Cookies und Einwilligung: rechtssichere Consent-Banner nach TDDDG und DSGVO

Wer auf einer Website oder im Shop nicht technisch notwendige Cookies setzt oder auf Endgeräte zugreift, braucht in der Regel eine Einwilligung. Maßgeblich ist § 25 TDDDG, ergänzt durch die DSGVO. Dieser Ratgeber erklärt, wann eine Einwilligung nötig ist, welche Cookies ohne sie auskommen und wie ein Consent-Banner aufgebaut sein sollte. Es handelt sich um allgemeine Informationen, nicht um eine individuelle Rechtsberatung.

Auf einen Blick

  • · Nicht technisch notwendige Cookies und Zugriffe auf Endgeräte brauchen nach § 25 Abs. 1 TDDDG in der Regel eine vorherige Einwilligung; technisch notwendige Cookies sind nach § 25 Abs. 2 ausgenommen.
  • · Ablehnen muss so einfach sein wie Akzeptieren: gleichwertige Optionen, keine vorangekreuzten Felder, keine Dark Patterns; ein berechtigtes Interesse ersetzt die Einwilligung beim Tracking im Standardfall nicht.
  • · Die Einwilligung richtet sich nach Art. 4 Nr. 11 und Art. 7 DSGVO und muss freiwillig, informiert, granular und unmissverständlich sein; maßgeblich ist die DSK-Orientierungshilfe (Version 1.2, Stand November 2024).

TDDDG statt TTDSG: Was sich am 14. Mai 2024 geändert hat

Das frühere Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) wurde mit Wirkung zum 14. Mai 2024 in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt. Anlass war das Digitale-Dienste-Gesetz (DDG), das den Begriff Telemedien durch digitale Dienste ersetzt hat. Inhaltlich blieben die Vorgaben zu Cookies im Standardfall unverändert. Geändert hat sich vor allem die Bezeichnung und die Paragrafen-Zitierung.

Für Sie als Betreiber bedeutet das vor allem eine korrekte Zitierung. Die zentrale Vorschrift heißt nun § 25 TDDDG, vormals § 25 TTDSG. Bestehende Datenschutzhinweise, interne Dokumentationen und Vorlagen sollten Sie bei Gelegenheit auf die neue Bezeichnung anpassen. Eine inhaltliche Neubewertung Ihrer Cookie-Praxis ist allein wegen der Umbenennung in der Regel nicht erforderlich.

Wann eine Einwilligung nötig ist: § 25 Abs. 1 und Abs. 2 TDDDG

Nach § 25 Abs. 1 TDDDG sind die Speicherung von Informationen in der Endeinrichtung des Endnutzers sowie der Zugriff auf bereits dort gespeicherte Informationen nur zulässig, wenn der Endnutzer auf der Grundlage klarer und umfassender Informationen eingewilligt hat. Erfasst sind nicht nur klassische Cookies, sondern auch vergleichbare Techniken wie Fingerprinting oder das Auslesen von Gerätekennungen. Für Tracking, Analyse mit Profilbildung und Werbe-Cookies ist daher im Regelfall eine Einwilligung erforderlich.

§ 25 Abs. 2 TDDDG nennt zwei Ausnahmen. Keine Einwilligung ist nötig, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist, oder wenn der Zugriff unbedingt erforderlich ist, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitstellen kann. Darunter fallen in der Regel etwa Warenkorb- und Session-Cookies, die Speicherung der Sprachwahl oder Cookies für den Bezahlvorgang. Die Ausnahme ist eng auszulegen: Reichweitenmessung und Marketing zählen im Standardfall nicht dazu.

Verhältnis zur DSGVO: zwei Prüfstufen, eine Einwilligung

§ 25 TDDDG und die DSGVO greifen ineinander. In der Praxis hat sich eine zweistufige Prüfung etabliert. Auf der ersten Stufe ist zu klären, ob für das Setzen oder Auslesen von Cookies eine Einwilligung nach § 25 Abs. 1 TDDDG nötig ist. Auf der zweiten Stufe ist zu prüfen, auf welcher Rechtsgrundlage nach Art. 6 DSGVO die anschließend erhobenen personenbezogenen Daten verarbeitet werden dürfen. Wird auf der ersten Stufe eine Einwilligung verlangt, ist im Regelfall auch die anschließende Verarbeitung auf die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO zu stützen.

Die Anforderungen an eine wirksame Einwilligung ergeben sich aus Art. 4 Nr. 11 und Art. 7 DSGVO. Sie muss freiwillig, für den bestimmten Fall, informiert und unmissverständlich sein. Wichtig: Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO ersetzt die Einwilligung beim Tracking in der Regel nicht. Verlangt § 25 Abs. 1 TDDDG eine Einwilligung, lässt sich diese Hürde nicht durch eine Interessenabwägung umgehen.

Anforderungen an ein rechtssicheres Consent-Banner

Ein Consent-Banner sollte informiert, freiwillig und granular gestaltet sein. Nutzer benötigen vor ihrer Entscheidung klare Angaben dazu, welche Cookies und Dienste zu welchem Zweck eingesetzt werden und wer Daten erhält. Granular bedeutet, dass sich verschiedene Zwecke oder Dienste getrennt auswählen lassen und nicht nur pauschal akzeptiert werden können. Eine bereits angekreuzte Zustimmung oder das bloße Weitersurfen genügt nicht. Das hat der EuGH im Urteil Planet49 (EuGH, Urteil vom 1. Oktober 2019, C-673/17) zur Vorgängerregelung klargestellt; die Einwilligung muss durch eine aktive Handlung erfolgen.

Die deutschen Aufsichtsbehörden konkretisieren die Vorgaben in der Orientierungshilfe für Anbieter von digitalen Diensten (OH Digitale Dienste, Version 1.2, Stand November 2024). Danach muss das Ablehnen so einfach möglich sein wie das Akzeptieren. Die Ablehnung sollte als gleichwertige Option auf derselben Ebene erkennbar sein und keinen messbaren Mehraufwand verursachen. Irreführende Gestaltungen, sogenannte Dark Patterns, und ein gezieltes Drängen zur Zustimmung sind zu vermeiden. Technisch notwendige Cookies dürfen voreingestellt sein, nicht notwendige hingegen nicht.

Ausblick: Einwilligungsverwaltung nach § 26 TDDDG

Der Gesetzgeber will die Flut einzelner Banner langfristig reduzieren. Grundlage ist § 26 TDDDG zu anerkannten Diensten der Einwilligungsverwaltung. Die dazugehörige Einwilligungsverwaltungsverordnung (EinwV) wurde vom Bundesrat am 20. Dezember 2024 beschlossen und ist am 1. April 2025 in Kraft getreten. Sie schafft den Rahmen für nutzerfreundliche Verfahren, bei denen Einwilligungen zentral verwaltet werden können, etwa über Browser- oder Geräteeinstellungen.

In der Praxis ist die Wirkung bislang begrenzt, da die Anerkennung solcher Dienste erst anläuft. Solange anerkannte Einwilligungsverwaltungsdienste nicht flächendeckend verfügbar und in Endgeräte eingebunden sind, bleibt das Consent-Banner auf der eigenen Website im Standardfall das maßgebliche Mittel. Sie sollten die Entwicklung beobachten, aber Ihre bestehende Lösung weiterhin sauber pflegen.

Häufige Fragen

Brauche ich für Google Analytics oder andere Tracking-Tools eine Einwilligung?+

In der Regel ja. Analyse- und Tracking-Dienste setzen meist Cookies oder greifen auf Endgeräte zu und sind nicht unbedingt erforderlich für den vom Nutzer gewünschten Dienst. Damit ist nach § 25 Abs. 1 TDDDG eine vorherige Einwilligung nötig. Ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO genügt im Standardfall nicht.

Welche Cookies darf ich ohne Einwilligung setzen?+

Ohne Einwilligung zulässig sind nach § 25 Abs. 2 TDDDG nur Cookies, die der reinen Nachrichtenübertragung dienen oder unbedingt erforderlich sind, damit ein ausdrücklich gewünschter Dienst funktioniert. Typische Beispiele sind Warenkorb-, Session- und Login-Cookies, die Sprachwahl oder Cookies für den Bezahlvorgang. Die Ausnahme ist eng auszulegen.

Muss der Ablehnen-Button gleichwertig zum Akzeptieren-Button sein?+

Nach der Orientierungshilfe der Aufsichtsbehörden (OH Digitale Dienste, Version 1.2, Stand November 2024) sollte das Ablehnen so einfach möglich sein wie das Akzeptieren. Eine gleichwertige Ablehnoption auf derselben Ebene, ohne messbaren Mehraufwand, gilt im Regelfall als erforderlich. Irreführende Gestaltungen sollten Sie vermeiden.

Datenschutzhinweise und AGB sauber aufsetzen

Der kostenlose Generator von My AGB unterstützt Sie dabei, AGB und Datenschutztexte strukturiert zu erstellen. Eine individuelle Rechtsberatung ersetzt er nicht.

AGB kostenlos generieren