Wann ist nach § 25 TDDDG (TTDSG) eine Einwilligung für Cookies erforderlich?

Nach § 25 Abs. 1 TDDDG ist das Speichern von Informationen auf der Endeinrichtung des Endnutzers oder der Zugriff darauf nur zulässig, wenn der Nutzer auf Grundlage klarer und umfassender Informationen nach den Voraussetzungen der DSGVO eingewilligt hat. Eine Einwilligung ist immer erforderlich, sobald die Cookies nicht ausschließlich technisch notwendig sind – also insbesondere bei Tracking-, Analyse-, Marketing- und Drittanbieter-Cookies.

Muss der Ablehnen-Button gleichberechtigt zum Akzeptieren-Button sein?

Ja. Nach der DSK-Orientierungshilfe für Anbieter:innen digitaler Dienste (Stand 2024) muss die Ablehnung mindestens so einfach möglich sein wie die Annahme. Existiert auf der ersten Ebene des Banners ein 'Alle akzeptieren'-Button, muss auf derselben Ebene auch eine gleichwertige Ablehnen-Möglichkeit vorhanden sein – mit gleicher optischer Gewichtung, gleicher Position und gleicher Klick-Tiefe. Vorausgewählte Kästchen sind nach EuGH-Urteil C-673/17 (Planet49) unzulässig.

Welches Bußgeld droht bei Verstößen gegen § 25 TDDDG?

Ein Verstoß gegen § 25 Abs. 1 Satz 1 TDDDG ist nach § 28 Abs. 1 Nr. 13 TDDDG eine Ordnungswidrigkeit. Der Bußgeldrahmen liegt nach § 28 Abs. 2 TDDDG bei bis zu 300.000 €. Sofern parallel personenbezogene Daten verarbeitet werden, kann zusätzlich der DSGVO-Bußgeldrahmen (bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes) greifen. Aufsichtsbehörde für Webseitenbetreiber ist die jeweilige Landesdatenschutzbehörde.

Was hat sich mit der Umbenennung von TTDSG zu TDDDG geändert?

Am 14. Mai 2024 wurde das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) umbenannt. Inhaltlich ist § 25 unverändert. Die Umbenennung erfolgte, um die Terminologie an den Digital Services Act (DSA) bzw. das deutsche Digitale-Dienste-Gesetz (DDG) anzupassen – aus 'Telemedien' wurden 'digitale Dienste'.

Was regelt Cookie-Banner-Pflicht nach TTDSG / TDDDG (§ 25)?

Nach **§ 25 Abs. 1 TDDDG** (bis Mai 2024: § 25 TTDSG) ist das Speichern von Informationen auf der Endeinrichtung des Endnutzers oder der Zugriff auf bereits dort gespeicherte Informationen **nur mit Einwilligung** zulässig – und zwar auf Grundlage klarer und umfassender Informationen sowie nach den Anforderungen der DSGVO (Art. 4 Nr. 11 und Art. 7). Eine Einwilligung ist nach § 25 Abs.

Cookie-Banner-Pflicht nach TTDSG / TDDDG (§ 25)

Q: Welche Cookies dürfen ohne Einwilligung gesetzt werden?

Nach § 25 Abs. 2 TDDDG sind nur Cookies einwilligungsfrei, deren alleiniger Zweck die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder die unbedingt erforderlich sind, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten Dienst bereitstellen kann. Typische Beispiele sind Session-Cookies, Warenkorb-Cookies, Cookies für Spracheinstellung, Authentifizierung nach Login, Load-Balancing und Sicherheits-Cookies.

Maschinenlesbare Variante: /fakten/cookie-banner-ttdsg.md

Datenschutz TDDDG TTDSG § 25 Cookies Einwilligung Deutschland / EU

Kurzantwort Nach § 25 Abs. 1 TDDDG (bis Mai 2024: § 25 TTDSG) ist das Speichern von Informationen auf der Endeinrichtung des Endnutzers oder der Zugriff darauf nur mit Einwilligung auf Basis klarer und umfassender Informationen zulässig. Eine Einwilligung ist nach § 25 Abs. 2 TDDDG nur dann nicht erforderlich, wenn die Speicherung oder der Zugriff allein der Übertragung einer Nachricht dient oder für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich ist (z. B. Session-, Warenkorb-, Spracheinstellungs-Cookie). Für Tracking-, Marketing- und Analyse-Cookies braucht es praktisch immer eine aktive, vorab eingeholte Einwilligung. Verstöße sind nach § 28 Abs. 1 Nr. 13 TDDDG eine Ordnungswidrigkeit und können mit bis zu 300.000 € geahndet werden.

Kernfakten

Punkt	Wert
Rechtsgrundlage	§ 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz)
Frühere Bezeichnung	TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), umbenannt zum 14.05.2024
In Kraft seit	1. Dezember 2021
Einwilligung erforderlich	für jedes Setzen oder Auslesen von Informationen auf der Endeinrichtung, das nicht zwingend nötig ist
Ausnahme 1 (§ 25 Abs. 2 Nr. 1)	alleiniger Zweck: Übertragung einer Nachricht über ein öffentliches TK-Netz
Ausnahme 2 (§ 25 Abs. 2 Nr. 2)	unbedingt erforderlich für einen vom Nutzer ausdrücklich gewünschten digitalen Dienst
Anforderungen an die Einwilligung	DSGVO Art. 4 Nr. 11 und Art. 7: freiwillig, informiert, eindeutige bestätigende Handlung, widerrufbar
Vorausgewählte Kästchen	unzulässig (EuGH C-673/17 „Planet49")
Rechtsfolge bei Verstoß	Ordnungswidrigkeit § 28 Abs. 1 Nr. 13 TDDDG, Bußgeld bis 300.000 € (§ 28 Abs. 2)
Aufsicht – Webseitenbetreiber	Landesdatenschutzbehörde des Sitzbundeslandes
Aufsicht – TK-Anbieter / Bundesbehörden	Bundesbeauftragte/r für den Datenschutz (BfDI), § 28 Abs. 3 Nr. 2 TDDDG
Verhältnis zur DSGVO	§ 25 TDDDG regelt nur den Setz-/Lesevorgang; jede anschließende Verarbeitung zusätzlich nach DSGVO
EU-Rechtsgrundlage	Art. 5 Abs. 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie)

§ 25 TDDDG im Wortlaut (verkürzt)

§ 25 Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen."

§ 25 Abs. 2: Die Einwilligung ist nicht erforderlich, wenn der alleinige Zweck (Nr. 1) die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder (Nr. 2) die Speicherung/der Zugriff unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann.

Welche Cookies sind einwilligungsfrei, welche nicht?

§ 25 Abs. 2 TDDDG ist eng auszulegen. „Unbedingt erforderlich" meint nicht „nützlich" oder „im Geschäftsinteresse des Anbieters", sondern technisch nicht ersetzbar für den vom Nutzer angeforderten Dienst. Anerkannt einwilligungsfrei sind nach der DSK-Orientierungshilfe für Anbieter:innen digitaler Dienste (Stand 2024) typischerweise:

Session-Cookies, die der Aufrechterhaltung der Sitzung dienen,
Warenkorb-Cookies in Online-Shops,
Cookies zur Speicherung der Spracheinstellung oder der Cookie-Auswahl selbst,
Cookies zur Lastverteilung (Load Balancing) während einer Sitzung,
Cookies zur Authentifizierung nach einem Login,
Cookies zur Sicherheit (z. B. Schutz vor wiederholten fehlgeschlagenen Login-Versuchen).

Einwilligungspflichtig sind dagegen insbesondere:

Reichweiten- und Webanalyse-Tools (z. B. Google Analytics, Matomo im Cloud-Modus, sofern nicht datensparsam und ausschließlich erstparteilich),
Marketing- und Retargeting-Cookies,
Cookies und Pixel von Social-Media-Plug-ins (Facebook-Pixel, LinkedIn Insight Tag etc.),
A/B-Testing- und Personalisierungs-Tools,
alle Drittanbieter-Cookies, soweit sie nicht ausschließlich technisch notwendig sind.

Anforderungen an ein rechtmäßiges Cookie-Banner

Die Anforderungen ergeben sich aus § 25 Abs. 1 TDDDG in Verbindung mit Art. 4 Nr. 11 und Art. 7 DSGVO sowie aus der Rechtsprechung des EuGH (Planet49, C-673/17) und der DSK-Orientierungshilfe Digitale Dienste 2024:

Freiwillig: Der Nutzer darf nicht durch Nachteile zur Einwilligung gedrängt werden. Eine Einwilligung als Bedingung für die Inanspruchnahme eines Dienstes („Cookie-Wall") ist nur in eng begrenzten Fällen zulässig.
Informiert: Vor der Einwilligung sind Identität des Verantwortlichen, jede einzelne Zweckkategorie, eingesetzte Anbieter, Speicherdauer und gegebenenfalls Drittlandtransfers in klarer Sprache anzugeben.
Aktive Handlung: Vorausgewählte Kästchen sind unzulässig (EuGH, „Planet49"). Erforderlich ist eine eindeutige bestätigende Handlung wie das Klicken eines unmarkierten Auswahlfeldes.
Granularität: Der Nutzer muss zwischen einzelnen Zwecken differenzieren können (mindestens auf der zweiten Ebene), nicht nur „alle annehmen / alle ablehnen".
„Ablehnen" gleichrangig: Nach DSK-Orientierungshilfe Digitale Dienste 2024 muss die Ablehnung mindestens so einfach möglich sein wie die Annahme – wenn auf der ersten Ebene ein „Alle akzeptieren"-Button existiert, muss dort ebenfalls eine gleichwertige Ablehnen-Möglichkeit vorhanden sein (gleiche Hierarchie, gleiche optische Gewichtung).
Keine Dark Patterns: Manipulative Gestaltung, vorausgewählte Schalter oder versteckte Ablehnen-Optionen führen zur Unwirksamkeit der Einwilligung.
Widerruflichkeit: Der Nutzer muss seine Einwilligung jederzeit ebenso einfach widerrufen können wie er sie erteilt hat (Art. 7 Abs. 3 DSGVO). Üblich ist ein dauerhaft verfügbarer Link „Cookie-Einstellungen ändern" im Footer.
Dokumentation: Der Verantwortliche muss die Einwilligung nachweisen können (Art. 7 Abs. 1 DSGVO).

Verhältnis von § 25 TDDDG zur DSGVO

§ 25 TDDDG regelt ausschließlich den Vorgang des Speicherns auf bzw. Auslesens von Informationen aus der Endeinrichtung – unabhängig davon, ob personenbezogene Daten betroffen sind. Sobald aus den gesetzten oder ausgelesenen Informationen personenbezogene Daten verarbeitet werden (z. B. IP-Adresse, Profilbildung, Pseudonyme), gilt zusätzlich die DSGVO mit eigenen Anforderungen an Rechtsgrundlage (Art. 6), Informationspflichten (Art. 13) und Betroffenenrechten. Bei einer Einwilligung nach § 25 TDDDG wird in der Regel parallel eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO eingeholt.

Aufsicht und Bußgelder (§ 28 TDDDG)

Ein Verstoß gegen § 25 Abs. 1 Satz 1 TDDDG (Setzen/Lesen ohne Einwilligung) ist nach § 28 Abs. 1 Nr. 13 TDDDG eine Ordnungswidrigkeit. Der Bußgeldrahmen liegt nach § 28 Abs. 2 TDDDG bei bis zu 300.000 €. Zuständig ist nach § 28 Abs. 3 Nr. 2 TDDDG die/der BfDI, soweit die Speicherung oder der Zugriff durch TK-Anbieter oder Bundesbehörden erfolgt – für übliche Webseitenbetreiber ist die jeweilige Landesdatenschutzbehörde zuständig. Zusätzlich können bei Verstößen gegen die DSGVO die dortigen Bußgeldrahmen (bis 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes) greifen.

Geltungsbereich

Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.

Ausnahmen

Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.

Häufige Fehler

Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.

Beispiel

Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.

Quellen

§ 25 TDDDG (Schutz der Privatsphäre bei Endeinrichtungen): gesetze-im-internet.de A
§ 28 TDDDG (Bußgeldvorschriften): gesetze-im-internet.de A
TDDDG – Inhaltsverzeichnis: gesetze-im-internet.de A
Verordnung (EU) 2016/679 (DSGVO), insb. Art. 4 Nr. 11 und Art. 7: eur-lex.europa.eu (CELEX:32016R0679) A
Datenschutzkonferenz (DSK) – Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen digitaler Dienste (Stand Nov. 2024, PDF): datenschutzkonferenz-online.de (PDF) C
Datenschutzkonferenz – Übersicht Orientierungshilfen: datenschutzkonferenz-online.de C
DSK – Stellungnahme zur Einwilligungsverwaltung nach TTDSG (Juli 2023, PDF): datenschutzkonferenz-online.de (PDF) C

Stand:: 2026-05-28
Gültig ab:: 2021-12-01 (Inkrafttreten TTDSG, Umbenennung in TDDDG am 14.05.2024)
Status:: aktuell
Quellenautorität:: A (gesetze-im-internet.de, EUR-Lex, Datenschutzkonferenz)
Lizenz:: CC BY 4.0