Zum Inhalt springen
Sorrel
← Blog

20. Februar 2026 · Marie Heller

§ 25 TTDSG einfach erklärt: Wann Sie für Cookies eine Einwilligung brauchen

§ 25 TTDSG verlangt eine aktive Einwilligung für jeden nicht notwendigen Zugriff auf Endgeräte – also für fast alle Analyse-, Marketing- und Komfort-Cookies auf Websites.

ttdsgcookiesconsent

§ 25 TTDSG verlangt eine vorherige, aktive Einwilligung, bevor eine Website Informationen auf dem Endgerät speichert oder ausliest – also bevor sie Cookies oder vergleichbare Technologien setzt. Eine Ausnahme gilt nur, wenn der Zugriff unbedingt erforderlich ist, damit ein vom Nutzer ausdrücklich gewünschter Dienst funktioniert. Praktisch heißt das: Notwendige Cookies dürfen ohne Einwilligung gesetzt werden, fast alles andere nicht.

Der Paragraph setzt die europäische ePrivacy-Richtlinie in deutsches Recht um und ergänzt die DSGVO. Wichtig ist der Unterschied: § 25 TTDSG regelt den Zugriff auf das Gerät, die DSGVO regelt die anschließende Verarbeitung der Daten. Beide müssen erfüllt sein.

Was § 25 TTDSG genau sagt

Der Kern: Das Speichern von Informationen in der Endeinrichtung des Nutzers und der Zugriff auf bereits gespeicherte Informationen sind nur zulässig, wenn der Nutzer auf Basis klarer und umfassender Informationen eingewilligt hat.

Entscheidend ist, dass der Wortlaut technologieneutral ist. § 25 TTDSG gilt nicht nur für klassische Cookies, sondern auch für:

  • Local Storage und Session Storage
  • Pixel und Tracking-Tags
  • Fingerprinting-Techniken
  • jede vergleichbare Speicher- oder Auslesetechnik

Die Bezeichnung „Cookie-Banner" ist also irreführend eng – es geht um jeden Geräteszugriff.

Die Ausnahme: unbedingt erforderlich

§ 25 Abs. 2 TTDSG nennt zwei Ausnahmen, bei denen keine Einwilligung nötig ist:

  1. Übertragungszweck: Der Zugriff dient allein der Durchführung der Übertragung einer Nachricht.
  2. Unbedingte Erforderlichkeit: Der Zugriff ist nötig, damit ein vom Nutzer ausdrücklich gewünschter Dienst überhaupt bereitgestellt werden kann.

Typische Beispiele für notwendige Cookies sind der Warenkorb in einem Shop, das Login-Session-Cookie oder die Speicherung der Consent-Entscheidung selbst. Reichweitenmessung, A/B-Tests oder Marketing fallen nicht unter die Ausnahme – auch wenn sie für den Betreiber wirtschaftlich wichtig sind. Maßgeblich ist die Sicht des Nutzers, nicht des Betreibers.

Was eine wirksame Einwilligung ausmacht

Die Anforderungen ergeben sich aus § 25 TTDSG in Verbindung mit der DSGVO. Der BGH hat sie in „Planet49" (I ZR 7/16) präzisiert:

  • Aktiv: Vorangekreuzte Kästchen oder „Weitersurfen = Zustimmung" sind unwirksam.
  • Informiert: Nutzer müssen wissen, welche Dienste, Zwecke und Empfänger betroffen sind.
  • Freiwillig: Die Ablehnung muss eine echte, gleichwertige Option sein.
  • Granular: Kategorien wie Statistik und Marketing müssen getrennt wählbar sein.
  • Widerrufbar: Der Widerruf muss so einfach möglich sein wie die Erteilung.

Eine praxisnahe Prüfliste für Ihren Banner finden Sie in der Consent-Banner-Checkliste.

Häufige Fehler in der Praxis

  • Tracker laden vor dem Klick: Skripte feuern schon beim Seitenaufruf – das ist der häufigste und teuerste Fehler. Wie sich das bei Analyse-Tools auswirkt, zeigt Google Analytics ohne Einwilligung.
  • Kein gleichwertiger Ablehnen-Button: Ein prominenter „Akzeptieren"-Button neben einem versteckten „Einstellungen"-Link ist nicht freiwillig.
  • Externe Ressourcen übersehen: Eingebundene Schriftarten können einen Geräteszugriff und US-Transfer auslösen. Die saubere Lösung beschreibt Google Fonts lokal einbinden.
  • DSGVO vergessen: Auch nach erteiltem Consent brauchen Sie eine Rechtsgrundlage und – bei Drittdiensten – einen AVV.

So prüfen Sie Ihre Seite konkret:

  1. Seite im Inkognito-Modus öffnen, Entwicklertools aktivieren.
  2. Beobachten, welche Cookies und externen Anfragen vor einer Einwilligung entstehen.
  3. Jeden Treffer prüfen: technisch notwendig oder einwilligungspflichtig?

Prüfen Sie Ihre Website mit einem kostenlosen DSGVO-Scan – Sorrel listet Cookies und Tracker auf, die vor dem Consent geladen werden. Mehrere Domains decken Sie mit den Paketen unter Preise ab.

Häufige Fragen

Gilt § 25 TTDSG auch für Local Storage und Pixel?

Ja. Der Paragraph ist technologieneutral und erfasst jede Form der Speicherung oder des Auslesens auf dem Endgerät – einschließlich Local Storage, Tracking-Pixeln und Fingerprinting, nicht nur klassische Cookies.

Welche Cookies darf ich ohne Einwilligung setzen?

Nur solche, die für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich sind – etwa Warenkorb, Login-Session oder das Speichern der Consent-Entscheidung. Statistik und Marketing gehören nicht dazu.

Was ist der Unterschied zwischen § 25 TTDSG und der DSGVO?

§ 25 TTDSG regelt den Zugriff auf das Endgerät (das Setzen und Auslesen). Die DSGVO regelt, was anschließend mit den personenbezogenen Daten geschieht. Beide Ebenen brauchen eine eigene Rechtsgrundlage – bei nicht notwendigen Cookies ist das in beiden Fällen die Einwilligung.