Cookie-Richtlinie: TTDSG-Regeln und Sanktionen

← Blog cookies-consent documents-legaux
9 Min. Lesezeit
WebLegal Team

Im Jahr 2026 bleiben Cookies eines der am stärksten kontrollierten Themen im Bereich Datenschutz in Deutschland. Seit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) am 1. Dezember 2021 und der wegweisenden BGH-Entscheidung im Fall Planet49 (I ZR 7/16) ist die Rechtslage eindeutig: Die Speicherung von Cookies auf dem Endgerät eines Nutzers erfordert dessen vorherige ausdrückliche Einwilligung, sofern sie nicht technisch notwendig sind. Mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes gemäß DSGVO ist eine konforme Cookie-Richtlinie keine Nebensache mehr — sie ist eine zwingende rechtliche Pflicht.

Der rechtliche Rahmen für Cookies in Deutschland

Die Cookie-Regulierung in Deutschland stützt sich auf zwei Säulen: das TTDSG (insbesondere §25) und die DSGVO. §25 TTDSG setzt die ePrivacy-Richtlinie 2002/58/EG in deutsches Recht um und legt den Grundsatz fest: Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits gespeicherte Informationen erfordert die Einwilligung auf der Grundlage klarer und umfassender Informationen, es sei denn, es handelt sich um technisch notwendige Cookies.

Der BGH hat in seiner Planet49-Entscheidung vom Mai 2020, die das EuGH-Urteil in derselben Sache umsetzt, klargestellt: Ein vorangekreuztes Kontrollkästchen (Opt-out) genügt nicht als Einwilligung. Der Nutzer muss eine aktive, informierte Handlung vornehmen (Opt-in). Diese Entscheidung hat die Praxis in Deutschland grundlegend verändert.

Die Datenschutzkonferenz (DSK) hat in ihren Orientierungshilfen für Anbieter von Telemedien die Anforderungen an eine wirksame Einwilligung konkretisiert. Die DSGVO (Artikel 5, 6 und 7) regelt die Bedingungen einer wirksamen Einwilligung: Sie muss freiwillig, für den bestimmten Fall, informiert und unmissverständlich sein. Artikel 13 verlangt umfassende Informationen über die mit Cookies verbundenen Datenverarbeitungen. Um zu prüfen, ob Ihre Website diesen Pflichten unterliegt, lesen Sie unseren vollständigen Leitfaden zum Anwendungsbereich der DSGVO.

Nicht alle Cookies unterliegen denselben Anforderungen. Die DSK und die Aufsichtsbehörden unterscheiden klar:

Einwilligungsfreie Cookies

Bestimmte Cookies sind für den Betrieb der Website unbedingt erforderlich und benötigen keine Einwilligung gemäß §25 Abs. 2 TTDSG. Dazu zählen Session-Cookies (Warenkorb, Authentifizierung), Sprachpräferenz-Cookies, Server-Lastverteilungs-Cookies und Reichweitenmessungs-Cookies, sofern sie so konfiguriert sind, dass sie kein seitenübergreifendes Tracking ermöglichen (etwa eine eingeschränkte Matomo-Konfiguration).

Cookies mit Einwilligungspflicht

Die vorherige Einwilligung ist zwingend erforderlich für Werbe- und Targeting-Cookies, Social-Media-Cookies (Teilen-Buttons, eingebettete Widgets), Navigationsanalyse-Cookies zu kommerziellen Zwecken (Google Analytics in der Standardkonfiguration), Cookies zur Personalisierung von Inhalten basierend auf dem Nutzerprofil und Tracking-Pixel von Drittanbietern.

Ein fundamentaler Punkt, den der BGH in der Planet49-Entscheidung bestätigt hat: Das bloße Weitersurfen auf einer Website stellt keine wirksame Einwilligung dar. Der Nutzer muss für jede Verarbeitungszweck eine klare, aktive Handlung vornehmen.

Der Cookie-Banner ist der Mechanismus, über den die Einwilligung der Nutzer eingeholt wird. Die deutschen Datenschutzaufsichtsbehörden stellen präzise Anforderungen an einen konformen Banner:

Den Nutzer klar informieren: Der Banner muss die Zwecke der Cookies, die Identität der Verantwortlichen (oder einen Link zur vollständigen Liste) und die Möglichkeit, zuzustimmen oder abzulehnen, benennen.

Eine echte Wahlmöglichkeit bieten: Der Button „Ablehnen” (oder „Ohne Zustimmung fortfahren”) muss ebenso sichtbar und zugänglich sein wie der Button „Akzeptieren”. Aufsichtsbehörden haben zahlreiche Unternehmen wegen irreführender Gestaltungen beanstandet, bei denen die Ablehnung bewusst erschwert wurde.

Granulare Einwilligung ermöglichen: Der Nutzer muss Cookies zweckbezogen akzeptieren oder ablehnen können (Werbung, Statistiken, soziale Medien usw.), entweder direkt auf dem ersten Bildschirm oder über eine zweite Ebene, die mit einem Klick erreichbar ist.

Keine Cookies vor der Einwilligung setzen: Nicht notwendige Cookies dürfen erst nach Erteilung der Einwilligung gesetzt werden. Das Laden von Drittanbieter-Skripten (Google Analytics, Facebook Pixel usw.) muss von der Einwilligung abhängig gemacht werden.

Nachweis der Einwilligung aufbewahren: Sie müssen nachweisen können, dass der Nutzer eingewilligt hat, wann und für welche Zwecke. Die Gültigkeit der Einwilligung sollte regelmäßig erneuert werden — die DSK empfiehlt eine erneute Einholung spätestens nach 12 Monaten.

Über den Banner hinaus ist die Cookie-Richtlinie ein eigenständiges Dokument, das Ihre gesamte Cookie-Praxis detailliert beschreibt. Gemäß DSGVO Artikel 12 und 13 muss sie enthalten:

  • Identität und Kontaktdaten des Verantwortlichen
  • Vollständige Liste der verwendeten Cookies (Name, Zweck, Lebensdauer, Anbieter)
  • Zwecke jedes Cookies, klar und verständlich beschrieben
  • Rechtsgrundlage der Verarbeitung (Einwilligung für nicht notwendige Cookies, berechtigtes Interesse für technische Cookies)
  • Empfänger der erhobenen Daten (Werbepartner, Analysetools usw.)
  • Etwaige Datenübermittlungen in Drittländer
  • Speicherdauer der Daten
  • Rechte der Nutzer (Auskunft, Berichtigung, Löschung, Widerspruch) und deren Ausübung
  • Modalitäten der Cookie-Verwaltung (wie Einwilligung geändert oder widerrufen werden kann)

Diese Richtlinie muss dauerhaft zugänglich sein, typischerweise über einen Footer-Link, und muss von Ihrer Datenschutzerklärung getrennt sein, auch wenn sich beide Dokumente ergänzen.

Die häufigsten Fehler

Viele Websites begehen noch immer Fehler, die sie Sanktionen aussetzen:

Die „Cookie Wall” ohne Alternative. Den Zugang zur Website zu sperren, wenn der Nutzer Cookies ablehnt, wird grundsätzlich als nicht konform betrachtet, da die Freiwilligkeit der Einwilligung untergraben wird. Begrenzte Ausnahmen bestehen für Presseseiten mit einem kostenpflichtigen Abo-Modell als Alternative.

Irreführende Gestaltung (Dark Patterns). Ein farblich hervorgehobener Button „Alle akzeptieren” neben einem unauffälligen grauen Link „Einstellungen” stellt ein Dark Pattern dar. Die Aufsichtsbehörden verlangen gleichwertige Sichtbarkeit für Akzeptanz- und Ablehnungsoptionen.

Keine Möglichkeit zum Widerruf der Einwilligung. Der Nutzer muss seine Einwilligung jederzeit so einfach widerrufen können, wie er sie erteilt hat. Ein permanenter Link zu den Cookie-Einstellungen (oft über ein kleines Widget am Seitenende) ist unerlässlich.

Cookies vor der Einwilligung setzen. Viele Websites laden Google Analytics, Facebook Pixel oder andere Tracker sofort beim Seitenaufruf, noch bevor eine Interaktion mit dem Banner stattfindet. Dies verstößt direkt gegen §25 TTDSG.

Cookie-Richtlinie mit dem Impressum verwechseln. Es handelt sich um unterschiedliche Dokumente mit verschiedenen rechtlichen Grundlagen. Das eine ersetzt nicht das andere.

Sanktionen: Was Ihnen droht

Die deutschen Datenschutzaufsichtsbehörden verfügen über ein abgestuftes Sanktionsinstrumentarium:

Verwarnungen und Anordnungen: Die Aufsichtsbehörde kann eine Konformitätsherstellung innerhalb einer bestimmten Frist anordnen, typischerweise 1 bis 3 Monate. Dies ist häufig der erste Schritt, kann aber öffentlich gemacht werden und Ihrem Ruf schaden.

Bußgelder: Gemäß DSGVO können Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Deutsche Aufsichtsbehörden haben bereits erhebliche Bußgelder für Cookie-bezogene Verstöße verhängt, sowohl gegen Großkonzerne als auch gegen KMU. Für einen umfassenden Überblick über die bedeutendsten Sanktionen lesen Sie unsere Übersicht der 15 höchsten Bußgelder.

Untersagungsverfügungen: Die Aufsichtsbehörde kann die sofortige Einstellung nicht konformer Verarbeitungen anordnen, was die Deaktivierung aller Analyse- und Werbetools bedeuten kann.

Zwangsgelder: Bei Nichtbefolgung einer Anordnung können Zwangsgelder von bis zu 100 000 € pro Tag verhängt werden.

Im Jahr 2026 sind die Kontrollen der Aufsichtsbehörden häufiger denn je, mit thematischen Prüfkampagnen, die gezielt Cookie-Praktiken in den Blick nehmen. Beschwerden von Nutzern über die Websites der Aufsichtsbehörden sind ebenfalls ein wichtiger Auslöser für Untersuchungen.

Mein Risiko jetzt senken

Mögliches Bußgeld: Schützen Sie sich ab

Basierend auf Art. 83 DSGVO, Höchststrafe von 4 % des Jahresumsatzes oder 20 Mio. €, je nachdem welcher Betrag höher ist.

Wie Sie konform werden: Ihre Optionen

Einen spezialisierten Anwalt beauftragen (300-800 €): Ein auf Datenschutzrecht spezialisierter Anwalt erstellt eine maßgeschneiderte Cookie-Richtlinie und kann Ihren Consent-Banner prüfen. Dies ist die individuellste Lösung, aber die Kosten sind hoch und die Bearbeitungszeit beträgt mehrere Wochen. Sie ist vor allem für stark frequentierte Websites oder solche mit komplexen Datenverarbeitungen sinnvoll.

Kostenlose Online-Vorlagen verwenden (0 € aber riskant): Es gibt Vorlagen für Cookie-Richtlinien, aber sie sind selten auf dem neuesten Stand der TTDSG-Anforderungen und erfordern 3 bis 5 Stunden Anpassung. Ohne technisches Fachwissen ist es schwierig, die genaue Liste der von Ihrer Website gesetzten Cookies zusammenzustellen.

Generische KI verwenden (ChatGPT, Claude) (0 € + Anwaltsüberprüfung 150-300 €): Diese Tools können einen ersten Entwurf erstellen, aber eine Cookie-Richtlinie erfordert präzise technische Informationen (Cookie-Liste, Lebensdauer, Drittanbieter-Skripte), die die KI ohne vorherigen Audit nicht kennen kann. Eine juristische Überprüfung bleibt notwendig.

Spezialisierte Rechts-KI verwenden (14,90-19,90 €): Lösungen wie WebLegal.ai generieren eine konforme Cookie-Richtlinie in Minuten, indem sie Sie durch die richtigen Fragen führen. Das Dokument deckt die Anforderungen von DSGVO und TTDSG ab, enthält eine strukturierte Cookie-Liste nach Zwecken und ist sofort veröffentlichungsbereit. Für einen vollständigen Schutz kombinieren Sie es mit den 4 Pflichtdokumenten für Ihre Website.

Fazit

Eine Cookie-Richtlinie und ein konformer Consent-Banner sind im Jahr 2026 keine Option mehr: Es handelt sich um gesetzliche Pflichten, deren Missachtung zu erheblichen Bußgeldern und schwerwiegenden Reputationsschäden führen kann. Mit der Zunahme der Kontrollen durch die Datenschutzaufsichtsbehörden muss jede Website zwingend über einen konformen Banner und eine vollständige, aktuelle Cookie-Richtlinie verfügen. Lassen Sie sich nicht von einer Prüfung überraschen — sichern Sie Ihre Konformität noch heute.