Datenschutz

TTDSG Cookie-Banner: §25 TTDSG und BfDI-Vorgaben

TTDSG Cookie-Banner Deutschland: §25 TTDSG, Einwilligungspflicht, BfDI-Leitlinien 2026 — was zulässig ist und welche Banner abmahnfähig sind.

TD
Dr. Thiébaut Devergranne
23. Mai 20265 min read

In einem Satz. §25 TTDSG (seit 1. Dezember 2021 in Kraft, umbenannt zum TDDDG ab Mai 2024) verlangt für jeden Zugriff auf Informationen im Endgerät — Cookies, LocalStorage, Pixel, Fingerprinting — eine vorherige, informierte, freiwillige Einwilligung der Nutzenden, mit Ausnahme der “unbedingt erforderlichen” Funktionen (z.B. Warenkorb, Login).

§25 TTDSG setzt Artikel 5 Absatz 3 der ePrivacy-Richtlinie um und ist die deutsche Cookie-Norm. Wichtig: §25 TTDSG gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden — der bloße Zugriff auf das Endgerät genügt. Erst danach greift bei personenbezogenen Daten zusätzlich die DSGVO.

Die DSK-Orientierungshilfe Telemedien (Version 1.1, Dezember 2021), aktualisiert 2024, sowie die BfDI- und LfDI-Praxis prägen die Anwendung. Die EU-Kommission arbeitet parallel an einer ePrivacy-Verordnung, die TTDSG mittelfristig ersetzen wird.

Für Einwilligungsbedingungen siehe DSGVO Artikel 7 Einwilligung. Für Beispieltexte Einwilligung DSGVO Beispiele.

Wichtige Punkte

  • §25 TTDSG (jetzt TDDDG) verlangt Opt-in-Einwilligung für nicht-essentielle Cookies und ähnliche Technologien.
  • Banner ohne gleichwertigen “Ablehnen”-Button sind nach BfDI/DSK abmahnfähig.
  • Dark Patterns (farbliche Hervorhebung des Akzeptieren-Buttons) sind ungültig.
  • Cookie-Walls sind grundsätzlich problematisch — Ausnahme: PUR-Modell mit angemessenem Preis.
  • Verstöße sanktionierbar nach §28 TTDSG bis 300.000 € oder über DSGVO bis 4 % Umsatz.

1. §25 TTDSG — der Wortlaut

§25 Absatz 1 TTDSG: “Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.”

Absatz 2 nennt zwei Ausnahmen:

  1. Übertragung über Kommunikationsnetz alleiniger Zweck
  2. Für vom Nutzer gewünschten Telemediendienst unbedingt erforderlich

2. Was ist “unbedingt erforderlich”?

Die DSK-Orientierungshilfe nennt:

  • Session-Cookies für Warenkorb
  • Login-Cookies (mit Opt-in für “Eingeloggt bleiben”)
  • Sprachpräferenz
  • Lastverteilung
  • Cookie-Consent-Speicherung selbst

Nicht unbedingt erforderlich:

  • Analytics (auch “first-party” wie Matomo ohne Anonymisierung)
  • Werbe-Cookies, Retargeting
  • A/B-Testing
  • Social-Media-Pixel (Facebook, LinkedIn, TikTok)
  • YouTube-Embeds (im Standardmodus)

3. Banner-Anforderungen — was zulässig ist

Element Anforderung
Information vor Setzen Cookies erst nach Klick auf “Akzeptieren”
Granulare Auswahl Kategorien einzeln aktivierbar
Gleichwertiger Ablehnen-Button Auf Layer 1, gleiche Prominenz wie Akzeptieren
Widerruf Permanenter Footer-Link “Cookie-Einstellungen”
Speicherung der Wahl Auch der Ablehnen-Wahl, vermeidet Re-Prompting
Lebensdauer dokumentiert Max. 6-13 Monate für Consent-Speicherung

4. Dark Patterns — was unzulässig ist

Die DSK und EDPB-Leitlinien 03/2022 zu Dark Patterns nennen:

  • Farbliche Hervorhebung des Akzeptieren-Buttons (grün vs. grau)
  • Vorgekreuzte Kästchen (durch EuGH Planet49 C-673/17 ohnehin ungültig)
  • Versteckter Ablehnen-Button in Untermenü
  • “Akzeptieren oder X” ohne dritte Option
  • Wiederholtes Prompting trotz Ablehnung
  • Cookie-Wall ohne gleichwertige Alternative

5. PUR-Modell — die zulässige Ausnahme

EDPB-Stellungnahme 08/2024 zum “Consent or Pay”-Modell:

  • Bezahlte Alternative muss angemessen sein (typischerweise unter 5 €/Monat)
  • Anbieter muss dieselbe Funktionalität bieten
  • Keine versteckten Tracking trotz Bezahlung
  • BGH-Urteil zu BILD/Süddeutsche im Sommer 2024 ließ PUR-Modell zu, aber mit Auflagen

6. Sanktionen — Sanktionspraxis

Jahr Anbieter Aufsicht Sanktion
2022 Multiple deutsche Verlage LfDI Verwarnungen
2022 Google Analytics-Nutzer mehrere LfDI Untersagungen
2023 Verlage mit Dark Patterns DSB BB Bußgelder 5-25k €
2024 KIK Textilien LDI NRW 100k € (TTDSG-Verstöße + DSGVO)
2024 Mehrere E-Commerce LfDI BW Anordnungen

§28 TTDSG sieht bis 300.000 € vor; bei personenbezogenen Daten zusätzlich DSGVO-Sanktionsrahmen.

7. Google Analytics — Sonderfall

Mehrere LfDI haben 2022-2023 Google Analytics ohne IP-Anonymisierung und ohne Server-Side-Tracking untersagt. GA4 ist nicht automatisch konform — entscheidend:

  • IP-Anonymisierung aktiviert
  • Datenverarbeitungszusatz (DPA) abgeschlossen
  • Consent vor Tracking
  • Server-Side-Tagging bevorzugt
  • Kein Cross-Site-Tracking ohne Opt-in

8. TTDSG vs. TDDDG — die Umbenennung

Mit dem Digitale-Dienste-Gesetz (DDG) ab Mai 2024 wurde TTDSG in TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) umbenannt. Inhaltlich §25 unverändert; Verweisstellen müssen aktualisiert werden.

9. Zukunft — ePrivacy-Verordnung

Die ePrivacy-Verordnung soll die ePrivacy-Richtlinie und nationale Umsetzungen (TTDSG/TDDDG) ablösen. Stand 2026: noch nicht verabschiedet, voraussichtlich 2027. Erwartete Änderungen:

  • Stärkere Browser-Einstellungen (“Do Not Track” verbindlich)
  • Vereinheitlichung EU-weit
  • Möglicherweise Privacy-by-Default

10. Implementierungs-Checkliste

  • [ ] Cookie-Audit durchgeführt (alle Cookies und Tracker erfasst)
  • [ ] Klassifikation: essential vs. nicht-essential
  • [ ] Banner mit gleichwertigem Ablehnen-Button (Layer 1)
  • [ ] Granulare Kategorien (Funktional, Statistik, Marketing)
  • [ ] Cookies werden tatsächlich erst nach Einwilligung gesetzt
  • [ ] Permanenter Cookie-Einstellungen-Link im Footer
  • [ ] Consent-Aufzeichnung mit Zeitstempel
  • [ ] Cookie-Banner-Test mit Tools (z.B. WebPageTest)
  • [ ] Datenschutzerklärung listet alle Cookies (siehe Datenschutzerklärung Muster)

11. Werkzeuge

Legiscope scannt Webseiten auf TTDSG-Verstöße, prüft Cookie-Banner-Konformität gegen BfDI-Kriterien und alarmiert bei nicht-deklarierten Tracking-Pixeln.

Weitere Leitfäden: DSGVO Artikel 7 Einwilligung, Einwilligung DSGVO Beispiele, Datenschutzerklärung Muster.

Fazit

Cookie-Compliance ist keine UX-Frage mehr — sie ist Pflicht. TTDSG/TDDDG plus DSGVO bilden einen klaren Rahmen: vorher informieren, gleichwertig Wahl anbieten, Wahl respektieren, Wahl dokumentieren. Wer Dark Patterns nutzt, riskiert Abmahnung und Bußgeld.

FAQ

Was ist der Unterschied zwischen TTDSG und TDDDG?

TDDDG ist die Umbenennung des TTDSG seit Mai 2024. §25 (Cookie-Einwilligung) ist inhaltlich unverändert.

Nein — “unbedingt erforderliche” Cookies sind nach §25 Absatz 2 TTDSG einwilligungsfrei. Eine Information in der Datenschutzerklärung genügt.

Ist Google Analytics in Deutschland erlaubt?

GA4 mit IP-Anonymisierung, abgeschlossenem DPA und vorheriger Einwilligung ist möglich. Mehrere LfDI haben aber Untersagungen ausgesprochen — Risiko bleibt.

Was ist ein zulässiges PUR-Modell?

Eine kostenpflichtige Alternative zum Tracking, die laut EDPB “angemessen” bepreist ist (Richtwert: unter 5 €/Monat) und dieselbe Funktionalität bietet.

Wie hoch sind die Bußgelder bei TTDSG-Verstößen?

§28 TTDSG: bis 300.000 €. Bei zusätzlichen DSGVO-Verstößen: bis 4 % des weltweiten Konzernumsatzes.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →