Cookies und Tracking nach dem TDDDG
Was § 25 TDDDG für den Einsatz von Cookies und Tracking-Technologien auf Websites vorschreibt, wann eine Einwilligung erforderlich ist und welche Ausnahmen für technisch notwendige Dienste gelten.
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG, vormals TTDSG) regelt in § 25 den Einsatz von Cookies und vergleichbaren Tracking-Technologien auf Websites und in Apps. Diese Vorschrift setzt die ePrivacy-Richtlinie (2002/58/EG) in deutsches Recht um und ergänzt die DSGVO.
Einwilligungspflicht nach TDDDG
Nach § 25 Abs. 1 TDDDG ist das Speichern von Informationen in der Endeinrichtung eines Nutzers oder der Zugriff auf dort bereits gespeicherte Informationen grundsätzlich nur mit Einwilligung des Nutzers zulässig. Dies gilt für Cookies, Tracking-Pixel, lokale Speicherung (localStorage, sessionStorage), Fingerprinting und vergleichbare Techniken.
Die Einwilligung muss den Anforderungen der DSGVO entsprechen: Sie muss vor dem Setzen der Cookies erteilt werden, freiwillig, informiert, bestimmt und aktiv sein. Ein vorab angekreuztes Kästchen oder die bloße Weiternutzung der Website genügen nicht. Gleichzeitig darf die Nutzung der Website nicht grundsätzlich von der Einwilligung in nicht-notwendige Cookies abhängig gemacht werden (Pay-or-Consent-Modelle sind regulatorisch umstritten).
Ausnahmen fuer notwendige Cookies
Nach § 25 Abs. 2 TDDDG gilt eine wichtige Ausnahme: Cookies, die ausschließlich dazu dienen, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen, oder die unbedingt erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft einen vom Nutzer ausdrücklich gewünschten Dienst bereitstellen kann, benötigen keine Einwilligung. Hierunter fallen Session-Cookies für Warenkörbe, Login-Cookies und technische Präferenz-Cookies.
Das Verhältnis von TDDDG und DSGVO ist zweistufig: § 25 TDDDG regelt den Gerätezugriff (ob ein Cookie gesetzt werden darf), während die DSGVO die nachfolgende Datenverarbeitung (wie die erhobenen Daten verarbeitet werden dürfen) reguliert. Für Analyse-Cookies (z. B. Google Analytics) ist daher sowohl eine Einwilligung nach § 25 TDDDG als auch eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich.
Anforderungen an Cookie-Banner
Cookie-Banner müssen technisch so umgesetzt werden, dass eine Ablehnung gleich einfach ist wie eine Zustimmung. Irreführende Dark Patterns — etwa das Hervorheben der Zustimmen-Schaltfläche oder das Verstecken der Ablehnen-Option — sind unzulässig und wurden von Aufsichtsbehörden bereits mit Bußgeldern belegt.