Datenschutz

Cookie-Richtlinie: Muster für Websites (TDDDG)

Cookie-Richtlinie-Muster 2026 nach § 25 TDDDG: kopierbare Vorlage, Kategorien-Tabelle Einwilligung vs. unbedingt erforderlich und die Update-Pflicht.

Was gehört in eine rechtssichere Cookie-Richtlinie und wie sieht ein Muster aus? Kurzantwort: Eine Cookie-Richtlinie muss transparent auflisten, welche Cookies eine Website setzt, zu welchem Zweck, wie lange sie gespeichert werden — und für jede Kategorie angeben, ob sie unbedingt erforderlich ist oder eine Einwilligung nach § 25 Abs. 1 TDDDG voraussetzt. Seit Mai 2024 heißt das frühere TTDSG TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz); § 25 TDDDG ist die zentrale Rechtsgrundlage für das Speichern und Auslesen von Informationen auf Endgeräten. Dieser Beitrag liefert ein kopierbares Muster und die entscheidende Kategorien-Tabelle.

Eine Cookie-Richtlinie ersetzt weder das Cookie-Banner noch die Datenschutzerklärung — sie ergänzt beide und wird aus dem Banner heraus verlinkt.

Wichtige Punkte

  • Rechtsgrundlage ist § 25 TDDDG (früher § 25 TTDSG) — die Umsetzung der ePrivacy-Richtlinie.
  • Einwilligung ist Pflicht für alle nicht unbedingt erforderlichen Cookies (Analyse, Marketing, Tracking).
  • Unbedingt erforderliche Cookies (§ 25 Abs. 2 TDDDG) brauchen keine Einwilligung — aber Transparenz.
  • Der „Ablehnen"-Button muss auf der ersten Ebene gleichwertig zum „Akzeptieren"-Button sein.
  • Die Richtlinie ist bei jeder Änderung der eingesetzten Tools zu aktualisieren.

§ 25 TDDDG: die Rechtsgrundlage für Cookies

Das TDDDG — bis Mai 2024 als TTDSG bekannt — regelt in § 25 den Zugriff auf Endgeräte. Der Grundsatz: Das Speichern von Informationen auf dem Endgerät eines Nutzers oder der Zugriff auf bereits gespeicherte Informationen ist nur mit Einwilligung zulässig (§ 25 Abs. 1). Das gilt für Cookies, aber auch für Local Storage, Pixel und ähnliche Techniken — unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden.

Die Ausnahme steht in § 25 Abs. 2 TDDDG: Keine Einwilligung ist nötig, wenn der Zugriff unbedingt erforderlich ist, damit ein vom Nutzer ausdrücklich gewünschter Dienst zur Verfügung gestellt werden kann. Darunter fallen etwa Warenkorb-Cookies, Login-Session-Cookies oder Cookies zur Lastverteilung — nicht aber Analyse- oder Marketing-Cookies.

Wichtig: Das TDDDG regelt den Zugriff auf das Endgerät. Verarbeitet ein Cookie zusätzlich personenbezogene Daten, greift parallel die DSGVO — dann brauchen Sie auch eine Rechtsgrundlage nach Art. 6 DSGVO, die bei einwilligungsbedürftigen Cookies aus der Einwilligung nach Art. 7 DSGVO folgt. Die praktische Umsetzung über das Banner behandelt unser Leitfaden zum Cookie-Banner nach TDDDG.

Kategorien-Tabelle: Einwilligung oder nicht?

Cookie-Kategorie Beispiel Einwilligung nötig?
Unbedingt erforderlich Session, Warenkorb, Login, Lastverteilung Nein (§ 25 Abs. 2 TDDDG)
Sicherheit CSRF-Token, Betrugserkennung Nein (unbedingt erforderlich)
Funktional/Komfort Spracheinstellung, Region meist Ja (nicht zwingend erforderlich)
Statistik/Analyse Google Analytics, Matomo mit Cookies Ja
Marketing/Tracking Meta Pixel, Google Ads, Retargeting Ja
Externe Medien eingebettete Videos, Kartendienste Ja

Die Einordnung „unbedingt erforderlich" ist eng auszulegen. Reichweitenmessung ist nach herrschender Auffassung der Aufsichtsbehörden nicht unbedingt erforderlich — auch dann nicht, wenn sie dem Betreiber wichtig ist. Maßstab ist der ausdrücklich vom Nutzer gewünschte Dienst, nicht das Geschäftsinteresse des Betreibers.

COOKIE-RICHTLINIE

1. Was sind Cookies?
Cookies sind kleine Textdateien, die auf Ihrem Endgerät
gespeichert werden. Diese Richtlinie erläutert, welche Cookies
und ähnlichen Technologien (Local Storage, Pixel) wir auf
[Domain] einsetzen und auf welcher Rechtsgrundlage.

2. Rechtsgrundlage
Das Speichern und Auslesen von Informationen auf Ihrem Endgerät
erfolgt auf Grundlage von § 25 TDDDG. Nicht unbedingt
erforderliche Cookies setzen wir nur mit Ihrer Einwilligung
(§ 25 Abs. 1 TDDDG, Art. 6 Abs. 1 lit. a DSGVO) ein. Sie können
Ihre Einwilligung jederzeit mit Wirkung für die Zukunft
widerrufen unter: [Link zu den Cookie-Einstellungen].

3. Eingesetzte Cookies
[Tabelle: Name | Anbieter | Zweck | Kategorie | Speicherdauer]
- [cookie_name] | [Anbieter] | [Zweck] | [Kategorie] |
  [Dauer]
- …

4. Unbedingt erforderliche Cookies
Diese Cookies sind für den Betrieb der Website notwendig und
werden ohne Einwilligung gesetzt (§ 25 Abs. 2 TDDDG):
[Auflistung].

5. Einwilligungsbedürftige Cookies
Diese Cookies setzen wir nur nach Ihrer aktiven Einwilligung:
[Auflistung Statistik, Marketing, externe Medien].

6. Drittlandübermittlung
Einige Anbieter [z. B. USA] verarbeiten Daten außerhalb der EU.
Rechtsgrundlage der Übermittlung: [Angemessenheitsbeschluss /
Standardvertragsklauseln]. Details: Datenschutzerklärung.

7. Verwaltung Ihrer Einwilligung
Sie können Ihre Auswahl jederzeit ändern:
[Link zum Consent-Tool]. Zusätzlich können Sie Cookies in Ihren
Browsereinstellungen verwalten und löschen.

8. Änderungen dieser Richtlinie
Wir passen diese Richtlinie an, sobald sich die eingesetzten
Cookies ändern. Stand: [Datum].

Verantwortlicher: [Name, Anschrift, Kontakt]
Weitere Informationen: [Link zur Datenschutzerklärung]

So passen Sie das Muster an

  1. Cookies inventarisieren. Scannen Sie Ihre Website und listen Sie jeden Cookie mit Anbieter, Zweck, Kategorie und Speicherdauer. Diese Bestandsaufnahme ist die Grundlage — eine Richtlinie mit pauschalen Angaben genügt nicht.
  2. Kategorien korrekt einordnen. Prüfen Sie jede Kategorie ehrlich gegen § 25 Abs. 2 TDDDG. Im Zweifel ist ein Cookie einwilligungsbedürftig.
  3. Mit der Datenschutzerklärung verzahnen. Die Cookie-Richtlinie ergänzt die Datenschutzerklärung, verweist auf sie und widerspricht ihr nicht.
  4. Consent-Tool anbinden. Die Einwilligungsverwaltung erfolgt über eine Consent-Management-Plattform — welche für Ihre Website passt, zeigt unser CMP-Vergleich.
  5. Update-Prozess festlegen. Jede neue Integration (Chat-Tool, Tracking-Pixel, eingebettetes Video) verändert die Cookie-Liste und erfordert eine Aktualisierung.

Die Update-Pflicht wird unterschätzt

Der häufigste Fehler ist eine Cookie-Richtlinie, die einmal erstellt und nie wieder angefasst wird. Websites ändern sich ständig — ein neues Marketing-Tool, ein eingebettetes Video, ein A/B-Testing-Skript setzen neue Cookies, die im Banner und in der Richtlinie fehlen. Genau diese Diskrepanz zwischen tatsächlich gesetzten und in der Richtlinie genannten Cookies ist ein typischer Prüfungsbefund der Aufsichtsbehörden. Ein regelmäßiger Cookie-Scan — technisch oder über die Consent-Plattform — hält Banner, Richtlinie und Realität synchron. Die Richtlinie ist kein statisches Dokument, sondern die Momentaufnahme eines gepflegten Zustands.

Die Rechtsprechung zum „Ablehnen"-Button

Der praktisch wichtigste Streitpunkt ist die Gleichwertigkeit von Zustimmung und Ablehnung. Die Aufsichtsbehörden und die Gerichte verlangen, dass die Ablehnung genauso einfach möglich sein muss wie die Zustimmung — ein „Alle akzeptieren"-Button auf der ersten Ebene ohne gleichwertigen „Alle ablehnen"-Button auf derselben Ebene ist unzulässig. Die Einwilligung muss zudem eine aktive Handlung sein: Vorangekreuzte Kästchen sind unwirksam, wie der EuGH bereits in der Rechtssache C-673/17 (Planet49) für Cookies entschieden hat. Auch das bloße Weiterscrollen oder Weiternutzen der Seite gilt nicht als Einwilligung.

Für die Cookie-Richtlinie folgt daraus, dass sie den Mechanismus der Einwilligung korrekt beschreiben und auf ein Consent-Tool verweisen muss, das diese Anforderungen technisch erfüllt. Die Grundsätze wirksamer Einwilligung — informiert, freiwillig, aktiv, widerrufbar — gelten hier genauso wie sonst; konkrete Formulierungen zeigen unsere Einwilligungs-Beispiele. Eine Richtlinie, die eine Einwilligung beschreibt, die das Banner faktisch nicht sauber einholt, dokumentiert am Ende nur den eigenen Verstoß.

FAQ

Heißt es jetzt TTDSG oder TDDDG?

Seit dem 14. Mai 2024 heißt das Gesetz TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Es hat das TTDSG abgelöst; die inhaltliche Regelung zu Cookies in § 25 ist unverändert geblieben. Ältere Muster, die noch „TTDSG" nennen, sollten auf „TDDDG" aktualisiert werden.

Brauche ich für unbedingt erforderliche Cookies eine Einwilligung?

Nein. Nach § 25 Abs. 2 TDDDG sind Cookies, die unbedingt erforderlich sind, um einen ausdrücklich gewünschten Dienst bereitzustellen, einwilligungsfrei — etwa Warenkorb- oder Login-Cookies. Sie müssen aber transparent in der Cookie-Richtlinie genannt werden. Analyse- und Marketing-Cookies fallen nicht unter die Ausnahme.

Nein. Das Banner holt die Einwilligung ein und muss einen gleichwertigen „Ablehnen"-Button auf der ersten Ebene bieten. Die Cookie-Richtlinie informiert detailliert über die eingesetzten Cookies und wird aus dem Banner und dem Footer verlinkt. Beide zusammen erfüllen die Transparenz- und Einwilligungspflichten.

Immer dann, wenn sich die eingesetzten Cookies ändern — also bei jedem neuen Tool, Tracking-Pixel oder eingebetteten Dienst. Ein fester Turnus reicht nicht; entscheidend ist die Übereinstimmung mit den tatsächlich gesetzten Cookies. Ein regelmäßiger Cookie-Scan hält die Richtlinie aktuell.

Fazit

Eine belastbare Cookie-Richtlinie beruht auf drei Dingen: einer vollständigen Cookie-Inventur, der korrekten Einordnung jeder Kategorie nach § 25 TDDDG und einem Update-Prozess, der Richtlinie und Realität synchron hält. Nutzen Sie das Muster als Grundlage, verzahnen Sie es mit Banner und Datenschutzerklärung und behandeln Sie es als lebendes Dokument. Den Gesetzestext finden Sie im TDDDG, die zugrunde liegende ePrivacy-Richtlinie bei EUR-Lex.

Siehe auch: Speziell für Agenturen vertieft das Thema unser Leitfaden DSGVO für Marketing-Agenturen.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →