TTDSG und Cookies: Das deutsche Telemediengesetz erklärt

Aktualisiert: März 2026 · Lesezeit: 12 Min.

TTDSG — was soll das schon wieder sein?

Noch ein Datenschutzgesetz, noch eine Abkürzung. Ich verstehe, wenn Sie genervt sind. DSGVO, TMG, TKG, ePrivacy-Richtlinie — und jetzt auch noch TTDSG? Leider ja. Und das TTDSG ist für Cookies sogar das relevantere Gesetz als die DSGVO. Klingt komisch, ist aber so.

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) ist seit dem 1. Dezember 2021 in Kraft. Es hat Teile des alten Telemediengesetzes (TMG) und Telekommunikationsgesetzes (TKG) zusammengeführt und — endlich — die EU-ePrivacy-Richtlinie in deutsches Recht umgesetzt. Das hatte vorher 12 Jahre lang gefehlt. Zwölf.

Warum das TTDSG für Cookies wichtiger ist als die DSGVO

Die DSGVO regelt die Verarbeitung personenbezogener Daten. Das TTDSG (§ 25) regelt etwas anderes: den Zugriff auf das Endgerät. Also ob Sie überhaupt einen Cookie setzen oder auslesen dürfen — unabhängig davon, ob es sich um personenbezogene Daten handelt.

Das ist ein feiner, aber entscheidender Unterschied. Nehmen wir ein Beispiel: Ein Cookie, der eine zufällige Session-ID speichert und keinen Personenbezug hat. Nach DSGVO möglicherweise unproblematisch. Nach TTDSG § 25 trotzdem einwilligungspflichtig — weil er auf dem Endgerät gespeichert wird.

In der Praxis bedeutet das: Das TTDSG fängt früher an als die DSGVO. Erst prüfen Sie, ob der Cookie-Zugriff nach TTDSG erlaubt ist. Dann prüfen Sie, ob die Datenverarbeitung nach DSGVO eine Rechtsgrundlage hat.

§ 25 TTDSG im Wortlaut — und was er bedeutet

Absatz 1: Die Grundregel

„Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer [...] eingewilligt hat."

Auf Deutsch: Alles, was auf dem Gerät des Nutzers liest oder schreibt, braucht eine Einwilligung. Cookies, ja — aber auch Local Storage, Session Storage, IndexedDB, und selbst das aktive Auslesen von Geräteeigenschaften (Fingerprinting).

Absatz 2: Die Ausnahmen

Keine Einwilligung ist nötig, wenn:

1. Der alleinige Zweck die technische Übertragung einer Nachricht ist, oder
2. Der Zugriff unbedingt erforderlich ist, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten Dienst erbringen kann

„Unbedingt erforderlich" — das ist das Schlüsselwort. Nicht „nützlich", nicht „hilfreich für die User Experience", nicht „wir brauchen die Daten für unser Marketing". Ohne den Cookie muss der Dienst technisch scheitern.

Was fällt unter die Ausnahme — und was nicht?

TTDSG vs. ePrivacy-Richtlinie vs. ePrivacy-Verordnung

Wer im EU-Datenschutz-Dschungel den Überblick verloren hat — hier die Zusammenfassung:

Die ePrivacy-Richtlinie (2002, geändert 2009) ist die EU-Vorgabe, die das Cookie-Consent regelt. Sie musste von jedem EU-Staat in nationales Recht umgesetzt werden. Deutschland hat das mit dem TTDSG getan — mit 12 Jahren Verspätung.

Die ePrivacy-Verordnung sollte die Richtlinie ersetzen. Seit 2017 wird daran verhandelt. Stand März 2026: immer noch kein Abschluss in Sicht. Irgendwann kommt sie — und dann wird sie das TTDSG in Teilen ersetzen. Bis dahin gilt: TTDSG ist das maßgebliche deutsche Gesetz für Cookie-Consent.

Bußgelder nach TTDSG

§ 28 TTDSG regelt die Bußgelder. Verstöße gegen § 25 (Cookie-Consent) können mit bis zu 300.000 Euro geahndet werden. Das klingt nach weniger als die DSGVO-Bußgelder (bis 20 Mio. Euro), ist aber für KMU schon empfindlich genug.

Und: Wenn der Cookie-Verstoß auch eine DSGVO-Verletzung darstellt (was fast immer der Fall ist, sobald personenbezogene Daten verarbeitet werden), kann die Behörde zusätzlich nach DSGVO sanktionieren. Doppelt hält besser — aus Behördensicht.

Was das TTDSG NICHT regelt

Trotz der breiten Abdeckung gibt es Bereiche, die das TTDSG nicht erfasst:

• Server-Logs: Wenn Ihr Server die IP-Adresse in eine Log-Datei schreibt, ist das kein Zugriff auf das Endgerät. Das fällt unter die DSGVO, nicht unter das TTDSG.
• E-Mail-Tracking: Tracking-Pixel in E-Mails — komplizierte Rechtslage. Das TTDSG greift hier nur bedingt, die DSGVO ist relevanter.
• Offline-Datenverarbeitung: Das TTDSG betrifft nur den Online-Zugriff auf Endgeräte. Offline-Verarbeitung → DSGVO.

Praxis: Was Sie jetzt tun sollten

Falls Sie sich fragen, ob Ihre Website TTDSG-konform ist — hier die ehrliche Antwort: Wahrscheinlich nicht vollständig. Die meisten Websites, die ich prüfe, haben mindestens einen Cookie oder eine Tracking-Technologie, die vor der Einwilligung geladen wird.

1. Inventur machen: Welche Cookies setzt Ihre Website? Welche Skripte laden beim Seitenaufruf? Welche Drittanbieter sind eingebunden?
2. Klassifizieren: Für jeden Cookie und jedes Skript prüfen: Ist es „unbedingt erforderlich" nach § 25 Abs. 2?
3. CMP konfigurieren: Alles, was nicht unter die Ausnahme fällt, muss durch das CMP blockiert werden, bis Consent vorliegt.
4. Testen: Regelmäßig prüfen, ob die Blocking-Mechanismen funktionieren.

Was ist der Unterschied zwischen TTDSG und DSGVO bei Cookies?

Das TTDSG (§ 25) regelt den Zugriff auf das Endgerät — also ob ein Cookie gesetzt oder gelesen werden darf. Die DSGVO regelt die anschließende Verarbeitung der personenbezogenen Daten. In der Praxis brauchen Sie für nicht-notwendige Cookies zwei Rechtsgrundlagen: eine nach TTDSG (Einwilligung für den Cookie-Zugriff) und eine nach DSGVO (Einwilligung für die Datenverarbeitung). Da beide auf Einwilligung basieren, deckt ein korrekt konfiguriertes Consent-Banner beides ab.

Gilt das TTDSG auch für Fingerprinting und Local Storage?

Ja. TTDSG § 25 spricht von „Speicherung von Informationen in der Endeinrichtung des Endnutzers oder Zugriff auf bereits dort gespeicherte Informationen". Das umfasst Cookies, Local Storage, Session Storage, Fingerprinting (soweit Geräteinformationen aktiv ausgelesen werden), Tracking-Pixel und jede andere Technologie, die auf dem Endgerät des Nutzers operiert.