TDDDG und Tracking: was §25 für Cookies bedeutet
In jeder Tracking-Diskussion fällt irgendwann das Wort DSGVO. Für den Moment, in dem ein Cookie gesetzt wird, ist aber ein zweites Gesetz mindestens so wichtig: das TDDDG, früher TTDSG. Sein §25 entscheidet, ob du einen Cookie oder eine ähnliche Technik überhaupt auf das Endgerät bringen darfst, und das unabhängig davon, ob dabei personenbezogene Daten fließen. Dieser Artikel ordnet ein, was der Paragraf für Conversion-Tracking heißt, wann Einwilligung Pflicht ist und wo TDDDG und DSGVO ineinandergreifen. Er ist eine fachliche Einordnung aus der Tracking-Praxis und keine Rechtsberatung.
Worum es geht, und warum TDDDG das neue TTDSG ist
Viele Anleitungen zu Cookie-Bannern und Consent sprechen vom TTDSG. Der Name ist nicht mehr aktuell. 2024 wurde das Telekommunikation-Telemedien-Datenschutz-Gesetz umbenannt in Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, kurz TDDDG. Die für Tracking zentrale Regel zum Zugriff auf das Endgerät ist dabei im Kern unverändert geblieben. Es ist also kein neues Gesetz mit neuen Pflichten, sondern dasselbe Recht unter anderem Namen. Beide Begriffe werden weiter gesucht, und deshalb tauchen sie hier nebeneinander auf.
Worum es im Kern geht, lässt sich in einem Satz sagen: Das TDDDG regelt, wann ein Dienst Informationen auf dem Endgerät speichern oder von dort auslesen darf. Genau das tun Cookies. Sie schreiben eine Kennung in den Browser und lesen sie beim nächsten Besuch wieder. Dieselbe Mechanik gilt für Local Storage, für bestimmte Pixel und für viele andere Techniken, mit denen Nutzer über Seiten und Sitzungen hinweg wiedererkannt werden. Der Paragraf interessiert sich für den Zugriffsvorgang selbst, nicht für das, was du danach mit den Daten machst.
Adressiert ist dieser Text an Shop-Betreiber, Performance-Marketer und alle, die ein Tracking-Setup verantworten und wissen wollen, warum die Einwilligung an dieser Stelle nicht verhandelbar ist. Eine wichtige Vorbemerkung gleich zu Beginn: Das hier ist eine fachliche Einordnung aus der Tracking-Praxis, keine Rechtsberatung. Für die verbindliche Bewertung deines konkreten Setups führt kein Weg an einer fachkundigen rechtlichen Prüfung vorbei.
Zurück zum Überblick: DSGVO-konformes Tracking, der vollständige Leitfaden. Im Glossar: DSGVO.
§25 TDDDG: Zugriff auf das Endgerät
Der §25 hat einen klaren Grundsatz: Wer Informationen auf dem Endgerät eines Nutzers speichert oder auf bereits gespeicherte Informationen zugreift, braucht dafür dessen Einwilligung. Das Endgerät ist der Laptop, das Smartphone, das Tablet. Die Information ist die Cookie-Kennung, der Local-Storage-Eintrag, jeder Wert, der dort abgelegt oder ausgelesen wird. Damit ist der Cookie-Moment gemeint, nicht abstrakt, sondern wörtlich.
Der für Tracking entscheidende Punkt: Diese Pflicht hängt nicht daran, ob die Information personenbezogen ist. Auch ein scheinbar harmloser technischer Wert fällt unter §25, sobald er auf dem Endgerät gespeichert oder von dort gelesen wird und nicht unbedingt erforderlich ist. Das ist ein verbreitetes Missverständnis. Man hört oft, ein Cookie sei doch nur eine zufällige ID ohne Namen und damit unkritisch. Für die DSGVO mag diese Frage relevant sein, für den §25 ist sie es nicht. Der Paragraf schützt die Integrität des Endgeräts, nicht nur die personenbezogenen Daten.
Es gibt eine Ausnahme, und sie ist bewusst eng gehalten. Keine Einwilligung braucht, wer die Speicherung oder den Zugriff für den ausdrücklich vom Nutzer gewünschten Dienst unbedingt erforderlich ist. Was das genau heißt und warum Analyse- und Marketing-Tracking fast nie darunter fällt, klärt der eigene Abschnitt weiter unten. Wichtig ist hier nur: Der Grundsatz ist die Einwilligung, die Ausnahme bleibt die Ausnahme.
Wie du die Einwilligung technisch sauber an Google-Tags weitergibst, zeigt die Consent-Mode-v2-Implementierung. Im Glossar: Consent Mode v2.
TDDDG und DSGVO: zwei Ebenen, nicht eine
Hier liegt die häufigste Verwechslung im ganzen Thema. TDDDG und DSGVO werden oft in einen Topf geworfen, als wären sie ein und dieselbe Anforderung. Sie regeln aber zwei verschiedene Momente einer Tracking-Aktion, und beide müssen stimmen.
Das TDDDG regelt den Zugriff auf das Endgerät. Es beantwortet die Frage: Darf ich diesen Cookie überhaupt setzen oder auslesen. Das ist der erste Moment, ganz am Anfang, noch bevor Daten irgendwohin fließen. Die DSGVO setzt danach an. Sie regelt die Verarbeitung der personenbezogenen Daten, die durch diesen Zugriff entstehen oder ausgelöst werden. Sie beantwortet die Frage: Was darf ich mit den Daten tun, die ich über den Cookie gewinne, an wen darf ich sie geben, wie lange darf ich sie behalten.
Bildlich gesprochen sind das zwei Beine, und du brauchst beide. Die Einwilligung nach §25 TDDDG trägt das eine Bein, der Zugriff auf das Endgerät. Eine Rechtsgrundlage nach DSGVO trägt das andere, die Verarbeitung der Daten. Steht nur eines, kippt das Setup. Eine saubere DSGVO-Dokumentation hilft dir nichts, wenn der Cookie ohne Einwilligung gesetzt wurde. Und umgekehrt ersetzt eine Einwilligung im Banner nicht die Frage, ob die anschließende Datenverarbeitung gedeckt ist.
In der Praxis fällt beides meistens im selben Consent-Banner zusammen, weshalb es so leicht verschwimmt. Der Klick auf Akzeptieren erfüllt im Idealfall zugleich die Einwilligung für den Endgerätezugriff und liefert die Rechtsgrundlage für die nachgelagerte Verarbeitung. Trotzdem lohnt es sich, die beiden Ebenen im Kopf getrennt zu halten. Wer sie trennt, versteht, warum bestimmte technisch notwendige Cookies ohne Banner laufen dürfen, ein Analyse-Cookie aber nicht, obwohl beide auf demselben Endgerät landen.
Den Rahmen für die Verarbeitung steckt der DSGVO-Leitfaden ab. Was sich durch die neue Verordnung für die Einwilligung selbst ändert, behandelt die EinwV und PIMS.
Was das für Conversion-Tracking heißt
Conversion-Tracking lebt davon, einen Nutzer über mehrere Schritte hinweg wiederzuerkennen. Vom Klick auf die Anzeige bis zum Kauf muss klar sein, dass es dieselbe Person ist. Genau diese Wiedererkennung setzt einen Zugriff auf das Endgerät voraus, fast immer über einen Cookie oder eine vergleichbare Kennung. Damit ist die Logik einfach: Wenn dein Conversion-Tracking das Endgerät anfasst, und das tut es in aller Regel, dann braucht es eine Einwilligung nach §25.
Das gilt für die ganze Bandbreite der üblichen Tags. Das Google-Ads-Conversion-Tracking, GA4, der Meta-Pixel, Affiliate-Klick-Cookies, sie alle speichern oder lesen eine Kennung im Browser. Ohne diese Kennung gibt es keine Zuordnung vom Klick zum Sale. Genau deshalb fallen sie unter den Grundsatz des §25 und nicht unter die enge Ausnahme. Sie sind für das, was der Nutzer auf der Seite tun will, nämlich ein Produkt kaufen oder ein Formular abschicken, nicht unbedingt erforderlich. Erforderlich sind sie für dich, für deine Messung, und das ist etwas anderes.
Jetzt der Punkt, an dem viele eine Abkürzung vermuten: Server-Side Tracking. Die Hoffnung lautet, wenn die Daten über den eigenen Server statt über den Browser laufen, sei die Einwilligung nicht mehr nötig. Das stimmt nicht. Der §25 hängt am Zugriff auf das Endgerät, nicht am Ort der späteren Verarbeitung. Auch ein Server-Side-Setup braucht in aller Regel zuerst eine Kennung im Browser, um den Nutzer überhaupt wiederzuerkennen und das Event dem richtigen Klick zuzuordnen. Dieser erste Schreib- oder Lesevorgang ist der Endgerätezugriff, und er bleibt einwilligungspflichtig, egal wohin die Daten danach fließen.
Server-Side ist trotzdem wertvoll, nur aus anderen Gründen. Es reduziert direkte Drittland-Datenabflüsse aus dem Browser, es erlaubt das Filtern und Pseudonymisieren von Feldern, es macht das Tracking robuster gegen Browser-Restriktionen. Es ist ein Werkzeug für Datenqualität und Datenschutz, aber keine Umgehung der Consent-Pflicht. Wer es als solche verkauft bekommt, sollte misstrauisch werden.
Was Server-Side wirklich leistet und wo seine Grenzen liegen: Server-Side GTM erklärt. Im Glossar: Server-Side Tracking.
Die schmale Ausnahme für unbedingt erforderliche Technologien
Die Ausnahme im §25 klingt offener, als sie ist. Keine Einwilligung braucht eine Speicherung oder ein Zugriff, der für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich ist. Das Wort, an dem alles hängt, ist unbedingt. Es bedeutet: Ohne diese Technik würde der konkrete, vom Nutzer angeforderte Dienst nicht funktionieren. Nicht schlechter funktionieren, nicht weniger gut messbar sein, sondern nicht funktionieren.
Ein paar klare Fälle machen die Grenze greifbar. Der Warenkorb-Cookie, der merkt, was du in den Korb gelegt hast, ist unbedingt erforderlich, denn ohne ihn ist der Korb beim nächsten Klick leer. Das Session-Cookie, das dich nach dem Login eingeloggt hält, ist es ebenso. Ein Cookie, das deine Sprachauswahl oder den Inhalt eines Kontaktformulars über einen Seitenwechsel rettet, gehört meistens auch dazu. Diese Cookies dienen dem, was der Nutzer gerade tun will, und dürfen deshalb in der Regel ohne Einwilligung laufen.
Analyse- und Marketing-Tracking fällt fast nie in diese Kategorie. Der Nutzer will ein Produkt kaufen, nicht von dir gemessen werden. Dass du wissen möchtest, über welche Anzeige er kam, ist dein berechtigtes Interesse an der Steuerung deines Marketings, aber es ist nicht das, was der Nutzer ausdrücklich angefordert hat. Genau diese Trennlinie verläuft zwischen erforderlich für den Dienst und erforderlich für dein Geschäft. Conversion-Pixel, Remarketing-Tags und Reichweiten-Analyse stehen auf der falschen Seite dieser Linie.
Ein ehrlicher Hinweis zur Vorsicht: Die genaue Auslegung im Einzelfall ist nicht immer eindeutig, und manche Grenzfälle, etwa eine rein aggregierte, cookielose Reichweitenmessung, werden unterschiedlich bewertet. Wer ein Tracking-Tool unter die Ausnahme schieben will, sollte das nicht im Alleingang entscheiden, sondern rechtlich prüfen lassen. Die sichere Grundannahme für dein Setup bleibt: Analyse und Marketing brauchen Einwilligung.
Praktische Konsequenzen fürs Setup
Aus all dem folgt eine klare Reihenfolge für dein Tracking. Zuerst die gültige Einwilligung, dann alles andere. Kein Conversion-Tag, kein Analyse-Skript und kein Affiliate-Cookie darf feuern, bevor der Nutzer für die jeweilige Kategorie zugestimmt hat. Das ist nicht nur eine rechtliche Vorgabe, es ist auch die Grundlage dafür, dass deine Daten sauber bleiben. Wer ohne Einwilligung trackt, sammelt Daten, die er nicht verwenden darf, und vermischt sie mit denen, die er verwenden darf.
Technisch heißt das: Das Consent-Signal steuert, was passiert. Über den Consent Mode lässt sich an Google-Tags weitergeben, ob eine Einwilligung vorliegt, und nur im Ja-Fall werden Cookies gesetzt und Daten in voller Tiefe übertragen. Liegt keine Einwilligung vor, bleibt das Endgerät unangetastet, und es fließen höchstens anonyme, cookielose Signale. So respektiert das Setup den §25 an genau der Stelle, an der er greift, beim Zugriff auf den Browser.
Erst auf dieser Grundlage ergeben Server-Side und die ganzen Recovery-Techniken Sinn. Server-Side GTM, IP-Hashing, Event-Deduplizierung und ähnliche Bausteine holen aus den Daten, die du mit Einwilligung erheben darfst, das Maximum heraus. Sie gleichen aus, was Browser-Restriktionen sonst verschlucken. Aber sie bauen auf der Einwilligung auf, sie ersetzen sie nicht. Die Reihenfolge ist nicht verhandelbar: erst Consent, dann Technik obendrauf.
Wenn du ehrlich gegenüber dem Gesetz und gleichzeitig stark in der Datenqualität sein willst, ist das der Weg. Eine saubere, gut platzierte Einwilligung als Fundament, darauf ein Setup, das aus den eingewilligten Daten das Beste macht. Das ist kein Widerspruch, sondern die einzige Kombination, die langfristig trägt.
Die Einwilligung technisch umsetzen: Consent Mode v2 implementieren. Was die neue Verordnung daran ändert: die EinwV. Das Ganze als betreutes Setup: DSGVO-konformes Tracking.
Häufige Fragen zu TDDDG und Tracking
Was ist das TDDDG?
Das TDDDG ist das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Es regelt in Deutschland unter anderem, wann ein Dienst Informationen auf dem Endgerät eines Nutzers speichern oder darauf zugreifen darf, also den klassischen Cookie-Moment. Der zentrale Paragraf dafür ist der §25. Für Tracking ist das TDDDG mindestens so wichtig wie die DSGVO, weil es genau die Stelle adressiert, an der Cookies und vergleichbare Techniken gesetzt werden.
Ist das TDDDG dasselbe wie das TTDSG?
Ja, inhaltlich. Das TTDSG wurde 2024 umbenannt und heißt seitdem TDDDG. Der Wortlaut zum Endgerätezugriff ist im Kern gleich geblieben, nur der Name und die Paragrafenumgebung haben sich geändert. Beide Begriffe werden noch gesucht, viele ältere Anleitungen sprechen weiter vom TTDSG. Wenn du irgendwo TTDSG liest, kannst du es für den Tracking-Kontext praktisch wie TDDDG behandeln.
Was regelt §25 TDDDG?
Der §25 regelt den Zugriff auf Informationen, die im Endgerät gespeichert sind, und das Speichern von Informationen darauf. Im Klartext: Cookies setzen und auslesen, aber auch andere Speichertechniken wie Local Storage oder bestimmte Device-Abfragen. Grundsatz ist, dass dafür eine Einwilligung nötig ist. Es gibt eine eng gefasste Ausnahme für Technologien, die für den vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich sind.
Brauche ich für Cookies eine Einwilligung nach TDDDG?
Für die meisten Cookies und vergleichbaren Techniken: ja. Sobald ein Cookie nicht unbedingt erforderlich ist, damit der vom Nutzer angeforderte Dienst funktioniert, greift die Einwilligungspflicht aus §25. Analyse-, Marketing- und Conversion-Cookies fallen fast immer in diese Kategorie. Technisch notwendige Cookies, etwa für den Warenkorb oder das Login, brauchen die Einwilligung dagegen in der Regel nicht.
Macht Server-Side Tracking die Einwilligung überflüssig?
Nein. Server-Side verlagert die Datenverarbeitung weg vom Browser, aber der §25 hängt am Zugriff auf das Endgerät, nicht am Ort der späteren Verarbeitung. Solange dein Setup eine ID setzt oder ausliest, um Nutzer wiederzuerkennen, findet ein Endgerätezugriff statt und braucht eine Einwilligung. Server-Side ist ein gutes Werkzeug für Datenqualität und Datenschutz, aber keine Umgehung der Consent-Pflicht.
Wie hängen TDDDG und DSGVO zusammen?
Sie betreffen zwei verschiedene Momente. Das TDDDG regelt den Zugriff auf das Endgerät, also ob du ein Cookie überhaupt setzen darfst. Die DSGVO regelt, was danach mit den personenbezogenen Daten passiert, die du dadurch verarbeitest. Du brauchst beide Beine: eine saubere Einwilligung nach §25 für den Zugriff und eine Rechtsgrundlage nach DSGVO für die Verarbeitung. Eines ohne das andere reicht nicht.