Privacy Statnive Live · Parhum Khoshbakht

TDDDG § 25 in Deutschland: Die Server-Side-Only-Anforderung

Das TDDDG § 25 ist strenger als die CNIL – und verändert, was „einwilligungsfrei“ nördlich des Rheins bedeutet. Hier ist die Regel und wie Sie Ihre Implementierung darauf ausrichten.

Dies ist datenschutzrechtliche Forschung, keine Rechtsberatung. Den vollständigen Haftungsausschluss finden Sie in der Fußzeile.

TL;DR

  • § 25 TDDDG ist die verbindliche Anforderung für jeden paneuropäischen Einsatz. Konfigurieren Sie für Deutschland — der Rest der EU ist weniger streng.
  • Berechtigtes Interesse ersetzt nicht die Einwilligung nach § 25. Die DSK-Orientierungshilfe Version 1.2 vom 20. November 2024 ist eindeutig — und bleibt die maßgebliche Leitlinie (Stand: Mai 2026).
  • Die einzige einwilligungsfreie Architektur ist die rein server-seitige Verarbeitung ohne Cookie, ohne localStorage, ohne Fingerprinting-Abfragen und ohne client-seitige Kennzeichnungen. Der „Zugriff auf Informationen” in § 25 erfasst nicht nur Cookies, sondern jeden client-seitigen Datenabruf.
  • Eine dokumentierte Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO muss dennoch vorliegen — für die DSGVO-Verarbeitungsschicht, die der server-seitigen Erhebung nachfolgt. Die Interessenabwägung öffnet keinen § 25-Ausnahmetatbestand, begründet aber die personenbezogene Verarbeitung.
  • Die Aufsichtsbehörden BayLDA, NRW LDI, BlnBDI und HmbBfDI sind in den Jahren 2024–2026 aktiv und gehen gegen GA4-, Meta-Pixel- und Hotjar-Einsätze ohne TDDDG-konforme Einwilligung vor. Höchststrafe: 300.000 € nach § 28 Abs. 1 Nr. 13 zuzüglich DSGVO-Bußgeld nach Art. 83.

Warum Deutschland eine Sonderstellung einnimmt

Die europäische Karte der einwilligungsfreien Analyse ist nicht einheitlich. Frankreichs CNIL hat eine detaillierte Ausnahme für Reichweitenmessung entwickelt — Italiens Garante, Spaniens AEPD und die niederländische AP haben eigene Regelungen getroffen. Deutschland nicht. Die Datenschutzkonferenz — das Koordinierungsgremium aller 17 deutschen Datenschutzbehörden — hat in ihrer Orientierungshilfe für Anbieter:innen von digitalen Diensten (Version 1.2, 20. November 2024) bestätigt, dass § 25 TDDDG lex specialis ist und nur Einwilligung oder strenge Notwendigkeit das Speichern oder den Zugriff auf dem Endgerät des Nutzers erlaubt. Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO ist keine zulässige Alternativgrundlage für den Speicher- oder Zugriffsvorgang selbst.

Damit ist Deutschland die verbindliche Vorgabe für jeden paneuropäischen Analytics-Einsatz. Wer für Deutschland konfiguriert, ist überall sonst in der EU ebenfalls konfiguriert. Wer nur für Frankreichs Sheet 16 konfiguriert, schuldet deutschen Nutzern eine gesonderte, strengere Antwort.

Der folgende Beitrag liefert diese deutsche Antwort. Er behandelt die Regelung selbst, die Umbenennung im Mai 2024, den engen Ausnahmetatbestand, warum „Server-Side-Only” die richtige Betriebsform ist, die trotzdem erforderliche Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, wo Statnive Live einzuordnen ist, den deutschen Datenschutzerklärungsbaustein sowie die 8 Datenschutz-Audit-Ereignisse, die den Rechenschaftsnachweis erzeugen.

Das TDDDG im Überblick

Das Telekommunikation-Telemedien-Datenschutz-Gesetz trat am 1. Dezember 2021 als TTDSG in Kraft — die Umsetzung von Art. 5 Abs. 3 ePrivacy durch den Bundesgesetzgeber. Im Mai 2024 wurde das Gesetz im Zuge der Umsetzung des EU-Digital Services Act in TDDDG — Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz — umbenannt. Die inhaltliche Substanz blieb unverändert; nur die Bezeichnung spiegelte den erweiterten DSA-Geltungsbereich wider.

§ 25 ist die maßgebliche Cookie- und Speicherregelung und die unmittelbare Umsetzung von Art. 5 Abs. 3 ePrivacy-Richtlinie 2002/58/EG (in der Fassung von 2009/136/EG).

§ 25 Abs. 1 TDDDG (Originaltext): „Das Speichern von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers sowie die Einwilligung haben gemäß der Verordnung (EU) 2016/679 [DSGVO] zu erfolgen.”

§ 25 Abs. 2 sieht nur zwei Ausnahmen vor:

  • (i) der alleinige Zweck ist die Nachrichtenübertragung über ein öffentliches Telekommunikationsnetz, und
  • (ii) das Speichern oder der Zugriff ist unbedingt erforderlich, um einen vom Nutzer ausdrücklich gewünschten digitalen Dienst bereitzustellen.

Das ist der vollständige Ausnahmetatbestand. Es gibt keine Reichweitenmessungs-Ausnahme im deutschen Gesetzestext. Es gibt kein Äquivalent zu Frankreichs Sheet 16, Italiens Cookie-Leitlinien von 2021 oder dem spanischen Leitfaden zur Reichweitenmessung. § 25 Abs. 2 erfasst die strikt notwendigen Fälle — ein Warenkorb-Cookie, eine Authentifizierungssitzung, ein CSRF-Token — und das war es.

Geldbußen nach § 28 Abs. 1 Nr. 13 und § 28 Abs. 2 TDDDG betragen bis zu 300.000 € je Verstoß. DSGVO-Bußgelder nach Art. 83 (bis zu 20 Millionen € oder 4 % des weltweiten Jahresumsatzes) kommen für die personenbezogene Verarbeitungsschicht parallel hinzu.

Die DSK-Position und warum berechtigtes Interesse nicht hilft

Die Datenschutzkonferenz (DSK) — das Koordinierungsgremium der deutschen Bundes- und Landesdatenschutzbehörden — hat ihre Orientierungshilfe für Anbieter:innen von digitalen Diensten Version 1.2 am 20. November 2024 veröffentlicht. Die Leitlinie ist zu zwei Punkten eindeutig.

Punkt eins: § 25 TDDDG ist lex specialis. Für jeden Speicher- oder Zugriffsvorgang auf dem Endgerät eines Nutzers gilt das Einwilligungs- (oder Notwendigkeits-) Erfordernis des § 25. Die Rechtsgrundlagen des Art. 6 DSGVO bieten keine alternative Grundlage für den Speicher- oder Zugriffsvorgang selbst.

Punkt zwei: Berechtigtes Interesse kann die Einwilligung nach § 25 nicht ersetzen. Selbst wenn der Betreiber eine vollständig dokumentierte Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO vorweist, deckt diese Abwägung die Verarbeitung der personenbezogenen Daten nach ihrer Erhebung ab — nicht den Akt der Erhebung durch den Endgerätezugriff. Beide Ebenen unterliegen unterschiedlichen Regelungsschichten und erfordern unterschiedliche Grundlagen.

Die praktische Konsequenz: Eine Analytics-Implementierung, die ein Cookie setzt, in den localStorage schreibt oder eine client-seitige Kennzeichnung ausliest, löst § 25 TDDDG aus. Die Implementierung erfordert eine Einwilligung. Punkt. Kein Maß an Argumentation auf der Basis des „berechtigten Interesses” hebt das Einwilligungserfordernis auf der § 25-Ebene auf.

Darin besteht der wesentliche Unterschied zu Frankreich. Die CNIL-Ausnahme in Sheet 16 interpretiert Art. 5 Abs. 3 ePrivacy mit einer definierten Reichweitenmessungs-Ausnahme, die in der nationalen Umsetzung verankert ist. Deutschlands § 25 Abs. 2 interpretiert Art. 5 Abs. 3 ePrivacy ohne diese Ausnahme. Beide Auslegungen sind mit der zugrundeliegenden Richtlinie vereinbar; sie nutzen lediglich den Mitgliedstaaten-Spielraum, den die Richtlinie gewährt, auf unterschiedliche Weise.

Die einzige einwilligungsfreie Architektur: Server-Side-Only

Die einzige Architektur, die § 25 TDDDG ohne Einwilligung standhält, ist eine, bei der der Server des Betreibers keine Informationen auf dem Endgerät des Besuchers speichert oder darauf zugreift. Der Browser sendet nur das, was er standardmäßig als Teil einer unvermeidlichen HTTP-Anfrage sendet — IP-Adresse, User-Agent und Referer-Header. Der Server liest diese Header, leitet seine Auswertungen ab und schreibt nichts zurück. Kein Cookie. Kein localStorage. Keine Fingerprinting-Abfrage. Keine client-seitige Kennzeichnung. Keine Anweisung an das Gerät, zusätzliche Informationen zu senden.

Das liegt vollständig außerhalb des Anwendungsbereichs von § 25 TDDDG. Der Auslösetatbestand „Speichern oder Zugriff auf Endeinrichtungen” in Art. 5 Abs. 3 ePrivacy greift nicht, weil keine Endgerätinteraktion über das Standard-Anfrageverhalten des Browsers hinaus stattfindet. Die EDSA-Leitlinien 2/2023 v2.0 decken diese Ausnahme ausdrücklich ab: Wenn der Betreiber das Gerät nicht anweist, Informationen zu senden, und nicht in den Gerätespeicher schreibt oder daraus liest, gilt Art. 5 Abs. 3 nicht.

Dies ist auch die einzige einwilligungsfreie Architektur, die alle 27 Mitgliedstaaten einschließlich der strengsten erfüllt. Für Frankreich ist sie überdimensioniert; für Deutschland ist sie notwendig. Betreiber mit deutschem Traffic — auch einem kleinen Anteil — sollten auf der Server-Side-Only-Basis aufbauen, da die Kosten für zwei getrennte Stacks (eine für Deutschland, eine für alle anderen) fast immer die Kosten der einheitlichen strengen Baseline übersteigen.

Die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO — trotzdem erforderlich

Das Umgehen von § 25 TDDDG auf der Endgeräte-Ebene beseitigt nicht die DSGVO-Frage. Sobald der Server die IP-Adresse, den User-Agent und den Referer aus der Anfrage liest, verarbeitet er personenbezogene Daten. Das EuGH-Urteil Breyer (C-582/14, 19. Oktober 2016) hat klargestellt, dass eine dynamische IP-Adresse in den Händen eines Website-Betreibers personenbezogene Daten darstellt. Der User-Agent ist für sich genommen ein identifizierbares Merkmal.

Die Rechtsgrundlage nach Art. 6 DSGVO für diese Verarbeitung ist realistischerweise Art. 6 Abs. 1 lit. f — berechtigte Interessen — für die eigene Reichweitenmessung. Die DSK hat diese Position in ihrer Leitlinie von 2024 akzeptiert, aber nur unter der ausdrücklichen Bedingung, dass das Einwilligungs- (oder Notwendigkeits-) Erfordernis des § 25 TDDDG unabhängig davon erfüllt ist (d.h. die strikt notwendige Ausnahme gilt oder kein Endgerätezugriff stattfindet). Die Server-Side-Only-Architektur erfüllt diese Bedingung durch ihre Konstruktion.

Die Interessenabwägung selbst muss gemäß EDSA-Leitlinien 1/2024 dokumentiert werden:

  • Interessenidentifikation. Betrieb, Verbesserung und Sicherung der Website des Verantwortlichen (die funktionale Komponente, die in Breyer Rn. 60–64 anerkannt wird); Messung der Reichweite und des Inhaltsengagements (die kommerzielle Komponente, die im EuGH-Urteil C-621/22 KNLTB Rn. 47–49 vom 4. Oktober 2024 anerkannt wird).
  • Erforderlichkeit. Reichweitenmessung kann vernünftigerweise nicht mit weniger eingriffsintensiven Mitteln bei gleichem Messnutzen erreicht werden. Minimierung: kein dauerhafter Identifikator; rohe IP-Adresse vor jeder weiteren Speicherung verworfen; täglich rotierender, website-spezifischer Salt; /24-IPv4-Kürzung; User-Agent auf Hauptversionen reduziert; Referrer auf Host-Domain reduziert; Aggregation auf nächste 10.
  • Abwägung. Interessen der betroffenen Personen: Art. 7 GRCh (Privatleben) und Art. 8 GRCh (Datenschutz). Berechtigte Erwartungen: Ein Besucher erwartet, dass der Betreiber aggregierte Besucherzahlen und Seitenbeliebtheit kennt, nicht individuelle tages- oder siteübergreifende Beobachtung — die Architektur entspricht dieser Erwartung. Auswirkung: minimal — keine Verhaltenswerbung, kein Profiling, keine Weitergabe an Dritte, keine Entscheidungen, die die betroffene Person betreffen. Minderungsmaßnahmen: Salt-Vernichtung am Tagesende, IP-Kürzung, Aufbewahrungsfrist, Widerspruchsrecht nach Art. 21, AV-Vertrag wo zutreffend, EU-Only-Hosting, Open-Source-Codepfade für selbst gehostete Implementierungen.

Die Interessenabwägung ist keine einmalige Übung. Der EDSA empfiehlt eine jährliche Überprüfung und bei wesentlichen Änderungen — etwa bei einem EuGH-Vorabentscheidungsersuchen, das die Breyer-Analyse berührt, bei Annahme des Digital Omnibus oder bei Aktualisierungen nationaler deutscher Leitlinien.

Wo Statnive Live einzuordnen ist

Statnive Live ist so konzipiert, dass es § 25 TDDDG durch seine Konstruktion erfüllt. Die Konfigurationsschritte für eine deutsche Website:

  1. Gerichtsbarkeit DE auswählen. Das Site-Policy-Panel von Statnive Live bietet eine 11-Gerichtsbarkeiten-Auswahlliste. Die Auswahl von DE aktiviert den Hard-Rule-Validator.
  2. Der Hard-Rule-Validator verbietet den permissiven Modus. Ein deutscher Betreiber kann permissive nicht auswählen – der Validator verweigert das Speichern mit der Fehlermeldung: „Permissiver Einwilligungsmodus ist mit § 25 TDDDG (Deutschland) nicht vereinbar. Wählen Sie consent-free oder consent-required.” Dies wird beim Speichern der Richtlinie und erneut beim Laden der Richtlinie bei jeder Anfrage erzwungen.
  3. Standardmäßig consent-free. Dadurch werden Cookies, localStorage und Fingerprinting im Tracker deaktiviert; die server-seitige, täglich rotierende BLAKE3-HMAC-Besuchersignatur wird aktiviert; die Host-Only-Referrer-Transformation, IP-Kürzung und User-Agent-Minimierung werden aktiviert. Die Architektur entspricht der § 25-TDDDG-Baseline „kein Endgerätespeicher und kein Zugriff”.
  4. Gehashte Cookie-ID im Ruhezustand, aber kein Cookie gesetzt. Wenn consent-free aktiv ist, wird kein _statnive-Cookie im Browser gesetzt. In diesem Modus gibt es kein Cookie zum Hashen. (Im consent-required- oder hybrid-Modus mit erteilter Einwilligung wird eine UUID an den Browser ausgegeben; die server-seitige Speicherung lautet SHA-256(master_secret || site_id || cookieID) mit dem Präfix h:. Der Browser sieht die rohe UUID; die Datenbank nie.)
  5. GPC und DNT werden berücksichtigt. In der Gerichtsbarkeit DE ist consent.respect_gpc = true der Standard. Besucher, die Sec-GPC: 1 senden, werden vor der Berechnung des Besucherkennzeichens abgebrochen — es wird kein pseudonymer Datensatz erstellt, sodass nichts gelöscht werden muss, weil nichts geschrieben wurde.
  6. DSAR-Endpunkte bereitgestellt. POST /api/privacy/opt-out, GET /api/privacy/access und POST /api/privacy/erase sind bei jeder Statnive-Live-Implementierung unabhängig von der Gerichtsbarkeit verfügbar. Der deutsche Betreiber hat die technische Infrastruktur, auch wenn im consent-free-Modus das Volumen der Auskunfts- und Löschungsanfragen konstruktionsbedingt gering ist.
  7. Öffentliche rechtliche Offenlegungsrouten im Binary eingebettet. /privacy, /legal/privacy-policy/en, /legal/privacy-policy/de, /legal/lia und /legal/dpa werden vom selben Go-Binary bedient. Die Route /legal/privacy-policy/de stellt den verbatim deutschen Datenschutzerklärungsbaustein aus dem nächsten Abschnitt bereit.

Die 11-Gerichtsbarkeiten-Auswahl (DE / FR / IT / ES / NL / BE / IE / UK / OTHER-EU / IR / OTHER-NON-EU) und die vier Einwilligungsmodi (permissive / consent-free / consent-required / hybrid) ergeben 44 Kombinationen. Die Zeile DE hat nur zwei gültige Kombinationen — consent-free und consent-required. Aufgabe des Validators ist es, die anderen 22 Kombinationen zu verhindern.

Der deutsche Datenschutzerklärungsbaustein

Ein Betreiber, der Statnive Live im consent-free-Modus für eine deutsche Website einsetzt, kann den folgenden Baustein unter /datenschutz (oder der entsprechenden Rechtsseite) veröffentlichen. Der Wortlaut stammt aus Forschungsdokument 53 §08 und spiegelt die obige § 25-TDDDG-Analyse wider.

Reichweitenmessung. Diese Website verwendet [Statnive Live] zur rein server-seitigen Reichweitenmessung. Es werden keine Cookies, kein Local Storage und keine vergleichbaren Technologien auf Ihrem Endgerät gespeichert oder ausgelesen. Insbesondere findet kein Zugriff im Sinne des § 25 Abs. 1 TDDDG statt. Verarbeitet werden ausschließlich Daten, die Ihr Browser für die Auslieferung der Seite ohnehin überträgt (IP-Adresse, Browser-Kennung in stark reduzierter Form, aufgerufene URL, Referrer-Domain). Wir kürzen Ihre IP-Adresse vor jeder weiteren Verarbeitung um das letzte Oktett und ersetzen sie durch eine pseudonymisierte Signatur, deren Salt nach 24 Stunden vernichtet wird.

Rechtsgrundlage. Soweit personenbezogene Daten im Sinne der DSGVO verarbeitet werden, stützt sich die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Eine Interessenabwägung gemäß EDSA-Leitlinien 1/2024 wurde dokumentiert.

Widerspruchsrecht gemäß Art. 21 DSGVO: [OPT-OUT-BUTTON].

Der Baustein erfüllt drei Funktionen gleichzeitig. Er teilt dem Besucher mit, was geschieht (reine server-seitige Reichweitenmessung); er erklärt der Aufsichtsbehörde, warum § 25 TDDDG nicht gilt (kein Endgerätespeicher, kein Zugriff); und er informiert die betroffene Person über die DSGVO-Grundlage (Art. 6 Abs. 1 lit. f plus dokumentierte Interessenabwägung) sowie das Widerspruchsrecht (den Art.-21-Opt-out-Link).

Er ersetzt nicht die eigene Datenschutzerklärung des Betreibers. Der Betreiber schuldet weiterhin eine vollständige Informationspflicht nach Art. 13–22 DSGVO mit Angaben zu Verantwortlichem, Zwecken, Datenkategorien, Aufbewahrungsfrist, Empfängern und allen Betroffenenrechten. Der obige Baustein fügt sich in den Abschnitt Reichweitenmessung dieser umfassenderen Erklärung ein.

Das Widerspruchsrecht nach Art. 21 wird in Statnive Live als strikt notwendiges Cookie umgesetzt, das die Wahlentscheidung des Nutzers ausdrückt — was nach § 25 Abs. 2 Nr. 2 TDDDG zulässig ist, weil es die vom Nutzer ausdrücklich gewünschte Dienstpräferenz (das Widerspruchsrecht) umsetzt. Alternativ kann der Opt-out server-seitig über eine Unterdrückungsliste auf Basis der h:-Signatur des Besuchers mit angemessener TTL gespeichert werden.

Der Audit-Trail — 8 Datenschutz-Ereignisse

Statnive Live gibt 8 strukturierte Audit-Ereignisse aus, die die datenschutz- und rechtsrelevante Oberfläche abdecken. Dies sind die Rechenschaftsnachweise nach Art. 28 Abs. 3 lit. h DSGVO, bereit für einen DSB oder einen Prüfer:

  • privacy.opt_out_received — Ein Widerspruch nach Art. 21 wurde registriert.
  • privacy.dsar_access_requested — Eine Auskunftsanfrage nach Art. 15 wurde eingeleitet.
  • privacy.dsar_erase_requested — Eine Löschungsanfrage nach Art. 17 wurde eingeleitet.
  • privacy.consent_givenstatnive.acceptConsent() wurde aufgerufen (relevant in den Modi consent-required und hybrid, nicht in consent-free).
  • privacy.consent_withdrawnstatnive.withdrawConsent() wurde aufgerufen.
  • legal.lia_viewed — Die Seite /legal/lia wurde ausgeliefert.
  • legal.dpa_viewed — Die Seite /legal/dpa wurde ausgeliefert.
  • legal.privacy_policy_viewed — Die Seite /legal/privacy-policy/{lang} wurde ausgeliefert.

Bei einer deutschen consent-free-Implementierung setzt sich die typische Ereignismischung aus opt_out_received (geringes Volumen — die meisten Besucher widersprechen nicht, weil die Architektur keinen Anlass dazu gibt), gelegentlichen dsar_*_requested-Ereignissen (Betroffenenrechte sind technisch verfügbar, unabhängig vom Modus) und einem stetigen Strom von legal.*_viewed-Ereignissen zusammen.

Die Ereignisse werden in den Log-Senken der Betreiberumgebung ausgegeben — stdout/stderr in Container-Deployments, Syslog auf herkömmlichen Hosts oder eine dedizierte Audit-Tabelle in selbst gehosteten Setups. Die Audit-Ereignisse sind strukturiertes JSON und lassen sich sauber in Loki, Elasticsearch oder jede andere strukturierte Log-Pipeline einlesen.

Der Audit-Trail ist das, worauf ein Betreiber verweist, wenn die Berliner Datenschutzbeauftragte (BlnBDI) oder das BayLDA eine Prüfung einleitet. Der Baustein in der Datenschutzerklärung ist die öffentliche Position; die Audit-Ereignisse sind der zeitgleiche Nachweis, dass die Position tatsächlich umgesetzt ist.

Was ein deutscher Betreiber davon hat

Das praktische Ergebnis:

  • Kein Cookie-Banner erforderlich für die Reichweitenmessung, weil kein Endgerätespeicher und kein Zugriff stattfindet — die strengste aktuelle europäische Position wird durch Konstruktion erfüllt, nicht durch eine ePrivacy-Auslegung.
  • Eine dokumentierte Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO als DSGVO-Grundlage für die personenbezogene Verarbeitung, die der Server nach dem Auslesen von IP, User-Agent und Referer beim Empfang vornimmt. Die Vorlage für die Interessenabwägung befindet sich unter /legal/lia; passen Sie sie mit rechtlicher Unterstützung auf den Verarbeitungskontext des Betreibers an.
  • Ein Datenschutzerklärungsbaustein, der § 25 Abs. 1 TDDDG benennt und erläutert, warum er nicht gilt. Der Baustein ist unter /legal/privacy-policy/de abrufbar und kann direkt in die /datenschutz-Seite des Betreibers eingefügt werden.
  • Eine Konfiguration, die alle 27 Mitgliedstaaten erfüllt, indem die strengste Option gewählt wird. Das Hinzukommen von französischem, italienischem oder niederländischem Traffic erfordert keine Neuarchitektur; die bestehende Konfiguration erfüllt auch CNIL Sheet 16, die Cookie-Leitlinien des Garante von 2021, den AEPD-Leitfaden zur Reichweitenmessung und die Analytik-Cookies-Position der niederländischen AP. Die Länder-für-Länder-Übersicht zeigt die Unterschiede.
  • Zukunftskompatibilität mit dem Digital-Omnibus-Vorschlag Art. 88a Abs. 3 lit. c. Wenn der Kommissionstext unverändert angenommen wird, qualifiziert sich eine consent-free-Statnive-Live-Implementierung ab dem ersten Tag.

Was dies nicht bietet: die Möglichkeit, in Deutschland kostenlos ein Einwilligungsbanner zu setzen, oder GA4 in Deutschland auf Basis berechtigter Interessen zu betreiben. Beides ist nicht erreichbar; die DSK-Leitlinie von 2024 schließt beide Wege.

Häufige Fragen

Braucht ein deutscher Betreiber für irgendeinen Zweck noch ein Banner?

Möglicherweise — aber nicht für die Reichweitenmessung. Ein Einwilligungsbanner ist nur für Verarbeitungen erforderlich, die § 25 Abs. 1 TDDDG auslösen (Speichern oder Zugriff auf dem Gerät) und nicht unter § 25 Abs. 2 Nr. 1 oder Nr. 2 fallen. Dazu gehören Drittanbieter-Werbe-Cookies, Retargeting-Pixel, Social-Share-Widgets, die Cookies setzen, eingebettete YouTube- oder Vimeo-Videos, die beim Laden Cookies setzen, A/B-Test-Cookies und dergleichen. Für diese Zwecke schuldet der Betreiber ein Banner mit einer Ablehnen-so-einfach-wie-Annehmen-UX und — wo zutreffend — die Anerkennung gemäß der deutschen Einwilligungsverwaltungsverordnung.

Die Reichweitenmessungsschicht — Besucherzahlen, Seitenbeliebtheit, Referrer-Auswertung — benötigt kein Banner unter den in diesem Beitrag beschriebenen Bedingungen. Der Betreiber entscheidet, ob er die Analyse auf die einwilligungsfreie Reichweitenmessungsschicht beschränkt oder eine separate einwilligungspflichtige Schicht für E-Commerce-Attribution, A/B-Tests oder Marketing-Kampagnen-Attribution hinzufügt.

Was gilt für die Einwilligungsverwaltungsverordnung (EinwV)?

Die deutsche Einwilligungsverwaltungsverordnung — Einwilligungsverwaltungsverordnung — wurde vom Bundesrat am 20. Dezember 2024 gebilligt und trat am 1. April 2025 nach § 26 Abs. 2 TDDDG in Kraft. Sie erkennt Personal Information Management Services (PIMS) an; Websites müssen Signale von anerkannten Einwilligungsverwaltungsdiensten berücksichtigen. Die EinwV ändert die materielle § 25-Regelung nicht — sie fügt einen anerkannten PIMS-Weg für die Einwilligung hinzu, die die Regelung verlangt, wenn Einwilligung erforderlich ist.

Für eine consent-free-Implementierung ist die EinwV weitgehend irrelevant, weil keine Einwilligung eingeholt wird. Für eine consent-required- oder hybrid-Implementierung ist der EinwV-Anerkennungsweg der langfristige Mechanismus zur Berücksichtigung browserseitiger Einwilligungssignale.

Ändert das BGH-Urteil Planet49 etwas?

Das Urteil des Bundesgerichtshofs BGH I ZR 7/16 Planet49 (vom 28. Mai 2020, nach EuGH C-673/17 vom 1. Oktober 2019) hat im deutschen Recht bestätigt, dass vorangekreuzte Kästchen keine wirksame Einwilligung erzeugen und Opt-out-Ansätze nach dem früheren § 15 Abs. 3 TMG nach der DSGVO unzureichend waren. Das Urteil stärkt die Einwilligungsrichtung in § 25 — es schwächt sie nicht. Betreiber, die BGH Planet49 als Aufweichung des deutschen Einwilligungserfordernisses interpretieren, haben das Urteil falsch verstanden.

Kann ich berechtigtes Interesse für Cookies in Deutschland nutzen, wenn meine Interessenabwägung sehr gründlich ist?

Nein. Die DSK-Leitlinie von 2024 ist eindeutig: Berechtigtes Interesse ersetzt nicht die Einwilligung nach § 25 TDDDG auf der Ebene des Endgerätezugriffs. Eine erschöpfend dokumentierte Interessenabwägung ist für die DSGVO-Grundlage nach Art. 6 für die nachfolgende personenbezogene Verarbeitung erforderlich, öffnet aber keinen Cookie-Ausnahmetatbestand auf der § 25-Ebene. Dies ist die konsistente Position des EDSA-Gutachtens 5/2019 und wird durch die Leitlinien der britischen ICO zu Storage and Access Technologies vom April 2026 bestätigt.

Die Art, das deutsche Recht ohne Einwilligung zu erfüllen, besteht darin, von Anfang an nicht auf das Gerät zu schreiben. Die Cookie-Abhängigkeit wird architektonisch beseitigt; die Interessenabwägungsfrage wird zur reinen DSGVO-Art.-6-Frage, nicht mehr zur § 25-Frage.

Was zu tun — und was zu lassen ist

TunLassen
Gerichtsbarkeit DE in Statnive Live auswählen; standardmäßig consent-free-Modus verwenden (der Hard-Rule-Validator erzwingt dies).Eine deutsche Website auf den Modus permissive setzen — § 25 TDDDG verbietet dies; der Validator verweigert das Speichern.
GPC und DNT im EU-Modus standardmäßig berücksichtigen; den Erhebungsvorgang abbrechen, bevor das Besucherkennzeichen berechnet wird.Cookielose Analytics als automatisch § 25-konform behandeln – die DSK hat bestätigt, dass der Zugriff auf Endgeräte-Informationen § 25 auslöst, auch ohne Cookies.
Den verbatim Reichweitenmessungsbaustein unter /datenschutz veröffentlichen, der § 25 Abs. 1 TDDDG und das Widerspruchsrecht nach Art. 21 nennt.Behaupten, „in Deutschland kein Banner nötig”, ohne die dokumentierte Interessenabwägung und die Datenschutzerklärung. Die DSK-Position verlangt beides.
Eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO gemäß EDSA-Leitlinien 1/2024 für die personenbezogene Verarbeitung dokumentieren, die der Server beim Empfang vornimmt.Berechtigtes Interesse als Ersatz für die Einwilligung nach § 25 auf der Ebene des Endgerätezugriffs heranziehen. Die DSK-Orientierungshilfe Version 1.2 ist eindeutig: Dies ist nicht möglich.
Qualifizierten deutschen Rechtsrat einholen — in der Regel einen Fachanwalt für IT-Recht — vor der Veröffentlichung.GA4, Meta Pixel oder Hotjar ohne vorherige Einwilligung in Deutschland betreiben. BayLDA, NRW LDI, BlnBDI und HmbBfDI haben alle Betreiber dafür sanktioniert.

Das Fazit

Deutschlands § 25 TDDDG ist die strengste aktuelle europäische Position zum Endgeräte-Einwilligungserfordernis. Es gibt keine Reichweitenmessungs-Ausnahme im deutschen Recht, die DSK hat bestätigt, dass berechtigtes Interesse das § 25-Erfordernis nicht ersetzt, und die Geldbußen betragen nach § 28 Abs. 1 Nr. 13 bis zu 300.000 € je Verstoß zuzüglich DSGVO-Bußgelder nach Art. 83.

Die einzige einwilligungsfreie Architektur, die Deutschland standhält, ist eine, bei der kein Speichern oder kein Zugriff auf Endeinrichtungen stattfindet. Der consent-free-Modus von Statnive Live in Kombination mit der Gerichtsbarkeit DE ist genau diese Architektur, erzwungen durch einen Hard-Rule-Validator, der das Speichern einer permissiven deutschen Konfiguration verweigert. Der Datenschutzerklärungsbaustein unter /legal/privacy-policy/de nennt § 25 Abs. 1 TDDDG und das Widerspruchsrecht nach Art. 21. Die 8 Datenschutz-Audit-Ereignisse liefern den zeitgleichen Rechenschaftsnachweis.

Ein Betreiber, der für Deutschland konfiguriert, ist durch Konstruktion für den Rest der EU konfiguriert. Die strenge Baseline setzt sich nach oben fort. Das EU-Consent-Free-Analytics-Playbook 2026 bietet den übergeordneten Rahmen; der CNIL-Sheet-16-Beitrag ist die französische Alternative; die Länder-für-Länder-Übersicht geht die verbleibenden Mitgliedstaaten durch. Der Weg des deutschen Betreibers ist der, den dieser Beitrag beschrieben hat.

Dies ist datenschutzrechtliche Forschung, keine Rechtsberatung. Statnive Live, konfiguriert im consent-free-Modus für die Gerichtsbarkeit DE mit consent.respect_gpc = true und einer dokumentierten Interessenabwägung, ist architektonisch darauf ausgelegt, als Implementierung ohne Endgerätespeicher und ohne Endgerätezugriff nach § 25 TDDDG zu qualifizieren. Die Architektur beseitigt den § 25 Abs. 1-Auslösetatbestand; die Interessenabwägung deckt die DSGVO-Grundlage nach Art. 6 Abs. 1 lit. f für die nachfolgende Verarbeitung ab. Jeder Statnive-Kunde bleibt selbst Verantwortlicher und trägt die Verantwortung für seine eigene Konfiguration und Datenschutz-Folgenabschätzung. Holen Sie qualifizierten deutschen Rechtsrat ein — den zuständigen Datenschutzbeauftragten oder einen Fachanwalt für IT-Recht — vor der Veröffentlichung.

Stand der Regulierungsverweise zum 13. Mai 2026: TDDDG (umbenannt von TTDSG am 14. Mai 2024; kein inhaltlicher § 25-Änderung zwischen dann und Mai 2026); § 25 TDDDG; § 28 Abs. 1 Nr. 13 TDDDG; DSK Orientierungshilfe für Anbieter:innen von digitalen Diensten Version 1.2 vom 20. November 2024 (weiterhin in Kraft; keine Nachfolgeversion bis Mai 2026; bestätigt, dass cookieloses Messen § 25 auslöst, wenn auf Endgeräte-Informationen zugegriffen wird); Einwilligungsverwaltungsverordnung (EinwV) vom Bundesrat am 20. Dezember 2024 beschlossen, in Kraft seit 1. April 2025; BGH I ZR 7/16 Planet49 vom 28. Mai 2020; EuGH C-673/17 Planet49 vom 1. Oktober 2019 (ECLI:EU:C:2019:801); EuGH C-582/14 Breyer vom 19. Oktober 2016 (ECLI:EU:C:2016:779); EuGH C-621/22 KNLTB vom 4. Oktober 2024 (ECLI:EU:C:2024:857); EDSA-Leitlinien 2/2023 v2.0 vom 7. Oktober 2024; EDSA-Leitlinien 1/2024 vom 8. Oktober 2024; Entwurf der EDSA-Leitlinien 01/2025 zur Pseudonymisierung (als Entwurf am 16. Januar 2025 angenommen; endgültige Fassung bis Mai 2026 noch nicht veröffentlicht); Gemeinsame Stellungnahme EDSA-EDSB 2/2026 vom 11. Februar 2026 zum Digital Omnibus; EDSA-Gutachten 5/2019. Laufende § 25-TDDDG-Durchsetzung in den Jahren 2024–2026 durch BayLDA / NRW LDI / BlnBDI / HmbBfDI gegen GA4 / Meta Pixel / Hotjar ohne Einwilligung.

Statnive kostenlos herunterladen