Zurück zum Blog
RechtlichesOrganisation und Management

17. Februar 2026

Tracking-Cookies: Einwilligung, Cookie-Banner und DSGVO/TTDSG verständlich erklärt

Wer eine Website betreibt, stolpert beim ersten Cookie-Banner über Tracking-Cookies. Es kommen Fragen auf wie: Was genau sind Tracking-Cookies? Brauche ich dafür ein Cookie-Banner? Und wie müssen Einwilligung und Ablehnen-Option gestaltet sein?

— SundaeOS Redaktion · 14 Min. Lesezeit

Tracking-Cookies – Kekse neben einem Laptop

Was sind Tracking-Cookies?

Tracking-Cookies sind Cookies (oder ähnliche Tracking-Techniken), die das Nutzerverhalten analysieren – teils sogar websiteübergreifend. Damit können Interessenprofile entstehen, etwa für personalisierte Werbung, Retargeting oder Reichweitenmessung. Typische Datenpunkte sind z. B.:

  • Seitenaufrufe und Klickpfade
  • Wiederkehrende Besuche
  • Geräte- und Browserinfos
  • Online-Kennungen (IDs)

Wichtig für die Praxis

Rechtlich geht es nicht nur um "Cookies", sondern generell um das Speichern/Auslesen von Informationen auf dem Endgerät – auch bei vergleichbaren Technologien wie Fingerprinting oder Pixel-Tags.

Warum sind Tracking-Cookies problematisch?

Tracking-Cookies sind nicht per se neutral. Heikel werden sie vor allem dann, wenn sie:

  • Tief in die Privatsphäre eingreifen (Profilbildung)
  • Daten an Drittanbieter/Netzwerke weitergeben
  • Ohne klare Zustimmung laufen (intransparentes Banner, "Akzeptieren" als Standard)

Zusätzliche Risiken: Je detaillierter Profile werden, desto eher können sie z. B. für gezielte Social-Engineering-/Phishing-Angriffe missbraucht werden – nicht weil Cookies Geräte "kaputt machen", sondern wegen der Informationslage.

Tracking-Cookies rechtlich einordnen: DSGVO + TTDSG (heute TDDDG)

Für Tracking-Cookies brauchst du in Deutschland meist zwei Ebenen – weil zwei Regelwerke greifen:

1) Endgerätezugriff (§ 25 TTDSG/TDDDG)

§ 25 TDDDG (früher § 25 TTDSG) sagt vereinfacht: Informationen auf dem Endgerät speichern oder auslesen ist nur zulässig, wenn der Nutzer nach klaren und umfassenden Informationen eingewilligt hat. Ausnahmen gibt es im Wesentlichen nur für die technische Übertragung oder wenn es "unbedingt erforderlich" ist, um einen Dienst bereitzustellen. Marketing- oder Profiling-Tracking fällt typischerweise nicht darunter.

Hinweis zur Begrifflichkeit

Das frühere "TTDSG" heißt seit Mai 2024 offiziell "TDDDG" – viele Websites und Checklisten nutzen aber weiterhin den alten Namen.

2) Datenverarbeitung (DSGVO)

Wenn die gewonnenen Daten personenbezogen sind, brauchst du zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO (in der Praxis häufig Einwilligung).

Die Datenschutzkonferenz (DSK) stellt außerdem klar: Das Einwilligungserfordernis nach § 25 greift unabhängig davon, ob im Cookie personenbezogene Daten stecken.

Ein Cookie-Banner ist das zentrale Werkzeug, um Tracking-Cookies rechtskonform zu steuern. Die wichtigsten Anforderungen:

  • Vorher keine Tracking-Cookies laden: Solange keine Einwilligung vorliegt, dürfen Tracking-Skripte/Cookies nicht gesetzt oder ausgelesen werden.
  • Ablehnen muss real und leicht sein: Viele Behörden halten Banner ohne echte Ablehnen-Option (bei gleichzeitigem "Akzeptieren") für nicht vereinbar mit wirksamer Einwilligung.
  • Keine voreingestellten Häkchen: Pre-ticked Boxes und Untätigkeit sind keine Einwilligung.
  • Transparenz über Zwecke & Anbieter: Nutzer müssen verstehen, wozu sie zustimmen (z. B. "Statistik" vs. "Marketing") und wer beteiligt ist.
  • Datenschutzerklärung/Impressum nicht blockieren: Nutzer müssen sich informieren können – ohne dass der Banner die Inhalte dauerhaft verdeckt oder Links faktisch unbenutzbar macht.
  • Widerruf jederzeit möglich: Einwilligungen müssen später so leicht widerrufbar sein wie sie erteilt wurden (z. B. "Cookie-Einstellungen" im Footer).

Praxis-Tipp

Ein "Mehr erfahren"-Link kann ergänzen – sollte aber nicht die einzige Ablehn-Option sein (Link-Design ist ein häufiger Kritikpunkt bei Aufsichtsbehörden).

Einwilligung für Tracking-Cookies: So sieht "wirksam" aus

Damit Tracking-Cookies wirklich auf einer wirksamen Einwilligung basieren, sollte die Consent-Lösung diese Punkte erfüllen:

  1. Freiwillig: Keine Gestaltung, die Nutzer faktisch in "Akzeptieren" drängt (keine Dark Patterns) – und keine Cookie-Walls ("Zugang nur bei Zustimmung").
  2. Informiert: Klarer Text: Zwecke, Kategorien, beteiligte Anbieter, ggf. Drittlandtransfer, Speicherdauer.
  3. Spezifisch/Granular: Tracking getrennt von notwendigen Cookies, idealerweise auch nach Kategorien/Vendoren.
  4. Aktive Handlung: Klick/Schalter – kein "Weitersurfen" als Zustimmung (Planet49-Kontext).
  5. Widerrufbar: Änderung jederzeit, ohne Hürden.
  6. Nachweisbar: Consent-Logs (Zeitpunkt, Zwecke, Version des Banners/Texts).

Wichtig

"Berechtigtes Interesse" ist keine Abkürzung für das Setzen/Auslesen von Tracking-Cookies, wenn dafür nach § 25 eine Einwilligung nötig ist.

Best Practices: Tracking-Cookies datenschutzfreundlich einsetzen

Wenn du Tracking-Cookies nutzen willst, hilft eine "weniger ist mehr"-Strategie:

  • Vendoren reduzieren: Je weniger Drittanbieter, desto einfacher werden Transparenz und Banner-Management.
  • Daten minimieren: Nur Events/Parameter erfassen, die du wirklich brauchst.
  • Alternativen prüfen: Für reine Reichweitenmessung können datenschutzfreundlichere Setups oft reichen – trotzdem bleibt bei nicht notwendigen Endgerätezugriffen die Einwilligung der Standard.
  • Dokumentation pflegen: Banner und Datenschutzerklärung müssen zusammenpassen; beschreibe Tools, Zwecke, Empfänger und Widerrufsmöglichkeiten konsistent.

Nutzerperspektive: Sollte ich Tracking-Cookies entfernen oder blockieren?

Aus Nutzersicht haben Tracking-Cookies einen Vorteil (personalisierte Inhalte/Werbung) – aber auch Nachteile (Profiling, Datenweitergabe). Wer mehr Kontrolle will, kann:

  • In Browser-Einstellungen Drittanbieter-Cookies blockieren
  • Im Privatmodus surfen
  • Tracker-Blocker nutzen
  • Cookies regelmäßig unter "Datenschutz" oder "Sicherheit" im Browser löschen

Das ist der "Komfort vs. Kontrolle"-Trade-off – und genau deshalb müssen Website-Betreiber transparent sein.

Checkliste: Tracking-Cookies & Cookie-Banner in 10 Minuten prüfen

  • Werden Tracking-Cookies wirklich erst nach Einwilligung geladen?
  • Gibt es "Akzeptieren" und "Ablehnen" ohne Umwege?
  • Sind Tracking-Zwecke/Kategorien sauber getrennt?
  • Werden Zwecke, Anbieter und Laufzeiten verständlich erklärt?
  • Gibt es einen dauerhaften Link zum Widerruf ("Cookie-Einstellungen")?
  • Keine Pre-ticked Boxes, kein "Nudging", keine Cookie-Wall?

Fazit

Tracking-Cookies sind ein starkes Analyse- und Marketingwerkzeug – aber nur, wenn Cookie-Banner, Einwilligung und Dokumentation sauber umgesetzt sind. Wer Tracking-Cookies transparent und sparsam einsetzt, reduziert rechtliche Risiken und stärkt Vertrauen.

Hinweis

Dieser Beitrag ersetzt keine Rechtsberatung.

Empfehlung

Setze auf datenschutzkonforme Tools für deine Personalverwaltung. SundaeOS bietet DSGVO-konforme Dienstplanung, Zeiterfassung und Personalverwaltung – damit deine Mitarbeiterdaten sicher sind.

Weiterlesen

Rechtliches

Datenschutz

Bedeutung, Herausforderungen und die Rolle der DSGVO.

Lesen
Rechtliches

Datenschutz im Unternehmen

Prozesse, Dokumentation, Schulungen und Checklisten.

Lesen
Organisation und Management

Cyber Security

Bedeutung, Notwendigkeit und Implementierung von IT-Sicherheit.

Lesen
S

SundaeOS Redaktion

Das SundaeOS-Team teilt praxisnahes Wissen rund um Dienstplanung, Zeiterfassung und Betriebsorganisation für Blue-Collar-Branchen.

DSGVO-konforme Personalverwaltung

Teste SundaeOS kostenlos – datenschutzkonforme Dienstplanung, sichere Zeiterfassung und digitale Personalverwaltung für dein Unternehmen.

Kostenlos testen