SC ShopCompliance
Im App Store öffnen
← Alle Beiträge
TTDSGTDDDGCookie-EinwilligungDatenschutzShopify

TTDSG erklärt: Cookie-Recht & Einwilligung für Shops

14. Juni 2026 · Max Benz

Das TTDSG regelt den Schutz der Privatsphäre bei Telemedien und Telekommunikation – konkret: wann du in deinem Online-Shop Cookies setzen darfst und wann nicht. Seit Mai 2024 trägt das Gesetz den Namen TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz). Der Name hat sich geändert, die Regelungen für Online-Shops nicht. Wer ohne gültige Einwilligung Marketing-Cookies setzt, riskiert Bußgelder bis zu 300.000 Euro. Was das Gesetz konkret fordert und wie du deinen Shopify-Shop ohne Theme-Code konform machst, liest du hier.

Was ist das TTDSG – und warum heißt es jetzt TDDDG?

Das TTDSG trat am 1. Dezember 2021 in Kraft (BGBl. 2021 I S. 1982). Es ersetzte die veralteten Datenschutz-Regelungen aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) und fasste den Schutz der Privatsphäre bei der Telekommunikation und bei digitalen Diensten in einem modernen Gesetz zusammen. Grundlage war die europäische ePrivacy-Richtlinie, die Deutschland damit in nationales Recht überführte.

Am 13. Mai 2024 wurde das Gesetz umbenannt: Aus TTDSG wurde TDDDG – Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Der Anlass war die Anpassung an den Digital Services Act (DSA) der EU. Inhaltlich hat sich dabei nichts Wesentliches geändert. § 25 TDDDG, die zentrale Cookie-Regel, gilt unverändert.

In der Praxis suchen viele noch unter “TTDSG” – der Begriff ist verbreitet, auch wenn das Gesetz offiziell TDDDG heißt. Beide Bezeichnungen meinen dasselbe. Wer’s genau nimmt: TDDDG ist der aktuelle Name, TTDSG der veraltete.

TTDSG, DSGVO und Telemedien – was gilt für Online-Shops?

Die DSGVO und das TTDSG (jetzt TDDDG) ergänzen sich. Viele verwechseln die beiden Gesetze – dabei regeln sie grundlegend verschiedene Ebenen:

Die DSGVO regelt die Verarbeitung personenbezogener Daten ganz allgemein – wann du Kundendaten speichern darfst, wie lange, mit welchen Dienstleistern. Für jede Verarbeitung brauchst du eine Rechtsgrundlage nach Art. 6 DSGVO, und für Einwilligungen gelten die Anforderungen aus Art. 7 DSGVO.

Das TTDSG / TDDDG dagegen ist spezifischer. Es regelt ausschließlich den Zugriff auf das Endgerät des Nutzers. Sobald du Informationen auf dem Computer, Smartphone oder Tablet eines Besuchers speicherst oder abrufst – also Cookies setzt, Local Storage nutzt oder Fingerprinting betreibst – greift § 25 TDDDG. Das gilt unabhängig davon, ob dabei personenbezogene Daten verarbeitet werden.

Für Online-Shops bedeutet das: Du brauchst eine DSGVO-konforme Verarbeitung und zusätzlich eine TDDDG-konforme Einwilligung für Cookies. Beides ist klar Pflicht – keins ersetzt das andere.

Als Telemediendiensteanbieter bist du zwingend betroffen, wenn du eine Website betreibst, die sich an Nutzer in Deutschland richtet. Die Größe des Shops spielt keine Rolle. Kein Handelsvolumen, keine Mitarbeiterzahl ändert daran etwas.

§ 25 TDDDG enthält die zentrale Aussage: Vor dem Speichern oder Auslesen von Informationen auf dem Endgerät eines Nutzers ist dessen Einwilligung erforderlich. Diese Einwilligung muss freiwillig, informiert und aktiv gegeben werden. Ein vorausgefülltes Häkchen reicht hingegen nicht.

Zwei Ausnahmen gibt es – aber beide sind eng gefasst:

Ausnahme 1 – Technisch notwendige Cookies: Cookies, die ausschließlich für die vom Nutzer ausdrücklich gewünschte Dienstleistung notwendig sind. Dazu zählen der Warenkorb-Cookie und der Session-Cookie für den Login. Entscheidend ist das Wort “ausschließlich”: Ein Cookie, der auch dem Shop-Betreiber nützt, fällt nicht darunter.

Ausnahme 2 – Nachrichtenübermittlung: Cookies ausschließlich für die Übertragung einer Nachricht über ein öffentliches Telekommunikationsnetz. Für Online-Shops praktisch nie relevant.

Für Marketing-Cookies, Analytics, Retargeting-Pixel und Social-Media-Plugins gilt eindeutig keine Ausnahme. Diese dürfen erst gesetzt werden, nachdem der Nutzer aktiv eingewilligt hat.

Welche Cookies brauchen Einwilligung?

Cookie-TypEinwilligung notwendig?
Warenkorb-CookieNein (technisch notwendig)
Session-Cookie (Login)Nein (technisch notwendig)
Sprach-Präferenz-CookieIn der Regel nein, wenn rein funktional
Google AnalyticsJa
Meta Pixel / Facebook PixelJa
Google Ads / RemarketingJa
Hotjar, Microsoft ClarityJa
Affiliate-TrackingJa
Chat-Widget (z.B. Intercom)Ja (sofern es Cookies setzt)

Faustregel: Alles, was dem Shop-Betreiber nützt und nicht direkt dem Nutzer, braucht eine Einwilligung.

Entscheidungsbaum: Braucht dieser Cookie eine Einwilligung nach § 25 TDDDG?

Cookie-Banner: 5 Pflichtanforderungen nach § 25 TDDDG (ehemals TTDSG)

Ein TTDSG-konformer Cookie-Banner muss konkrete Anforderungen erfüllen. Es reicht nicht, einfach eine Meldung anzuzeigen.

Gleichwertige Auswahl: “Akzeptieren” und “Ablehnen” müssen gleichwertig gestaltet sein – gleiche Größe, gleiche Farbe, gleiche Sichtbarkeit. Ein kleiner grauer “Ablehnen”-Link neben einem großen grünen “Alle akzeptieren”-Button ist ohne Frage ein Dark Pattern und ausdrücklich verboten.

Keine vorausgefüllten Felder: Kein Häkchen darf vorausgewählt sein. Die Einwilligung muss aktiv und bewusst gegeben werden.

Granulare Einwilligung: Nutzer müssen einzelnen Cookie-Kategorien zustimmen oder widersprechen können. Zum Beispiel Analytics akzeptieren, Marketing dennoch ablehnen. Eine pauschale Zustimmung zu allem als einzige Option ist nicht ausreichend.

Widerruf jederzeit möglich: Jede Einwilligung muss genauso leicht widerrufen werden können, wie sie erteilt wurde. Viele Shops erlauben die Zustimmung mit einem Klick – während der Widerruf fünf Seiten tief vergraben ist. Das ist nicht erlaubt. Ein dauerhaft zugänglicher Link zum Cookie-Manager ist Pflicht.

Einwilligung vor dem Cookie-Setzen: Kein nicht-notwendiger Cookie darf gesetzt werden, bevor die Einwilligung erteilt wurde. Nicht kurz vorher, nicht gleichzeitig.

Diese Anforderungen gelten für alle Telemediendiensteanbieter. Ob kleiner Shopify-Shop oder großer Marktplatz: Das Gesetz macht hier keinen Unterschied.

Telemedien-Datenschutz: Welche Tracking-Methoden sind betroffen?

§ 25 TDDDG schützt nicht nur vor klassischen Cookies – der Anwendungsbereich geht deutlich weiter. Das Gesetz spricht von “Informationen, die im Endgerät eines Nutzers gespeichert sind oder auf gespeicherte Informationen zugegriffen wird”. Diese Formulierung ist bewusst technikoffengehalten.

Betroffen sind deshalb auch:

  • Fingerprinting: Das Erstellen eines Geräteprofils auf Basis von Browserkonfiguration, Auflösung und installierten Schriften – auch ohne Cookie
  • Local Storage und Session Storage: Browser-Speicher, der Daten über eine Session hinaus oder sitzungsbezogen hält
  • Tracking-Pixel: Meta Pixel, TikTok Pixel, Pinterest Tag – alles, was Daten aus dem Browser abruft oder dorthin schreibt
  • JavaScript-Tracker: Drittanbieter-Skripte, die auf der Seite laufen und Nutzerdaten erfassen

Für all diese Methoden gilt dieselbe Regel wie für Cookies: Einwilligung vor dem Einsatz. Wer das Meta Pixel bereits beim Seitenaufruf lädt, bevor ein Nutzer eingewilligt hat, verstößt gegen § 25 TDDDG – und zwar unabhängig davon, ob im Banner “ablehnen” als Option vorhanden ist. Das Banner allein reicht nicht.

Datenschutzerklärung anpassen: Was muss nach TTDSG rein?

Die Datenschutzerklärung muss den Einsatz von Cookies und Tracking auf Basis von § 25 TDDDG ausweisen. Diese Angaben gehören rein:

  • Welche Cookies du setzt: konkret nach Name und Kategorie, nicht nur allgemein
  • Zweck jedes Cookies: warum wird er gesetzt, was passiert mit den Daten?
  • Speicherdauer: wie lange bleibt der Cookie aktiv?
  • Drittanbieter: wer erhält dadurch Zugriff auf Nutzerdaten (Google, Meta und andere)?
  • Rechtsgrundlage: Einwilligung nach § 25 TDDDG und Art. 6 Abs. 1 lit. a DSGVO
  • Widerrufsmöglichkeit: wo und wie können Nutzer ihre Einwilligung widerrufen?

Eine pauschale Formulierung wie “Wir nutzen Cookies für ein besseres Nutzungserlebnis” reicht nicht mehr. Die Datenschutzerklärung muss konkret genug sein, dass Nutzer wirklich verstehen, was mit ihren Daten passiert. Eine aktuelle Vorlage findest du unter Datenschutzerklärung-Vorlage.

Tipp: Eine gute Consent Management Platform (CMP) generiert automatisch eine aktuelle Cookie-Liste für die Datenschutzerklärung. Das ist gerade für wachsende Shops ohne eigenes Datenschutz-Team ein klarer Vorteil gegenüber manueller Pflege.

Bußgelder bei TTDSG-Verstößen

TTDSG-Verstöße können auf zwei Wegen teuer werden. Wer beides ignoriert, riskiert auf beiden Ebenen gleichzeitig:

TDDDG-Bußgelder: Das TDDDG sieht Bußgelder von bis zu 300.000 Euro vor. Zuständig sind die Bundesnetzagentur und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

DSGVO-Bußgelder zusätzlich: Wer Tracking ohne Einwilligung betreibt, verarbeitet personenbezogene Daten ohne Rechtsgrundlage. Das ist ein DSGVO-Verstoß, für den Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes fällig werden können – je nachdem, was höher ist.

Ein Beispiel aus der Praxis: Die französische Datenschutzbehörde CNIL verhängte im Dezember 2022 gegen Microsoft eine Strafe von 60 Millionen Euro, weil das Cookie-Banner auf bing.com keine gleichwertige Ablehnoption enthielt. Vergleichbare Verfahren laufen auch in Deutschland. Unzureichende Cookie-Banner sind keine Ordnungswidrigkeit zweiter Klasse.

Abmahnungen durch Mitbewerber oder Verbraucherschutzverbände kommen on top – unabhängig von Behördenverfahren. Kleine Shops unterschätzen dieses Risiko regelmäßig. Dabei trifft es gerade sie besonders hart, weil sie weder juristischen Beistand noch die finanziellen Reserven für langwierige Abmahnverfahren haben.

Shopify-Shop TTDSG-konform machen – ohne Theme-Code

Shopify-Shop TTDSG-konform: 5 Schritte ohne Theme-Code

Für Shopify-Händler gibt’s keine fertige TTDSG-Funktion im Standard-Setup. Mit den richtigen Tools geht es jedoch auch ohne Theme-Anpassung.

Schritt 1 – Cookie-Audit: Prüfe, welche Cookies dein Shop setzt. Öffne deinen Shop im Browser, gehe auf Entwickler-Tools > Anwendung > Cookies und notiere alle gesetzten Cookies. Unterscheide: technisch notwendig vs. nicht notwendig.

Schritt 2 – Consent Management Platform einrichten: Eine CMP sorgt dafür, dass nicht-notwendige Cookies erst nach Einwilligung geladen werden. Sie blockiert Skripte wie Google Analytics, Meta Pixel oder Hotjar automatisch, bis der Nutzer zugestimmt hat. Das Cookie-Consent-Modul von ShopCompliance macht das direkt für Shopify, ohne Code-Eingriff im Theme.

Schritt 3 – Datenschutzerklärung aktualisieren: Ergänze die Cookie-Tabelle in deiner Datenschutzerklärung mit den Angaben aus Schritt 1. Nutze dafür unsere Datenschutzerklärung-Vorlage.

Schritt 4 – Cookie-Banner prüfen: Gehe deinen Banner kritisch durch: Sind “Akzeptieren” und “Ablehnen” gleichwertig gestaltet? Gibt es eine granulare Kategorieauswahl? Ist der Widerruf möglich? Alle Details dazu findest du im Artikel zum Cookie-Banner.

Schritt 5 – Nach neuen Apps überprüfen: Neue Shopify-Apps setzen oft neue Cookies. Stattdessen denken viele nur an den einmaligen Banner-Setup und vergessen spätere App-Installationen. Nach jeder Installation prüfen, ob neue Tracker hinzugekommen sind, und die CMP-Konfiguration entsprechend aktualisieren.

FAQ

Gilt das TTDSG auch für kleine Online-Shops?

Das TDDDG gilt für jeden, der eine Website betreibt, die sich an Nutzer in Deutschland richtet – unabhängig von Umsatz, Mitarbeiterzahl oder Rechtsform. Auch ein Ein-Personen-Shop muss einen TTDSG-konformen Cookie-Banner haben, wenn er Marketing-Cookies oder Analytics einsetzt.

Brauchen technisch notwendige Cookies eine Einwilligung?

Technisch notwendige Cookies brauchen keine Einwilligung. Dazu zählen Warenkorb-Cookies und Session-Cookies für den Login. Entscheidend ist, ob der Cookie ausschließlich für eine Funktion benötigt wird, die der Nutzer selbst angefordert hat. Cookies, die auch dem Shop-Betreiber nützen – zum Beispiel Conversion-Tracking im Checkout-Prozess – fallen nicht unter die Ausnahme.

Was ist der Unterschied zwischen TTDSG und DSGVO?

Die DSGVO regelt die Verarbeitung personenbezogener Daten allgemein. Das TTDSG (jetzt TDDDG) regelt spezifisch den Zugriff auf das Endgerät des Nutzers – also das Setzen und Auslesen von Cookies, Local Storage und ähnlichem. Für einen rechtskonformen Shop-Betrieb brauchst du beides: eine DSGVO-konforme Datenverarbeitung und eine TDDDG-konforme Einwilligungslösung für Cookies.

Wann wurde das TTDSG in TDDDG umbenannt?

Das TTDSG wurde am 13. Mai 2024 in TDDDG umbenannt – ausgeschrieben: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz. Der Anlass war die Anpassung an den Digital Services Act (DSA) der EU. An den inhaltlichen Anforderungen für Online-Shops hat sich dadurch nichts geändert.

Was droht bei einem Verstoß gegen das TTDSG?

Bei Verstößen gegen § 25 TDDDG drohen Bußgelder bis zu 300.000 Euro durch die Bundesnetzagentur oder den BfDI. Wer gleichzeitig personenbezogene Daten ohne Rechtsgrundlage verarbeitet, riskiert zusätzlich DSGVO-Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Abmahnungen durch Mitbewerber und Verbraucherschutzverbände sind unabhängig davon möglich.

EU-Pflichten automatisch im Shop erfüllen

ShopCompliance ermittelt per Quiz, welche Pflichten für dich gelten, und spielt sie automatisch an deinen Produkten aus. Kostenlos starten.

Module & Preise ansehen

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für deinen Einzelfall wende dich bitte an eine Rechtsanwältin oder einen Rechtsanwalt.