- Langname: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG.
- In Kraft seit 14. Mai 2024. Ersetzt das TTDSG. Inhaltlich weitgehend identisch.
- § 25 TDDDG verlangt aktive Einwilligung, bevor Cookies oder ähnliche Technologien auf dein Endgerät zugreifen.
- Ausnahme: technisch zwingend notwendige Cookies, etwa für Login oder Warenkorb.
- Aufsicht und Bußgelder: Landesdatenschutzbehörden. Geldbußen nach DSGVO-Maßstab.
Was ist das TDDDG?
Das TDDDG ist die deutsche Abkürzung für das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Es regelt das Fernmeldegeheimnis und den Schutz vor Zugriffen auf Endgeräte, also auf dein Smartphone, deinen Laptop oder dein Tablet. Immer wenn eine Webseite einen Cookie setzen will, ein Tracking-Pixel lädt oder Daten aus dem Local Storage ausliest, greift das TDDDG.
Das Gesetz hat am 14. Mai 2024 das frühere TTDSG abgelöst. Der Grund war nicht inhaltlich, sondern formal: Das EU-Digitale-Dienste-Gesetz (DDG) hat in Deutschland das alte Telemediengesetz (TMG) abgelöst, und damit passte die alte Abkürzung nicht mehr. Die Rechtsnormen zu Cookies und Einwilligung sind fast unverändert übernommen worden.
Für dich als Nutzer bedeutet das: Du siehst weiterhin Cookie-Banner. Für Betreiber einer Webseite bedeutet es: Der Paragraph, auf den sich dein Cookie-Banner stützt, heißt jetzt § 25 TDDDG statt § 25 TTDSG. Alte Verträge, Datenschutzerklärungen und Hinweise mit Verweis auf das TTDSG bleiben wirksam, sollten aber bei nächster Überarbeitung angepasst werden.
Rechtsgrundlage
Die maßgeblichen Paragraphen sind § 25 TDDDG für die Cookie-Einwilligung sowie § 26 TDDDG für die Verarbeitung zu Werbe- und Marktforschungszwecken. Der vollständige Gesetzestext ist auf gesetze-im-internet.de abrufbar. Ergänzend gelten die DSGVO auf EU-Ebene und das BDSG als nationale Ergänzung.
Wer muss das TDDDG beachten?
Praktisch jeder, der in Deutschland eine Webseite, App oder ein vernetztes Endgerät betreibt, bei dem Daten auf dem Gerät des Nutzers gespeichert oder aus ihm ausgelesen werden. Das betrifft:
- Unternehmen aller Größen mit eigener Webseite oder App.
- Bildungsträger wie SkillSprinters, wenn sie Analyse-Tools, Pixel oder Chatbots einsetzen.
- Öffentliche Stellen, Vereine, Selbstständige mit Online-Präsenz.
- Anbieter von Apps im Play Store oder App Store, die auf lokalen Speicher zugreifen.
Ausgenommen sind rein privat genutzte Webseiten ohne Besucher. Sobald eine Webseite öffentlich erreichbar ist, gilt das Gesetz.
Technisch notwendige Cookies versus Einwilligungspflicht
Der entscheidende Unterschied in § 25 TDDDG ist, ob ein Cookie technisch zwingend notwendig ist, damit der vom Nutzer gewünschte Dienst funktioniert, oder ob er anderen Zwecken dient.
| Ohne Einwilligung erlaubt | Einwilligung erforderlich |
|---|---|
| Session-Cookie für Login | Google Analytics, Matomo (ohne Anonymisierung) |
| Warenkorb im Onlineshop | Facebook Pixel, TikTok Pixel, LinkedIn Insight Tag |
| Sprachauswahl, Consent-Speicher | Retargeting- und Werbe-Cookies |
| CSRF-Schutz, Lastverteilung | Heatmaps (Hotjar, Microsoft Clarity) |
| Technische Cache-Cookies | YouTube-Videos mit Cookies, eingebettete Karten |
Fallbeispiel: Kleines Bildungsinstitut mit Webseite
Ein fiktives Institut verkauft IHK-Kurse online. Auf der Webseite laufen: Google Analytics (Statistik), Facebook Pixel (Retargeting), YouTube-Embeds (Kurs-Trailer) und ein Buchungsformular.
Was § 25 TDDDG verlangt: Vor dem ersten Seitenaufruf erscheint ein Cookie-Banner. Darin stehen mindestens zwei gleichwertige Buttons: "Alle akzeptieren" und "Alle ablehnen". Analytics und Pixel laden erst nach aktivem Klick auf "Akzeptieren". YouTube wird im Datenschutz-Modus eingebunden oder erst nach Einwilligung geladen. Das Buchungsformular funktioniert auch ohne Einwilligung, weil es ein vom Nutzer aktiv gewünschter Dienst ist.
Was schiefgehen kann: Wer "Ablehnen" in einem Untermenü versteckt oder vorangekreuzte Kästchen nutzt, riskiert Abmahnungen und Bußgelder. Gerichte in Deutschland haben 2025 mehrfach entschieden, dass Ablehnen-Buttons auf erster Ebene gleich sichtbar sein müssen.
Häufige Missverständnisse
Missverständnis 1: "Ich habe doch eine Datenschutzerklärung, das reicht." Falsch. Datenschutzerklärung ist DSGVO-Pflicht, das Cookie-Banner ist TDDDG-Pflicht. Beides braucht es.
Missverständnis 2: "Wenn ich IP-Adressen anonymisiere, brauche ich keine Einwilligung." Teilweise falsch. Entscheidend ist der Zugriff auf das Endgerät, nicht die spätere Verarbeitung. Auch anonymisierte Analyse-Cookies brauchen in der Regel Einwilligung.
Missverständnis 3: "Das TDDDG gilt nicht für kleine Seiten." Doch, es gilt für alle. Die Bußgelder sind bei kleinen Verstößen geringer, aber die Pflicht besteht.
Häufige Fragen (FAQ)
Was hat sich durch das TDDDG gegenüber dem TTDSG geändert?
Inhaltlich kaum etwas. Das TDDDG ist eine sprachliche Anpassung: Das alte Telemediengesetz (TMG) wurde durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Die Regelungen zu Cookies in § 25 bleiben identisch. In Kraft seit 14. Mai 2024.
Wann darf ich Cookies ohne Einwilligung setzen?
Nach § 25 Absatz 2 TDDDG, wenn der Cookie technisch zwingend notwendig ist, damit der vom Nutzer ausdrücklich gewünschte Dienst funktioniert. Beispiele: Warenkorb im Onlineshop, Sprachauswahl, Session-Login. Marketing-, Analyse- und Tracking-Cookies brauchen immer eine aktive Einwilligung.
Wer ist für die Durchsetzung des TDDDG zuständig?
Die Landesdatenschutzbeauftragten der Bundesländer. Bußgelder können nach DSGVO-Maßstäben bis zu 300.000 Euro pro Verstoß oder in schweren Fällen höher ausfallen. Entscheidend sind Umfang, Dauer und Vorsatz.
Quellen und Rechtsstand
- TDDDG bei gesetze-im-internet.de
- Bundesbeauftragter für den Datenschutz (BfDI)
- Bundesgesetzblatt, Inkrafttreten TDDDG am 14. Mai 2024
- Verordnung (EU) 2016/679 (DSGVO) in Verbindung mit § 25 TDDDG
Zuletzt geprüft am 24.04.2026.