Sąd Administracyjny w Hanowerze wydał przełomowy wyrok (sygn. 10 A 5385/22), który może zakończyć erę manipulacyjnych banerów cookies. Sąd orzekł, że jeśli na stronie internetowej istnieje przycisk „Zaakceptuj wszystko”, to musi się tam znajdować równie łatwo dostępny i widoczny przycisk „Odrzuć wszystko” [1]. Chociaż orzeczenie formalnie dotyczy tylko jednego niemieckiego wydawcy, jego znaczenie jest uniwersalne, ponieważ opiera się na przepisach RODO [2] obowiązujących w całej Unii Europejskiej, w tym w Polsce. Dla firm to jasny sygnał, że utrudnianie odmowy jest nielegalne, a dla organów nadzorczych, jak polski Prezes UODO, to potężne narzędzie w walce o cyfrową prywatność obywateli.

Po lewej winda z napisem "Akceptuję wszystko", a po prawej stara połamana drabina z napisem "odrzucam wszystko".
Autor ilustracji — Jan Kryciński

Wyrok z 19 marca 2025 r. (sygn. 10 A 5385/22) jest wynikiem sporu między niemieckim wydawcą prasowym, Neue Osnabrücker Zeitung (NOZ), a organem ochrony danych Dolnej Saksonii (LfD Niedersachsen) [3].

Kontekst: Czym są manipulacyjne „Dark Patterns”?

Sprawa dotyczy powszechnej praktyki znanej jako „dark patterns” (manipulacyjne wzorce projektowe). Właściciele stron internetowych celowo projektują banery zgód tak, aby nakłonić użytkownika do podjęcia pożądanej przez nich decyzji.

W praktyce wygląda to tak, że przycisk „Zaakceptuj wszystko” jest duży, kolorowy i dostępny jednym kliknięciem. Natomiast opcja odmowy jest ukryta, wymaga przejścia do „ustawień zaawansowanych”, a następnie ręcznego odznaczania dziesiątek pól wyboru. Taka konstrukcja żeruje na zniecierpliwieniu użytkownika, który – chcąc jak najszybciej dostać się do treści – klika „Akceptuj”, mimo że w rzeczywistości nie chciałby udostępniać swoich danych.

Niemiecki popup o cookiesach. Są dwie opcje — Alle Akceptieren oraz Einstelungen
Zakwestionowany baner NOZ (pierwsza warstwa).Sąd uznał jego projekt za manipulacyjny. Oferował on duży przycisk „Alle Akzeptieren” (Akceptuj wszystko) oraz mylący przycisk „Akzeptieren & schließen” (Akceptuj i zamknij) w rogu. Kluczowy zarzut: brak równie łatwo dostępnego przycisku „Odrzuć wszystko”[4].
Kolejny widok w popupie o cookiesach po niemiecku. Widać checkboxy do różnych celów przetwarzania (niezaznaczone), przycisk "Alle akceptieren" oraz "Auswahl speichern"
Druga warstwa baneru (po kliknięciu „Ustawienia”).Sąd skrytykował fakt, że aby odmówić zgody, użytkownik był zmuszony do przejścia do tego skomplikowanego panelu. Nawet tutaj nie było prostego przycisku „Odrzuć”, a jedynie opcja „Auswahl speichern” (Zapisz wybór), co stanowiło celowe utrudnienie w porównaniu do akceptacji jednym kliknięciem [4].

Przebieg sprawy (NOZ przeciwko LfD)

Spór prawny toczył się między organem ochrony danych Dolnej Saksonii (LfD Niedersachsen) a dużym regionalnym wydawcą prasowym, Neue Osnabrücker Zeitung (NOZ).

  1. Nakaz regulatora: Organ LfD, po zbadaniu sprawy, wydał nakaz administracyjny, w którym zażądał od NOZ zmiany baneru cookie. Regulator uznał, że baner, który nie posiadał opcji „Odrzuć wszystko” na pierwszej warstwie, narusza RODO, ponieważ zgoda pozyskana w ten sposób nie spełnia warunku dobrowolności.
  2. Skarga wydawcy: Firma NOZ nie zgodziła się z tą decyzją i zaskarżyła nakaz do Sądu Administracyjnego w Hanowerze (Verwaltungsgericht Hannover). Wydawca argumentował m.in., że jego proces pozyskiwania zgody jest wystarczający.
  3. Wyrok sądu: Sąd w wyroku z 19 marca 2025 r. w całości oddalił skargę wydawcy i w pełni poparł stanowisko organu ochrony danych. Sąd potwierdził, że baner NOZ był manipulacyjny i nie zapewniał legalnej zgody.

Podstawa prawna orzeczenia

Sąd oparł swoją decyzję na solidnej podstawie prawnej, łącząc przepisy unijne i krajowe. Jest to kluczowe dla zrozumienia, dlaczego wyrok ten ma znaczenie dla Polski.

1. Przepisy uniwersalne – RODO

Regulacje te obowiązują identycznie we wszystkich krajach UE, w tym w Polsce:

  • Art. 4(11) RODO (Definicja zgody): Sąd uznał, że zgoda pozyskana przez baner NOZ nie była „dobrowolna” (freiwillig) ani „jednoznaczna” (unmissverständlich). Jeśli droga do odmowy jest znacząco trudniejsza niż do akceptacji, zasada dobrowolności zostaje złamana.
  • Art. 6(1)(a) RODO (Legalność przetwarzania): Aby legalnie przetwarzać dane (np. w celach marketingowych), art. 6 ust. 1 RODO wymaga posiadania jednej z kilku podstaw prawnych, w tym zgody. W tym przypadku, skoro zgoda nie została uzyskana zgodnie z atrybutami jej definicji z art. 4 RODO (nie była dobrowolna i jednoznaczna), a nie znalazła również zastosowania żadna inna podstawa prawna z art. 6 ust. 1 – przetwarzanie danych było nielegalne.
  • Art. 58(2) RODO (Uprawnienia naprawcze): Sąd potwierdził, że organ nadzorczy (LfD) miał pełne prawo wydać nakaz zmiany baneru, korzystając ze swoich uprawnień naprawczych.

2. Prawo niemieckie – TDDDG

Prawo to implementuje unijną dyrektywę ePrivacy:

  • § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) [5]: Jest to niemiecki odpowiednik polskiego art. 399 ustawy z dnia 12 lipca 2024 roku, „Prawo komunikacji elektronicznej” [6]. Przepis ten mówi, że przechowywanie informacji (np. cookie) na urządzeniu użytkownika wymaga jego uprzedniej zgody.
  • Kluczowe powiązanie: Niemiecka ustawa wprost stwierdza, że zgoda wymagana przez § 25 TDDDG musi spełniać wysokie standardy określone w RODO.

Sąd połączył oba akty prawne: baner był niezgodny z § 25TDDDG, ponieważ zgoda, której wymagał, była nieważna w świetle definicji z RODO.

Co to oznacza na przyszłość?

Należy podkreślić, że wyrok niemieckiego sądu administracyjnego nie ma żadnej mocy wiążącej w Polsce. Nie wywiera on bezpośrednich skutków prawnych dla polskich firm i nie stanowi podstawy prawnej dla działań krajowych organów. Jeżeli na bazie tego orzeczenia ukształtuje się szersza linia orzecznicza w Europie, będziemy mogli mówić o pewnej praktyce. Jednak prawnie wiążący dla polskich sądów i organów byłby dopiero wyrok Trybunału Sprawiedliwości Unii Europejskiej(TSUE) w podobnej sprawie.

Co więcej, optymistyczne wnioski dla Polski są niestety trudne do obrony ze względu na specyficzną strukturę nadzoru. W Niemczech jeden organ (w tym przypadku LfD) jest właściwy zarówno w sprawach RODO, jak i krajowej ustawy TDDDG(implementującej ePrivacy). W Polsce kompetencje te są niestety podzielone:

  1. Prezes UODO nadzoruje przestrzeganie RODO (a więc ochrony danych osobowych).
  2. Prezes UKE nadzoruje Prawo Komunikacji Elektronicznej (PKE), ustawy która reguluje m.in. kwestie instalowania oprogramowania (w tym cookies) na urządzeniu końcowym.

W praktyce Prezes UKE nie zajmuje się aktywnie egzekwowaniem przepisów o cookies, a do urzędu nie ma prostego trybu skargowego, jak w przypadku UODO. Sam fakt, że zgoda na cookies musi odpowiadać definicji z RODO, nie daje automatycznie Prezesowi UODO jurysdykcji do kontrolowania samego mechanizmubaneru, co do którego właściwy powinien być właśnie UKE.

Dlatego wyrok ten należy traktować jako ważną wskazówkę i inspirację — jest to sygnał, że problem manipulacyjnych banerów jest w Europie dostrzegany. Pozostaje mieć nadzieję, że ta tendencja i świadomość znaczenia problemu dotrą kiedyś również do Polski i naszych organów nadzorczych.

Powiązane artykuły

Jak złożyć skargę do UODO? Co to daje?
Masowe składanie skarg może przynieść oczekiwane rezultaty. Tłumaczymy, jak złożyć skuteczną skargę do UODO i UKE.
Fundacja Internet. Czas działać!Arkadiusz Wieczorek
„Cenimy twoją prywatność”
Okienka ze „zgodą RODO” denerwują nas wszystkich. My jako prywatnościowi masochiści oddaliśmy się ich lekturze i torturze. Okazało się, że w wielu przypadkach okienka o RODO są bezużyteczne - nie dają nam kontroli nad naszymi danymi, tylko stwarzają takie pozory.
Fundacja Internet. Czas działać!Arkadiusz Wieczorek
5 faktów o „zgodzie” w RODO
Czy zawsze trzeba mieć zgodę na przetwarzanie danych osobowych? Jakie warunki musi spełniać zgoda, aby była ważna? Jaka przyszłość czeka oferowanie rabatów w zamian za zgodę marketingową?
Fundacja Internet. Czas działać!Kuba Orlik
Jak RODO definiuje zgodę?
„Zgoda” to jedno z najważniejszych pojęć zdefiniowanych w RODO. Słowo „zgoda” jest jednak często niewłaściwie używane w politykach prywatności czy dyskusjach na temat bezpieczeństwa danych.
Fundacja Internet. Czas działać!Arkadiusz Wieczorek

Bibliografia

[1] Jacobs, S. (2025, 23 maja). German court rules cookie banners must offer "reject all" button. TechSpot.https://www.techspot.com/news/108043-german-court-takes-stand-against-manipulative-cookie-banners.html

[2] Parlament Europejski i Rada Unii Europejskiej. (2016, 27 kwietnia). Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych). https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=celex:32016R0679

[3] Krajowy Komisarz ds. Ochrony Danych Osobowych Dolnej Saksonii (20 maja 2025 r.). Orzeczenie w sprawie manipulacyjnych banerów dotyczących plików cookie:przycisk „Odrzuć wszystkie” jest obowiązkowy..https://www.lfd.niedersachsen.de/startseite/infothek/presseinformationen/urteil-zu-manipulativem-cookie-banner-alles-ablehnen-schaltflache-ist-ein-muss-241960.html

[4] Sąd Administracyjny w Hanowerze. (2025, 19 marca). Wyrok, sygn. akt: 10 A 5385/22. Dolnosaksoński System Informacji Regulacyjnej (NI-VORIS).https://voris.wolterskluwer-online.de/browse/document/230df5cf-d76c-4561-9499-e44445a96f11

[5] Ustawa z dnia 23 czerwca 2021 r. o ochronie danych osobowych i ochronie prywatności w telekomunikacji i usługach cyfrowych (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz – TDDDG) (BGBl. I S. 1858). https://gesetz-tdddg.de/25-tdddg/

[6] Ustawa z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej (Dz. U. z 2024 r. Poz. 1221): https://isap.sejm.gov.pl/isap.nsf/download.xsp/WDU20240001221/T/D20241221L.pdf