Wer 2026 Web-Tracking einsetzt, arbeitet an der Schnittstelle zweier Regelwerke, die ständig verwechselt werden: dem TDDDG (das Gesetz, das du bis Mai 2024 als TTDSG kanntest) und der DSGVO. Das eine bestimmt, ob du überhaupt etwas auf dem Endgerät deiner Besucher speichern oder auslesen darfst. Das andere bestimmt, was du danach mit den Daten tun darfst. Genau an dieser Naht entstehen die teuren Fehler: Ein falsch gebautes Cookie-Banner kann nach § 28 TDDDG mit bis zu 300.000 Euro geahndet werden, und auf der DSGVO-Seite geht der Rahmen noch deutlich höher.
Dieser Beitrag zeigt, was rechtssicheres Tracking konkret verlangt: wann du nach § 25 TDDDG eine Einwilligung brauchst, wie ein Banner aussehen muss, das einer Prüfung standhält, und wie Google Consent Mode v2, das „Pur-Abo"-Modell und die neuen Einwilligungsdienste (PIMS) einzuordnen sind. Es geht um den Tracking-Teil, nicht um die gesamte DSGVO-Dokumentation. Und es ist eine fachliche Orientierung, keine Rechtsberatung im Einzelfall.
TTDSG, TDDDG, DSGVO: wer regelt was?
Zuerst die Namensfrage, weil sie viele verunsichert. Das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) wurde am 14. Mai 2024 in TDDDG umbenannt, ausgeschrieben Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Das geschah im Zuge des neuen Digitale-Dienste-Gesetzes (DDG), das den EU Digital Services Act in deutsches Recht überführt. Inhaltlich hat sich nichts geändert: Die für Cookies entscheidende Vorschrift heißt weiterhin § 25, nur eben jetzt § 25 TDDDG. Wenn du noch „TTDSG" im Kopf hast, meinst du das richtige Gesetz unter altem Namen.
Wichtiger als der Name ist die Arbeitsteilung. § 25 TDDDG regelt den Zugriff auf das Endgerät: Sobald du Informationen auf dem Gerät eines Nutzers speicherst (etwa ein Cookie setzt) oder dort gespeicherte Informationen ausliest, greift diese Norm, und zwar unabhängig davon, ob dabei personenbezogene Daten anfallen. Die DSGVO greift erst danach, für die Verarbeitung der so gewonnenen Daten. Ein Beispiel macht die Trennung greifbar: Das Setzen eines Analytics-Cookies fällt unter das TDDDG. Das anschließende Auswerten des daraus entstehenden Nutzungsprofils fällt unter die DSGVO. Du brauchst beide Seiten sauber, und beide haben einen eigenen Bußgeldrahmen. Verstöße gegen § 25 TDDDG kosten nach § 28 TDDDG bis zu 300.000 Euro; auf der DSGVO-Seite reicht Art. 83 bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Beide können denselben Vorgang gleichzeitig treffen.
§ 25 TDDDG: wann du eine Einwilligung brauchst, und wann nicht
Der Grundsatz von § 25 Abs. 1 TDDDG ist streng: Jeder Speicher- oder Lesevorgang auf dem Endgerät braucht eine Einwilligung. Die Ausnahmen in Absatz 2 sind eng. Einwilligungsfrei ist ein Zugriff nur dann, wenn er allein der Übertragung einer Nachricht dient oder „unbedingt erforderlich" ist, damit ein vom Nutzer ausdrücklich gewünschter Dienst überhaupt funktioniert.
Ein zentraler, oft übersehener Punkt: § 25 TDDDG kennt kein berechtigtes Interesse als Rechtsgrundlage. Anders als bei der reinen Datenverarbeitung nach Art. 6 DSGVO kannst du dich für den Zugriff auf das Endgerät nicht auf eine Interessenabwägung berufen. Entweder die Ausnahme greift, oder du brauchst die Einwilligung. Auch reine Reichweitenmessung fällt darunter. Die im ePrivacy-Entwurf zeitweise geplante Ausnahme für Statistik-Cookies ist nie Gesetz geworden.
Einwilligungsfrei vs. einwilligungspflichtig — eine Orientierung:
| Einwilligungsfrei (technisch notwendig) | Einwilligungspflichtig (Opt-in nötig) |
|---|---|
| Session-Cookie, Login-Status | Google Analytics, jede Reichweitenmessung |
| Warenkorb im Onlineshop | Marketing- und Retargeting-Pixel (z. B. Meta, Google Ads) |
| Lastverteilung, Sicherheits-Token | Google Tag Manager, sofern er Tracking lädt |
| Speicherung der Consent-Entscheidung selbst | Browser-Fingerprinting, Device-IDs |
| Spracheinstellung, die der Nutzer aktiv wählt | A/B-Testing- und Personalisierungstools |
Im Zweifel gilt: Was nicht für den ausdrücklich gewünschten Dienst zwingend nötig ist, ist einwilligungspflichtig. Wie weit das reicht, zeigt das Verwaltungsgericht Hannover. Mit Urteil vom 19. März 2025 (Az. 10 A 5385/22) hat es bestätigt, dass schon der Einsatz des Google Tag Managers eine vorherige Einwilligung erfordert, weil bereits der Abruf des gtm.js-Skripts auf das Endgerät zugreift und Daten an Google überträgt. Der Tag Manager ist eben nicht datenschutzneutral.
Was eine wirksame Einwilligung ausmacht
Die Maßstäbe sind höchstrichterlich geklärt. Der EuGH hat 2019 im Verfahren Planet49 (C-673/17) entschieden, dass ein voreingestelltes Häkchen keine wirksame Einwilligung ist. Der Bundesgerichtshof hat das am 28. Mai 2020 für Deutschland übernommen (Urteil „Cookie-Einwilligung II", I ZR 7/16). Seitdem gilt unmissverständlich: Es braucht ein aktives Opt-in. „Weitersurfen gilt als Zustimmung" ist unzulässig, voreingestellte Häkchen sind es ebenfalls.
Eine Einwilligung trägt nur, wenn sie vier Eigenschaften erfüllt, und jede davon hat ein typisches Gegenbeispiel. Sie muss informiert sein: Wer pauschal „für ein besseres Erlebnis" um Zustimmung bittet, ohne Tools und Zwecke zu benennen, hat das verfehlt. Sie muss freiwillig sein: Ein Banner, das die Seite blockiert, bis man akzeptiert, übt Zwang aus. Sie muss granular sein: Ein einziger „Alle akzeptieren"-Button ohne getrennte Wahl nach Zwecken ist kein echtes Ja. Und sie muss so einfach widerrufbar sein, wie sie erteilt wurde: Wenn das Akzeptieren ein Klick ist, der Widerruf aber eine E-Mail an den Support, stimmt das Verhältnis nicht. Die Datenschutzkonferenz (DSK) konkretisiert diese Anforderungen in ihrer Orientierungshilfe für Anbieter digitaler Dienste, der Nachfolgerin der früheren „OH Telemedien".
Cookie-Banner richtig konfigurieren
Aus diesen Anforderungen ergeben sich überschaubare, konkrete Stellschrauben. Die wichtigste betrifft die erste Ebene des Banners: Eine „Ablehnen"-Schaltfläche muss gleichwertig neben „Akzeptieren" stehen, mit gleicher Klickdistanz und gleicher optischer Gewichtung. Der Klassiker, der vor Gericht fällt, ist der große grüne „Alle akzeptieren"-Button neben einem blassen, kleingeschriebenen „Einstellungen"-Link. Das gilt als Dark Pattern und macht die Einwilligung angreifbar. Auch das VG Hannover hat im genannten Urteil eine gleichwertige „Alles ablehnen"-Option ausdrücklich verlangt.
Genauso entscheidend ist das technische Verhalten dahinter. Tracking-Skripte dürfen erst nach der Einwilligung laden. Wer Google Analytics, den Meta-Pixel oder den Tag Manager schon beim Seitenaufruf startet und das Banner erst danach zeigt, hat die Daten bereits erhoben. Die Einwilligung kommt dann zu spät. Dazu kommen granulare Schalter nach Zwecken, ein Widerruf, der genauso leicht erreichbar ist wie die Erteilung (etwa über einen dauerhaften „Cookie-Einstellungen"-Link im Footer), und die Dokumentation jeder Einwilligung als Nachweis für die Rechenschaftspflicht. Dieser letzte Punkt wird oft vergessen und ist im Streitfall der, der zählt. Wer Tracking und Compliance sauber zusammenführen will, plant das am besten als Teil der technischen Sicherheits- und Compliance-Konzeption und nicht als nachträglichen Banner-Aufsatz.
Google Consent Mode v2: Technik, kein Freifahrtschein
Seit dem 6. März 2024 ist der Google Consent Mode v2 faktisch Voraussetzung, um Google Ads und Google Analytics im EWR mit vollem Funktionsumfang zu nutzen. Auslöser war der Digital Markets Act, nicht das TDDDG. Wichtig ist die richtige Einordnung: Der Consent Mode ist eine Signalschicht zwischen deinem Einwilligungstool (CMP) und Google. Er ersetzt die Einwilligung nicht und ist selbst keine Rechtsgrundlage.
Praktisch relevant ist die Unterscheidung der beiden Varianten. Im Basic Mode werden Google-Tags erst geladen und gefeuert, nachdem der Nutzer zugestimmt hat. Ohne Einwilligung passiert nichts. Im Advanced Mode lädt der Tag bereits beim Seitenaufruf und sendet auch ohne Einwilligung anonymisierte, cookielose Pings an Google. Der Basic Mode ist datenschutzrechtlich die risikoärmere Wahl, weil ohne Einwilligung kein Zugriff auf das Endgerät stattfindet. Der Advanced Mode liefert mehr modellierte Conversion-Daten, ist aber rechtlich heikler und gehört vor dem Einsatz datenschutzrechtlich geprüft.
Pur-Abo und „Consent or Pay": möglich, aber an Bedingungen geknüpft
Das Modell „zahlen oder mit Tracking einwilligen" („Pay or Okay", Pur-Abo) haben in den letzten Jahren viele Medienangebote eingeführt. Die Rechtslage ist differenziert. Der Europäische Datenschutzausschuss (EDSA) hat in seiner Stellungnahme 08/2024 festgehalten, dass bei großen Plattformen eine bloß binäre Wahl zwischen Bezahlen und Einwilligen in der Regel keine freie Einwilligung ergibt. Die deutschen Aufsichtsbehörden lehnen Pur-Modelle nicht pauschal ab, knüpfen ihre Zulässigkeit aber an klare Bedingungen, allen voran daran, dass Nutzer einzelnen Verarbeitungszwecken granular zustimmen oder sie ablehnen können.
Wie scharf dieser Maßstab ist, zeigt eine Entscheidung des österreichischen Bundesverwaltungsgerichts vom 13. August 2025: Es erklärte das konkrete Banner der Zeitung Der Standard für unzulässig, weil die pauschale Zustimmung keine granulare Auswahl zwischen Werbung, Profiling und Analyse zuließ. Für die Praxis heißt das: Ein Pur-Modell kann zulässig sein, ist aber kein Freibrief. Es braucht ein angemessenes Entgelt als echte Alternative und eine granulare Einwilligung. Eine einzelne Ja/Nein-Hürde reicht nicht.
EinwV und PIMS: das Ende der Cookie-Banner?
Die Einwilligungsverwaltungsverordnung (EinwV) ist am 1. April 2025 in Kraft getreten. Ihre Grundlage ist § 26 TDDDG, ihr Ziel die Entlastung der Nutzer von der Banner-Flut. Die Idee: anerkannte Dienste zur Einwilligungsverwaltung (PIMS) verwalten die Cookie-Präferenzen zentral, etwa über ein Browser-Plugin, sodass nicht jede Website einzeln nachfragen muss.
In der Praxis steht das noch am Anfang. Der erste anerkannte Dienst „Consenter", entwickelt von der Berliner Law & Innovation Technology GmbH, wurde am 17. Oktober 2025 vom BfDI anerkannt und ins öffentliche Register eingetragen; das zugehörige Browser-Plugin ist seit Ende 2025 verfügbar. Bis Mitte 2026 ist die tatsächliche Verbreitung gering, und die Nutzung ist für Website-Betreiber wie Nutzer freiwillig. Die nüchterne Einordnung: PIMS ist ein Thema zum Beobachten, aber keine Grundlage, heute auf ein sauberes Banner zu verzichten.
Rechtssicheres Tracking: die Kurz-Checkliste
Für die Umsetzung lassen sich die wichtigsten Punkte verdichten:
- Tracking-Skripte erst nach der Einwilligung laden, kein Vorab-Start beim Seitenaufruf.
- „Ablehnen" gleichwertig zu „Akzeptieren" auf der ersten Banner-Ebene.
- Einwilligung granular nach Zwecken, kein pauschales Sammel-Ja.
- Widerruf so einfach wie die Erteilung (dauerhafter Footer-Link).
- Jede Einwilligung dokumentieren als Nachweis für die Rechenschaftspflicht.
- Google Consent Mode v2 korrekt anbinden, im Zweifel Basic Mode.
- Pur-Modell nur mit angemessenem Entgelt und granularer Wahl.
Rechtssicheres Tracking erfordert keine Sondertechnik, aber es verträgt keine Abkürzungen. Die Reihenfolge aus erst Einwilligung, dann Datenerhebung muss technisch wie organisatorisch stimmen, und genau hier liegt das Muster hinter allen drei aktuellen Sonderthemen: Consent Mode v2 ist kein Freifahrtschein, das Pur-Abo kein Freibrief, und PIMS noch keine Banner-Abschaffung. Wer auf den Wegfall der Cookie-Banner wartet, wartet noch. Solange baust du das Banner besser richtig, am sinnvollsten zusammen mit der Marketing- und Analytics-Seite, damit „rechtlich sauber" und „liefert noch verwertbare Daten" nicht auseinanderfallen. Die rechtssichere Bewertung deines konkreten Setups gehört am Ende in die Hand von Datenschutz- und Rechtsexpertise.