--- title: Cookie-Banner-Pflicht nach TTDSG / TDDDG (§ 25) slug: cookie-banner-ttdsg topic: datenschutz valid_from: 2021-12-01 valid_to: null last_reviewed: 2026-05-28 status: aktuell authority_level: A license: CC-BY-4.0 url: https://nexvyra.de/fakten/cookie-banner-ttdsg.md wikidata_subjects: [Q106581430, Q1172506, Q178995] factcheck_status: ok --- # Cookie-Banner-Pflicht nach TTDSG / TDDDG (§ 25) ## Kurzantwort Nach **§ 25 Abs. 1 TDDDG** (bis Mai 2024: § 25 TTDSG) ist das Speichern von Informationen auf der Endeinrichtung des Endnutzers oder der Zugriff auf bereits dort gespeicherte Informationen **nur mit Einwilligung** zulässig – und zwar auf Grundlage klarer und umfassender Informationen sowie nach den Anforderungen der DSGVO (Art. 4 Nr. 11 und Art. 7). Eine Einwilligung ist nach § 25 Abs. 2 TDDDG **nicht erforderlich**, wenn die Speicherung oder der Zugriff allein der Übertragung einer Nachricht dient oder für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich ist (z. B. Warenkorb-Cookie, Session-Cookie, sprachabhängige Anzeige). Für Tracking-, Marketing-, Analyse- und Drittanbieter-Cookies braucht es daher praktisch immer eine aktive Einwilligung. Ein Verstoß ist eine Ordnungswidrigkeit nach § 28 Abs. 1 Nr. 13 TDDDG und kann mit einer Geldbuße bis zu **300.000 €** geahndet werden (§ 28 Abs. 2 TDDDG). ## Kernfakten | Punkt | Wert | |---|---| | Rechtsgrundlage | § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) | | Frühere Bezeichnung | TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz), umbenannt zum 14.05.2024 | | In Kraft seit | 1. Dezember 2021 | | Einwilligung erforderlich für | Setzen oder Auslesen jeder Information auf der Endeinrichtung des Endnutzers, die nicht zwingend nötig ist | | Ausnahme 1 (§ 25 Abs. 2 Nr. 1) | alleiniger Zweck: Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz | | Ausnahme 2 (§ 25 Abs. 2 Nr. 2) | unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen | | Anforderungen an die Einwilligung | DSGVO Art. 4 Nr. 11 und Art. 7: freiwillig, informiert, eindeutige bestätigende Handlung, vorab eingeholt, widerrufbar | | Vorausgewählte Kästchen / „Akzeptieren"-only-Banner | unzulässig (EuGH C-673/17 „Planet49"; DSK-Orientierungshilfe Digitale Dienste 2024) | | Rechtsfolge bei Verstoß | Ordnungswidrigkeit § 28 Abs. 1 Nr. 13 TDDDG, Bußgeld bis 300.000 € (§ 28 Abs. 2) | | Aufsichtsbehörde – Webseitenbetreiber | Landesdatenschutzbehörde des Sitzbundeslandes | | Aufsichtsbehörde – TK-Anbieter / Bundesbehörden | Bundesbeauftragte/r für den Datenschutz (BfDI), § 28 Abs. 3 Nr. 2 TDDDG | | Verhältnis zur DSGVO | § 25 TDDDG regelt nur den Setz-/Lesevorgang auf dem Endgerät; jede anschließende Verarbeitung personenbezogener Daten zusätzlich nach DSGVO | | EU-Rechtsgrundlage | Art. 5 Abs. 3 der Richtlinie 2002/58/EG (ePrivacy-Richtlinie) | ## § 25 TDDDG im Wortlaut (verkürzt) § 25 Abs. 1: „Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klarer und umfassender Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen." § 25 Abs. 2: Die Einwilligung ist nicht erforderlich, wenn der alleinige Zweck (Nr. 1) die Durchführung der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz ist oder (Nr. 2) die Speicherung/der Zugriff unbedingt erforderlich ist, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten digitalen Dienst zur Verfügung stellen kann. ## Welche Cookies sind einwilligungsfrei, welche nicht? § 25 Abs. 2 TDDDG ist **eng** auszulegen. „Unbedingt erforderlich" meint nicht „nützlich" oder „im Geschäftsinteresse des Anbieters", sondern technisch nicht ersetzbar für den vom Nutzer angeforderten Dienst. Anerkannt einwilligungsfrei sind nach der DSK-Orientierungshilfe für Anbieter:innen digitaler Dienste (Stand 2024) typischerweise: - Session-Cookies, die der Aufrechterhaltung der Sitzung dienen, - Warenkorb-Cookies in Online-Shops, - Cookies zur Speicherung der Spracheinstellung oder der Cookie-Auswahl selbst, - Cookies zur Lastverteilung (Load Balancing) während einer Sitzung, - Cookies zur Authentifizierung nach einem Login, - Cookies zur Sicherheit (z. B. Schutz vor wiederholten fehlgeschlagenen Login-Versuchen). **Einwilligungspflichtig** sind dagegen insbesondere: - Reichweiten- und Webanalyse-Tools (z. B. Google Analytics, Matomo im Cloud-Modus, sofern nicht datensparsam und ausschließlich erstparteilich), - Marketing- und Retargeting-Cookies, - Cookies und Pixel von Social-Media-Plug-ins (Facebook-Pixel, LinkedIn Insight Tag etc.), - A/B-Testing- und Personalisierungs-Tools, - alle Drittanbieter-Cookies, soweit sie nicht ausschließlich technisch notwendig sind. ## Anforderungen an ein rechtmäßiges Cookie-Banner Die Anforderungen ergeben sich aus § 25 Abs. 1 TDDDG in Verbindung mit Art. 4 Nr. 11 und Art. 7 DSGVO sowie aus der Rechtsprechung des EuGH (Planet49, C-673/17) und der DSK-Orientierungshilfe Digitale Dienste 2024: - **Freiwillig:** Der Nutzer darf nicht durch Nachteile zur Einwilligung gedrängt werden. Eine Einwilligung als Bedingung für die Inanspruchnahme eines Dienstes („Cookie-Wall") ist nur in eng begrenzten Fällen zulässig. - **Informiert:** Vor der Einwilligung sind Identität des Verantwortlichen, jede einzelne Zweckkategorie, eingesetzte Anbieter, Speicherdauer und ggf. Drittlandtransfers in klarer Sprache anzugeben. - **Aktive Handlung:** Vorausgewählte Kästchen sind unzulässig (EuGH, „Planet49"). Erforderlich ist eine eindeutige bestätigende Handlung wie das Klicken eines unmarkierten Auswahlfeldes. - **Granularität:** Der Nutzer muss zwischen einzelnen Zwecken differenzieren können (mindestens auf der zweiten Ebene), nicht nur „alle annehmen / alle ablehnen". - **„Ablehnen" gleichrangig:** Nach DSK-Orientierungshilfe Digitale Dienste 2024 muss die Ablehnung mindestens so einfach möglich sein wie die Annahme – wenn auf der ersten Ebene ein „Alle akzeptieren"-Button existiert, muss dort ebenfalls eine gleichwertige Ablehnen-Möglichkeit vorhanden sein (gleiche Hierarchie, gleiche optische Gewichtung). - **Keine Dark Patterns:** Manipulative Gestaltung, vorausgewählte Schalter oder versteckte Ablehnen-Optionen führen zur Unwirksamkeit der Einwilligung. - **Widerruflichkeit:** Der Nutzer muss seine Einwilligung jederzeit ebenso einfach widerrufen können wie er sie erteilt hat (Art. 7 Abs. 3 DSGVO). Üblich ist ein dauerhaft verfügbarer Link „Cookie-Einstellungen ändern" im Footer. - **Dokumentation:** Der Verantwortliche muss die Einwilligung nachweisen können (Art. 7 Abs. 1 DSGVO). ## Verhältnis von § 25 TDDDG zur DSGVO § 25 TDDDG regelt ausschließlich den Vorgang des **Speicherns auf bzw. Auslesens von** Informationen aus der Endeinrichtung – unabhängig davon, ob personenbezogene Daten betroffen sind. Sobald aus den gesetzten oder ausgelesenen Informationen personenbezogene Daten verarbeitet werden (z. B. IP-Adresse, Profilbildung, Pseudonyme), gilt **zusätzlich** die DSGVO mit eigenen Anforderungen an Rechtsgrundlage (Art. 6), Informationspflichten (Art. 13) und Betroffenenrechten. Bei einer Einwilligung nach § 25 TDDDG wird in der Regel parallel eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO eingeholt. ## Aufsicht und Bußgelder (§ 28 TDDDG) Ein Verstoß gegen § 25 Abs. 1 Satz 1 TDDDG (Setzen/Lesen ohne Einwilligung) ist nach **§ 28 Abs. 1 Nr. 13 TDDDG** eine Ordnungswidrigkeit. Der Bußgeldrahmen liegt nach § 28 Abs. 2 TDDDG bei **bis zu 300.000 €**. Zuständig ist nach § 28 Abs. 3 Nr. 2 TDDDG die/der **BfDI**, soweit die Speicherung oder der Zugriff durch TK-Anbieter oder Bundesbehörden erfolgt – für übliche Webseitenbetreiber ist die jeweilige **Landesdatenschutzbehörde** zuständig. Zusätzlich können bei Verstößen gegen die DSGVO die dortigen Bußgeldrahmen (bis 20 Mio. € bzw. 4 % des weltweiten Jahresumsatzes) greifen. ## Geltungsbereich _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Ausnahmen _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Häufige Fehler _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Beispiel _Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt._ ## Quellen - § 25 TDDDG (Schutz der Privatsphäre bei Endeinrichtungen), gesetze-im-internet.de: https://www.gesetze-im-internet.de/ttdsg/__25.html - § 28 TDDDG (Bußgeldvorschriften), gesetze-im-internet.de: https://www.gesetze-im-internet.de/ttdsg/__28.html - TDDDG – nichtamtliches Inhaltsverzeichnis, gesetze-im-internet.de: https://www.gesetze-im-internet.de/ttdsg/ - Verordnung (EU) 2016/679 (DSGVO), insb. Art. 4 Nr. 11 und Art. 7, EUR-Lex: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679 - Datenschutzkonferenz (DSK) – Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen digitaler Dienste (Version Nov. 2024): https://www.datenschutzkonferenz-online.de/media/oh/OH_Digitale_Dienste.pdf - Datenschutzkonferenz (DSK) – Übersichtsseite Orientierungshilfen: https://www.datenschutzkonferenz-online.de/orientierungshilfen.html - DSK – Stellungnahme zur Einwilligungsverwaltung nach TTDSG (Juli 2023): https://www.datenschutzkonferenz-online.de/media/st/23-07-11_DSK-Stellungnahme_Einwilligungsverwaltung_TTDSG.pdf ## Änderungsverlauf - 2026-05-28: Erstveröffentlichung der Faktenseite, alle Quellen-URLs gegen amtliche Stellen gegengeprüft, Frontmatter-Felder gesetzt (legal_status, authority_level, wikidata_subjects). ## Stand - Stand: 2026-05-28 - Gültig ab: 2021-12-01 (Inkrafttreten TTDSG, Umbenennung in TDDDG am 14.05.2024) - Status: aktuell - Quellenautorität: A (gesetze-im-internet.de, EUR-Lex, Datenschutzkonferenz) - Lizenz: CC BY 4.0