Die zentrale Vorschrift für Cookies und Tracking in Deutschland ist Paragraph 25 TDDDG (früher Paragraph 25 TTDSG). Diese Norm setzt Art. 5 Abs. 3 der ePrivacy-Richtlinie in deutsches Recht um und gilt seit dem 1. Dezember 2021.
Grundsatz: Einwilligung erforderlich. Jede Speicherung von Informationen in der Endeinrichtung des Nutzers (z.B. Cookies, Local Storage, Fingerprinting) oder jeder Zugriff auf bereits gespeicherte Informationen ist nur zuläßig, wenn der Nutzer auf Grundlage klarer und umfassender Informationen eingewilligt hat. Diese Einwilligung muss den Anforderungen der DSGVO entsprechen: freiwillig, informiert, für den bestimmten Fall und unmissverständlich (Art. 4 Nr. 11, Art. 7 DSGVO). Stillschweigen, vorangekreuzte Kästchen oder blosse Weiternutzung genügen nicht (Erwägungsgrund 32 DSGVO).
Zwei Ausnahmen ohne Einwilligung bestehen nach Paragraph 25 Abs. 2 TDDDG: (1) Die Speicherung bzw. der Zugriff dient allein der Nachrichtenübertragung über ein öffentliches Telekommunikationsnetz. (2) Die Speicherung bzw. der Zugriff ist unbedingt erforderlich, damit der Anbieter einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitstellen kann. Hierunter fallen Session-Cookies, Warenkorb-Cookies, Spracheinstellungs-Cookies und Authentifizierungs-Cookies.
Zweistufige Prüfung: Laut der DSK-Orientierungshilfe Digitale Dienste (November 2024) gilt: Auf der ersten Stufe wird geprüft, ob der Zugriff auf die Endeinrichtung nach Paragraph 25 TDDDG zuläßig ist. Auf der zweiten Stufe wird die anschließende Verarbeitung der personenbezogenen Daten nach der DSGVO bewertet. Beide Stufen müßen kumulativ erfüllt sein.
Wichtig: Paragraph 25 TDDDG schützt nicht nur personenbezogene Daten, sondern jede Information auf dem Endgerät - auch Geräte-IDs oder Hardware-Informationen. Damit geht der Schutz über die DSGVO hinaus. Verstöße können mit Bußgeldern bis zu 300.000 Euro geahndet werden (Paragraph 28 Abs. 1 Nr. 13, Abs. 2 TDDDG), zusätzlich zu möglichen DSGVO-Bußgeldern.