Cookie Policy Germany (Website)
TTDSG §25 | DSGVO Art. 6, 13 | DSK-Orientierungshilfe Telemedien
COOKIE-RICHTLINIE
gemäß §25 TTDSG und Art. 13 DSGVO
Stand: [Richtlinie Datum]
1. VERANTWORTLICHER UND GELTUNGSBEREICH
Diese Cookie-Richtlinie gilt für die Website [Website-URL], die betrieben wird von: [Betreiber], [Betreiber Adresse].
Datenschutzanfragen richten Sie bitte an: [Datenschutz-E-Mail]
2. WAS SIND COOKIES?
Cookies sind kleine Textdateien, die beim Besuch unserer Website auf Ihrem Endgerät (Computer, Smartphone, Tablet) gespeichert werden. Cookies ermöglichen es, Informationen über Ihren Besuch zu speichern und bei einem erneuten Besuch abzurufen. Wir setzen Cookies auf Grundlage von §25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in Verbindung mit Art. 6 der Datenschutz-Grundverordnung (DSGVO).
3. TECHNISCH NOTWENDIGE COOKIES (§25 ABS. 2 TTDSG — KEINE EINWILLIGUNG ERFORDERLICH)
Folgende technisch notwendige Cookies setzen wir ohne Ihre vorherige Einwilligung ein, da sie für den Betrieb der Website unbedingt erforderlich sind: [Session Cookies]
4. ANALYSE- UND STATISTIK-COOKIES (NUR MIT EINWILLIGUNG — §25 ABS. 1 TTDSG)
Mit Ihrer Einwilligung setzen wir folgende Analyse-Dienste ein: [Analyse-Dienst]
Diese Dienste ermöglichen uns die Analyse des Nutzerverhaltens auf unserer Website zur Verbesserung unseres Angebots. Die erhobenen Daten werden in der Regel an Server des Anbieters übertragen, die sich auch außerhalb des Europäischen Wirtschaftsraums befinden können. Die Datenübertragung erfolgt auf Basis der Standardvertragsklauseln der Europäischen Kommission (Beschluss 2021/914) gemäß Art. 46 Abs. 2 lit. c DSGVO.
5. MARKETING- UND WERBE-COOKIES (NUR MIT EINWILLIGUNG — §25 ABS. 1 TTDSG)
Mit Ihrer Einwilligung setzen wir folgende Marketing-Dienste ein: [Marketing-Dienste]
6. EINWILLIGUNG UND WIDERRUF
Für alle einwilligungspflichtigen Cookies verwenden wir die Consent Management Platform: [CMP-Tool]
Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung (Art. 7 Abs. 3 DSGVO). Widerrufsmechanismus: [Widerrufsmechanismus]
7. IHRE RECHTE ALS BETROFFENE PERSON
Sie haben nach der DSGVO folgende Rechte: Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21). Wenden Sie sich dazu bitte an: [Datenschutz-E-Mail]. Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes zu beschweren.
Diese Cookie-Richtlinie gilt ab dem [Richtlinie Datum].
Websitebetreiber / Verantwortlicher
________________
Signature
What Is a Cookie Policy Germany (Website)?
Die Cookie-Richtlinie für eine Website in Deutschland ist in § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) geregelt: Das Speichern von Informationen in der Endeinrichtung des Nutzers oder der Zugriff auf bereits gespeicherte Informationen ist nur zulässig, wenn der Nutzer auf der Grundlage klarer und umfassender Informationen eingewilligt hat. Diese Regelung setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie (Richtlinie 2002/58/EG in der Fassung der Änderungsrichtlinie 2009/136/EG) um — und geht damit über die reine DSGVO-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO hinaus: Die §25-TTDSG-Einwilligung erfordert eine freiwillige, spezifische, informierte und eindeutige Willensbekundung des Nutzers, die vor dem Setzen der Cookies eingeholt werden muss — eine nachträgliche Einwilligung ist unzulässig.
Ausnahmen von der Einwilligungspflicht gelten nach §25 Abs. 2 TTDSG nur für zwei Kategorien: erstens, wenn das Speichern oder der Zugriff ausschließlich dem Zweck der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dient; und zweitens, wenn das Speichern oder der Zugriff unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Dienst zur Verfügung stellen kann. Letzteres entspricht den technisch notwendigen Cookies (strictly necessary cookies) — z.B. Session-Cookies für den Warenkorb, Login-Cookies oder Sicherheits-Cookies zur CSRF-Prävention.
Die Datenschutzkonferenz (DSK) hat im März 2021 eine aktualisierte Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die klarstellt: Analyse-Cookies (Google Analytics, Matomo, Hotjar), Werbe-Cookies (Google Ads, Facebook Pixel, LinkedIn Insight Tag) und Social-Media-Einbindungen (Facebook Like-Button, Twitter Widget) erfordern stets eine vorherige Einwilligung nach §25 TTDSG. Der bloße Hinweis im Footer-Link ohne aktive Opt-in-Mechanismus genügt nicht den gesetzlichen Anforderungen. Das Landgericht München I, das Oberverwaltungsgericht (OVG) und verschiedene Landesdatenschutzbehörden haben in mehreren Entscheidungen (u.a. LG München I, 3 O 17493/20) bestätigt, dass Cookie-Walls — also die Verweigerung des Website-Zugangs für Nutzer, die keine Cookies akzeptieren — in der Regel unzulässig sind, da sie die Freiwilligkeit der Einwilligung nach DSGVO und TTDSG beeinträchtigen.
When Do You Need a Cookie Policy Germany (Website)?
Eine Cookie-Richtlinie ist in Deutschland für jeden Betreiber einer Website oder App verpflichtend, sobald auf der Website Cookies oder ähnliche Technologien (LocalStorage, SessionStorage, Fingerprinting, Pixel) eingesetzt werden. Die Pflicht zur Information und ggf. zur Einwilligung ergibt sich aus §25 TTDSG, Art. 13 DSGVO und den einschlägigen TMG-Impressumspflichten.
Klassische Situationen, in denen eine rechtsichere Cookie-Richtlinie unverzüglich benötigt wird:
E-Commerce und Online-Shops: Jeder Online-Shop in Deutschland, der Tracking-Technologien für Conversion-Optimierung (Google Ads Conversion Tracking), Remarketing (Facebook Pixel, Google Remarketing), Analyse (Google Analytics 4, Matomo) oder Zahlungsdienstleister-Cookies (PayPal, Stripe) einsetzt, benötigt zwingend ein TTDSG-konformes Cookie-Consent-Management in Verbindung mit einer Cookie-Richtlinie.
Corporate Websites und Unternehmensauftritte: Bereits ein einfacher Unternehmens-Webauftritt, der Google Fonts (nach EuGH C-673/17 in Verbindung mit der deutschen Rechtsprechung des LG München I) oder Google Maps einbettet, sendet IP-Adressen an US-Server — was eine §25-TTDSG-Einwilligung auslösen kann.
Medien, Publisher und News-Portale: Verlage und Online-Medien in Deutschland, die Werbeeinnahmen über programmatische Werbung (Real-Time Bidding, RTB) erzielen und dabei Daten an SSPs (Supply-Side Platforms) und DSPs (Demand-Side Platforms) übermitteln, sind auf eine rechtssichere Consent Management Platform (CMP) angewiesen.
Apps und digitale Dienste: Mobile Apps, die über App-Stores (Google Play Store, Apple App Store) in Deutschland vertrieben werden und Tracking-SDKs (Adjust, AppsFlyer, Firebase) einbinden, unterliegen ebenfalls §25 TTDSG und benötigen sowohl eine In-App-Einwilligung als auch eine Cookie- bzw. Datenschutzrichtlinie.
SaaS-Plattformen und B2B-Dienste: Auch Business-to-Business-Dienste sind von der Cookie-Pflicht nicht ausgenommen: §25 TTDSG schützt natürliche Personen an ihrer Endeinrichtung — das schließt professionelle Nutzer von SaaS-Diensten ein.
Nach-TTDSG-Inkrafttreten: Das TTDSG ist am 1. Dezember 2021 in Kraft getreten. Websites, die ihre Cookie-Richtlinien seither nicht aktualisiert haben, verstoßen möglicherweise gegen die neue Rechtslage — insbesondere wenn sie noch auf die veraltete TMG-Rechtsgrundlage (berechtigtes Interesse nach §15 TMG a.F.) stützen, die nach der Rechtsprechung des Bundesgerichtshofs (BGH I ZR 7/16 — Planet49) und des EuGH (C-673/17) für Analyse- und Werbe-Cookies nicht mehr anwendbar ist.
What to Include in Your Cookie Policy Germany (Website)
Eine rechtssichere Cookie-Richtlinie für Websites in Deutschland muss nach §25 TTDSG, DSGVO Art. 13 und den DSK-Orientierungshilfen folgende Kernbestandteile enthalten:
Identifikation des Website-Betreibers (Art. 13 Abs. 1 lit. a DSGVO): Vollständiger Name und Kontaktdaten des Verantwortlichen — i.d.R. identisch mit dem Impressum nach §5 TMG und §5 DDG. Anzugeben sind: Unternehmensname, Anschrift, E-Mail, Telefon, gesetzlicher Vertreter (Geschäftsführer der GmbH, Vorstand der AG), Datenschutzbeauftragter (falls bestellt nach §38 BDSG i.V.m. Art. 37 DSGVO).
Kategorien eingesetzter Cookies und Tracking-Technologien: Die Cookie-Richtlinie muss alle auf der Website eingesetzten Cookies und ähnlichen Technologien nach Kategorien aufschlüsseln: Technisch notwendige Cookies (§25 Abs. 2 TTDSG): Session-Cookies, Login-Cookies, Warenkorb-Cookies, CSRF-Schutz-Cookies — keine Einwilligung erforderlich. Analyse-/Statistik-Cookies: Google Analytics 4 (GA4), Matomo, Hotjar — erfordern Einwilligung nach §25 Abs. 1 TTDSG. Werbe-/Marketing-Cookies: Google Ads, Meta Pixel (Facebook), LinkedIn Insight Tag, Twitter/X Ads Pixel — erfordern Einwilligung nach §25 Abs. 1 TTDSG. Personalisierungs-Cookies: Präferenzen, Spracheinstellungen (soweit nicht technisch notwendig) — erfordern Einwilligung. Social-Media-Einbindungen: Facebook Like-Button, Twitter-Widget, YouTube-Einbettung — erfordern Einwilligung, da Drittanbieter IP-Adressen der Nutzer verarbeiten.
Informationen über jeden Cookie: Für jeden eingesetzten Cookie oder jedes Tracking-Tool sind anzugeben: Name des Cookies oder der Technologie; Anbieter (z.B. Google Ireland Ltd., Meta Platforms Ireland Ltd.); Zweck; Laufzeit (Session oder persistenter Cookie mit Ablaufdatum); Übertragung in Drittländer (z.B. USA) und angewandte Transfergrundlage (Standardvertragsklauseln nach Art. 46 DSGVO).
Einwilligungsmechanismus (Consent Management Platform, CMP): Die Cookie-Richtlinie muss den eingesetzten Consent-Mechanismus beschreiben — Opt-in (aktive Zustimmung vor Cookie-Setzung), keine voreingestellten Häkchen, jederzeit widerrufbar. Gängige CMPs in Deutschland: Usercentrics, Cookiebot, OneTrust, Consentmanager.net. Wichtig: Der IAB TCF 2.2 (Interactive Advertising Bureau Transparency & Consent Framework) wird von der DSK nicht als ausreichend für die TTDSG-Einwilligung anerkannt, wenn er nicht vollständig DSGVO-konform implementiert ist.
Betroffenenrechte und Widerruf (Art. 13 Abs. 2 DSGVO): Die Cookie-Richtlinie muss auf die DSGVO-Betroffenenrechte (Auskunft Art. 15, Berichtigung Art. 16, Löschung Art. 17, Einschränkung Art. 18, Datenübertragbarkeit Art. 20, Widerspruch Art. 21) sowie auf das Recht zum jederzeitigen Widerruf der Cookie-Einwilligung nach §25 TTDSG und Art. 7 Abs. 3 DSGVO hinweisen. Das Portal forms-legal.com stellt dieses Cookie-Richtlinien-Muster bereit. Verwandte Dokumente: Datenschutzerklärung Website nach DSGVO Art. 13 und Einwilligungserklärung Datenverarbeitung nach DSGVO Art. 7.
How to Fill Out Your Cookie Policy Germany (Website)
Das Erstellen einer rechtssicheren Cookie-Richtlinie für eine deutsche Website erfordert eine genaue Bestandsaufnahme aller eingesetzten Cookies und Tracking-Technologien sowie die Dokumentation der Einwilligungsmechanismen.
Schritt 1: Cookie-Audit durchführen. Scannen Sie Ihre Website vollständig auf alle eingesetzten Cookies und Tracking-Technologien. Nutzen Sie dafür Tools wie Cookiebot-Scanner, OneTrust Cookie Scan, Google Chrome DevTools (Application → Cookies) oder das Browser-Plugin Cookiepedia. Erfassen Sie für jedes gefundene Cookie: Name, Domain (First-Party oder Third-Party), Laufzeit, Kategorie und Zweck.
Schritt 2: Kategorisierung nach TTDSG §25. Ordnen Sie jeden Cookie einer der vier Kategorien zu: technisch notwendig (keine Einwilligung nach §25 Abs. 2 TTDSG erforderlich), Statistik/Analyse, Marketing/Werbung, Personalisierung. Holen Sie bei Unklarheiten die technische Dokumentation des jeweiligen Anbieters ein — z.B. die Google Analytics Datenschutzseite, die Meta Pixel Dokumentation oder die Cookie-Informationen des eingesetzten CMS (WordPress, Shopify, TYPO3).
Schritt 3: Website-Betreiber-Daten eingeben. Tragen Sie alle Pflichtangaben zum Verantwortlichen (Art. 13 Abs. 1 lit. a DSGVO) ein: Unternehmensname und Rechtsform (z.B. GmbH), Anschrift, E-Mail-Adresse für Datenschutzanfragen, Datenschutzbeauftragter (sofern bestellt). Prüfen Sie den Gleichklang mit dem Impressum nach §5 DDG (früher TMG).
Schritt 4: Drittanbieter und Drittlandtransfers dokumentieren. Für jeden Drittanbieter-Cookie (Google, Meta, LinkedIn, Microsoft, Hotjar, etc.) sind anzugeben: Anbieteranschrift, zuständige Datenschutzbehörde, Datenschutzerklärung des Anbieters (URL), und die Grundlage für Drittlandtransfers (Standardvertragsklauseln der EU-Kommission, Beschluss 2021/914; Angemessenheitsbeschluss für USA: EU-US Data Privacy Framework 2023, soweit zutreffend).
Schritt 5: Consent Management Platform konfigurieren. Implementieren Sie eine Cookie-Consent-Banner-Lösung, die vor dem Setzen von nicht-notwendigen Cookies eine aktive Einwilligung einholt. Stellen Sie sicher, dass: kein voreingestelltes Häkchen bei Analyse- oder Werbe-Cookies aktiviert ist; die Ablehnung aller nicht-notwendigen Cookies ebenso einfach möglich ist wie die Zustimmung; die Einwilligung revisionssicher gespeichert wird (Opt-in-Protokoll); und der Nutzer seine Einwilligung jederzeit in einem leicht zugänglichen Cookie-Einstellungsbereich widerrufen kann.
Schritt 6: Cookie-Richtlinie verlinken. Verlinken Sie die Cookie-Richtlinie im Datenschutz-Link des Footers, im Cookie-Consent-Banner sowie im Impressum. Stellen Sie sicher, dass die Cookie-Richtlinie barrierefrei zugänglich ist (BITV 2.0 / WCAG 2.1 Level AA für öffentliche Stellen nach §3 BFSG).
Schritt 7: Regelmäßige Aktualisierung. Überprüfen Sie die Cookie-Richtlinie bei jeder Änderung der eingesetzten Dienste (neue Plugins, neue Tracking-Tools, neues CMS-Update). Dokumentieren Sie die Änderungshistorie mit Datum und Art der Änderung.
Legal Requirements for Cookie Policy Germany (Website)
Die rechtlichen Anforderungen an die Cookie-Richtlinie in Deutschland ergeben sich aus einem Zusammenspiel von TTDSG, DSGVO und der deutschen Aufsichtspraxis.
§25 TTDSG als Kernvorschrift: Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vom 23. Juni 2021 hat in §25 die Cookie-Einwilligungspflicht neu geregelt. §25 Abs. 1 TTDSG verbietet das Speichern von Informationen auf der Endeinrichtung des Nutzers oder den Zugriff auf dort gespeicherte Informationen ohne vorherige informierte Einwilligung. Die Einwilligung muss den Anforderungen des Art. 7 DSGVO i.V.m. Art. 4 Nr. 11 DSGVO entsprechen: freiwillig, spezifisch, informiert, eindeutig, jederzeit widerruflich.
BGH-Urteil Planet49 und EuGH C-673/17: Der Bundesgerichtshof hat in seinem Urteil vom 28. Mai 2020 (BGH I ZR 7/16 — Planet49) im Einklang mit dem EuGH-Urteil (C-673/17) festgestellt, dass vorausgefüllte Einwilligungshäkchen für Cookies keine wirksame Einwilligung darstellen. Dieses Urteil hat die deutsche Rechtspraxis grundlegend verändert und war Grundlage für die neue §25-TTDSG-Regelung.
DSK-Orientierungshilfe Telemedien 2021: Die Datenschutzkonferenz (DSK) hat im März 2021 eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht, die klarstellt: Analyse-Cookies erfordern eine Einwilligung nach §25 TTDSG; ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO allein genügt nicht als Rechtsgrundlage für Cookies, die das Nutzerverhalten tracken.
Sanktionen: Verstöße gegen §25 TTDSG können nach §28 TTDSG i.V.m. §gg TDDG als Ordnungswidrigkeiten geahndet werden. Zusätzlich können Mitbewerber nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) Abmahnungen bei TTDSG-Verstößen aussprechen — die Abmahnkosten können erheblich sein. Die deutschen Wettbewerbsverbände (abmahnung.de, IDO, wettbewerbszentrale.de) haben in der Vergangenheit aktiv Cookie-Verstöße abgemahnt. Datenschutzbehörden können nach Art. 83 DSGVO Bußgelder verhängen, wenn Cookie-Verletzungen zugleich DSGVO-Verstöße darstellen (z.B. bei unzulässiger Datenweitergabe an Drittanbieter ohne Einwilligung).
Common Mistakes to Avoid in Your Cookie Policy Germany (Website)
Fehler bei der Cookie-Richtlinie in Deutschland sind weit verbreitet und können zu Abmahnungen durch Wettbewerber und Verbände sowie zu Bußgeldern durch Datenschutzaufsichtsbehörden führen.
Voreingestellte Häkchen und Opt-out statt Opt-in: Der häufigste und schwerwiegendste Fehler ist das Voreinschalten von Analyse- und Werbe-Cookies ohne aktive Nutzereinwilligung. Nach BGH Planet49, EuGH C-673/17 und §25 TTDSG ist nur das aktive Opt-in (Anklicken eines nicht voreingestellten Häkchens oder Klicken auf einen Zustimmungsbutton) eine wirksame Einwilligung. Cookie-Banner, die Cookies bereits beim Laden der Seite setzen und nur eine nachträgliche Widerrufsmöglichkeit bieten, sind rechtswidrig.
Versteckte oder schwer auffindbare Ablehnungsoption: Aufsichtsbehörden und Gerichte verlangen, dass die Ablehnung nicht-notwendiger Cookies ebenso einfach möglich sein muss wie die Zustimmung. Cookie-Banner, die den "Ablehnen"-Button in einer Graufarbe oder kleinen Schrift und den "Zustimmen"-Button prominent in einer auffälligen Farbe anzeigen, können als Dark Pattern und damit als Verstoß gegen die Anforderungen einer freiwilligen Einwilligung nach Art. 7 DSGVO bewertet werden.
Veraltete Rechtsgrundlage (§15 TMG a.F.): Manche Websites stützen die Analyse-Cookie-Nutzung noch auf §15 TMG a.F. (berechtigtes Interesse) — diese Rechtsgrundlage ist nach der EuGH- und BGH-Rechtsprechung und dem Inkrafttreten des TTDSG überholt und kann zu Abmahnungen führen.
Fehlende oder unvollständige Cookie-Liste: Die Cookie-Richtlinie muss alle eingesetzten Cookies namentlich auflisten. Eine pauschale Beschreibung wie "Wir verwenden verschiedene Cookies" ohne Auflistung der konkreten Cookies und Anbieter genügt den Informationspflichten aus Art. 13 DSGVO und §25 TTDSG nicht.
Nicht aktualisierte Richtlinie nach Diensteänderungen: Wer neue Marketing-Tools, Analytics-Dienste oder CMS-Plugins einführt, muss die Cookie-Richtlinie sofort aktualisieren und ggf. neue Einwilligungen einholen. Eine veraltete Cookie-Richtlinie, die aktiv eingesetzte Cookies nicht erwähnt, ist ein DSGVO-Verstoß.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Cookie Policy Germany (Website) (Germany) [Legal document template]. Forms Legal. https://forms-legal.com/deutschland/business/policies/cookie-policy-germany
"Cookie Policy Germany (Website) (Germany)." Forms Legal, 2026, https://forms-legal.com/deutschland/business/policies/cookie-policy-germany.
@misc{formslegal-cookie-policy-germany,
author = {{Forms Legal}},
title = {Cookie Policy Germany (Website) (Germany)},
year = {2026},
howpublished = {\url{https://forms-legal.com/deutschland/business/policies/cookie-policy-germany}},
note = {Free legal document template}
}
Frequently Asked Questions
Grundsätzlich ja: Jede Website oder App, die in Deutschland betrieben wird und Cookies oder ähnliche Tracking-Technologien einsetzt, benötigt eine Cookie-Richtlinie. Die Pflicht ergibt sich aus §25 des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) vom 1. Dezember 2021 in Verbindung mit den Informationspflichten aus Art. 13 der Datenschutz-Grundverordnung (DSGVO). Technisch notwendige Cookies — also Cookies, die unbedingt erforderlich sind, damit der Dienst funktioniert (Session-Cookies, Login-Cookies, Warenkorb-Cookies) — erfordern nach §25 Abs. 2 TTDSG keine Einwilligung, müssen aber dennoch in der Cookie-Richtlinie dokumentiert werden. Websites, die überhaupt keine Cookies setzen und keine externe Dienste einbinden (z.B. Google Fonts, Google Maps, Social-Media-Plugins), können eine Cookie-Richtlinie möglicherweise entbehren — dies ist in der Praxis jedoch äußerst selten. Fehlt eine erforderliche Cookie-Richtlinie oder ist sie unvollständig, drohen Abmahnungen durch Wettbewerber nach dem UWG (Gesetz gegen den unlauteren Wettbewerb) sowie Bußgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO.
Die Datenschutzerklärung (Datenschutzhinweise) nach Art. 13 und 14 DSGVO ist ein umfassendes Informationsdokument, das alle Aspekte der Datenverarbeitung eines Unternehmens oder einer Website gegenüber betroffenen Personen beschreibt — Verarbeitungszwecke, Rechtsgrundlagen, Empfänger, Speicherfristen, Betroffenenrechte, Drittlandtransfers etc. Die Cookie-Richtlinie ist demgegenüber ein spezifischeres Dokument, das sich ausschließlich auf den Einsatz von Cookies und ähnlichen Tracking-Technologien konzentriert und die besonderen Anforderungen des §25 TTDSG erfüllt — insbesondere eine vollständige Auflistung aller Cookies, ihrer Laufzeiten, Zwecke und Anbieter sowie den Einwilligungsmechanismus. Beide Dokumente können integriert werden (Cookie-Richtlinie als Teil der Datenschutzerklärung) oder separat veröffentlicht werden. Manche deutschen Aufsichtsbehörden und Gerichte bevorzugen separate Dokumente, weil dies die Übersichtlichkeit für Nutzer erhöht. Rechtlich zwingend ist die Trennung nicht, aber die Cookie-Liste muss in jedem Fall leicht auffindbar und für Nutzer verständlich sein. In der Praxis empfiehlt sich für die meisten Websites eine eigenständige Cookie-Richtlinie, die im Cookie-Consent-Banner verlinkt wird, sowie eine separate umfassende Datenschutzerklärung, die im Footer der Website zugänglich ist.
Nach §25 Abs. 2 TTDSG sind Cookies ohne vorherige Einwilligung des Nutzers nur in zwei Fällen zulässig: erstens, wenn das Speichern oder der Zugriff ausschließlich dem Zweck der Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz dient; und zweitens, wenn das Speichern oder der Zugriff unbedingt erforderlich ist, damit der Anbieter des Dienstes eine vom Nutzer ausdrücklich gewünschte Funktion bereitstellen kann. In der Praxis sind folgende Cookies typischerweise als technisch notwendig einzustufen und ohne Einwilligung zulässig: Session-Cookies, die eine zusammenhängende Browser-Sitzung ermöglichen; Login-Cookies (Authentifizierungs-Cookies), die nach dem Einloggen aktiv bleiben; Warenkorb-Cookies für Online-Shops; CSRF-Schutz-Cookies zur Sicherheitsabsicherung von Formularen; Load-Balancing-Cookies, die den Nutzer während einer Sitzung auf denselben Server leiten; Cookies zur Speicherung der Cookie-Einwilligungsentscheidung des Nutzers selbst. Nicht ohne Einwilligung zulässig sind hingegen: Google Analytics, Matomo (auch mit IP-Anonymisierung!), Hotjar, Google Ads Conversion Tracking, Meta Pixel, LinkedIn Insight Tag, YouTube-Einbettungen (soweit trackende Cookies), Social-Media-Plugins, Retargeting-Technologien und A/B-Testing-Tools. Die DSK hat in ihrer Orientierungshilfe Telemedien klargestellt, dass auch IP-anonymisiertes Google Analytics eine Einwilligung erfordert.
Sogenannte Cookie-Walls — Mechanismen, die den Zugang zur Website verweigern, wenn der Nutzer nicht alle Cookies akzeptiert — sind in Deutschland grundsätzlich unzulässig, weil sie die Freiwilligkeit der Einwilligung nach Art. 7 Abs. 4 DSGVO und §25 Abs. 1 TTDSG beeinträchtigen. Art. 7 Abs. 4 DSGVO bestimmt, dass bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, dem Umstand in größtmöglichem Umfang Rechnung zu tragen ist, ob die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von Daten abhängig gemacht wird, die für die Erfüllung des Vertrags nicht erforderlich ist. Der Europäische Datenschutzausschuss (EDSA) hat in seiner Leitlinie 05/2020 zu Einwilligung und in der Leitlinie 08/2022 zu Cookie-Walls klargestellt, dass Cookie-Walls grundsätzlich die Freiwilligkeit der Einwilligung untergraben. Die deutschen Aufsichtsbehörden — insbesondere der LfDI Baden-Württemberg und die Berliner Beauftragte für Datenschutz und Informationsfreiheit — folgen dieser Einschätzung. Eine Ausnahme kann gelten, wenn dem Nutzer eine gleichwertige Alternative ohne Tracking angeboten wird (z.B. kostenpflichtiges Abo ohne Werbung) und der Zugang zur Website ohne Einwilligung nicht vollständig verwehrt wird — ein Modell, das jedoch ebenfalls rechtlich umstritten ist und von einigen Behörden kritisch bewertet wird.
Die DSGVO und das TTDSG enthalten keine ausdrückliche gesetzliche Maximaldauer für die Speicherung einer Cookie-Einwilligung. Aus dem Grundsatz der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) und der Anforderung, dass die Einwilligung auf Basis aktueller Informationen erteilt worden sein muss, leiten die meisten deutschen Datenschutzaufsichtsbehörden eine Obergrenze von 12 Monaten ab — nach Ablauf dieser Zeit sollte der Nutzer erneut um seine Einwilligung gebeten werden. Der Europäische Datenschutzausschuss (EDSA) hat in seiner Leitlinie 05/2020 zu Einwilligung keine verbindliche Frist festgelegt, aber eine Erneuerung der Einwilligung empfohlen, wenn sich die Verarbeitungssituation wesentlich ändert. In der Praxis implementieren viele deutsche Websites einen Consent-Erneurungs-Banner nach 6 oder 12 Monaten. Die Consent-Management-Platform (CMP) muss die erteilte Einwilligung revisionssicher protokollieren (Zeitstempel, Version der Datenschutzinformationen, Art der Einwilligung) und diese Protokollierung der Aufsichtsbehörde auf Anfrage vorlegen können — dies folgt aus der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO und der Nachweispflicht des Art. 7 Abs. 1 DSGVO.
Eine rechtswidrige Cookie-Praxis in Deutschland kann mehrere Konsequenzen haben: Erstens Abmahnungen durch Wettbewerber und Verbraucherschutzverbände nach dem UWG (Gesetz gegen den unlauteren Wettbewerb). Cookie-Verstöße — insbesondere das Setzen nicht einwilligungspflichtiger Cookies oder ein irreführender Cookie-Banner — sind als Datenschutzverstöße zugleich Wettbewerbsverstöße im Sinne des §3a UWG (Rechtsbruch). Die Abmahnkosten können mehrere tausend Euro betragen; bei wiederholten Verstößen können Vertragsstrafen anfallen. Zweitens Bußgelder der Datenschutzaufsichtsbehörden nach Art. 83 DSGVO: Verstöße gegen Art. 5, 6, 7 und 13 DSGVO sowie gegen §25 TTDSG i.V.m. Art. 83 DSGVO können mit Bußgeldern bis zu 20.000.000,00 Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Drittens Schadensersatzansprüche betroffener Nutzer nach Art. 82 DSGVO bei nachgewiesenem Schaden durch die rechtswidrige Datenverarbeitung. Viertens Anordnungen der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO: Verarbeitungsverbote, Anordnung der Löschung rechtswidrig erhobener Daten und Verwarnung. In der deutschen Praxis haben die Datenschutzbehörden bisher vor allem Verwarnungen und moderate Bußgelder verhängt; bei systematischen und vorsätzlichen Cookie-Verstößen großer Unternehmen sind jedoch erhebliche Geldbußen möglich.
Der Einsatz von Google Analytics (seit 2023: Google Analytics 4, GA4) auf deutschen Websites erfordert zwingend eine vorherige Einwilligung des Nutzers nach §25 TTDSG, da Google Analytics Cookies setzt und Daten an Google-Server — in der Regel in den USA — überträgt. Folgende Maßnahmen sind für einen datenschutzkonformen GA4-Einsatz in Deutschland nach den Vorgaben der DSK und der deutschen Datenschutzbehörden erforderlich: Erstens Einwilligungs-Banner mit aktivem Opt-in vor dem Laden des GA4-Codes. GA4 darf erst nach Erteilung der Einwilligung aktiviert werden — eine nachträgliche Einwilligung genügt nicht. Zweitens Abschluss der DSGVO-Datenverarbeitungsbedingungen mit Google (Data Processing Amendment, DPA) nach Art. 28 DSGVO. Drittens Nutzung des Consent Mode v2 von Google, der das Verhalten von GA4 nach Einwilligung und Ablehnung steuert. Viertens Deaktivierung der Datenfreigabe an Google und der demographischen Daten-Funktion in den GA4-Einstellungen. Fünftens Drittlandtransfer-Dokumentation: Die Datenübertragung an Google in die USA muss auf Basis des EU-US Data Privacy Framework (2023) oder der Standardvertragsklauseln (SCC) erfolgen und im Verzeichnis der Verarbeitungstätigkeiten (VVT) dokumentiert sein. Nach der Entscheidung der österreichischen Datenschutzbehörde (DSB, 22. Dezember 2021) und der anschließenden Entscheidungen mehrerer europäischer DPAs (Frankreich CNIL, Dänemark Datatilsynet, Italien Garante) gilt GA4 ohne diese Maßnahmen als nicht DSGVO-konform.
Rechtlich ist kein Anwalt für die Erstellung einer Cookie-Richtlinie vorgeschrieben. In der Praxis empfiehlt sich jedoch für Unternehmen ab einer gewissen Größe oder mit komplexer Tracking-Infrastruktur eine anwaltliche oder datenschutzrechtliche Beratung — insbesondere wenn: die Website mehr als 10 verschiedene Drittanbieter-Cookies oder Tracking-Tools einsetzt; personenbezogene Daten in Drittländer (insbesondere USA) übertragen werden und Transfer Impact Assessments (TIA) erforderlich sind; das Unternehmen einen Datenschutzbeauftragten (DSB) benötigt, der die Cookie-Richtlinie prüft und freigeben muss; oder das Unternehmen in einem datenschutzsensiblen Sektor tätig ist (Gesundheit, Finanzdienstleistungen, Bildung, soziale Dienste). Für kleine Websites mit wenigen Cookies und ohne komplexe Tracking-Infrastruktur können Template-Lösungen wie das auf forms-legal.com bereitgestellte Muster als Ausgangspunkt genutzt werden. Das Muster muss aber individuell an die konkret eingesetzten Cookies und Dienste angepasst werden — eine Einheitslösung ohne Überprüfung der tatsächlich eingesetzten Technologien ist unzureichend und kann zu rechtlichen Risiken führen.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Datenschutzerklärung Website Deutschland
Datenschutzerklärung für Websites in Deutschland gemäß DSGVO Art. 13/14, BDSG und TTDSG mit Angaben zu Datenverarbeitung, Cookies, Analytics und Betroffenenrechten.
Verzeichnis von Verarbeitungstätigkeiten (VVT) Deutschland
Verzeichnis von Verarbeitungstätigkeiten (VVT) für Deutschland — Pflichtdokument nach DSGVO Art. 30 für Organisationen ab 250 Beschäftigten oder bei risikobehafteter Datenverarbeitung. Deckt alle gesetzlich vorgeschriebenen Angaben ab.