Rechtssicher online mit DDG und TDDDG

VonStephan Wagner

So bringen Sie Ihr Cookie-Banner auf Stand 2026 Sie führen ein Unternehmen, kümmern sich um Kundinnen und Kunden,…

So bringen Sie Ihr Cookie-Banner auf Stand 2026

Sie führen ein Unternehmen, kümmern sich um Kundinnen und Kunden, Aufträge, Personal und IT. Und dann kommen noch DDG, TDDDG, Cookies und Einwilligungen dazu. Die gute Nachricht: Sie müssen daraus kein Hobby machen. Mit ein paar klaren Schritten machen Sie Ihre Website rechtssicher und sorgen nebenbei für mehr Vertrauen bei Ihren Besuchenden.

In diesem Beitrag zeige ich Ihnen verständlich und praxisnah, worauf es seit den Gesetzesänderungen ankommt und wie Sie Ihr Cookie-Banner, Impressum und Ihre Datenschutzerklärung ohne große Umwege in den Griff bekommen.

1. Was sich geändert hat: Vom TMG und TTDSG zu DDG und TDDDG

Seit dem 14. Mai 2024 gelten neue Regeln für Websites und digitale Dienste. Zwei Punkte sind für Sie als Verantwortliche besonders wichtig:

  • Das Telemediengesetz (TMG) wurde durch das Digitale-Dienste-Gesetz (DDG) ersetzt.
    Dort finden Sie jetzt die Vorgaben zu Impressum, Anbieterkennzeichnung und einigen Informationspflichten.
  • Aus dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) ist das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) geworden.
    Hier steckt die Pflicht zur Einwilligung für Cookies und ähnliche Tracking-Technologien drin.

Kurz gesagt:
Alte Gesetzesverweise wie TMG und TTDSG gehören nicht mehr auf Ihre Website. An deren Stelle treten DDG und TDDDG. Inhaltlich ist vieles vergleichbar geblieben, aber Sie sollten Ihre Texte und Ihr Cookie-Management auf den neuen Stand bringen.

2. Was das konkret für Ihre Website bedeutet

Schauen wir uns die wichtigsten Baustellen an, die ich in kleinen und mittleren Unternehmen immer wieder sehe.

2.1 Impressum und Datenschutzerklärung aktualisieren

Ihr Impressum sollte heute nicht mehr auf das TMG verweisen, sondern auf das DDG. Wenn Ihr Impressum noch Formulierungen wie „gemäß § 5 TMG“ enthält, ist es Zeit für ein Update.

Auch die Datenschutzerklärung braucht einen frischen Blick:

  • Verweise auf das TTDSG gehören durch TDDDG ersetzt.
  • Alle eingesetzten Dienste und Cookies sollten dort klar beschrieben sein:
    zum Beispiel Analytics-Tools, Newsletter-Dienste, eingebettete Karten, Videos, Schriftarten oder Chat-Tools.
  • Die Angaben sollten zu Ihrer tatsächlichen Konfiguration passen, nicht zu einem Wunschzustand.

Pragmatischer Tipp:
Nutzen Sie einen aktuellen Generator seriöser Anbieter wie etwa eRecht24, IHK oder andere etablierte Dienste. Achten Sie darauf, dass die Generatoren explizit DDG und TDDDG berücksichtigen und passen Sie die Texte anschließend an Ihre konkrete Website an.

2.2 Cookie-Banner und Consent-Management nach TDDDG

Das TDDDG regelt, dass alle nicht technisch notwendigen Cookies und vergleichbare Tracking-Technologien nur mit Einwilligung gesetzt werden dürfen. Das betrifft typischerweise:

  • Webanalyse und Tracking
  • Marketing- und Remarketing-Dienste
  • viele Social-Media-Plugins
  • externe Einbindungen, die Daten an Dritte übertragen

Die Einwilligung braucht:

  • eine echte Wahlmöglichkeit (zulassen, ablehnen, individuelle Auswahl)
  • verständliche Informationen zu Zweck und Anbietern
  • eine Protokollierung, damit Sie nachweisen können, dass Einwilligungen erfolgt sind

Für WordPress-Websites haben sich insbesondere folgende Lösungen etabliert:

  • Borlabs Cookie
    Läuft in Ihrem eigenen Webspace, ermöglicht eine feine Steuerung der Cookie-Kategorien, dokumentiert Einwilligungen und wird regelmäßig an die aktuelle Rechtslage angepasst.
  • Complianz
    Bietet ebenfalls ein umfangreiches Consent-Management, unterstützt mehrere Sprachen und bringt vorkonfigurierte Szenarien mit, die sich gut für typische KMU-Setups eignen.

Wichtig:
Egal welches Tool Sie nutzen, entscheidend ist die saubere Konfiguration. Das Banner muss mehr können als „Alles akzeptieren“ und darf standardmäßig keine nicht notwendigen Cookies ohne Einwilligung setzen.

2.3 Technisch notwendige Cookies: Wann keine Einwilligung nötig ist

Nicht jede Website braucht ein aufwendiges Trackingkonzept. Technisch notwendige Cookies dürfen Sie weiterhin ohne Einwilligung setzen. Dazu gehören zum Beispiel:

  • Session-Cookies für Logins in Kundenbereichen
  • Warenkorb-Cookies in Onlineshops
  • Sicherheits- oder Load-Balancing-Cookies, die für den Betrieb zwingend nötig sind

Sobald Cookies oder ähnliche Technologien aber der Reichweitenmessung, dem Marketing oder der Profilbildung dienen, brauchen Sie eine aktive Zustimmung nach TDDDG.

3. Kontaktformulare, Plugins und externe Dienste: Die stillen Datensammler

Bei Datenschutz denken viele nur an Cookies. In der Praxis sehe ich oft andere Stolperfallen.

3.1 Kontaktformulare

Ein Kontaktformular ist schnell eingebaut, aus Datenschutzsicht aber mehr als nur ein paar Felder:

  • Unter dem Formular sollten Sie kurz erklären, wofür Sie die Daten nutzen und auf die Datenschutzerklärung verweisen.
  • Speichern Sie nur, was Sie wirklich brauchen: Name, Kontaktdaten, Nachricht reichen oft aus.
  • Prüfen Sie, ob das Formular Daten zusätzlich bei Dritten speichert (zum Beispiel beim Anbieter eines Formular-Plugins oder in US-Clouds).

3.2 Eingebettete Inhalte und Webservices

Typische Beispiele:

  • Google Maps
  • YouTube- oder Vimeo-Videos
  • Schriftarten oder Icons von externen Content Delivery Networks
  • Social-Media-Feeds

Viele dieser Dienste übertragen Daten bereits beim Laden der Seite. Das kann Einwilligungen erforderlich machen. Eine datenschutzfreundliche Lösung ist oft:

  • Dienste erst nach Klick laden („Zum Anzeigen bitte zustimmen“)
  • oder datenschutzfreundliche Alternativen nutzen, die ohne Tracking auskommen.

4. Schritt-für-Schritt zur rechtssicheren Website

Damit Sie das Thema strukturiert angehen können, hier ein kompakter Fahrplan, wie ich ihn auch in Beratungsprojekten nutze.

Schritt 1: Bestandsaufnahme

  • Welche Plugins, Tools, Skripte und externen Dienste sind auf Ihrer Website aktiv?
  • Welche Cookies werden gesetzt und wofür?
  • Welche Tracking- oder Marketing-Dienste sind im Einsatz?

Schritt 2: Rechtstexte aufräumen

  • Impressum auf DDG umstellen und veraltete Verweise zum TMG entfernen.
  • Datenschutzerklärung aktualisieren und alle eingesetzten Dienste nach neuem Stand abbilden.
  • Prüfen, ob die Texte zu den tatsächlichen Einstellungen auf der Website passen.

Schritt 3: Consent-Banner einrichten oder überarbeiten

  • Auswahl eines geeigneten Tools, zum Beispiel Borlabs Cookie oder Complianz.
  • Kategorisierung der Cookies (notwendig, Statistik, Marketing und so weiter).
  • Konfiguration, dass nur technisch notwendige Cookies vor Einwilligung aktiv sind.
  • Gestaltung des Banners passend zum Corporate Design und gut sichtbar.

Schritt 4: Technische Kontrolle

  • Mehrere Testaufrufe machen, gern auch mit verschiedenen Browsern.
  • Prüfen, ob bei „Ablehnen“ wirklich keine nicht notwendigen Cookies gesetzt werden.
  • Link auf die Datenschutzerklärung im Banner und in der Fußzeile kontrollieren.

Schritt 5: Dokumentation

  • Kurz festhalten, welche Tools Sie nutzen und wie Einwilligungen gespeichert werden.
  • Änderungen und Updates mit Datum notieren.
  • Das erleichtert Nachweise gegenüber Aufsichtsbehörden und sorgt intern für Klarheit.

Schritt 6: Regelmäßiger Check

  • Nach größeren Updates von WordPress, Themes oder Plugins die Funktion des Banners prüfen.
  • Bei neuen Marketingaktionen (zum Beispiel neuer Newsletterdienst, Tracking-Pixel, Chat-Tool) gezielt schauen, ob sich etwas am Datenschutz ändert.

5. Praxis aus dem Alltag: Drei typische Szenarien

Zum Schluss drei Fälle, wie ich sie in kleinen und mittleren Unternehmen häufig erlebe.

Fall 1: Die moderne Firmenwebsite mit Portfolio

Ein Designbüro betreibt eine WordPress-Seite mit Portfolio, Kontaktformular und eingebetteten Instagram-Beiträgen. Bisher gab es nur einen einfachen Cookie-Hinweis.

Lösung:

  • Impressum und Datenschutzerklärung auf DDG und TDDDG aktualisieren.
  • Borlabs Cookie installieren, Kategorien einrichten, Tracking- und Social-Media-Dienste nur nach Einwilligung laden.
  • Instagram-Feed so konfigurieren, dass er erst nach Zustimmung angezeigt wird.
  • Kurzen Datenschutzhinweis unter das Kontaktformular setzen.

Fall 2: Die Praxis mit Online-Terminbuchung

Eine Arztpraxis bietet über einen externen Dienst Online-Termine an. Zudem nutzt die Website Analytics und ein Kontaktformular.

Lösung:

  • In der Datenschutzerklärung ausführlich über den Termindienst, seine Serverstandorte und Zwecke informieren.
  • Analytics über das Consent-Tool steuern, keine Cookies vor Einwilligung.
  • Technisch notwendige Cookies des Termindienstes und der Website selbst dürfen ohne Einwilligung laufen, Marketing- oder Statistiktools nicht.
  • Praxisinterne Abläufe zu Auskunfts- und Löschanfragen klären.

Fall 3: Der kleine Online-Shop

Ein kleiner Online-Shop mit einigen Dutzend Produkten nutzt Warenkorb-Funktion, Zahlungsdienstleister und Newsletter-Marketing.

Lösung:

  • Klare Trennung zwischen technisch notwendigen Cookies (Warenkorb, Logins, Sicherheitsfunktionen) und Marketing- beziehungsweise Tracking-Cookies.
  • Consent-Management-System einrichten, das Zahlungsdienstleister, Shop-Tracking und Newsletter-Tracking korrekt abbildet.
  • Datenschutzerklärung inklusive Zahlungsdienstleistern, Versanddienstleistern und Newsletter-Dienst auf aktuellen Stand bringen.

6. Checkliste: Ist Ihre Website fit für DDG und TDDDG?

Ein schneller Selbsttest:

  •  Im Impressum wird DDG genannt, keine alten TMG-Verweise mehr
  •  Die Datenschutzerklärung benennt DDG, TDDDG und alle tatsächlich genutzten Dienste
  •  Es gibt ein vollwertiges Cookie- oder Consent-Banner mit echter Auswahlmöglichkeit
  •  Nicht notwendige Cookies werden erst nach Einwilligung gesetzt
  •  Kontaktformulare haben einen kurzen Datenschutzhinweis und verweisen auf die Datenschutzerklärung
  •  Eingebettete Dienste wie Karten, Videos oder Social-Media-Inhalte sind datenschutzkonform eingebunden
  •  Einfache, interne Dokumentation der eingesetzten Tools und der Einwilligungsverwaltung ist vorhanden
  •  Nach Updates wird gelegentlich geprüft, ob alles noch wie gewünscht funktioniert

Wenn Sie hier mehr als zweimal „nein“ ankreuzen, lohnt sich eine gezielte Überarbeitung.

Fazit: Rechtssicherheit und Vertrauen mit überschaubarem Aufwand

Datenschutz, DDG, TDDDG und Cookie-Banner sind kein Selbstzweck. Es geht darum, Ihre Kundendaten zu schützen, Bußgelder und Reputationsverlust zu vermeiden und Vertrauen aufzubauen. Mit einem aktuellen Impressum, einer sauberen Datenschutzerklärung und einem gut konfigurierten Consent-Tool sind Sie als kleiner oder mittelständischer Betrieb bereits sehr gut aufgestellt.

Wenn Sie möchten, begleite ich Sie genau dabei: von der Bestandsaufnahme über die technische Umsetzung bis hin zu Schulungen für Ihr Team. Als externer Datenschutzbeauftragter mit Sitz auf Sylt und Fokus auf praxisnahe Lösungen für kleine und mittlere Unternehmen sorge ich dafür, dass Ihre Website rechtssicher wird und bleibt, ohne Ihren Alltag unnötig zu belasten.

Hinweis: Dieser Beitrag ersetzt keine individuelle Rechtsberatung. Für eine Prüfung Ihres konkreten Falls oder die Umsetzung auf Ihrer Website stehe ich Ihnen gern persönlich zur Verfügung.

Ähnliche Beiträge