Welches Gesetz regelt die Cookie-Einwilligung in Deutschland?

Zwei Gesetze gelten parallel. § 25 Abs. 1 TDDDG (das umbenannte TTDSG, in Kraft seit 14.05.2024) verlangt eine Einwilligung, bevor nicht zwingend erforderliche Informationen auf dem Endgerät gespeichert oder ausgelesen werden. Die DSGVO regelt die Rechtsgrundlage für die anschließende Datenverarbeitung.

Brauche ich ein Cookie-Banner, wenn ich nur Google Analytics nutze?

Ja. Analyse-Cookies und Pixel sind nicht unbedingt erforderlich im Sinne von § 25 Abs. 2 TDDDG, also brauchen sie ein aktives Opt-in, bevor sie laden. Dasselbe gilt für A/B-Test-Tools, Werbe-Pixel und die meisten Session-Replay-Tools.

Muss der Ablehnen-Button gleich prominent wie Akzeptieren sein?

Ja, auf der ersten Banner-Ebene. Die DSK-Orientierungshilfe für Anbieter von digitalen Diensten (Version 1.2, 20.11.2024) verlangt gleichwertige Optionen für Akzeptieren und Ablehnen, ohne zusätzliche Klicks oder visuelle Abwertung der Ablehnen-Variante.

Wie hoch ist das Bußgeld bei einem fehlerhaften Cookie-Banner?

Nach § 28 TDDDG bis zu EUR 300.000 pro Fall für einen Verstoß gegen § 25. Daneben greift die DSGVO: Eine unrechtmäßige Folgeverarbeitung kann zusätzlich Geldbußen nach Art. 83 DSGVO bis zu EUR 20 Mio. oder 4 Prozent des weltweiten Konzernjahresumsatzes auslösen.

Macht die Einwilligungsverwaltungsverordnung Cookie-Banner überflüssig?

Noch nicht. Die EinwV ist seit 1.4.2025 in Kraft und schafft einen freiwilligen Rahmen für anerkannte PIMS-Dienste. Die Verbreitung steht erst am Anfang. Cookie-Banner bleiben Standard mindestens bis 2027.

Compliance

Cookie-Einwilligung in Deutschland: Was Gründer wirklich wissen müssen

Cookie-Einwilligung in Deutschland hat zwei Ebenen: Das TDDDG regelt den Zugriff auf das Endgerät, die DSGVO die Datenverarbeitung. Was dein Banner braucht.

Immo Ait Stapelfeld·Rechtsanwalt·30. April 2026·8 Min. Lesezeit

Zusammenfassung

Die Cookie-Einwilligung in Deutschland ist eine zweistufige Pflicht. § 25 Abs. 1 TDDDG, in Kraft seit 14.05.2024, regelt das Speichern oder Auslesen von Informationen auf dem Endgerät. Die DSGVO regelt die Verarbeitung der dabei anfallenden personenbezogenen Daten. Beide Ebenen müssen für jeden nicht zwingend erforderlichen Cookie oder Pixel erfüllt sein, und der Ablehnen-Button muss auf der ersten Banner-Ebene gleichwertig zu Akzeptieren erscheinen.

Wenn deine Webseite Analytics, Werbe-Pixel, A/B-Testing oder ein anderes Drittanbieter-Tag nutzt, gelten zwei Gesetze, nicht eines. Das TDDDG regelt, ob du überhaupt etwas auf dem Endgerät der Nutzerinnen ablegen darfst. Die DSGVO regelt, was du anschließend mit den Daten tun darfst. Ein Banner, das die eine Ebene erfüllt und die andere ignoriert, ist nicht rechtskonform. Das BayLDA hat in einer einzigen Prüfwelle Anfang 2024 mehr als 350 Webseiten als unzulässig markiert; die Aufräumarbeiten laufen bis heute.

Endeinrichtung

Jedes vom Nutzer kontrollierte Gerät (Smartphone, Laptop, Tablet, Smart-TV), auf das eine Webseite schreiben oder von dem sie lesen könnte. Genau das ist der Auslöser für § 25 TDDDG.

Die zweistufige Pflicht

§ 25 Abs. 1 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, seit 14.05.2024 als umbenannte Nachfolgevorschrift des TTDSG durch BGBl. 2024 I Nr. 149 in Kraft) sagt: Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits dort gespeicherte Informationen sind nur zulässig, wenn der Endnutzer auf Grundlage klarer und umfassender Informationen eingewilligt hat. Dieselbe Norm verweist für die Anforderungen an die Einwilligung auf die DSGVO (Art. 4 Nr. 11, Art. 6 Abs. 1 Buchst. a, Art. 7).

Daraus folgen zwei Prüfungen pro Cookie.

Die TDDDG-Ebene fragt, ob du das Endgerät überhaupt anfassen darfst. Die DSGVO-Ebene fragt, ob du die anschließend entstehenden personenbezogenen Daten verarbeiten darfst. Beide müssen jeweils erfüllt sein. § 25 Abs. 2 nennt die einzigen zwei Ausnahmen vom Einwilligungserfordernis: erstens, wenn der alleinige Zweck die Übertragung einer Nachricht über ein öffentliches Netz ist, zweitens, wenn der Zugriff unbedingt erforderlich ist, damit der Anbieter den vom Nutzer ausdrücklich gewünschten Dienst bereitstellen kann. Session-Cookies im Checkout, der Sprachumschalter auf einer mehrsprachigen Seite und der Load-Balancer-Cookie fallen darunter. Analytics, Werbe-Pixel, Fingerprinter, A/B-Test-Tools und sogenannte Verbesserungs-Cookies nicht. Die EDPB-Guidelines 2/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-RL stellen klar, dass die Norm auch Pixel und IP-basierte Identifier erfasst, nicht nur klassische HTTP-Cookies.

Was eine wirksame Einwilligung verlangt

Vier Anforderungen müssen gleichzeitig erfüllt sein, sonst hält der Banner einer Aufsichtsprüfung nicht stand.

Informiert. Die Nutzerin weiß, welche Anbieter, welche Zwecke und welche Drittländer im Spiel sind, bevor sie auf Akzeptieren klickt. Der EuGH hat in seinem Urteil vom 1.10.2019 (C-673/17 "Planet49") Speicherdauer und Drittanbieter-Zugriff als zwingende Hinweise benannt.

Aktives Opt-in. Voreingestellte Kästchen sind raus. Dasselbe Planet49-Urteil und die Bestätigung durch den BGH am 28.05.2020 (I ZR 7/16 "Cookie-Einwilligung II") haben die Praxis im deutschen Recht beendet. In Audits 2026 tauchen Pre-Ticks dennoch regelmäßig auf.

Ablehnen gleichwertig zu Akzeptieren auf der ersten Ebene. Das ist die deutsche Besonderheit. Die DSK-Orientierungshilfe für Anbieter von digitalen Diensten (Version 1.2 vom 20.11.2024) verlangt eine gleichwertige Ablehnen-Option auf der ersten Banner-Ebene mit derselben Farbgewichtung und derselben einen Klickdistanz wie Akzeptieren. Alles, was nicht auf der ersten Ebene liegt, fällt durch. Ein zusätzlicher Klick reicht für die Beanstandung nach DSK v1.2 schon aus.

Granular und widerrufbar. Jeder nicht erforderliche Zweck braucht einen eigenen Schalter, und der Widerruf muss nach Art. 7 Abs. 3 DSGVO mindestens so einfach sein wie die Erteilung.

Häufige Gründer-Fallen

Vier Banner-Muster fallen in den Audits, die ich sehe, regelmäßig durch.

Der Lehrbuch-Dark-Pattern: "Alle akzeptieren" farbig hervorgehoben, "Ablehnen" ausgegraut oder unter "Einstellungen" versteckt. Das BayLDA hat genau dieses Muster in seiner Februar-2024-Welle als häufigsten Defekt benannt.

Direkt dahinter: voreingestellte Schalter im Einstellungs-Panel. Wer auf "Einstellungen" klickt, findet Analytics bereits aktiviert. Das ist dasselbe Planet49-Problem mit einem anderen Knopf.

Cookie-Walls mit dem Hinweis "Durch die weitere Nutzung der Seite stimmst du zu" scheitern an der Anforderung einer aktiven Handlung. Sowohl die EDPB-Guidelines 5/2020 zur Einwilligung als auch die DSK-Linie behandeln Scroll-as-Consent als keine Einwilligung.

Eine reine "Einwilligung oder weg"-Cookie-Wall ohne kostenlose Alternative scheitert für gewöhnliche Anbieter am Freiwilligkeitserfordernis (Art. 4 Nr. 11 i.V.m. Art. 7 Abs. 4 DSGVO). Ein dokumentiertes Pur-Abo-Modell bleibt nach dem DSK-Beschluss vom 22.03.2023 zulässig, aber die maßgebliche EU-weite Quelle ist inzwischen die EDPB-Stellungnahme 08/2024 vom 17.04.2024 zu "Consent or Pay"-Modellen großer Online-Plattformen. Sie zieht die Gleichwertigkeitsprüfung an: Die Bezahlvariante muss wirklich tracking-frei, funktional gleichwertig und angemessen bepreist sein, und die EDPB empfiehlt zusätzlich eine kostenlose Alternative ohne verhaltensbasierte Werbung. Für ein SaaS-Startup passt das Modell selten. Es funktioniert für Medien, nicht für Produktseiten.

Vollzugsrealität

Drei Datenpunkte sollten ändern, wie ernst Gründer das Thema nehmen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat Anfang 2024 eine anlasslose, automatisierte Prüfung durchgeführt und in der Pressemitteilung vom 9.02.2024 angekündigt, dass mehr als 350 Webseiten und 15 Apps bayerischer Betreiber als nicht rechtskonform markiert wurden. Die Betreiber bekamen zunächst Gelegenheit zur Stellungnahme, bevor förmliche Bußgeldverfahren eingeleitet werden. Das Prüf-Tool ist Open Source, die Methode ist veröffentlicht, und ähnliche Wellen haben in anderen Bundesländern begonnen.

Die maximale Geldbuße aus § 28 TDDDG für einen § 25-Verstoß liegt bei EUR 300.000 pro Fall (Nr. 13 des Bußgeldkatalogs, die generelle Höchstgrenze nach § 28 Abs. 2 TDDDG). Die DSGVO setzt obendrauf: Jede unrechtmäßige Folgeverarbeitung personenbezogener Daten durch einen unwirksamen Cookie kann eigenständig Geldbußen nach Art. 83 Abs. 5 DSGVO bis zu EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes des Unternehmens nach sich ziehen, je nachdem, welcher Betrag höher ist (zur Konzern-Zurechnung vgl. EuGH, 5.12.2023 - C-807/21, "Deutsche Wohnen").

Dazu kommt die Aktivisten-Schiene. noyb (die NGO um Max Schrems) hat Ende Mai 2025 die größte Beschwerdewelle seit Geltung der DSGVO gestartet: mehr als 500 förmliche Beschwerden gegen rechtswidrige Cookie-Banner in 33 Ländern (noyb.eu-Pressemitteilung vom 31.05.2025). Mehrere davon richten sich gegen deutsche Betreiber. Die meisten Verfahren enden mit einer Anpassungsverfügung, nicht mit einem Bußgeld. Der Aufwand und die Anwaltskosten bleiben trotzdem real.

Bei den Gründerinnen, mit denen ich arbeite, ist der Cookie-Banner meist die Stelle, an der eine still mitlaufende Compliance-Lücke sichtbar wird. Das Standardmuster: Am Launch-Tag wird Cookiebot oder Usercentrics in Default-Einstellungen integriert, danach fasst zwei Jahre niemand das Tool an. Wenn dann das Behördenschreiben kommt oder eine Mitbewerber-Abmahnung nach § 8 UWG, hat die Seite drei Runden neuer Tools angesammelt, von denen keines im Banner steht. Ich plane für meine Mandanten ein jährliches Banner-Audit ein, genauso wie ein jährliches Update der Datenschutzerklärung. Es kostet eine Stunde und neutralisiert den größten Teil des Risikos.

Pur-Abo und PIMS, die 2025er-Schicht

Die Einwilligungsverwaltungsverordnung (EinwV) ist am 1.4.2025 nach § 26 TDDDG in Kraft getreten. Sie schafft einen freiwilligen Rahmen für anerkannte Personal Information Management Services (PIMS): Ein anerkannter Dienst speichert die Präferenzen einer Nutzerin einmal, Webseiten lesen sie automatisch aus, der Banner kann verschwinden. Die Teilnahme ist auf beiden Seiten freiwillig. Stand Ende April 2026 hat noch kein vollständig anerkannter PIMS-Anbieter Marktverbreitung erreicht. Plane realistisch damit, dass Cookie-Banner mindestens bis 2027 Standard bleiben.

Pur-Abo (Pay-or-Consent) bleibt die andere Teil-Alternative für Content-Anbieter. Mehrere deutsche Verlage betreiben das Modell. Für die meisten Startups ohne reines Content-Angebot passt es nicht.

Banner-Audit-Checkliste

Nutze diese Liste, wenn du den Banner überprüfst. Zehn Punkte, einmal pro Quartal. Fällt ein Punkt durch, fällt der Banner durch.

Checkliste

Cookie-Banner-Audit (Deutschland)

0/10

Worauf es ankommt

Zwei Gesetze, ein Banner. Die Cookie-Ebene heißt § 25 TDDDG, die Daten-Ebene heißt DSGVO, und ein Startup muss beide gleichzeitig erfüllen. Die vier harten Anforderungen lauten: informiert, aktives Opt-in, gleichwertiges Ablehnen auf der ersten Ebene, granular pro Zweck mit einfachem Widerruf. Fällt ein Punkt aus, fällt der Banner im Audit durch. Die Schlagzeile sind die EUR 300.000 pro § 25-Verstoß aus § 28 TDDDG. Der teurere Posten ist meist die Aufräumarbeit, die Abmahnungs-Exposition und das Behördenschreiben, das deine konkreten Tools nach Kategorie und Datum benennt. Audit einmal pro Quartal. Befund dokumentieren. Banner anpassen, sobald du ein Drittanbieter-Tag hinzufügst oder entfernst. Wenn du gleichzeitig B2B-SaaS betreibst, kombiniere das mit dem DSGVO-Sieben-Regeln-Check und der DSB-Schwelle-Prüfung.

Rechtsquellen

§§ 25 Abs. 1 TDDDG — Speicherung/Zugriff auf das Endgerät nur mit informierter Einwilligung nach DSGVO-Standard
§§ 25 Abs. 2 TDDDG — Zwei enge Ausnahmen: reine Übertragung und unbedingt erforderlich für den vom Nutzer gewünschten digitalen Dienst
§§ 26 TDDDG — Verordnungsermächtigung für die Einwilligungsverwaltungsverordnung (PIMS-Rahmen)
§§ 28 TDDDG — Bußgeld bis EUR 300.000 für Verstöße gegen § 25 Abs. 1 (Nr. 13 des Bußgeldkatalogs)
§Art. 6 Abs. 1 DSGVO — Rechtsgrundlage für jede Folgeverarbeitung
§Art. 7 DSGVO — Voraussetzungen einer wirksamen Einwilligung; Art. 7 Abs. 3 Widerruf so einfach wie Erteilung
§Art. 83 DSGVO — Bußgelder bis EUR 20 Mio. oder 4 Prozent des weltweiten Jahresumsatzes
•EuGH, 1.10.2019 - C-673/17 (Planet49), 2019-10-01 — Voreingestellte Kästchen sind keine wirksame Einwilligung; Speicherdauer und Drittanbieter-Zugriff müssen offengelegt werden.
•BGH, 28.05.2020 - I ZR 7/16 (Cookie-Einwilligung II), 2020-05-28 — § 15 Abs. 3 TMG (heute § 25 TDDDG) ist richtlinienkonform mit Art. 5 Abs. 3 ePrivacy-RL auszulegen; Opt-out-Voreinstellung ist unwirksam.
•DSK-Orientierungshilfe für Anbieter von digitalen Diensten, Version 1.2 (Beschluss vom 20.11.2024) — Ablehnen muss auf der ersten Banner-Ebene gleichwertig zu Akzeptieren sein; Granularität pro Verarbeitungszweck; Widerruf so einfach wie Erteilung.
•DSK-Beschluss zu Pur-Abo-Modellen (22.03.2023) — Pay-or-Consent grundsätzlich zulässig, aber nur bei genuin tracking-freier, gleichwertiger und angemessen bepreister Bezahlvariante.
•EDPB-Stellungnahme 08/2024 zu 'Consent or Pay'-Modellen großer Online-Plattformen (angenommen am 17.04.2024) — Die EDPB zieht die Gleichwertigkeitsprüfung an: Bezahlvarianten müssen funktional gleichwertig und angemessen bepreist sein; Plattformen sollen zusätzlich eine kostenlose Alternative ohne verhaltensbasierte Werbung anbieten.
•EDPB Guidelines 2/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-RL — Pixel, Browser-Fingerprinting und IP-basierte Identifier fallen unter § 25 TDDDG.
•BayLDA-Pressemitteilung vom 9.02.2024 ('Apps und "Cookie"-Banner auf dem Prüfstand') — Anlasslose, automatisierte Prüfung von 350+ Webseiten und 15 Apps bayerischer Betreiber; Bußgeldverfahren in Aussicht gestellt, falls die Banner nicht angepasst werden.
•noyb.eu-Pressemitteilung vom 31.05.2025 ('Cookie-Banner-Terror, zweite Welle') — noyb hat 500+ Beschwerdeentwürfe in 33 Ländern gegen rechtswidrige Cookie-Banner versandt, mehrere davon gegen deutsche Betreiber.
•Einwilligungsverwaltungsverordnung (EinwV) — Freiwilliger PIMS-Rahmen nach § 26 TDDDG, in Kraft seit 1.4.2025.

Häufige Fragen

Welches Gesetz regelt die Cookie-Einwilligung in Deutschland?: Zwei Gesetze gelten parallel. § 25 Abs. 1 TDDDG (das umbenannte TTDSG, in Kraft seit 14.05.2024) verlangt eine Einwilligung, bevor nicht zwingend erforderliche Informationen auf dem Endgerät gespeichert oder ausgelesen werden. Die DSGVO regelt die Rechtsgrundlage für die anschließende Datenverarbeitung.
Brauche ich ein Cookie-Banner, wenn ich nur Google Analytics nutze?: Ja. Analyse-Cookies und Pixel sind nicht unbedingt erforderlich im Sinne von § 25 Abs. 2 TDDDG, also brauchen sie ein aktives Opt-in, bevor sie laden. Dasselbe gilt für A/B-Test-Tools, Werbe-Pixel und die meisten Session-Replay-Tools.
Muss der Ablehnen-Button gleich prominent wie Akzeptieren sein?: Ja, auf der ersten Banner-Ebene. Die DSK-Orientierungshilfe für Anbieter von digitalen Diensten (Version 1.2, 20.11.2024) verlangt gleichwertige Optionen für Akzeptieren und Ablehnen, ohne zusätzliche Klicks oder visuelle Abwertung der Ablehnen-Variante.
Wie hoch ist das Bußgeld bei einem fehlerhaften Cookie-Banner?: Nach § 28 TDDDG bis zu EUR 300.000 pro Fall für einen Verstoß gegen § 25. Daneben greift die DSGVO: Eine unrechtmäßige Folgeverarbeitung kann zusätzlich Geldbußen nach Art. 83 DSGVO bis zu EUR 20 Mio. oder 4 Prozent des weltweiten Konzernjahresumsatzes auslösen.
Macht die Einwilligungsverwaltungsverordnung Cookie-Banner überflüssig?: Noch nicht. Die EinwV ist seit 1.4.2025 in Kraft und schafft einen freiwilligen Rahmen für anerkannte PIMS-Dienste. Die Verbreitung steht erst am Anfang. Cookie-Banner bleiben Standard mindestens bis 2027.

Siehe auch

Weiterlesen

Banner-Audit überfällig?

Ich prüfe Startup-Banner gegen TDDDG und aktuelle DSK-Orientierungshilfe. 30 Minuten, unverbindlich, mit schriftlicher Zusammenfassung.

Gespräch buchen