Cookie-Banner 2026: § 25 TDDDG + Art. 6 DSGVO korrekt umsetzen

· Kategorie: DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • § 25 TDDDG (vorher TTDSG) regelt Speichern/Auslesen auf Endgeräten — strenger als DSGVO
  • Art. 6 DSGVO regelt anschließende Datenverarbeitung — beide gelten parallel
  • Equal-Choice-Prinzip: "Akzeptieren" und "Ablehnen" gleich prominent
  • Vorab-Aktivierung verboten (EuGH Planet49, C-673/17)
  • Bußgeld-Range: 5.000-1,3 Mio. EUR (DSK 2024)

1. § 25 TDDDG vs. Art. 6 DSGVO — was gilt wann?

Seit 14.05.2024 heißt das Gesetz nicht mehr TTDSG, sondern TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Der materielle Inhalt von § 25 ist unverändert.

Zwei-Stufen-Test:

  1. Stufe 1 — § 25 TDDDG: Darf ich überhaupt etwas auf dem Endgerät des Nutzers speichern/lesen?
  2. Stufe 2 — Art. 6 DSGVO: Wenn ja, darf ich die Daten anschließend verarbeiten?

Beide Stufen müssen separate Rechtsgrundlagen haben. § 25 erlaubt nur zwei Wege: technische Notwendigkeit oder Einwilligung. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) reicht für § 25 NICHT.

2. EuGH + BGH: was ist entschieden

Kurzantwort: Fünf Leitentscheidungen prägen die Banner-Praxis: EuGH C-673/17 Planet49 (vorab-aktivierte Checkbox unwirksam), BGH I ZR 7/16 Cookie-II (Opt-In zwingend ins deutsche Recht übernommen), EuGH C-252/21 Meta-Bundeskartellamt (personalisierte Werbung nicht „vertragsnotwendig"), OVG Lüneburg 14 LA 1/24 (visuell hervorgehobener „Akzeptieren"-Button als Dark Pattern) und EuGH C-446/21 Schrems-Werbung (Targeting-Einschränkungen für sensible Daten).

UrteilAussagePraxis
EuGH C-673/17 Planet49 (2019)Vorab-aktivierte Checkbox = keine EinwilligungDefault-Off-Pflicht
BGH I ZR 7/16 Cookie-II (2020)Übernahme EuGH ins deutsche RechtOpt-In zwingend
EuGH C-252/21 Meta-Bundeskartellamt (2023)"Notwendig zur Vertragserfüllung" eng auszulegenPersonalisierte Werbung NICHT vertragsnotwendig
OVG Lüneburg 14 LA 1/24 (2025)"Akzeptieren"-Button visuell hervorgehoben = Dark PatternEqual Choice
EuGH C-446/21 Schrems-Werbung (2024)Sensible Daten dürfen nicht aus Werbeprofilen hergeleitet werdenEinschränkungen für Targeting

3. 7 Banner-Pflichten 2026

Kurzantwort: Ein rechtskonformer Cookie-Banner muss 2026 sieben Pflichten erfüllen: Banner vor jedem nicht-essentiellen Tag, Equal Choice (Akzeptieren/Ablehnen gleich groß und prominent), granulare Kategorien-Auswahl, transparente Anzeige von Zweck/Anbieter/Drittlandtransfer/Speicherdauer pro Cookie, ebenso einfacher Widerruf wie Einwilligung (Art. 7 Abs. 3 DSGVO), Consent-Logging über 3 Jahre und Re-Consent nach 6-12 Monaten oder bei Tag-Änderung.

  1. Vor jedem nicht-essentiellen Tag Banner zeigen — kein "Walking-Cookie" laden
  2. Equal Choice: Akzeptieren/Ablehnen gleich groß, gleich farbig, gleicher Kontrast
  3. Granular: Kategorien (Statistik / Marketing / Externe Medien) einzeln wählbar
  4. Transparenz: Zweck, Anbieter, Drittlandtransfer, Speicherdauer pro Cookie sichtbar
  5. Widerruf so einfach wie Einwilligung (Art. 7 Abs. 3 DSGVO) — Re-Open-Link im Footer Pflicht
  6. Consent-Logging: wer/wann/welcher Status — 3 Jahre aufbewahren (Beweislast)
  7. Re-Consent nach 6-12 Monaten oder bei Tag-Änderung

4. Dark Patterns die teuer werden

Kurzantwort: Behörden und Gerichte sanktionieren fünf typische Dark Patterns: bunter „OK"-Button mit grauem „Mehr Optionen"-Link (VG Berlin 2024), Cookie-Walls ohne Pay-Alternative (EDPA-Stellungnahme 08/2024), verstecktes Ablehnen hinter mehreren Klicks (DSK-Bußgelder bis 50.000 EUR), „berechtigtes Interesse" als Tracking-Rechtsgrundlage (§ 25 TDDDG verlangt Einwilligung) und Scrollen als Zustimmung (keine aktive Handlung, unwirksam).

5. Tools-Vergleich (DACH-Markt)

Kurzantwort: Im DACH-Markt dominieren fünf Banner-Tools: Borlabs Cookie (ab 39 EUR/Jahr, WordPress, Selfhosting DE), Cookiebot (ab 14 EUR/Monat, EU-Server, TCF 2.2), Usercentrics (ab 39 EUR, Enterprise/Multi-Brand, TCF 2.2), Iubenda (ab 9 EUR, Klein- und Solo-Betrieb) und Real Cookie Banner (ab 49 EUR/Jahr, WordPress mit DACH-Fokus, Selfhosting DE).

ToolPreis/MonatDSGVO-ServerTCF 2.2Empfehlung
Borlabs Cookieab 39 EUR/JahrDE (Selfhosting)neinWordPress, kleine Sites
Cookiebot (Cybot)ab 14 EURDK (EU)jaMittelständler mit GDPR-Audit-Bedarf
Usercentricsab 39 EURDEjaEnterprise / Multi-Brand
Iubendaab 9 EURITneinKlein- und Solo-Betrieb
Real Cookie Bannerab 49 EUR/JahrDE (Selfhosting)neinWordPress + DACH-Fokus
Sie wollen Ihren bestehenden Banner prüfen lassen? Der Cookie-Banner-Audit macht 12 Checks in 90 Sekunden.

6. 12-Punkte-Banner-Audit

Kurzantwort: Ein vollständiger Banner-Audit prüft zwölf Punkte: Erscheint der Banner vor jedem Marketing-Tag, ist „Ablehnen" gleich prominent wie „Akzeptieren", sind mindestens drei granulare Kategorien wählbar, werden Anbieter/Zweck/Speicherdauer pro Cookie sichtbar, ist Drittlandtransfer (USA, UK) explizit kommuniziert, gibt es einen Re-Open-Link im Footer, wird Consent in der CMP über 3 Jahre gespeichert, läuft Re-Consent nach 12 Monaten, funktioniert Equal Choice mobil, ist Tag-Manager-Default = denied, ist Google Consent Mode v2 implementiert und ist die Datenschutzerklärung verlinkt?

  1. Erscheint Banner VOR jedem Marketing-Tag?
  2. "Ablehnen" gleich prominent wie "Akzeptieren"?
  3. Granulare Kategorien (mind. 3) wählbar?
  4. Pro Cookie: Anbieter, Zweck, Speicherdauer sichtbar?
  5. Drittlandtransfer (USA, UK) explizit kommuniziert?
  6. Re-Open-Link im Footer ("Cookie-Einstellungen")?
  7. Consent in CMP gespeichert (3 Jahre)?
  8. Re-Consent-Logik nach 12 Monaten?
  9. Banner mobil testbar (Equal Choice in Portrait)?
  10. Tag-Manager-Integration: Default = denied?
  11. Google Consent Mode v2 implementiert?
  12. Datenschutzerklärung verlinkt + sichtbar?

Häufig gestellte Fragen

Brauche ich einen Cookie-Banner?
Sobald Sie nicht-technisch-notwendige Cookies oder Tracking-Tools (Analytics, Pixel, Maps mit Tracking) einsetzen — ja. § 25 Abs. 1 TDDDG verlangt informierte Einwilligung.
Was sind 'technisch notwendige' Cookies?
Session-Cookies, Login-Token, Warenkorb, Sicherheits-Token, Sprachwahl. Diese benötigen keine Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG).
Reicht 'Akzeptieren' und 'Ablehnen' nebeneinander?
Ja, wenn beide Buttons gleich prominent sind (Größe, Farbe, Position). VG Hannover 2024: 'Akzeptieren' grün/auffällig + 'Ablehnen' grau = Dark Pattern, unwirksam.
Ist ein Cookie-Wall (Pay or OK) erlaubt?
EDPA-Stellungnahme 08/2024: Nur, wenn echte gleichwertige Alternative + transparenter Preis. Reine Trotz-Lösung ('zustimmen oder Seite verlassen') unwirksam.
Wie lange ist eine Einwilligung gültig?
Keine gesetzliche Frist. EDSA empfiehlt 6-12 Monate, Datenschutzkonferenz: maximal 12 Monate, dann Re-Consent.
Bußgelder?
DSK-Bußgeldkatalog: 5.000-300.000 EUR je Verstoß. Beispiele: Vodafone (1,3 Mio. EUR, 2023), Cosmos Direkt (45.000 EUR, 2024).

Quellen

Verwandte Artikel

DSGVO

Verarbeitungsverzeichnis erstellen 2026

Excel-Vorlage + 14 KMU-Beispiele.

 DSGVO

AVV-Vorlage 2026 (Art. 28 DSGVO)

Mustervertrag + 8 Pflichtinhalte.

 DSGVO

DSGVO-Bußgelder 2025/26

Top-10 + KMU-Praxis.

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.