Aktualisiert: März 2026 · Lesezeit: 10 Min.
„Muss ich wirklich für JEDEN Cookie eine Einwilligung holen?" — Nein. Nicht für jeden. Aber für mehr, als die meisten denken. Und genau da liegt das Problem: Die Grenze zwischen „technisch notwendig" und „nice to have" ist in der Praxis viel schmaler, als es sich die meisten Website-Betreiber vorstellen.
Schauen wir uns an, was das TTDSG § 25 tatsächlich erlaubt — und wo die Ausnahmen enden.
Der Grundsatz ist simpel: Wer Informationen auf dem Endgerät eines Nutzers speichert oder darauf zugreift, braucht eine Einwilligung. Das gilt für Cookies, aber auch für Local Storage, Fingerprinting und alles andere, was auf dem Gerät des Nutzers „rumfuhrwerkt".
Die Einwilligung muss den Anforderungen der DSGVO entsprechen: informiert, freiwillig, spezifisch, unmissverständlich. Kein vorausgefülltes Häkchen, kein Weitersurfen als Zustimmung.
Abs. 2 nennt zwei Fälle, in denen keine Einwilligung nötig ist:
Klingt erstmal großzügig. Ist es aber nicht.
Das Wort „unbedingt" ist entscheidend. Es reicht nicht, dass ein Cookie nützlich ist, die Performance verbessert oder das Nutzererlebnis schöner macht. Der Dienst muss ohne den Cookie technisch nicht funktionieren.
| Cookie-Typ | Beispiel | Ohne Einwilligung? | Begründung |
|---|---|---|---|
| Session-Cookie | PHPSESSID, JSESSIONID | Ja | Ohne ihn keine serverseitige Zuordnung möglich |
| Warenkorb-Cookie | wc_cart_hash | Ja | Shop funktioniert ohne nicht |
| Login-Cookie | wordpress_logged_in | Ja | Authentifizierung unmöglich ohne |
| Sprach-Cookie | pll_language | Ja | Nutzer hat Sprache aktiv gewählt |
| CMP-Cookie | CookieConsent | Ja | Speichert die Consent-Entscheidung selbst |
| CSRF-Token | csrf_token | Ja | Sicherheits-Feature für Formulare |
| Load Balancer | AWSALB, __cfduid | Ja | Technische Infrastruktur |
| Google Analytics | _ga, _gid | Nein | Website funktioniert ohne GA problemlos |
| Facebook Pixel | _fbp | Nein | Reines Marketing-Tracking |
| Hotjar | _hjSession | Nein | Analyse, nicht erforderlich |
| YouTube-Embed | VISITOR_INFO1_LIVE | Nein | Google-Tracking via Embed |
| Affiliate-Cookie | ref_id | Nein | Wirtschaftliches Interesse, nicht technisch nötig |
Matomo (ehemals Piwik) ist ein Sonderfall, der regelmäßig für Diskussionen sorgt. Wenn Sie Matomo auf Ihrem eigenen Server betreiben, ohne Daten an Dritte weiterzugeben, und mit einer Session-Dauer von maximal 24 Stunden — dann argumentieren einige Datenschützer, dass kein Consent nötig ist.
Aber Vorsicht: Die Datenschutzkonferenz hat sich hier nie eindeutig positioniert. Die französische CNIL hat Matomo unter bestimmten Bedingungen von der Consent-Pflicht ausgenommen, deutsche Behörden sind zurückhaltender. Mein pragmatischer Rat: Holen Sie den Consent trotzdem ein. Ist wenig Aufwand und Sie sind auf der sicheren Seite.
Die heimtückischsten Cookies kommen nicht von Ihnen selbst. Sie kommen von den Diensten, die Sie einbinden. Ein YouTube-Video auf Ihrer Seite? Google setzt bis zu 7 Cookies, bevor irgendjemand auf Play klickt. Eine eingebettete Google-Maps-Karte? Ähnliches Spiel.
Diese Cookies fallen definitiv nicht unter die Ausnahme des § 25 Abs. 2. Die Lösung: Embeds erst nach Einwilligung laden (2-Klick-Lösung) oder YouTube im „erweiterten Datenschutzmodus" einbinden (youtube-nocookie.com). Letzteres reduziert die Cookies, eliminiert sie aber nicht komplett.
IP-Anonymisierung in Google Analytics macht die Datenverarbeitung DSGVO-freundlicher — aber sie ändert nichts an der TTDSG-Frage. Das TTDSG regelt den Zugriff auf das Endgerät, nicht die anschließende Verarbeitung. Auch wenn GA4 die IP-Adresse kürzt: Der Cookie wird trotzdem auf dem Gerät gesetzt, und dafür brauchen Sie Consent.
Dieses Missverständnis hält sich hartnäckig. Ich höre mindestens einmal pro Woche: „Aber wir haben doch IP-Anonymisierung an!" Ja. Und trotzdem brauchen Sie für den _ga-Cookie eine Einwilligung.
Theorie ist schön und gut. Aber was Ihre Website wirklich setzt — das können Sie nur durch einen Test herausfinden. Öffnen Sie die Seite ohne Consent und schauen Sie in die DevTools. Oder noch schneller: Lassen Sie einen automatisierten Scan laufen, der genau das prüft.