert Drittdienstleistern als auch die Datenverarbeitung in Drittstaaten wie den USA sind Informationen, die dem durchschnittlichen Nutzer der Website der Klägerin gegebenenfalls nicht bewusst sind. Sie sind jedoch relevant für eine informierte Entscheidung, um das Ausmaß einer erteilten Einwilligung zu überblicken.

(bb) Jedenfalls beruhen die von der Klägerin eingeholten Einwilligungen nicht auf einer freiwilligen Entscheidung der Nutzer. Als freiwillig wird die Einwilligung nur betrachtet, wenn die betroffene Person tatsächlich eine Wahlmöglichkeit hat, also ohne Nachteile auf die Erteilung der Einwilligung verzichten kann (Klabunde/Horváth, in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 4 Rn. 53). Dazu muss die Einwilligung aufgeklärt erfolgen. In jedem Fall ist der Betroffene darauf hinzuweisen, dass er seine Einwilligung verweigern kann (Schild, in Wolff/Brink/von Ungern-Sternberg, BeckOK Datenschutzrecht, 51. Edition, Art. 4 DSGVO Rn. 128). Er muss die Möglichkeit haben, den Inhalt der von ihm erwarteten Erklärung in zumutbarer Weise zur Kenntnis zu nehmen. Dies gilt in jedem Fall bei vorformulierten Einwilligungen. Versteckte Hinweise, technische Textformate, die nicht jedem Nutzer zugänglich sind, oder undeutliche Schriftarten können diese Zumutbarkeit ebenso hindern wie überlange Texte (Ernst, in Paal/Pauly, DSGVO, 3. Aufl. 2021, Art. 4 Rn. 79, 80).

Ob aus diesen Vorschriften herzuleiten ist, dass die Möglichkeit zur Ablehnung von Cookies in gleicher Weise wie die Einwilligung in das Setzen von Cookies gestaltet sein muss, ist durch die Rechtsprechung noch keiner abschließenden Klärung zugeführt worden (vgl. Sesing, MMR 2021, S. 544 (547) m.w.N.; OLG Köln, Urteil vom 3. November 2023 - I-6 U 58/23 -, juris Rn. 50). Jedenfalls darf aber das Cookie-Banner nicht so gestaltet sein, dass es den Nutzer gezielt zur Abgabe der Einwilligung hinlenkt und von der Ablehnung der Cookies abhält (LG Köln, Urteil vom 4. Mai 2023 - 33 O 311/22; ähnlich BGH, Urteil vom 28. Mai 2020 - I ZR 7/16 -, juris Rn. 32).

Aus der Gesamtschau der Gestaltung der verschiedenen Ebenen des Einwilligungsbanners ergibt sich indes, dass Nutzer gezielt in Richtung einer Einwilligungserklärung gelenkt werden sollen und ihr Wahlrecht beeinflusst werden soll.

Wie vom Beklagten anschaulich beschrieben, besteht für Nutzer ein erheblicher Mehraufwand, wenn sie die Einwilligung nicht erteilen möchten. Während die umfassende Einwilligung auf erster Ebene gleich durch zwei Buttons ("Alle akzeptieren" sowie "Akzeptieren & schließen x") erteilt werden kann, muss für eine Ablehnung zunächst auf erster Ebene der Button "Einstellungen" ausgewählt werden. Auf zweiter Ebene des Banners folgen fünf verschiedene Drop Down Menus mit weiteren Unterpunkten, bei denen der Nutzer kontrollieren muss, ob die Opt-In-Regler abgeschaltet sind, um anschließend den Button "Auswahl speichern" auszuwählen. In diesem Fall wird der Nutzer bei jedem Besuch der Website erneut mit dem Einwilligungsbanner konfrontiert, während hingegen die umfassende Erteilung der Einwilligung gespeichert wird und das Banner nicht bei jedem Aufruf der Website erneut erscheint.

Insbesondere vor dem Hintergrund, dass Nutzer sich des Umfangs der erteilten Einwilligung möglicherweise nicht bewusst sind, da die Hinweise auf die Datenverarbeitung in Drittländern oder die Anzahl der eingebundenen Drittdienstleister nicht wahrgenommen werden, werden sie regelmäßig durch Interaktion mit dem Banner auf erster Ebene versuchen, dieses verschwinden zu lassen und die dahinterliegende Website lesen zu können. Deshalb werden sie eine Auswahl auf erster Ebene treffen, die dies möglich macht - im Rahmen der Bannergestaltung der Klägerin folglich die Erteilung einer umfassenden Einwilligung, da eine Ablehnungsoption auf erster Ebene nicht besteht. Darüber hinaus findet sich auf erster Ebene des Banners kein Hinweis darauf, dass beim Klick auf "Einstellungen" die Einwilligung verweigert werden kann. Nutzer sind sich deshalb auf erster Ebene nicht im Klaren darüber, dass sie mehrere Wahlmöglichkeiten haben. Lediglich beim Scrollen innerhalb des Banners auf erster Ebene findet sich die Formulierung "es besteht keine Verpflichtung, der Verarbeitung Ihrer Daten zuzustimmen, um dieses Angebot zu nutzen". Dass eine Ablehnungsoption auf nächster Ebene folgt, ergibt sich jedoch selbst aus diesem Hinweis nicht. Insofern ist die Gestaltung des Einwilligungsbanners irreführend. Bei den verschiedenen Auswahlmöglichkeiten auf erster Ebene ("Alle akzeptieren", "Akzeptieren & schließen x", "Einstellungen") kann vielmehr der Eindruck entstehen, dass eine Ablehnungsmöglichkeit gar nicht besteht.

Zudem ist die Funktion des Buttons "Alle akzeptieren" auf der zweiten Ebene des Einwilligungsbanners unklar: Hiermit kann erneut die umfassende Einwilligung in die Speicherung von Cookies und die Verarbeitung von Daten erteilt werden. Nutzer können die Schaltfläche indes auch so verstehen, dass die vorgenommenen Einstellungen akzeptiert werden, insbesondere, da die Schaltfläche im Gegensatz zum Button "Auswahl speichern" in blau hervorgehoben ist.

Auch das "Mürbemachen" durch die ständige Konfrontation mit dem Einwilligungsbanner beim erneuten Aufruf der Website, bis die umfassende Einwilligung erteilt wird, ist technisch nicht notwendig und wird teilweise als unzulässige Manipulationstaktik angesehen (vgl. Loy/Baumgartner, ZD 2021, S. 404 (406)).

Hinzu kommt die Gestaltung des sonst regelmäßig als "x" bezeichneten Buttons oben rechts als "Akzeptieren & schließen x". Die Gestaltung verstößt gegen die Grundsätze von Transparenz und Freiwilligkeit der Einwilligung (vgl. OLG Köln, Urteil vom 19. Januar 2024 - 6 U 80/23 -, juris Rn. 47). Das "x"-Symbol wird von Nutzern üblicherweise als Schaltfläche zum Schließen eines Fensters verstanden, wie derartige Kreuz-Schaltflächen es in den meisten Betriebssystemen bewirken. Eine Einwilligung in die Verwendung von Cookies und anderen Technologien durch einen Klick auf einen "x"Button oben rechts ist hingegen überraschend und unüblich. Dass hiermit eine Einwilligung erklärt wird, wird dem durchschnittlichen Nutzer daher nicht bewusst sein. Zwar steht unmittelbar neben dem "x"-Symbol "Akzeptieren & schließen". Die Verknüpfung dieser beiden Funktionen ist aber irreführend und intransparent für die Nutzer. Auch wird für die Nutzer nicht ohne weiteres erkennbar, dass es sich bei "Akzeptieren & schließen" und dem "x"-Symbol um ein und denselben Button handelt, da dieser in schwarzer Schrift auf weißem Hintergrund und damit in derselben farblichen Gestaltung wie der Rest des Banners gehalten ist, sich also nicht als ein einziger Button vom Banner hervorhebt.

Nach alledem verfolgt die Ausgestaltung des Einwilligungsbanners das klare Ziel, Nutzer dahingehend zu beeinflussen, eine umfassende Einwilligung in die Verwendung von Cookies und anderen Technologien zu erteilen und sie von der Möglichkeit, diese abzulehnen, abzulenken.

Für ein gezieltes Lenken der Nutzer hin zur Erteilung der umfassenden Einwilligung spricht auch das Argument der Klägerin, dass die Erteilung der Einwilligung insbesondere für das Real Time Bidding und damit die Finanzierung des Internetangebots der Klägerin unerlässlich sei. Dies deutet darauf hin, dass aufgrund der wirtschaftlichen Interessenlage der Klägerin bewusst Maßnahmen ergriffen werden, um die Nutzerentscheidung zu beeinflussen.

Die Argumente der Klägerin, dass Nutzer die Website nicht besuchen müssen, wenn sie keine Einwilligung erteilen möchten, gehen hingegen fehl. Denn die Möglichkeit, die Website zu verlassen und stattdessen eine andere zu lesen, ändert nichts an der Tatsache, dass diejenigen Nutzer, die tatsächlich eine Einwilligung erteilen, dies nicht auf Grundlage einer transparenten und freien Entscheidung tun, sondern weil die Gestaltung des Einwilligungsbanners sie dahin lenkt. Die Argumentation zielt nur auf die Frage ab, ob eine Möglichkeit zur Nichterteilung im Sinne eines "Alle ablehnen"-Buttons auf erster Ebene des Banners erforderlich ist, nicht jedoch, ob dieses durch eine gezielte Gestaltung die Nutzer zur Erteilung einer umfassenden Einwilligung beeinflusst.

(cc) Es handelt sich ferner nicht um eine unmissverständlich abgegebene Willensbekundung im Sinne des Art. 4 Nr. 11 DSGVO. Die verbindliche Erteilung der Einwilligung setzt wie jede verbindliche Willensäußerung im Rechtsverkehr in ihrem subjektiven Tatbestand ein entsprechendes Bewusstsein voraus, etwas rechtsgeschäftlich Erhebliches zu erklären. Art. 4 Nr. 11 DSGVO schreibt das bereits aus allgemein rechtsgeschäftlichen Grundsätzen erforderliche Einwilligungsbewusstsein ausdrücklich fest (Buchner/Kühling, in Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 7 DSGVO Rn. 56). Nach Erwägungsgrund 32 der DSGVO ist unmissverständlich und eindeutig etwa das Anklicken eines Kästchens beim Besuch einer Website, die Auswahl entsprechender technischer Einstellungen oder auch jede sonstige Erklärung oder Verhaltensweise, "mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert". Das Einwilligungsbanner der Klägerin hat einen insgesamt nicht eindeutig gestalteten Wortlaut, da zu keinem Zeitpunkt ausdrücklich die Erteilung einer Einwilligung im Raum steht, sondern ausweislich der Überschrift vielmehr das "optimale Nutzererlebnis" Ziel des Banners ist. Erst beim weiteren Scrollen innerhalb des Banners auf erster Ebene ist von einer "Zustimmung" die Rede. Allerdings ist zu berücksichtigen, dass durchschnittliche Nutzer der Website der Klägerin vergleichbare Banner, wie sie auf beinahe jeder Website im Internet zu finden sind, gewöhnt sein werden und ihnen daher bewusst ist, eine Einwilligungserklärung beim Klick auf den Button "Alle akzeptieren" abzugeben.

Etwas anderes gilt jedoch für diejenigen Nutzer, die oben rechts auf "Akzeptieren & schließen x" klicken. Dass eine rechtserhebliche, bewusste Einwilligung abgegeben wird, kann aufgrund der intransparenten und überraschenden Gestaltung nicht mehr angenommen werden (vgl. OLG Köln, Urteil vom 19. Januar 2024 - 6 U 80/23 -, juris Rn. 47). Stattdessen dürfte der durchschnittliche Nutzer davon ausgehen, durch das Anklicken des "x"-Symbols oben rechts das Einwilligungsbanner lediglich zu schließen, ohne eine rechtliche Erklärung abzugeben.

(2) Die Verwendung von Cookies und anderen Technologien auf der Website der Klägerin verstößt zudem gegen Art. 6 Abs. 1 DSGVO. Durch das Speichern und Auslesen von Cookies und anderen Informationen durch die Klägerin sowie ihre Drittdienstleister werden personenbezogene Daten der Nutzer der Website verarbeitet, ohne dass ein Erlaubnistatbestand nach Art. 6 Abs. 1 DSGVO besteht.

(a) Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung identifiziert werden kann. Verarbeitung ist nach Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Ausweislich der von der Klägerin innerhalb ihres Einwilligungsbanners selbst mitgeteilten Hinweise werden personenbezogene Daten wie Wiedererkennungsmerkmale oder Profildaten verarbeitet, um die Identifikation von Endgeräten sowie personalisierte Werbung, die Messung von Werbeleistung und der Performance von Inhalten, Zielgruppenforschung und die Verbesserung von Angeboten zu ermöglichen.

Nach eigenen Angaben verwendet die Klägerin bei der Versteigerung von Werbeplätzen im Wege des Real Time Biddings das TCF des IAB Europe, welches nach dem Abfragen der Einwilligung der Nutzer durch die CMP der TC-String auf dem Gerät des Nutzers als Cookie speichert. Diese codierte Zeichenkette enthält die Präferenzen eines Nutzers in Bezug auf dessen Einwilligung in die Verarbeitung der ihn betreffenden personenbezogenen Daten durch Anbieter von Websites oder Anwendungen sowie durch Datenbroker und Werbeplattformen nebst der IP-Adresse des Nutzers und eines Werbeprofils des Nutzers. Je aussagekräftiger die Inhalte des TC-Strings über die Person des Nutzers sind, desto höhere Entgelte können erzielt werden (Steidle/Skistims, in Jandt/Steidle, Datenschutz im Internet, 2. Aufl. 2024, Kap. V Rn. 233). Nach der Rechtsprechung des Europäischen Gerichtshofs stellt der Vorgang des Speicherns und Auslesens des TC-Strings eine Übermittlung personenbezogener Daten dar (EuGH, Urteil vom 7. März 2024 - C-604/22 -, juris Rn. 42 ff.).

Soweit die Klägerin dazu ausführt, für die Speicherung und Auslesung des TC-String nicht verantwortlich zu sein, da die Verantwortung stattdessen bei den Drittdienstleistern liege, dringt sie hiermit nicht durch. Als Verantwortliche nach Art. 4 Nr. 7 DSGVO können diejenigen Personen angesehen werden, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nehmen und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirken (EuGH, Urteil vom 10. Juli 2018 - C 25/17 -, Celex-Nr. 62017CJ0025 Rn. 68). Durch die Einbindung der CMP und des TCF auf ihrer Website und die hierauf fußende Übersendung des TC-Strings und der darin enthaltenen Inhalte ist es gerade die Klägerin, welche eine Verarbeitung personenbezogener Daten durch die Drittdienstleister veranlasst und ermöglicht. Ohne das Webangebot der Klägerin sowie ihre Vermittlung wäre die Verarbeitung durch werbetreibende Dritte nicht möglich, schließlich besuchen Nutzer die Website der Klägerin, um deren Inhalte zu lesen, und nicht, um personifizierte Werbung angezeigt zu bekommen. Da die Klägerin ihr Internetangebot u.a. durch die Verwertung personenbezogener Daten zum Schalten von Werbeanzeigen Dritter finanziert, besteht auch ein Eigeninteresse an der Verarbeitung. Auch der Europäische Gerichtshof geht von einer geteilten Verantwortlichkeit der Anbieter von Websites und des Branchenverbands IAB Europe aus (EuGH, Urteil vom 7. März 2024 - C-604/22 -, juris Rn. 74).

Bei jedem Besuch der Website der Klägerin verarbeitet diese zudem die vollständige IP-Adresse der Nutzer, unabhängig von der Übermittlung an Drittdienstleister im Rahmen des Real Time Biddings (vgl. die Datenschutzerklärung der Klägerin, online abrufbar unter https://www.noz.de/datenschutz, zuletzt abgerufen am 24. April 2025). IP-Adressen, die ein Anbieter von Online-Diensten wie die Klägerin speichert, stellen Einzelangaben über sachliche Verhältnisse dar, da die Daten Aufschluss darüber geben, dass zu bestimmten Zeitpunkten bestimmte Seiten bzw. Dateien über das Internet abgerufen wurden, und können daher personenbezogene Daten sein, wenn die datenverarbeitende Stelle über die rechtlichen oder tatsächlichen Mittel verfügt, um die Identität des Nutzers zu ermitteln (BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13 -, juris Rn. 17 ff.; EuGH, Urteil vom 19.10.2016 - C-582/14 -, juris Rn. 49). Als Betreiberin der Website verfügt die Klägerin über die rechtlichen Mittel, die vernünftigerweise eingesetzt werden können, um mithilfe Dritter die betreffende Person anhand der gespeicherten IP-Adressen bestimmen zu lassen. Dies ergibt sich ausweislich der Entscheidung des Bundesgerichtshofs daraus, dass diese Betreiber sich insbesondere im Fall von Cyberattacken an die zuständige Behörde wenden könnten, damit diese die nötigen Schritte unternehme, um die fraglichen Informationen vom Internetzugangsanbieter zu erlangen und die Strafverfolgung einzuleiten (BGH, Urteil vom 16. Mai 2017 - VI ZR 135/13 -, juris Rn. 25). Auch den Drittdienstleistern der Klägerin ist eine solche Zusammenführung demzufolge möglich. Es ist daher irrelevant, dass die Klägerin versichert, erhobene personenbezogene Daten nicht miteinander zusammenzuführen, da es ihr technisch und rechtlich zumindest möglich wäre.

Darauf, ob in den durch die Klägerin oder ihre Dienstleister gesetzten Cookies individuelle Kennungen (Nutzer-IDs) gespeichert werden, die zumindest die Bestimmbarkeit des Nutzers durch die Klägerin sowie ihre Drittdienstleister ermöglichen, kommt es im Ergebnis nicht an. Eine solche individuelle Kennung könnte dann im Zusammenspiel mit der IP-Adresse ebenfalls einen Personenbezug ermöglichen.

(b) Die Verarbeitung personenbezogener Daten durch die Klägerin erfolgt nicht zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO. Voraussetzung dieses Erlaubnistatbestands ist eine Verpflichtung kraft Gesetzes oder kraft einer auf einem Gesetz beruhenden Anordnung, Daten zu verarbeiten, mithin zu erheben, aufzuzeichnen, zu speichern oder weiterzugeben (Frenzel, in Paal/Pauly, DSGVO BDSG, 3. Aufl. 2021, Art. 6 Rn. 16). Erforderlich ist, dass sich die in einer Vorschrift normierte Verpflichtung unmittelbar auf die Datenverarbeitung bezieht. Typischerweise verstößt der Verantwortliche gegen eine gesetzliche Verpflichtung, wenn er die fragliche Verarbeitung nicht vornimmt (Buchner/Petri, in Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 6 Rn. 76). Entgegen der Ansicht der Klägerin schafft § 25 Abs. 1 TTDSG keine unmittelbare Rechtspflicht zum Verarbeiten personenbezogener Daten. Die Norm bestimmt lediglich, dass für die Verwendung von Cookies eine Einwilligung der Nutzer erforderlich ist. Eine Pflicht zur Erhebung, Speicherung oder Weitergabe personenbezogener Daten wird dadurch jedoch nicht unmittelbar statuiert. Die Vorschrift verpflichtet weder unmittelbar zum Setzen von Cookies noch zum Auslesen der IP-Adressen und IDs der Nutzer. Allein der Umstand, dass ein Verantwortlicher, um irgendeine rechtliche Verpflichtung erfüllen zu können, auch personenbezogene Daten verarbeiten muss, reicht demgegenüber nicht aus (Buchner/Petri, in Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 6 Rn. 76).

(c) Die Verarbeitung ist auch nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Nach dieser Vorschrift ist die Datenverarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Im Rahmen einer dreistufigen Prüfung ist zu ermitteln, ob zum Zeitpunkt der Verarbeitung ein berechtigtes Interesse des Verantwortlichen oder eines Dritten, dem die Daten übermittelt werden, vorliegt, ob die Datenverarbeitung zur Verwirklichung dieses Interesses erforderlich ist und ob die Grundrechte und Grundfreiheiten der von der Datenverarbeitung Betroffenen nicht das wahrgenommene berechtigte Interesse überwiegen (EuGH, Urteil vom 11. Dezember 2019 - C-708/18 -, juris Rn. 40). Aus der Rechenschaftspflicht des Verantwortlichen für die Einhaltung der datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 2 DSGVO folgt, dass der Verantwortliche bereits vor Beginn der Verarbeitung diese Abwägung auf der Grundlage der konkreten Umstände des Einzelfalls vorzunehmen hat und dafür beweispflichtig ist (Heberlein, in Ehmann/Selmayr, DSGVO, 3. Aufl. 2024, Art. 6 Rn. 46). Der Verantwortliche muss mithin selbst eine Interessenabwägung durchführen, die durch die Aufsichtsbehörden und Gerichte nachvollzogen werden kann (DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten, Version 1.2, Stand: November 2024, Rn. 110). Eine solche dreistufige Interessenabwägung nimmt die Klägerin weder im Rahmen ihrer Datenschutzhinweise auf ihrer Website noch im Klageverfahren vor, sondern beruft sich pauschal auf den Erlaubnistatbestand. Die Erstellung redaktioneller Inhalte sei ihr nur möglich, indem sie ihr Angebot durch Werbung und andere Marketingmaßnahmen finanziere (vgl. die Datenschutzerklärung der Klägerin, online abrufbar unter https://www.noz.de/datenschutz, zuletzt abgerufen am 24. April 2025). Eine Rechtfertigung im Rahmen der Interessenabwägung scheidet darüber hinaus auch aus.

(aa) Als berechtigt darf jedes rechtliche, tatsächliche, wirtschaftliche oder ideelle Interesse des Verantwortlichen angesehen werden, soweit es von der Rechtsordnung nicht missbilligt wird. Das berechtigte Interesse muss auf einen konkreten Verarbeitungs- oder Nutzungszweck gerichtet sein. Es muss zum Zeitpunkt der Datenverarbeitung entstanden und vorhanden sein und darf zu diesem Zeitpunkt nicht hypothetisch sein (EuGH, Urteil vom 11. Dezember 2019 - C-708/18 -, juris Rn. 44). Der Verantwortliche hat sein berechtigtes Interesse substantiiert vorzutragen und zu belegen (vgl. Art. 5 Abs. 2 DS-GVO; Taeger in Taeger/Gabel, DSGVO-BDSG-TTDSG, 4. Aufl. 2022, Art. 6 Rn. 135; vgl. auch EuGH, Urteil vom 24. Februar 2022 - C-175/20 -, juris Rn. 77; BVerwG, Urteil vom 2. März 2022 - 6 C 7.20 -, juris Rn. 50).

Die Finanzierung des journalistischen Internetangebots der Klägerin durch Werbung, insbesondere durch die Versteigerung personalisierter Werbeplätze an Drittdienstleister, ist ein wirtschaftliches Interesse, welches die Klägerin im Klageverfahren substantiiert dargelegt hat. Es entspricht grundsätzlich ihrer unternehmerischen Freiheit, sich zu entscheiden, journalistische Inhalte kostenlos abrufbar zur Verfügung zu stellen und diese durch Werbung zu finanzieren.

(bb) Die Datenverarbeitung ist zur Wahrung der Interessen der Klägerin allerdings nicht erforderlich. Die personenbezogenen Daten sollen für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein; sie sollen nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann (vgl. Erwägungsgrund 39 der DSGVO). Voraussetzung für die Erforderlichkeit ist also, dass kein milderes, gleich effektives Mittel zur Verfügung steht, um die Interessen des Verantwortlichen zu erreichen (Buchner/Petri, in Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 6 DSGVO Rn. 147c). Eine bloße Zweckdienlichkeit der Datenverarbeitung reicht jedenfalls nicht aus und auch das Ansinnen einer "bestmöglichen Effizienz" macht die Datenverarbeitung noch nicht zu einer erforderlichen. Entsprechend kann die Erforderlichkeit auch nicht allein damit begründet werden, dass es sich bei der beabsichtigten Datenverarbeitung um die aus Sicht des Verantwortlichen wirtschaftlich sinnvollste Alternative handelt (Buchner/Petri, in Kühling/Buchner, DS-GVO BDSG, 4. Aufl. 2024, Art. 6 DSGVO Rn. 147c m.w.N.).

Gemessen daran ist bereits die Erforderlichkeit der Verarbeitung personenbezogener Daten zur Finanzierung des Internetangebots der Klägerin zu bezweifeln. Der Klägerin stehen auch andere Möglichkeiten zur Verfügung, um ihre wirtschaftlichen Interessen zu decken. Diese nutzt die Klägerin bereits, indem sie einerseits mit ihrer Print-Ausgabe Erlöse erwirtschaftet, die ausweislich des eigenen Vortrags der Klägerin auch zur Finanzierung des Online-Angebots genutzt werden. Andererseits bietet die Klägerin auf ihrer Website unter dem Onlinedienst NOZ+ kostenpflichtige Inhalte an. Obgleich es also stimmen mag, dass für die Klägerin keine anderen Werbealternativen als die Versteigerung von Werbeplätzen in Form des Real Time Biddings bestehen, so existieren dennoch alternative Finanzierungsformen zur Werbung, welche die Klägerin auch bereits in Anspruch nimmt. Die Situation der Klägerin ist demnach nicht vergleichbar mit der von Anbietern von Webdiensten, deren alleinige Einnahmequelle das Schalten von personalisierter Werbung ist.

(cc) Jedenfalls überwiegen die Interessen der betroffenen Nutzer das Interesse der Klägerin an der Datenverarbeitung. Ausgangspunkt der Abwägung sind einerseits die Auswirkungen, die eine Datenverarbeitung für die betroffene Person mit sich bringt, und andererseits die Interessen des Verantwortlichen oder von Dritten. In diesem Zusammenhang sind Art, Inhalt und Aussagekraft der betroffenen Daten an dem mit der Datenverarbeitung verfolgten Zweck zu messen (Buchner/Petri, in Kühling/Buchner, DSGVO BDSG, 4. Aufl. 2024, Art. 6 DSGVO Rn. 149). Im Rahmen der Interessenabwägung sind zudem die vernünftigen Erwartungen der betroffenen Personen bzw. die Absehbarkeit der Verarbeitung zu berücksichtigen, wie sich aus Erwägungsgrund 47 der DSGVO ergibt.

Für die von der Datenverarbeitung betroffenen Nutzer streitet ihr Recht auf Schutz der personenbezogenen Daten nach Art. 8 GrCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GrCh und Art. 8 EMRK. Diese sind abzuwägen gegen die wirtschaftlichen Interessen der Klägerin an der Finanzierung ihres Internetangebots durch personalisierte Werbung. Dabei ist zu berücksichtigen, dass Nutzer bei der Inanspruchnahme eines entgeltfreien Webdienstes zwar vernünftigerweise davon ausgehen müssen, dass ihre Daten für Werbung verwendet werden, und nicht einfach annehmen können, dass ihnen das Internetangebot ohne Gegenleistung angeboten wird. Allerdings handelt es sich bei der Klägerin um ein Verlagshaus, das auch mit Print-Ausgaben und Abonnements Geld verdient sowie auf ihrer Website auch kostenpflichtige Inhalte anbietet. Im Gegensatz etwa zum Angebot sozialer Netzwerke handelt es sich bei der Bereitstellung journalistischer Inhalte durch die Klägerin also nicht um eine komplett kostenfreie Dienstleistung. Nutzer könnten stattdessen genauso gut davon ausgehen, dass diejenigen Inhalte, die auf der Website der Klägerin veröffentlicht werden, auch in der von Montag bis Samstag täglich erscheinenden kostenpflichtigen Print-Ausgabe der Klägerin erscheinen und daher durch den Erlös der Print-Ausgabe und der Online-Abonnements finanziert sind. Selbst für komplett kostenfrei angebotene soziale Netzwerke hat der Europäische Gerichtshof zudem entschieden, dass allein die Unentgeltlichkeit einer bestimmten Dienstleistung nicht dazu führt, dass die betroffenen Personen mit einer unbeschränkten Verarbeitung ihrer Daten zu Werbezwecken rechnen müssen und die Interessen und Grundrechte eines Nutzers gegenüber dem Interesse des Betreibers an einer Personalisierung der Werbung, mit der er seine Tätigkeit finanziert, überwiegen (EuGH, Urteil vom 4. Juli 2023 - C-252/21 -, juris Rn. 117). Im Rahmen der Abwägung ist zu berücksichtigen, dass insbesondere durch die Setzung von Third-Party-Cookies großer, weltweit agierender Unternehmen ein möglichst detailliertes Nutzungsprofil erstellt und vervollständigt werden kann, um ein individuelles Nutzerverhalten vorauszusagen und möglichst personalisierte Werbung zu erstellen. Für Nutzer ruft dies oft ein Gefühl der Überwachung im Internet als "gläserner Mensch" und damit eines Informationsungleichgewichts hervor, wenn Werbung beispielsweise gezielt für Produkte geschaltet wird, welche sie sich zuvor auf einer anderen Website angeschaut haben. Hinzu kommt, dass Nutzer auf der Website der Klägerin nicht detailliert und transparent darüber aufgeklärt werden, welche Informationen zum Erstellen von Profilen genutzt werden können, sondern im Einwilligungsbanner lediglich allgemeine Angaben zu Wiedererkennungsmerkmalen und Profildaten zu Zwecken personalisierter Werbung gemacht werden. Die Unklarheit darüber, welche Daten zum Profiling verwendet werden, verstärkt das Unsicherheits- und Überwachungsgefühl der Nutzer. Ihre Interessen an Freiheit vor Überwachung und Kontrolle über die eigenen Daten wiegen höher als das finanzielle Interesse der Klägerin an der Nutzung personenbezogener Daten zu Werbezwecken. Bei dem durch die Klägerin betriebenen Real Time Bidding handelt es sich auch um keine Direktwerbung im Sinne des Art. 21 Abs. 2 DSGVO, in deren Rahmen der europäische Gesetzgeber bis zum Widerspruch des Betroffenen eine Datenverarbeitung einschließlich des Profilings als grundsätzlich zulässig erachtet.

(d) Eine rechtswirksame Einwilligung der Nutzer gemäß Art. 6 Abs. 1 lit. a DSGVO für die Verarbeitung ihrer personenbezogenen Daten holt die Klägerin mittels des Einwilligungsbanners nicht ein. Für die Beurteilung der Wirksamkeit der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO sind im Wesentlichen dieselben Bewertungsmaßstäbe anzulegen wie bei einer Einwilligung gemäß § 25 Abs. 1 Satz 1 TTDSG, da § 25 Abs. 1 Satz 2 TTDSG für die Wirksamkeit der Einwilligung auf die DSGVO verweist.

(3) Indem der Beklagte die Klägerin anwies, auf ihrer Website wirksame, insbesondere informierte und freiwillige Einwilligungen umzusetzen, werden die Verstöße gegen § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 DSGVO beseitigt.

bb. Der Beklagte hat das ihm gemäß Art. 58 Abs. 2 DSGVO zustehende Entschließungs- und Auswahlermessen schließlich auch fehlerfrei ausgeübt. Gemäß Art. 58 Abs. 2 DSGVO verfügt die Aufsichtsbehörde über sämtliche Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen (lit. d). Die Aufsichtsbehörde kann von ihrer Abhilfebefugnis Gebrauch machen, wenn sie einen Verstoß gegen Datenschutzbestimmungen festgestellt hat. Bei der Ausübung des ihr dann eingeräumten Ermessens hat sie den Verhältnismäßigkeitsgrundsatz zu beachten. Bei festgestellten Verstößen ist die Aufsichtsbehörde in der Regel gehalten, dagegen mit dem Ziel der Abstellung des Verstoßes vorzugehen. Hinsichtlich des Entschließungsermessens ist daher von einem intendierten Ermessen auszugehen, wenn die Aufsichtsbehörde - wie hier - einen Rechtsverstoß festgestellt hat. Es ist auch kein Fehler bei der Ausübung des Auswahlermessens zu erkennen. Bei der Auswahl der geeigneten Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO muss die Aufsichtsbehörde den Verhältnismäßigkeitsgrundsatz beachten und insofern auch die Eingriffsintensität berücksichtigen (vgl. VGH Baden-Württemberg, Beschluss vom 22. Januar 2020 - VGH 1 S 3001/19 -, juris Rn. 61; VG Mainz, Urteil vom 24. September 2020 - 1 K 584/19.MZ -, juris Rn. 51). Die hier ausgesprochene Anweisung ist zur Beseitigung der Verstöße gegen das TTDSG und die DSGVO geeignet. Sie ist auch erforderlich, da keine milderen Mittel zur Beseitigung der Verstöße vorhanden waren. Im Vorfeld hat der Beklagte der Klägerin seine rechtliche Bewertung des Einwilligungsbanners mitgeteilt. Die Klägerin hat zwar daraufhin einige Anpassungen vorgenommen, darüberhinausgehende Anpassungen jedoch abgelehnt, sodass eine Abstellung der Verstöße nicht zu erwarten war. Angesichts der betroffenen Grundrechte der Nutzer aus Art. 7 und 8 GrCh sowie Art. 8 EMRK durch die rechtswidrige Verarbeitung ihrer Daten durch die Klägerin sowie ihre über hundert Drittdienstleister zu geschäftlichen Zwecken ist die Anweisung auch angemessen.

3. Auch die unter Ziffer 1.b. ausgesprochene Anordnung ist rechtmäßig.

a. Rechtsgrundlage für die Verfügung ist Art. 58 Abs. 2 lit. d DSGVO in Verbindung mit § 20 Abs. 1 NDSG.

b. Die Anordnung ist formell rechtmäßig ergangen.

c. Die Anordnung ist auch materiell rechtmäßig. Der Beklagte durfte nach Art. 58 Abs. 2 lit. d DSGVO in Verbindung mit § 20 Abs. 1 NDSG die Klägerin anweisen, die Nutzung des Google Tag Managers in Einklang mit der DSGVO, dem NDSG oder anderen datenschutzrechtlichen Bestimmungen zu bringen.

aa. Indem die Klägerin den Dienst Google Tag Manager nutzt, ohne eine vorherige Einwilligung der Nutzer einzuholen, verstößt sie gegen § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 DSGVO.

(1) Da durch das Programm Google Tag Manager Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder auf Informationen zugegriffen wird, die bereits in der Endeinrichtung gespeichert sind, ist nach § 25 Abs. 1 TTDSG eine vorherige Einwilligung der Nutzer erforderlich. Für den Einsatz des Programms greift auch keine Ausnahme des § 25 Abs. 2 TTDSG.

(a) Dass der Google Tag Manager selbst Cookies setzt und ausliest, hat sich zur Überzeugung des Gerichts aus den vom Beklagten in seinem IT-Labor durchgeführten Tests ergeben. Der Google Tag Manager ist ein Tool, welches Ersteller einer Website dabei unterstützt, weitere Bestandteile der Website, zum Beispiel Programmcode oder Dienste, bei Bedarf nachzuladen und zu verwalten (Sächsische Datenschutzbeauftragte, Tätigkeitsbericht Datenschutz 2023, S. 152 f.). Es entscheidet, wann und unter welchen Bedingungen bestimmte Programmcodes oder Dienste (Tags) geladen werden, und wird insbesondere dazu verwendet, nach Erteilung einer Einwilligung im Rahmen der Interaktion mit dem Einwilligungsbanner Tracking-Codes und Skripte auszuführen.

Die Klägerin nutzt den Dienst zu diesen Zwecken und behauptet, dass der Google Tag Manager selbst keine Cookies setze und auslese, sondern lediglich die durch das Tool verwalteten Dienste. Überprüfungen im Testlabor des Beklagten haben hingegen erwiesen, dass bei Aufruf der Website vor der Interaktion mit dem Einwilligungsbanner Daten des Endgerätenutzers - namentlich die IP-Adresse und Gerätedaten - an den US-Server www.googletagmanager.com übermittelt und ein Java-Skript namens gtm.js auf dem Endgerät des Nutzers gespeichert wird, welches die Google Tag Manager-ID der Klägerin enthält und Informationen der Nutzer ausliest. Damit werden durch den Dienst Google Tag Manager sowohl Informationen auf den Endgeräten der Nutzer gespeichert als auch ausgelesen.

(b) Da die Informationen vor der Interaktion mit dem Einwilligungsbanner gespeichert bzw. übermittelt werden, geschieht dies ohne eine nach § 25 Abs. 1 TTDSG erforderliche Einwilligung der Nutzer.

(c) Für das Speichern und den Zugriff auf Informationen durch den Google Tag Manager liegt auch keine Ausnahme vom Einwilligungserfordernis nach § 25 Abs. 2 Nr. 2 TTDSG vor. Demnach muss eine Einwilligung nicht erfolgen, wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann. Die Erforderlichkeit ist beispielsweise anerkannt für Authentifizierungs-Cookies oder Cookies zur Realisierung eines Warenkorbs in einem Online-Shop (Schmitz, in Geppert/Schütz, Beck'scher TKG-Kommentar, 5. Aufl. 2023, § 25 TTDSG Rn. 73 m.w.N.).

Die durch den Google Tag Manager erbrachte Funktion, Tracking-Codes und Skripte insbesondere von Werbedienstleistern zu laden, ist weder ein Dienst, welcher von Nutzern der Website der Klägerin ausdrücklich gewünscht ist, noch bietet er einen Mehrwert oder eine Funktion für die Nutzung der Website. Das Laden von Skripten von Werbedienstleistern dient vielmehr den Interessen der Klägerin an der Finanzierung des Internetangebots durch den Verkauf von Werbeflächen, nicht denen der Nutzer.

Anders als von der Klägerin vorgetragen ist der Google Tag Manager auch nicht für die Einholung der Einwilligungen der Nutzer nach § 25 Abs. 1 TTDSG erforderlich. Dafür nutzt die Klägerin ausweislich ihres eigenen Vortrags die CMP von Sourcepoint. Der Google Tag Manager dient lediglich dazu, nach Erteilung der Einwilligung einwilligungspflichtige Tools und Codes zu laden. Auch hierfür ist jedoch der Dienst Google Tag Manager nicht technisch erforderlich. Vielmehr kann der Ladevorgang dieser Marketing-Tools und -Cookies auch ohne den Google Tag Manager bewerkstelligt werden, indem beispielsweise ein eigenes Skript programmiert wird. Dies hat der Beklagte in der mündlichen Verhandlung zur Überzeugung des Gerichts vorgetragen. Im Internet werden dazu ebenfalls verschiedene Alternativen vorgeschlagen (vgl. z.B. https://european-alternatives.eu/de/alternativen-zu/google-tag-manager;https://omr.com/de/reviews/product/google-tag-manager/alternatives, beide zuletzt abgerufen am 24. April 2025). Die Nutzung des bereits existierenden und funktionsfähigen Dienstes Google Tag Manager erweist sich lediglich als einfacher für Betreiber von Websites.

(2) Der Dienst Google Tag Manager verarbeitet zudem personenbezogene Daten der Nutzer, ohne dass dafür ein Rechtfertigungstatbestand des Art. 6 Abs. 1 DSGVO vorliegt.

(a) Wie die Tests des Beklagten ergeben haben, werden nach Aufruf der Website ohne Abfragen einer Einwilligung die IP-Adressen der Nutzer sowie Gerätedaten an die US-Server von Google (www.googletagmanager.com) übermittelt sowie ein Java-Skript auf dem Gerät der Nutzer gespeichert, welches individuelle Browserdaten abfragt, die in der Regel für das sogenannte Browserfingerprinting eingesetzt werden, das die Erstellung individueller Nutzerprofile ermöglicht. Unabhängig davon, ob es sich bei diesen Cookies um personenbezogene Daten handelt, ist jedenfalls die unverschlüsselte IP-Adresse ein Datum, welches einen Personenbezug herstellen lässt. Damit verarbeitet auch der Google Tag Manager selbst und nicht lediglich die durch den Dienst geladenen Drittdienstleister personenbezogene Daten der Nutzer (ähnlich auch Sächsische Datenschutzbeauftragte, Tätigkeitsbericht Datenschutz 2023, S. 152 f.).

(b) Die Verarbeitung ist nicht zur Erfüllung einer rechtlichen Verpflichtung im Sinne des Art. 6 Abs. 1 lit. c DSGVO erforderlich. Aus § 25 Abs. 1 TTDSG folgt keine unmittelbare Rechtspflicht zur Datenverarbeitung.

(c) Die Datenverarbeitung ist auch nicht zur Wahrung berechtigter Interessen der Klägerin im Sinne des Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Der Google Tag Manager dient dazu, nach Erteilung der Einwilligung der Nutzer im Rahmen des Einwilligungsbanners Skripte von Drittdienstleistern insbesondere zu Werbungs- und Marketingzwecken zu laden. Selbst wenn diese Datenverarbeitung daher aus wirtschaftlichen Gründen zur Ermöglichung der Einbindung von Drittdienstleistern im Rahmen des Real Time Biddings unter gleichzeitiger Aufrechterhaltung der Funktionsfähigkeit der Website der Klägerin erforderlich ist, so überwiegt dies nicht die Grundrechte der durch die Datenverarbeitung betroffenen Nutzer auf den Schutz ihrer personenbezogenen Daten nach Art. 8 GrCh sowie ihr Recht auf Achtung des Privat- und Familienlebens nach Art. 7 GrCh und Art. 8 EMRK. Im Rahmen der Abwägung ist einerseits zu berücksichtigen, dass der Dienst Google Tag Manager nicht alternativlos ist, sondern die Steuerung und Verwaltung der Abfolge und Verwendung von Programmcode auch mit anderen Werkzeugen, zum Beispiel mittels einer Eigenentwicklung, offener Software oder eines anderen Einwilligungsmanagement-Tools erfolgen kann (Sächsische Datenschutzbeauftragte, Tätigkeitsbericht Datenschutz 2023, S. 152 f.). Die Nutzung des Dienstes Google Tag Manager ist dabei lediglich am einfachsten, da das Tool kostenlos ist und gut funktioniert. Die Übermittlung personenbezogener Daten insbesondere an Google als einen der weitverbreitetsten Akteure im Internet, dessen Geschäftsmodell es u.a. ist, Daten zur wirtschaftlichen Eigennutzung zu sammeln, kann im Hinblick auf die betroffenen Grundrechte nicht lediglich aus Gründen der Einfachheit gerechtfertigt werden.

(d) Eine Einwilligung der Nutzer im Sinne des Art. 6 Abs. 1 lit. a DSGVO holt die Klägerin nicht ein.

(3) Durch die Anweisung des Beklagten, wirksame Einwilligungen für den Dienst Google Tag Manager einzuholen oder diesen zu entfernen, werden die Verstöße gegen § 25 Abs. 1 TTDSG und Art. 6 Abs. 1 DSGVO beseitigt.

bb. Mit der Anweisung zu Ziffer 1.b. hat der Beklagte ebenfalls das ihm zugewiesene Auswahl- und Entschließungsermessen ordnungsgemäß ausgeübt. Die hier ausgesprochene Anweisung ist insbesondere zur Beseitigung der Verstöße gegen das TTDSG und die DSGVO durch den Einsatz des Google Tag Managers ohne Einwilligung geeignet, erforderlich und angemessen.

4. Auch die Anordnung unter Ziffer 1.c., die Umsetzung der angeordneten Maßnahmen binnen eines Monats nachzuweisen, ist rechtmäßig. Sie beruht ebenfalls auf Art. 58 Abs. 2 lit. d DSGVO und ist formell und materiell rechtmäßig ergangen. Nach Art. 5 Abs. 2 DSGVO haben Verantwortliche die Pflicht, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO nachzuweisen. Die Anweisung ist in Bezug auf die Nachweispflicht das geeignete, erforderliche und angemessene Mittel, damit gegenüber dem Beklagten als Aufsichtsbehörde der Nachweis erbracht wird, dass die festgestellten Verstöße bei der Datenverarbeitung auf der Website beseitigt wurden.

5. Zuletzt ist auch die Anordnung unter Ziffer 2., welche der Klägerin die Kosten des Verfahrens beim Beklagten auferlegt, rechtmäßig. Die Kostentragungspflicht der Klägerin folgt aus §§ 1, 3, 5 des Niedersächsischen Verwaltungskostengesetzes (NVwKostG) in Verbindung mit Nr. 23.1.10 des Kostentarifs zu § 1 der Verordnung über die Gebühren und Auslagen für Amtshandlungen und Leistungen (Allgemeine Gebührenordnung (AllGO)).

6. Die Kostenentscheidung folgt aus § 154 Abs. 1 VwGO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 167 VwGO in Verbindung mit § 708 Nr. 11 und § 711 Satz 1 und 2 ZPO.