Deutschland TTDSG Cookie-Einwilligung: Der 2026-Leitfaden für Publisher und Werbetreibende zum Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz
Deutschland ist der größte Werbemarkt Kontinentaleuropas und gleichzeitig einer der strengsten, wenn es um Cookies geht. Seit Dezember 2021 hat das deutsche Recht ein eigenständiges Cookie-Einwilligungsregime — das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) — auf die DSGVO aufgesetzt. 2024 wurde das Gesetz in TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) umbenannt, um es mit dem EU Digital Services Act in Einklang zu bringen, doch der materielle Inhalt und die praktischen Pflichten blieben unverändert. Wer 2026 digitale Werbung, Webanalyse oder jegliches Drittanbieter-Tracking auf dem deutschen Markt betreibt, unterliegt neben der DSGVO auch dem TTDSG/TDDDG — und die deutschen Datenschutzbehörden schrecken nicht vor Vollzugsmaßnahmen zurück. Dieser Leitfaden erläutert, was das Gesetz regelt, wie es sich von der DSGVO allein unterscheidet und was Ihr CMP und Ihr Ad-Stack tun müssen, um in Deutschland compliant zu bleiben.
Was TTDSG und TDDDG tatsächlich regeln
Das TTDSG setzt die EU-ePrivacy-Richtlinie mit ungewöhnlicher Präzision in deutsches Recht um. Während die DSGVO die Verarbeitung personenbezogener Daten regelt, erfasst das TTDSG jede Speicherung von Informationen in oder den Zugriff auf bereits im Endgerät eines Nutzers gespeicherte Informationen — unabhängig davon, ob es sich um personenbezogene Daten handelt. Konkret: Jedes Cookie, jeder Pixel, jeder Local-Storage-Schreibvorgang und jedes Fingerprinting-Skript fällt in den Anwendungsbereich, selbst wenn keinerlei personenbezogene Daten erhoben werden.
§ 25 — Die zentrale Einwilligungsvorschrift
Die maßgebliche Vorschrift ist § 25 TTDSG (nun § 25 TDDDG). Sie untersagt die Speicherung von Informationen oder den Zugriff auf Informationen im Endgerät eines Nutzers, es sei denn, eine von zwei Voraussetzungen ist erfüllt:
- Der Nutzer hat nach klarer und umfassender Information eine informierte, freiwillige, spezifische und aktive Einwilligung erteilt, oder
- die Speicherung oder der Zugriff ist für die Erbringung eines vom Nutzer ausdrücklich angeforderten Telemediendienstes unbedingt erforderlich.
Eine Rechtsgrundlage des berechtigten Interesses existiert nicht. Ein weiches Opt-in ist nicht vorgesehen. Die deutsche Auslegung des Begriffs unbedingt erforderlich ist enger als in vielen anderen europäischen Jurisdiktionen — sie umfasst Session-Cookies, Load-Balancing und Zahlungsabwicklung, nicht jedoch Webanalyse, Werbung oder die meisten Personalisierungsmaßnahmen.
Verhältnis zur DSGVO
Das TTDSG ersetzt die DSGVO nicht. Es tritt ergänzend neben sie. Selbst wenn Sie die TTDSG-Hürde für das Setzen eines Cookies nehmen, benötigen Sie für jede anschließende Datenverarbeitung weiterhin eine DSGVO-Rechtsgrundlage. Eine saubere Compliance-Position in Deutschland erfordert das Durchlaufen beider Prüfstufen. Ein verbreiteter Irrtum besteht darin, die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO einzuholen und anzunehmen, sie decke auch das TTDSG ab — das stimmt, sofern die Einwilligung zugleich die Bestimmtheitserfordernisse des TTDSG erfüllt, die in mehrfacher Hinsicht strenger sind als jene der DSGVO.
Wie sich Deutschland vom Rest der EU unterscheidet
Regulierungsbehörden in der EU interpretieren die ePrivacy-Richtlinie auf leicht unterschiedliche Weise. Deutschland befindet sich in mehreren Punkten am strengen Ende des Spektrums.
Ausdrückliche Einwilligung für Webanalyse erforderlich
Die deutschen Datenschutzbehörden haben durchgehend die Auffassung vertreten, dass Google Analytics, Matomo (Cloud), Adobe Analytics, Mixpanel und ähnliche Tools eine Opt-in-Einwilligung erfordern. Selbst gehostete, anonymisierte Webanalyse mit kurzer Speicherdauer kann gelegentlich als unbedingt erforderlich anerkannt werden, doch die Messlatte liegt hoch und variiert je nach Aufsichtsbehörde. Bayern, Baden-Württemberg, Berlin und Hamburg veröffentlichen jeweils detaillierte technische Leitlinien — und diese stimmen nicht vollständig überein.
Schrems II und Drittlandtransfers in die USA
Die deutschen DPA haben sich bei den Schrems-II-Transferfragen als besonders stringent erwiesen. Der Einsatz eines in den USA gehosteten Trackers — selbst mit Data-Privacy-Framework-Zertifizierung — zieht behördliches Interesse auf sich, wenn das Tracking weitreichend ist oder besondere Kategorien personenbezogener Daten betrifft. Die Datenschutzkonferenz (DSK), das gemeinsame Gremium der deutschen Bundes- und Landesdatenschutzbeauftragten, hat wiederholt Hinweise veröffentlicht, wonach Telemetriedaten, die ohne gültigen Übertragungsmechanismus an US-Verarbeiter übermittelt werden, gleichzeitig gegen DSGVO und TTDSG verstoßen.
Dark Patterns ausdrücklich verboten
Mehrere Landesdatenschutzbeauftragte haben Vollzugshinweise herausgegeben, wonach Confirmation Shaming, vorausgewählte Checkboxen, ungleiche Schaltflächenpräsenz und Muster erzwungener Offenlegung mit einer wirksamen TTDSG-Einwilligung unvereinbar sind. Ein Banner, bei dem „Alle akzeptieren“ visuell dominant ist und „Alle ablehnen“ hinter einem zweiten Klick verborgen liegt, wird einem deutschen Audit 2026 nicht standhalten.
Praktische CMP-Anforderungen für den deutschen Markt
Um TTDSG/TDDDG in der Produktionsumgebung zu erfüllen, muss Ihre Consent-Management-Plattform in Verbindung mit dem Tag-Manager mehrere spezifische Verhaltensweisen durchsetzen.
Gleichwertige Darstellung von Einwilligung und Ablehnung
Das Banner der ersten Ebene muss eine Schaltfläche Alle ablehnen mit gleichwertiger visueller Bedeutung neben Allen zustimmen anzeigen. Farbe, Größe, Position und Interaktionsaufwand müssen ausgewogen sein. Viele CMP liefern standardmäßig ein Template aus, das diese Anforderung für das deutsche Sprachgebiet nicht erfüllt.
Granularität auf Anbieterebene
Deutschen Aufsichtsbehörden ist es wichtig, dass Nutzer eine granulare Einwilligung auf Anbieter- oder Zweckebene erteilen können — kein einziger globaler Schalter. IAB TCF v2.2 erfüllt diese Erwartung, jedoch nur, wenn Ihre Anbieterliste aktuell gehalten wird und die Verarbeitungszwecke verständlich erläutert sind.
Blockierung vor Einwilligungserteilung
Kein Drittanbieter-Skript darf geladen, kein Cookie gesetzt und kein Pixel ausgelöst werden, bevor eine ausdrückliche Einwilligung aufgezeichnet ist. Dies gilt für Google Analytics, Meta Pixel, LinkedIn Insight Tag, Hotjar, Criteo, TikTok sowie jeden Ad-Server. Die Nutzung einwilligungsbewusster Tag-Management-Modi — wie die Consent-Initialisierung im Google Tag Manager — entspricht dem erwarteten Vorgehen.
Widerruf mit einem einzigen Klick
Deutsche Datenschutzbehörden verlangen, dass der Widerruf einer Einwilligung genauso einfach ist wie deren Erteilung. Eine dauerhafte, sichtbare Möglichkeit — eine schwebende Schaltfläche zum erneuten Öffnen der Einstellungen, ein Link in der Fußzeile oder eine gleichwertige UI-Komponente — muss auf jeder Seite der Website vorhanden sein.
Einwilligungsnachweise und Audit-Trail
Das TTDSG übernimmt Art. 7 Abs. 1 DSGVO: Der Verantwortliche muss nachweisen können, dass eine Einwilligung erteilt wurde. Bewahren Sie Aufzeichnungen darüber auf, wann, wie und für welche Zwecke die Einwilligung erteilt wurde — angesichts der deutschen zivilrechtlichen Verjährungsfristen idealerweise für mindestens 36 Monate. Die meisten von Google zertifizierten CMP erledigen dies standardmäßig.
Mobile Apps und SDK-Tracking
Das TTDSG gilt mit gleicher Wirkung für mobile Apps. Die Advertising-ID auf Android, die IDFA auf iOS, jedes SDK-seitige Fingerprinting sowie jedes App-übergreifende Cookie-Verhalten unterliegen der Einwilligungspflicht.
Parität zwischen Android und iOS
In der Praxis können Publisher, die auf den iOS-App-Tracking-Transparency-Dialog setzen, nicht davon ausgehen, dass dieser das TTDSG erfüllt — Apples Abfrage ist eine plattformseitige Kontrolle und stellt für sich genommen keine wirksame TTDSG-Einwilligung dar. Sie benötigen eine In-App-CMP-Schicht, die eine TTDSG-konforme Einwilligung einholt, bevor ein nicht unbedingt erforderliches SDK initialisiert wird.
In-App-Einwilligungs-Strings
Für die mobile In-App-Werbung muss der IAB-TCF-String oder IAB-GPP-String erzeugt und an alle SDKs weitergegeben werden, die am Bidding-Prozess beteiligt sind. Ohne gültigen Einwilligungs-String ist jedes Gebot rechtlich exponiert — unabhängig davon, wie das SDK sein eigenes Verhalten konfiguriert.
Die Vollzugslage 2026
Die deutschen Datenschutzbehörden sind beim TTDSG-Vollzug in den Jahren 2024 und 2025 deutlich aktiver geworden. Allein die Bayerische Landesbeauftragte für den Datenschutz hat pro Jahr Hunderte von Verfahren eingeleitet; die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder erlassen, die ausdrücklich auf Cookie-Banner-Verstöße gestützt wurden.
Bisherige Bußgelder
Das TTDSG selbst sieht eine maximale Geldbuße von 300.000 EUR je Verstoß vor. Da ein TTDSG-Verstoß typischerweise zugleich ein DSGVO-Verstoß ist, haben die Behörden häufig auf den höheren DSGVO-Rahmen zurückgegriffen — bis zu 20 Millionen EUR oder 4 Prozent des weltweiten Jahresumsatzes. Publisher und E-Commerce-Betreiber im deutschen Markt sollten bei der Risikoabschätzung eine Kumulation beider Haftungsebenen einkalkulieren.
Zivilrechtliche Haftung
Deutschland gehört zu den wenigen EU-Mitgliedstaaten, in denen Einzelpersonen erfolgreich immateriellen Schadensersatz nach Art. 82 DSGVO im Zusammenhang mit Cookie-Verstößen erstritten haben. Mit Massenabmahnungen durch Verbraucherzentralen sowie Klagen von Massenklage-Anwaltskanzleien ist auch 2026 zu rechnen.
Audit-Checkliste für deutschen Traffic
- Das CMP zeigt auf der ersten Ebene „Allen zustimmen“ und „Alle ablehnen“ mit gleichwertiger visueller Präsenz
- Vor Einwilligungserteilung werden keine Cookies, Pixel oder Drittanbieter-Skripte geladen — einschließlich Webanalyse und A/B-Tests
- Granulare Einwilligung auf Zweck- und Anbieterebene wird angeboten, mit verständlichen Zweckbeschreibungen in deutscher Sprache
- Der Widerrufsmechanismus ist dauerhaft und von jeder Seite erreichbar
- Einwilligungsnachweise werden mit Zeitstempel, Einwilligungsversion und erteilten Zwecken aufbewahrt
- Mobile Apps setzen die TTDSG-Einwilligung durch, bevor nicht unbedingt erforderliche SDKs initialisiert werden — unabhängig vom iOS-ATT-Dialog
- Auftragsverarbeitungsverträge und Schrems-II-Transferfolgenabschätzungen sind für jeden US-amerikanischen Anbieter dokumentiert
- Die Dark-Pattern-Prüfung wurde anhand der aktuellen DSK-Leitlinien abgeschlossen
- Die Datenschutzerklärung benennt alle Auftragsverarbeiter, weist die Rechtsgrundlage nach DSGVO und die Einwilligungsgrundlage nach TTDSG getrennt aus und ist in deutscher Sprache verfügbar
- Die Anbieterliste ist mit IAB TCF v2.2 synchronisiert und wird bei Aufnahme neuer Partner aktualisiert
Ausblick 2026
Die Umbenennung in TDDDG im Jahr 2024 hat den deutschen Vollzug nicht abgemildert. Wenn überhaupt, sind die Datenschutzbehörden heute besser ausgestattet und über die DSK stärker koordiniert als noch vor zwei Jahren. Die Richtung ist klar: Die Einwilligungsanforderungen werden steigen, die Prüfung auf Dark Patterns wird zunehmen, und Schrems-II-Transferfolgenabschätzungen werden zum Standard-Prüfungsschwerpunkt werden. Publisher und Werbetreibende im deutschen Markt, die in den Jahren 2024–2025 in einen sorgfältig aufgebauten Consent-Stack investiert haben, sind im Großen und Ganzen gut aufgestellt. Wer die deutsche Compliance auf später verschoben hat, tritt 2026 mit bekannten Lücken und wachsendem Behördeninteresse an. Der richtige Schritt ist es, diese Lücken jetzt zu schließen — bevor ein Landesdatenschutzbeauftragter die Frage auf einem Zeitplan erzwingt, den Sie nicht kontrollieren.