Welche Cookies brauchen eine Einwilligung? TDDDG § 25 erklärt

Kaum ein Thema sorgt im Web-Alltag für so viel Unsicherheit wie Cookies. Müssen wirklich alle abgefragt werden? Reicht ein Banner mit „OK"? Und was ist mit Diensten, die gar keine klassischen Cookies setzen? Dieser Beitrag ordnet das Thema neutral ein: Er erklärt, welche Cookies nach § 25 TDDDG ohne Weiteres erlaubt sind, welche eine aktive Einwilligung verlangen und worauf es bei der Gestaltung des Banners ankommt.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was § 25 TDDDG regelt

Die zentrale Norm heißt § 25 TDDDG. Das Gesetz trug bis Mai 2024 den Namen TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) und heißt seitdem TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) — der Inhalt von § 25 ist derselbe geblieben. Vereinfacht gesagt: Das Speichern von Informationen auf dem Endgerät der Besucher und das Auslesen bereits dort gespeicherter Informationen ist nur mit deren Einwilligung erlaubt.

Davon gibt es eine wichtige Ausnahme: Eine Einwilligung ist nicht nötig, wenn der Zugriff technisch unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten Dienst bereitzustellen. Genau an dieser Formulierung entscheidet sich, ob ein Cookie ein Banner braucht oder nicht.

Ein häufiges Missverständnis: § 25 TDDDG spricht von „Informationen", nicht von „Cookies". Die Regel gilt deshalb für alle Speichertechnologien — also auch für localStorage, sessionStorage, Browser-Fingerprinting oder Zähl-Pixel, nicht nur für klassische Cookies. Wer das Banner nur auf Cookies bezieht, übersieht möglicherweise einen Teil der Speichervorgänge.

Technisch notwendig vs. einwilligungspflichtig

Die Praxis dreht sich um eine einzige Unterscheidung: Ist der Cookie nötig, damit die Seite überhaupt funktioniert, oder geht es um etwas darüber hinaus?

Technisch notwendige Cookies (ohne Einwilligung erlaubt)

Diese Cookies dürfen in der Regel ohne vorherige Zustimmung gesetzt werden, weil ohne sie der gewünschte Dienst nicht liefe. Typische Beispiele:

• Warenkorb: merkt sich, welche Artikel im Shop ausgewählt wurden.
• Login-Session: hält angemeldete Nutzer eingeloggt, während sie durch die Seite klicken.
• Consent-Entscheidung: speichert, was der Besucher im Banner ausgewählt hat — damit er nicht bei jedem Seitenaufruf erneut gefragt wird.
• Lastverteilung / Sicherheit: etwa um Anfragen auf Server zu verteilen oder ein Formular gegen Mehrfach-Absenden abzusichern.

Einwilligungspflichtige Cookies

Alles, was über das technisch Notwendige hinausgeht, verlangt in der Regel eine aktive Einwilligung — und darf erst gesetzt werden, nachdem der Besucher zugestimmt hat. Dazu zählen üblicherweise:

• Analyse / Statistik: Reichweiten- und Verhaltensmessung, z. B. über Web-Analyse-Dienste.
• Marketing / Werbung: Conversion-Tracking, Remarketing und Werbe-Pixel.
• Personalisierung: auf das Verhalten zugeschnittene Inhalte oder Produktempfehlungen.
• Komfortfunktionen: z. B. das Einbetten externer Videos oder Karten, die eigene Cookies setzen.

Wichtig: „Notwendig" bemisst sich am Dienst, den der Besucher erwartet — nicht daran, was für den Betreiber wirtschaftlich nützlich ist. Reichweitenmessung mag für dich wertvoll sein, ist aber für die Anzeige der Seite nicht erforderlich und daher in aller Regel einwilligungspflichtig.

Was eine wirksame Einwilligung ausmacht

Wo eine Einwilligung nötig ist, knüpft die DSGVO sie an bestimmte Voraussetzungen. Nach überwiegender Auffassung muss sie:

• freiwillig sein — ohne Druck oder spürbaren Nachteil bei einer Ablehnung;
• informiert erfolgen — der Besucher weiß, wem er wofür zustimmt;
• aktiv erteilt werden — durch eine eindeutige Handlung. Ein bereits vorausgewähltes Kästchen genügt nach der Rechtsprechung des Europäischen Gerichtshofs (allgemein bekannt aus der „Planet49"-Entscheidung) nicht als Einwilligung;
• granular sein — der Besucher kann einzelnen Zwecken getrennt zustimmen, statt nur pauschal allem;
• jederzeit widerrufbar sein — der Widerruf muss so einfach sein wie die Erteilung;
• dokumentiert werden — der Betreiber sollte belegen können, dass und wofür eingewilligt wurde.

Cookie-Laufzeiten als Indikator

Ein praktischer Anhaltspunkt sind die Laufzeiten. Technisch notwendige Cookies sind oft auf die Sitzung begrenzt oder leben nur kurz. Sehr lange Laufzeiten (Monate oder Jahre) und vor allem Cookies von Drittanbietern deuten häufig auf Tracking oder Marketing hin — also auf Zwecke, die in der Regel eine Einwilligung verlangen. Die Laufzeit allein entscheidet zwar nichts, ist aber ein guter erster Filter, wenn du deine Cookies sichtest.

Was beim Banner häufig schiefgeht

Viele Banner setzen die formalen Anforderungen nur teilweise um. Aufsichtsbehörden stehen besonders zwei Punkten kritisch gegenüber:

• Kein gleichwertiges „Ablehnen" auf der ersten Ebene. Steht direkt neben „Alle akzeptieren" kein ebenso leicht erreichbares „Alle ablehnen", erschwert das die freie Wahl — das steht in der Kritik, weil eine Ablehnung genauso einfach möglich sein sollte wie eine Zustimmung.
• Nudging und Dark Patterns. Wenn der Zustimmen-Button auffällig gestaltet ist und die Ablehnung versteckt, ausgegraut oder hinter mehreren Klicks liegt, kann das die Freiwilligkeit untergraben. Solche Gestaltungen werden von Aufsichtsbehörden zunehmend kritisch gesehen.

Wir formulieren das bewusst zurückhaltend: Ob ein konkretes Banner zulässig ist, hängt vom Einzelfall ab und lässt sich pauschal nicht beantworten. Die Tendenz der Aufsicht geht aber klar in Richtung gleichwertiger Wahlmöglichkeiten und verständlicher Gestaltung.

Wie prüfst du deine eigene Seite?

Du brauchst kein Spezialwissen, um einen ersten Eindruck zu bekommen. Entscheidend ist die Frage: Wird etwas gesetzt, bevor der Besucher überhaupt eingewilligt hat?

• Entwicklertools öffnen: Drücke F12 und gehe auf den Reiter „Application" bzw. „Anwendung" (in Firefox: „Speicher").
• Cookies und Local Storage ansehen: Dort findest du unter „Cookies" und „Local Storage" alles, was die Seite bereits abgelegt hat. Sieh dir an, was schon vor jeder Interaktion mit dem Banner gesetzt wurde — alles, was nicht technisch notwendig ist und trotzdem vorab erscheint, ist ein Warnsignal.
• Auf Drittanbieter und Laufzeiten achten: Cookies von fremden Domains oder mit sehr langer Gültigkeit vor einer Einwilligung schaust du dir genauer an.
• Mehrere Seitentypen prüfen: Startseite, Blog, Shop und eingebettete Inhalte verhalten sich oft unterschiedlich.

Einen schnellen ersten Eindruck bekommst du auch ohne Handarbeit: Mit dem Cookie-Banner-Test und dem kostenlosen Schnellcheck siehst du in rund einer Minute, ob deine Seite vor einer Einwilligung etwas setzt. Beide ersetzen keine fachkundige Prüfung, zeigen dir aber sofort, ob Handlungsbedarf besteht.

Kurz zusammengefasst

• § 25 TDDDG (vormals TTDSG) erlaubt das Speichern und Auslesen von Informationen auf dem Endgerät nur mit Einwilligung — Ausnahme: technisch unbedingt erforderlich.
• Die Regel gilt für alle Speichertechnologien (auch localStorage, Pixel), nicht nur für klassische Cookies.
• Technisch notwendig sind etwa Warenkorb, Login-Session, die gespeicherte Consent-Entscheidung und Lastverteilung — Analyse, Marketing und Personalisierung sind dagegen in der Regel einwilligungspflichtig.
• Eine Einwilligung sollte freiwillig, informiert, aktiv (kein vorausgewähltes Kästchen), granular, jederzeit widerrufbar und dokumentiert sein.
• Im Banner stehen ein fehlendes gleichwertiges „Ablehnen" und Nudging in der Kritik. Prüfen kannst du deine Seite in den Entwicklertools unter „Application/Anwendung" → Cookies und Local Storage.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.