Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ist für Websitebetreiber:innen, Marketer:innen und Datenschutzverantwortliche in Deutschland zentral. Es betrifft alle Unternehmen, die Cookies oder ähnliche Technologien einsetzen, und ergänzt die Datenschutz-Grundverordnung (DSGVO) um spezifische Regeln für den Zugriff auf Endgeräte.
Gerade für Websitebetreiber:innen, Marketer:innen und Datenschutzbeauftragte ist es entscheidend zu verstehen, wann das TDDDG greift, wie es sich von der DSGVO unterscheidet und welche praktischen Anforderungen daraus entstehen.
Wichtigste Erkenntnisse
- Das TDDDG gilt seit dem 1. Dezember 2021 (als TTDSG) und wurde am 14. Mai 2024 umbenannt
- § 25 TDDDG verlangt eine aktive Einwilligung für alle nicht notwendigen Cookies und Tracking-Technologien
- Verstöße können mit Bußgeldern von bis zu 300.000 € geahndet werden
- Das TDDDG regelt den Zugriff auf Endgeräte, während die DSGVO die Verarbeitung personenbezogener Daten abdeckt
- Unternehmen sollten eine Consent Management Platform (CMP) einsetzen, um datenschutzkonform zu bleiben
Was ist das TDDDG?
Das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) ist das zentrale deutsche Gesetz zum Schutz personenbezogener Daten im Bereich digitaler Dienste und Telekommunikation. Es trat am 1. Dezember 2021 zunächst unter dem Namen TTDSG in Kraft und wurde am 14. Mai 2024 in TDDDG umbenannt.
Das Gesetz setzt Artikel 5 Absatz 3 der EU-ePrivacy-Richtlinie in deutsches Recht um und regelt, unter welchen Bedingungen Informationen auf dem Endgerät von Nutzer:innen gespeichert oder abgerufen werden dürfen. Es gilt ergänzend zur DSGVO und ist für alle Website-Betreiber:innen sowie Anbieter digitaler Dienste relevant, die Nutzer:innen in Deutschland erreichen.
TTDSG → TDDDG: Was hat sich geändert?
Die Umbenennung vom TTDSG zum TDDDG im Mai 2024 war keine inhaltliche Reform, sondern eine Anpassung des Geltungsbereichs. Der frühere Name bezog sich vor allem auf Telekommunikationsdienste. Der neue Name spiegelt wider, dass das Gesetz nun ausdrücklich auch digitale Dienste im weiteren Sinne erfasst – also Websites, Apps und vergleichbare Angebote.
Für die Praxis bedeutet das: Wer seine Datenschutzerklärung oder internen Dokumente noch auf das TTDSG verweist, sollte diese Referenzen auf TDDDG aktualisieren.
Für wen gilt das TDDDG?
Das TDDDG gilt für alle Unternehmen, die digitale Dienste anbieten und dabei auf Endgeräte von Nutzer:innen zugreifen oder Informationen darauf speichern.
Das betrifft unter anderem:
- Websitebetreiber:innen
- App-Anbieter
- E-Commerce-Unternehmen
- Marketing- und Ad-Tech-Plattformen
Sobald Nutzer:innen in Deutschland angesprochen werden, findet das Gesetz Anwendung — unabhängig davon, wo das Unternehmen seinen Sitz hat.
§ 25 TDDDG: Cookie-Einwilligung in Deutschland
§ 25 TDDDG ist die Kernvorschrift des Gesetzes für die tägliche Praxis von Website-Betreibern. Er regelt, wann eine Einwilligung erforderlich ist und wann nicht.
Wann ist eine Einwilligung erforderlich?
Eine ausdrückliche, informierte Einwilligung ist vor dem Setzen aller Cookies und Tracking-Technologien erforderlich, die nicht technisch notwendig sind. Das gilt auch für Browser-Fingerprinting und andere Methoden, die keine klassischen Cookies verwenden, aber vergleichbare Effekte haben.
Die Einwilligung muss freiwillig, spezifisch, informiert und unmissverständlich sein. Sie muss vor dem Datenzugriff eingeholt werden.
Wann ist keine Einwilligung erforderlich?
Ausgenommen sind Cookies und Technologien, die für die technische Bereitstellung eines ausdrücklich angeforderten Dienstes unbedingt erforderlich sind. Klassische Beispiele sind Session-Cookies für den Warenkorb oder Authentifizierungscookies nach dem Login.
Welche Bußgelder drohen?
Verstöße gegen § 25 TDDDG können mit Bußgeldern von bis zu 300.000 Euro geahndet werden. Diese Sanktionen sind von möglichen Bußgeldern nach der DSGVO unabhängig und kommen gegebenenfalls zusätzlich dazu.
TDDDG vs. DSGVO: Was gilt wann?
Das TDDDG und die DSGVO werden häufig gemeinsam angewendet, regeln jedoch unterschiedliche Aspekte. Das TDDDG konzentriert sich auf den Zugriff auf Endgeräte, während die DSGVO die Verarbeitung personenbezogener Daten regelt.
| TDDDG | DSGVO | |
| Regelungsgegenstand | Zugriff auf Endgeräte (Cookies, Fingerprinting) | Verarbeitung personenbezogener Daten |
| Rechtsgrundlage | EU-ePrivacy-Richtlinie | EU-Datenschutz-Grundverordnung |
| Bußgeld | Bis zu 300.000 Euro | Bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes |
| Gilt für | Website-Betreiber:innen, die auf Nutzergeräte zugreifen | Alle Verantwortlichen, die personenbezogene Daten verarbeiten |
In vielen Fällen sind beide Gesetze gleichzeitig anwendbar. Wer Cookies setzt, um personenbezogene Daten zu erheben, braucht sowohl eine Rechtsgrundlage nach § 25 TDDDG als auch eine nach der DSGVO. Ein Cookie-Banner kann beide Anforderungen abdecken, sofern er korrekt konfiguriert ist.
§ 26 TDDDG und PIMS: Einwilligungsverwaltung der Zukunft
§ 26 TDDDG schafft die Grundlage für sogenannte Personal Information Management Services (PIMS), also Dienste zur Einwilligungsverwaltung. Das Ziel: Nutzer:innen sollen ihre Einwilligungsentscheidungen einmalig zentral treffen und diese dann automatisch auf verschiedenen Websites gelten lassen können.
Am 20. Dezember 2024 hat der Bundesrat die zugehörige Einwilligungsverwaltungsverordnung (EinwV) verabschiedet, die am 1. April 2025 in Kraft trat. Dienste, die als anerkannte Einwilligungsverwaltungsdienste zertifiziert werden möchten, durchlaufen ein Prüfverfahren unter Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI).
Die Anforderungen der EinwV sind für Website-Betreiber:innen freiwillig. Wer an dem neuen Framework teilnehmen möchte, benötigt eine Consent Management Platform (CMP), die kompatible Signale empfangen und verarbeiten kann.
Was müssen Unternehmen jetzt tun?
Website-Betreiber:innen, die unter das TDDDG fallen, sollten folgende Schritte prüfen:
- Einen rechtssicheren Cookie-Banner einsetzen, der eine ausdrückliche Einwilligung einholt, bevor nicht notwendige Cookies gesetzt werden.
- Eine Consent Management Platform (CMP) implementieren, die Einwilligungen protokolliert und nachweisbar dokumentiert.
- Einwilligungen revisionssicher speichern, um im Fall einer behördlichen Prüfung Nachweise erbringen zu können.
- Datenschutzerklärung aktualisieren: Alle Verweise auf das TTDSG sind durch TDDDG zu ersetzen.
- Die Anforderungen der DSGVO parallel berücksichtigen, da beide Gesetze häufig gleichzeitig gelten.
Wie Usercentrics hilft
Die Umsetzung der TDDDG-Anforderungen kann komplex sein. Eine moderne Consent Management Plattform hilft dabei, Einwilligungen rechtssicher zu erfassen, zu verwalten und weiterzugeben.
Usercentrics bietet:
- Flexible Consent-Banner für verschiedene Märkte
- Automatisierte Cookie-Erkennung und Kategorisierung
- Einwilligungsmanagement im Einklang mit TDDDG und DSGVO
- Nahtlose Integration in bestehende Marketing- und Tech-Stacks
Werden Sie jetzt Teil unserer wachsenden Gemeinschaft von Datenschutz-Enthusiasten. Abonnieren Sie den Usercentrics-Newsletter und erhalten Sie die neuesten Updates direkt in Ihren Posteingang.
