Nexvyra

Online-Tracking & ePrivacy – TDDDG, Cookies, Fingerprinting

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-06 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉

Online-Tracking & ePrivacy – TDDDG, Cookies, Fingerprinting

Kurzantwort

Für jeden Zugriff auf Endgeräte des Nutzers (Cookies, LocalStorage, IndexedDB, Fingerprinting, Pixel) gilt seit dem 14. Mai 2024 das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) – Nachfolger des TTDSG. § 25 TDDDG verlangt vorherige Einwilligung des Nutzers; Ausnahme nur für technisch zwingend erforderliche Zugriffe. DSGVO greift parallel bei Verarbeitung personenbezogener Daten. Eine Cookie-Banner-Verordnung der EU ist in Vorbereitung; die deutsche Einwilligungsverwaltungs-Verordnung (EinwV) soll einheitliche PIMS (Personal Information Management Systems) etablieren – Stand 06/2026 noch nicht in Kraft.

Kernfakten

PunktWert
Rechtsgrundlage§ 25 TDDDG (vorher § 25 TTDSG) [gesetze-im-internet.de, TDDDG]
EU-GrundlageArt. 5 Abs. 3 ePrivacy-Richtlinie 2002/58/EG
Geltung TDDDGseit 14. Mai 2024 (Nachfolger TTDSG durch DDG-Paket)
Einwilligungspflichtfür jede Speicherung/Zugriff auf Endgerät [§ 25 Abs. 1 TDDDG]
Ausnahme „technisch erforderlich"nur unbedingt nötig zur Erbringung des angeforderten Dienstes [§ 25 Abs. 2 TDDDG]
Erfasste TechnologienCookies, LocalStorage, IndexedDB, Service Workers, Fingerprinting, Pixel
Cookie-Banner-Pflichtenbewusste, informierte, freiwillige, eindeutige Einwilligung [Art. 4 Nr. 11 DSGVO]
Verbot „Dark Patterns"irreführende Buttons unzulässig [DSK-Beschluss 04/2023, EDPB Guidelines 03/2022]
„Ablehnen"-Button Pflichtgleichwertig erreichbar wie „Akzeptieren" [DSK 04/2023]
Speicherdauer Cookiessollte begrenzt sein; Speicherbegrenzungsprinzip DSGVO Art. 5
Pre-ticked Boxenunzulässig (EuGH C-673/17 „Planet49")
Cookie-Wall (Pay or OK)EDPB-Stellungnahme 2024: nur eingeschränkt zulässig
Fingerprintinggleiche Einwilligungspflicht wie Cookies [DSK 03/2024]
Server-Side-Trackingweiterhin DSGVO-pflichtig, ggf. mit Auftragsverarbeitung
Drittland-Übermittlung (USA)Data Privacy Framework + ggf. SCC notwendig [Art. 44 ff. DSGVO]
Aufsichtsbehörde Cookie/§ 25Datenschutzbehörden der Bundesländer + BfDI [§ 30 TDDDG]
Bußgelderbis 300.000 € [§ 28 TDDDG]
Bußgelder DSGVO parallelbis 20 Mio. € oder 4 % weltw. Jahresumsatz [Art. 83 DSGVO]
Einwilligungsverwaltung (PIMS)EinwV in Vorbereitung [§ 26 TDDDG]
EU-Cookie-Banner-VerordnungEU-Kommission Vorschlag erwartet 2025/2026
Anonymisierung als Auswegerst nach Anonymisierung kein DSGVO mehr (EuGH C-582/14 „Breyer")
ePrivacy-VO (EU-Vorschlag)seit 2017 in Verhandlung, Verabschiedung offen

Häufige Fehler

Quellen

Änderungsverlauf

Stand