§DSGVO.pro
Zum Blog
Datenschutz14. Juli 2026 · 6 Min. Lesezeit

Cookie-Banner ohne Wahn: Was § 25 TDDDG wirklich verlangt

Nur technisch notwendige Cookies darfst du ohne Einwilligung setzen. Alles andere verlangt laut § 25 TDDDG eine aktive Zustimmung – kein Regler-Zirkus nötig.

KI-unterstützt verfasst · redaktionell geprüft
Cookie-Banner ohne Wahn: Was § 25 TDDDG wirklich verlangt

Kurz gesagt: Ohne Einwilligung darfst du nur Cookies setzen, die technisch unbedingt notwendig sind, damit ein von der Nutzerin oder dem Nutzer ausdrücklich gewünschter Dienst funktioniert – Warenkorb, Login, Spracheinstellung. Alles, was trackt, analysiert oder für Marketing genutzt wird, braucht laut § 25 TDDDG eine aktive, informierte Einwilligung, bevor der Cookie gesetzt wird. Ein Banner mit zehn Reglern und drei Untermenüs ist dafür nicht vorgeschrieben – ein klarer Ja/Nein-Dialog reicht völlig. Im Detail:

Was verlangt § 25 TDDDG genau?

§ 25 Abs. 1 TDDDG schreibt vor: Wer Informationen auf dem Endgerät einer Nutzerin speichert oder darauf zugreift, braucht dafür eine Einwilligung – „auf der Grundlage von klaren und umfassenden Informationen". Das deckt Cookies ab, aber auch Local Storage, Fingerprinting-Skripte und ähnliche Tracking-Technik. Die Einwilligung selbst muss den Maßstäben der DSGVO genügen: freiwillig, informiert, unmissverständlich, durch eine aktive Handlung. Ein vorausgefülltes Häkchen oder „Weitersurfen gilt als Zustimmung" erfüllt das nicht.

Welche Cookies brauchen keine Einwilligung?

§ 25 Abs. 2 TDDDG kennt genau zwei Ausnahmen, die ganz ohne Consent-Abfrage auskommen:

  1. Der alleinige Zweck ist die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz – im normalen Website-Alltag selten relevant.
  2. Die Speicherung oder der Zugriff ist unbedingt erforderlich, damit ein vom Nutzer ausdrücklich gewünschter digitaler Dienst funktioniert.

Punkt 2 ist der praktisch wichtige: Warenkorb-Cookie, Login-Session, Spracheinstellung, der Cookie, der die Consent-Entscheidung selbst speichert – all das braucht die Nutzerin aktiv, sie hat den Dienst ja angefordert. Alles, was darüber hinausgeht, fällt unter die Einwilligungspflicht aus Absatz 1.

Wo ziehst du die Grenze in der Praxis?

Die häufigste Fehlerquelle ist nicht Absicht, sondern Bequemlichkeit: Analyse-Tools und eingebettete Inhalte werden „mitgeladen", ohne dass jemand geprüft hat, ob sie Cookies setzen.

Cookie-TypEinwilligung nötig?Typisches Beispiel
Warenkorb, Login-SessionNein (§ 25 Abs. 2 Nr. 2)Shopsysteme, Kundenkonto
Speicherung der Consent-EntscheidungNeinCookie-Banner-Skript selbst
Reine Statistik/AnalyseJaGoogle Analytics, Matomo (Cloud)
Marketing, RetargetingJaMeta-Pixel, Google Ads Tag
Externe Embeds mit eigenen CookiesJaYouTube-Video, Google Maps, Social-Buttons

Lokal gehostetes Matomo ohne Cookies kann im Einzelfall einwilligungsfrei laufen – das ist aber eine technische Konfigurationsfrage, keine pauschale Ausnahme aus § 25 Abs. 2. Prüf das konkret für dein Setup, statt es anzunehmen.

Warum der Regler-Zirkus meist unnötig ist

Viele Banner bieten sechs Kategorien, Unterseiten mit Anbieterlisten und einen „Alle akzeptieren"-Button in Signalfarbe neben einem grauen „Ablehnen"-Link. Das ist kein gesetzliches Muss – § 25 TDDDG verlangt eine wirksame Einwilligung, keine bestimmte UI-Komplexität. Ein zweistufiger Dialog (Akzeptieren / Ablehnen, gleich gewichtet, ohne Dark Pattern) erfüllt die Anforderung genauso, wenn Nutzer:innen vorher klar erfahren, wer welche Cookies zu welchem Zweck setzt. Weniger Reibung für Besucher:innen, gleiche Rechtssicherheit für dich.

Die 10-Minuten-Checkliste für deinen Banner

Sechs Punkte, die du heute noch prüfen kannst:

  1. Bestandsaufnahme: Öffne deine Website im Inkognito-Fenster und klicke nichts an. Alles, was jetzt schon gesetzt wird (DevTools → Anwendung → Cookies), läuft ohne Einwilligung – und muss sich an § 25 Abs. 2 TDDDG messen lassen.
  2. Kategorien ehrlich zuordnen: In „notwendig“ gehört nur, was der Dienst wirklich braucht. Ein Analyse-Cookie, der als „funktional“ etikettiert ist, bleibt einwilligungspflichtig – die Beschriftung ändert die Rechtslage nicht.
  3. Keine vorab gesetzten Haken: Optionale Kategorien starten deaktiviert. Ein vorangekreuztes Kästchen erzeugt keine wirksame Einwilligung.
  4. Ablehnen gleichwertig anbieten: „Ablehnen“ gehört auf die erste Banner-Ebene, gleich gestaltet wie „Akzeptieren“ – nicht versteckt hinter „Einstellungen“.
  5. Skripte technisch koppeln: Der Banner muss das Laden wirklich steuern. Ein Banner, der höflich fragt, während Google Analytics längst geladen ist, ist Dekoration.
  6. Widerruf so einfach wie die Einwilligung: Art. 7 Abs. 3 DSGVO verlangt, dass sich eine Einwilligung so einfach widerrufen lässt, wie sie erteilt wurde – ein dauerhaft erreichbarer Link „Cookie-Einstellungen“ im Footer erfüllt das.

Was passiert bei einem Verstoß?

Wer entgegen § 25 Abs. 1 Satz 1 TDDDG Informationen ohne wirksame Einwilligung speichert oder ausliest, handelt nach § 28 Abs. 1 Nr. 13 TDDDG ordnungswidrig – der Bußgeldrahmen aus Absatz 2 reicht bis zu 300.000 Euro. In der Praxis landen die meisten Fälle nicht bei dieser Obergrenze: Häufiger sind Beschwerden bei der Aufsichtsbehörde oder wettbewerbsrechtliche Abmahnungen, die zunächst auf Korrektur drängen, bevor es teuer wird. Eine sauber eingestellte Consent-Lösung – korrekte Kategorien, keine vorab aktivierten Haken, keine Cookies vor Einwilligung – schließt das Risiko meist innerhalb weniger Minuten Konfigurationsarbeit.

Häufige Fragen

Muss ich für Google Analytics eine Einwilligung einholen?

Ja. Google Analytics setzt Cookies zu Analysezwecken, die nicht unter die Ausnahme des § 25 Abs. 2 TDDDG fallen. Das Skript darf erst laden, nachdem die Einwilligung erteilt wurde.

Reicht ein Opt-out statt eines Opt-in-Banners?

Nein. § 25 Abs. 1 TDDDG verlangt eine aktive Einwilligung vor der Speicherung. Cookies zuerst zu setzen und Nutzer:innen im Nachhinein eine Widerspruchsmöglichkeit zu geben, erfüllt die Anforderung nicht.

Brauche ich für den Warenkorb-Cookie eine Einwilligung?

Nein. Der Warenkorb-Cookie ist unbedingt erforderlich, damit der ausdrücklich gewünschte Dienst (Einkauf) funktioniert – das fällt unter die Ausnahme des § 25 Abs. 2 Nr. 2 TDDDG.

Gilt § 25 TDDDG nur für Cookies im Browser?

Nein. Die Vorschrift spricht allgemein von Informationen auf der „Endeinrichtung" – das schließt Local Storage, SDKs in Apps und ähnliche Speicher- oder Zugriffstechnik ein, nicht nur klassische Browser-Cookies.

Was, wenn ich eingebettete YouTube-Videos oder Google Maps nutze?

Diese Dienste setzen in der Regel eigene Cookies oder greifen auf Geräteinformationen zu. Solange sie nicht ausdrücklich vom Nutzer für genau diesen Zweck angefordert wurden, brauchst du vorher eine Einwilligung – oder du bindest sie erst nach Zustimmung ein.

Ob deine eigene Cookie-Einstellung diese Grenzen tatsächlich einhält, lässt sich nicht durch Draufschauen beantworten. Prüfe in 2 Minuten kostenlos, welche Cookies deine Website vor einer Einwilligung setzt: dsgvo.pro.

Mehr zum Gesetzestext: § 25 TDDDG im Volltext.

Verwandte Themen

Ab 19. Juni 2026 gilt die Widerrufsbutton-Pflicht (§ 356a BGB) — fehlende Umsetzung ist abmahnfähig. Prüfen Sie Ihre Website, bevor es ein Wettbewerber tut.

Newsletter · monatlich

Compliance-Neuigkeiten per E-Mail

Updates zu Gesetzes­änderungen, Urteilen und Datenschutz-Tipps.