LSM Agents

Compliance · TDDDG · Cookie-Banner

TDDDG: Machen Sie Ihren Cookie-Banner konform — bevor die nächste Abmahnung eintrifft.

VG Hannover 19. März 2025 + SHEIN 150-Mio.-€-Bußgeld der CNIL September 2025 setzen die Latte: „Alle ablehnen" muss visuell gleichwertig zu „Alle akzeptieren" sein. Vorab angekreuzte Boxen sind illegal. Jedes Dark Pattern ist nun angreifbar. Wir auditieren, ersetzen und dokumentieren in 7 Tagen zum Festpreis.

TL;DR

  • ·VG Hannover 19.03.2025: „Alle ablehnen" muss visuell genauso prominent sein wie „Alle akzeptieren". Hinter „Einstellungen" verstecken ist illegal.
  • ·CNIL verhängte 150 Mio. € gegen SHEIN (September 2025) wegen Cookie-Banner-Dark-Patterns. Aufsichtsbehörden sind koordiniert; deutsche Verfahren werden folgen.
  • ·Cookie-Consent muss sein: freiwillig, spezifisch, informiert, eindeutig, opt-in (nicht opt-out) und ebenso einfach zu widerrufen wie zu erteilen.
  • ·Unsere Lieferung: 3-Tage-Audit (1.800 €) → 7-Tage-Ersatz mit einem Banner, der TDDDG, ePrivacy und DSGVO gleichzeitig erfüllt.

Wer muss konform sein

TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) gilt für jeden, der Informationen auf dem Endgerät des Nutzers speichert oder darauf zugreift — also jeden, der Cookies, localStorage, sessionStorage, IndexedDB oder Fingerprinting verwendet. Strikt notwendige Cookies (Session, CSRF, Sprachpräferenz) sind nach §25 TDDDG ausgenommen. Alles andere — Analytics, A/B-Tests, Retargeting, eingebettete Medien-Tracker — braucht vorherige, granulare, opt-in-Einwilligung. Die Ausnahme ist eng: „erforderlich für den vom Nutzer angeforderten Dienst" ist der Test, und Analytics qualifiziert sich nie.

Wie ein konformer Banner aussieht

Nach VG Hannover und SHEIN-Präzedenz sind die technischen Anforderungen eindeutig. Jeder unten genannte Defekt wurde irgendwo in der EU als illegal beurteilt.

  • „Alle ablehnen" fehlt auf der ersten Ebene — neben „Alle akzeptieren" wird nur „Einstellungen" angezeigt
  • „Alle ablehnen" visuell deprioritisiert: kleiner, geringerer Kontrast, sekundäres Styling
  • Vorab angekreuzte Consent-Boxen für nicht-essenzielle Kategorien
  • Consent vor Klick gespeichert (Tracking beim Seitenaufruf)
  • Settings-Dialog erfordert mehrere Klicks, um die Toggles zu erreichen
  • Kein „Einwilligung widerrufen"-Steuerelement nach der ersten Wahl
  • Consent-Ablauf länger als 12 Monate ohne erneuten Prompt
  • Keine granulare Kategorie-Steuerung (Analytics + Werbung + Funktional zusammengefasst)
  • Banner blockiert Inhalt beim ersten Besuch (Cookie-Wand) ohne bezahlte Alternative
  • Kein serverseitig gespeicherter Consent-Nachweis nach Art. 7(1) DSGVO

Wie die Durchsetzung tatsächlich aussieht

Zwei Schichten. Erstens: Datenschutzbehörden. CNIL (Frankreich) verhängte 150 Mio. € gegen SHEIN im September 2025 wegen Cookie-Dark-Patterns; BfDI und LfDI in Deutschland signalisieren Ausrichtung. Die deutsche DSK veröffentlichte im Oktober 2024 gemeinsame Orientierungshilfe, die dem CNIL-Ansatz entspricht. Zweitens: Wettbewerber- und Verbraucherschutz-Abmahnungen. Nach BGH 03/2025 ist die Verbindung zwischen DSGVO-Verstoß und UWG etabliert; Cookie-Banner-Verstöße sind die am leichtesten zu screenshot-baren Verstöße, und Abmahnvereine wissen das. Erwartete Gebühr pro Abmahnung: 1.200–3.800 € plus zwingende Remediation.

Wie wir ein TDDDG-Projekt führen

  1. 01

    Audit (3 Tage): jedes Cookie, jeden localStorage-Schlüssel und Tracker-Aufruf kartieren. Kategorisieren: strikt notwendig, funktional, Analytics, Marketing. Alle Dark Patterns identifizieren.

  2. 02

    Banner-Design: aus unserer konformen Vorlage wählen (Klaro, Cookiebot-Konfiguration oder Custom-Next.js-Komponente) und für Ihre Seite anpassen.

  3. 03

    Build (4–7 Tage): Banner ersetzen, alle nicht-essenziellen Tracker hinter serverseitige Consent-Prüfung schalten (nicht nur JS-Guard), granulare Kategorie-Steuerungen implementieren, Consent serverseitig protokollieren.

  4. 04

    Verifikation: Drittprüfung — null nicht-essenzielle Tracker vor Consent. Screenshots des konformen Flows als Nachweis gespeichert.

  5. 05

    Dokumentation: Datenschutzerklärung mit kategorischer Cookie-Liste und Rechtsgrundlagen aktualisiert; „Einwilligung widerrufen"-Link im Footer.

  6. 06

    Monitoring: Care+-Retainer oder höher mit quartalsweisem Cookie-Sweep + Consent-Log-Review.

Quellen

TDDDG Cookie-Banner — häufig gestellte Fragen

Kann ich OneTrust / Usercentrics / Cookiebot weiter nutzen?+

Ja, wenn Sie sie korrekt konfigurieren. Out-of-the-Box-Konfigurationen verstoßen häufig gegen die Gleichwertigkeitsregel. Wir prüfen die Konfiguration im 3-Tage-Audit und passen sie an. Die CMP ist das Werkzeug; die Konfiguration ist die Pflicht.

Brauche ich wirklich einen „Ablehnen"-Button neben „Akzeptieren" auf der ersten Ebene?+

Ja. VG Hannover 19.03.2025 und die DSK-Orientierungshilfe verlangen beide visuelle Gleichwertigkeit. „Alle ablehnen" muss dieselbe Größe, denselben Kontrast und dieselbe Klick-Tiefe haben wie „Alle akzeptieren".

Was ist mit Cookie-Walls — Inhalt blockieren bis Akzeptanz?+

Cookie-Walls sind nach DSGVO illegal (Einwilligung ist nicht „freiwillig", wenn Ablehnung „kein Dienst" bedeutet) — es sei denn, Sie bieten eine bezahlte trackingfreie Alternative — das „Pay-or-Okay"-Modell. EDPB-Guidance ist auch dem Pay-or-Okay gegenüber skeptisch; eine günstigere bereinigte Inhalts-Alternative ist sicherer.

Kann ich einfach alle Drittskripte blockieren und den Banner überspringen?+

Bei manchen Sites ja. Wenn Sie keine Analytics, kein eingebettetes Video, keine Drittschriften, kein Zahlungs-Widget mit Cookies, kein Remarketing haben — und nur strikt notwendige Cookies — dann brauchen Sie nach §25 TDDDG keinen Consent-Banner. Die meisten kommerziellen Sites erfüllen diese Schwelle nicht.

Wie lange muss der Consent-Nachweis aufbewahrt werden?+

Empfohlen: 3 Jahre. Der Nachweis muss Rechenschaftspflicht nach Art. 7(1) DSGVO belegen. Speichern: Zeitstempel, Banner-Version, Consent-Status pro Kategorie, IP-Adress-Hash, User-Agent. Wir loggen serverseitig, nicht im localStorage (das der Nutzer löschen kann).

Was kostet es?+

Nur Audit: 1.800 € Festpreis. Audit + Ersatz: 3.200–6.500 € abhängig von Integrationskomplexität. Genauen Preis im Kalkulator konfigurieren.

Configure your scope →

← Back to compliance overview