Stell dir vor, du hast deinen Online-Shop mit viel Liebe zum Detail aufgebaut. Die Produkte sind top, die Google Ads-Kampagnen laufen, die ersten Bestellungen trudeln ein. Und dann flattert ein anwaltliches Schreiben ins Haus – Abmahnung wegen fehlerhaftem Cookie-Banner. 

Oder du wunderst dich, warum deine Remarketing-Anzeigen plötzlich ins Leere laufen, obwohl du doch alles richtig gemacht hast. Willkommen im Compliance-Dreieck des E-Commerce.

Drei Regelwerke bestimmen heute, wie du Cookies und Tracking auf deiner Seite einsetzen darfst: die DSGVO, die ePrivacy-Vorgaben (bei uns im TDDDG verankert) und Googles Consent Mode v2. Sie sind keine lose Sammlung netter Empfehlungen, sondern ein eng verzahntes System. 

Das Tückische: Du kannst gegen keines der drei verstoßen, ohne dass es wehtut – sei es durch Bußgelder, Abmahnungen oder einfach durch verschenkte Werbeausgaben. Wer nur an die DSGVO denkt, fährt mit angezogener Handbremse. 

Wer nur den Consent Mode implementiert, riskiert den Abmahnbrief. Und wer meint, mit einem schnellen Cookie-Banner sei alles getan, übersieht, dass Google heute explizit Consent-Signale fordert.

Genau deshalb bringt dieser Artikel Licht ins Regel-Dickicht: Welche Pflichten bringt jede Ebene mit? Wo überschneiden sie sich? Und vor allem – wie setzt du das alles parallel um, ohne den Verstand zu verlieren?

DSGVO: Die Basis mit millionenschweren Folgen

Die Datenschutz-Grundverordnung ist für die meisten Shopbetreiber der erste Gedanke, wenn es um Cookies geht – und das zu Recht. Denn sobald ein Cookie personenbezogene Daten verarbeitet, greift die DSGVO. Und genau das tun Tracking- und Marketing-Cookies nun einmal.

Art. 7 DSGVO regelt die Bedingungen für eine wirksame Einwilligung. In der Praxis bedeutet das: Du brauchst ein Cookie-Consent-Tool, das nicht einfach irgendein Banner einblendet, sondern eine informierte, freiwillige und dokumentierte Zustimmung einholt. Kommt dir bekannt vor? Ist es auch – trotzdem wird genau hier immer noch geschlampt.

Laut datenschutz.org drohen bei fehlendem oder nicht DSGVO-konformem Cookie-Banner Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes – je nachdem, was höher ist (Art. 83 Abs. 5 DSGVO). Ja, richtig gelesen. Und das ist keine theoretische Zahl, sondern eine, die Aufsichtsbehörden längst in ihre Drohkulisse eingebaut haben.

Wer jetzt denkt: „Ach, ich bin doch in Deutschland, da gelten Sonderregeln“, den holt die Realität ein. Die iubenda-Analyse zu Deutschlands Cookie-Anforderungen stellt klar: Eine ungültige Einwilligung kann dieselben drakonischen DSGVO-Sanktionen auslösen. Die Spielregeln mögen national leicht variieren, das Strafmaß bleibt EU-weit dasselbe.

Was viele Shopbetreiber außerdem übersehen: DSGVO-Compliance endet nicht beim Cookie-Banner. Auftragsverarbeitungsverträge, Datenschutzerklärung, Betroffenenrechte – das volle Programm. 

Wer sich hier tiefer einlesen will, findet im Artikel zu DSGVO-Pflichten für Onlinehändler einen guten Einstieg. Denn ein unzureichendes Banner allein reicht bereits als Abmahngrund – ganz unabhängig davon, ob du den Google Consent Mode implementiert hast oder nicht.

ePrivacy: Vom TDDDG bis zur gescheiterten Verordnung

Neben der DSGVO gibt es noch ein zweites, weniger bekanntes Regelwerk: die ePrivacy-Richtlinie von 2002. Sie regelt speziell die Privatsphäre in der elektronischen Kommunikation – und das mit einem entscheidenden Unterschied zur DSGVO.

Während die DSGVO nur greift, wenn personenbezogene Daten im Spiel sind, deckt die ePrivacy-Richtlinie laut iubenda auch nicht-personenbezogene Daten ab. Bei Cookies hat sie sogar generell Vorrang. Das heißt: Selbst wenn ein Cookie keine personenbezogenen Daten sammelt, kann die ePrivacy-Richtlinie eine Einwilligung verlangen.

In Deutschland ist dieses Regelwerk seit dem 13. Mai 2024 im TDDDG umgesetzt – dem Telekommunikation-Digitale-Dienste-Datenschutzgesetz, dem Nachfolger des alten TTDSG. Die für dich wichtigste Vorschrift steht in § 25 TDDDG. 

Cortina Consult fasst es so zusammen: Immer wenn du auf das Endgerät eines Nutzers zugreifst oder dort Daten speicherst – PC, Smartphone, Tablet – brauchst du eine Einwilligung. Einzige Ausnahme: technisch notwendige Cookies wie Warenkorb- oder Session-Cookies.

Die möglichen Konsequenzen sind kein Pappenstiel: Bis zu 300.000 Euro Bußgeld können bei Verstößen gegen das TDDDG verhängt werden, zuständig sind Bundesnetzagentur oder BfDI.

Was viele Shopbetreiber nicht auf dem Schirm haben: Die eigentlich geplante ePrivacy-Verordnung, die das Ganze EU-weit vereinheitlichen sollte, ist Geschichte. Am 12.

Februar 2025 hat die EU-Kommission den Vorschlag nach acht Jahren ergebnisloser Verhandlungen offiziell zurückgezogen – mit der Begründung, er sei „angesichts mancher jüngerer Entwicklungen im technologischen und gesetzlichen Umfeld veraltet“. 

Was gilt jetzt? Nach dem Scheitern der Verordnung bleiben die ePrivacy-Richtlinie (umgesetzt im TDDDG) und nationale Gesetze in Kraft. Cookie-Banner sind weiterhin Pflicht.

Aber die Geschichte endet hier nicht. Als Alternative plant die EU das sogenannte „Digital Package“, das Cookie-Regeln künftig direkt in die DSGVO integrieren soll. Ein erster Entwurf wurde am 19. 

November 2025 vorgestellt. Der BfDI selbst wünscht sich, dass die ursprünglichen Datenschutzregeln der gescheiterten Verordnung in diesem neuen Paket wieder auftauchen – das geht aus der offiziellen Stellungnahme hervor.

Für dich heißt das: Das TDDDG bleibt auf absehbare Zeit der verbindliche nationale Standard für Cookie-Einwilligungen. DSGVO und TDDDG wirken parallel. Wer das ignoriert, baut sein Compliance-Fundament auf Sand.

Jetzt wird es spannend – denn zu den rechtlichen Pflichten gesellt sich noch eine rein technisch-kommerzielle Anforderung: Googles Consent Mode v2.

Seit dem 6. März 2024 ist er für alle verpflichtend, die Google Analytics und Google Ads uneingeschränkt nutzen wollen. eRecht24 erklärt den Hintergrund: Der Digital Markets Act (DMA) zwingt Google als Gatekeeper dazu, nachzuweisen, dass für gesammelte Daten tatsächlich Einwilligungen vorliegen. Der Consent Mode ist also Googles Antwort auf die DMA-Vorgaben.

Aber Achtung: Rechtlich verpflichtend ist der Consent Mode für dich als Websitebetreiber nicht. Du musst ihn nicht einsetzen. Allerdings – und das ist der springende Punkt – verlierst du ohne ihn den Zugriff auf Personalisierungs- und Remarketing-Funktionen. Deine Google Ads laufen dann mit deutlicher Handbremse.

Technisch bringt der Consent Mode v2 zwei neue Parameter mit, wie DataGuard ausführt: ad_user_data (steuert die Datenübermittlung zu Werbezwecken) und ad_personalization (steuert personalisierte Werbung). Zusammen mit den älteren Parametern analytics_storage und ad_storage ergibt sich ein feinmaschiges Steuerungssystem.

Was viele nicht wissen: Im Advanced Mode sendet Google sogenannte Pings, selbst wenn der Nutzer die Einwilligung abgelehnt hat. Diese enthalten Zeitstempel, Referrer, User Agent, Ad-Click-Informationen und den Zustimmungsstatus. 

DataGuard-Experten stufen genau das als problematisch ein – hier könnten personenbezogene Daten ohne Rechtsgrundlage verarbeitet werden. Eine obergerichtliche Klärung steht bislang aus.

Cookiebot macht zudem deutlich: Wer bis März 2024 keine Google-zertifizierte CMP mit Consent Mode v2 implementiert hat, kann zwar weiter Werbung schalten – aber Personalisierung und Remarketing funktionieren nicht mehr. Zu den unterstützten Google-Diensten gehören Google Analytics, Google Ads (Conversion Tracking und Remarketing), Google Tag Manager, gtag, Floodlight und Conversion Linker.

Ein spannendes Detail: Laut iubenda stellt der Consent Mode v2 über 70 % der Conversion-Verluste wieder her, die durch abgelehnte Einwilligungs-Banner entstehen. Das klingt nach einem starken Argument für die Implementierung – aber Vorsicht: Das gilt nur bei korrekter Einrichtung und taugt nicht als pauschale Garantie.

Entscheidend ist: Der Consent Mode ersetzt kein Cookie-Consent-Tool. Er setzt vielmehr eine rechtskonforme Einwilligung voraus und signalisiert Google nur deren Status. Wer hier spart, bekommt schnell doppelte Probleme.

Das Problem der isolierten Betrachtung: Warum ein Regelwerk nicht reicht

An dieser Stelle dürfte klar sein: DSGVO, ePrivacy und Consent Mode sind keine Wahlfächer, sondern ein Pflichtprogramm aus drei Teilen.

Ein Beispiel gefällig? Du erfüllst alle DSGVO-Pflichten vorbildlich, hast aber keinen TDDDG-konformen Cookie-Consent. Trotzdem drohen Bußgelder – denn die Rechtsgrundlagen sind unabhängig. Oder du implementierst nur Googles Consent Mode v2, nutzt aber keine rechtskonforme CMP. Dann riskierst du Abmahnungen und deine Einwilligung ist möglicherweise unwirksam.

Der Google Consent Mode entbindet dich nicht von der Pflicht, selbständig eine Einwilligung einzuholen. Gleichzeitig verlangt Googles EU User Consent Policy , dass du eine rechtsgültige Einwilligung sowohl für Cookies und lokale Speicherung als auch für die Verarbeitung personenbezogener Daten zur Ads-Personalisierung nachweisen kannst.

Die drei Ebenen ergänzen sich also:

  1. Die DSGVO liefert die Rechtsgrundlage für personenbezogene Datenverarbeitung.
  2. § 25 TDDDG regelt den Zugriff auf Endgeräte und Cookies im Speziellen.
  3. Der Google Consent Mode v2 signalisiert Google den Zustimmungsstatus und verhindert Funktionsverluste.

Übrigens: Wer glaubt, nach der erfolgreichen CMP-Implementierung sei alles erledigt, irrt. Abmahnrisiken lauern an allen Ecken – nicht nur bei Datenschutzthemen. 

Nur wer alle drei Anforderungen parallel erfüllt, bleibt auf der sicheren Seite – rechtlich wie werblich.

Praktische Umsetzung: So werden Sie compliant

Genug der Theorie – wie setzt du das Ganze jetzt praktisch um?

Der Dreh- und Angelpunkt ist eine CMP, die alle drei Regelwerke abdeckt. Anbieter wie iubenda sind offiziell von Google zertifiziert und ins CMP-Partnerprogramm aufgenommen – das erleichtert die Einrichtung des Consent Mode v2 erheblich. Die Cookie Solution von iubenda deckt DSGVO, ePrivacy-Richtlinie (EU und UK), TDDDG sowie Googles eigene Consent-Anforderungen ab und wird laut Anbieter von über 150.000 Kunden in mehr als 100 Ländern genutzt.

Mit einer solchen Plattform automatisierst du die Einholung der rechtssicheren Einwilligung und die Übermittlung der Consent-Signale an Google. Alle drei Regelwerke werden in einem Aufwasch bedient – das spart Zeit und Nerven.

Wer selbst ein cookie banner erstellen möchte, findet bei iubenda eine fertig konfigurierbare Lösung, die alle relevanten Gesetze und Google-Anforderungen integriert.

Checkliste: 5 Schritte zur gleichzeitigen Compliance

  1. DSGVO-Basis sichern – Prüfe deine Datenschutzerklärung und alle Auftragsverarbeitungsverträge (AVV) auf Aktualität. Das ist kein Nice-to-have, sondern die Grundlage.
  2. CMP implementieren – Hole die Einwilligung gemäß § 25 TDDDG für alle nicht-technisch notwendigen Cookies ein. Opt-in-Logik und granulare Auswahlmöglichkeiten sind Pflicht.
  3. Google Consent Mode v2 einrichten – Übergib die Consent-Signale korrekt über Google Tag Manager oder gtag. Default-Status: „denied“, bis der Nutzer aktiv zustimmt.
  4. Advanced Mode mit Bedacht einsetzen – Die Pings im Advanced Mode können Personenbezug haben. Prüfe, ob der Basic Mode – keine Datenübermittlung vor Einwilligung – die sicherere Variante ist.
  5. Laufende Dokumentation – Speichere die Nachweise der Einwilligungen und überprüfe sie regelmäßig. Die DSGVO-Rechenschaftspflicht ist kein Papiertiger, sondern Realität.

Das Compliance-Dreieck meistern – jetzt handeln, nicht abwarten

DSGVO, TDDDG und Google Consent Mode v2 sind kein Entweder-oder. Sie ergänzen sich zwingend – und wer eines der drei ignoriert, zahlt früher oder später drauf.

Mein Rat: Implementiere jetzt eine zertifizierte CMP, die alle drei Ebenen automatisiert abdeckt. Die Kombination aus rechtssicherer Einwilligung und technisch sauberem Consent-Signal schützt dich vor Abmahnungen und stellt gleichzeitig die volle Leistungsfähigkeit deiner Google Ads sicher. Kein Remarketing-Verlust, keine rechtlichen Kopfschmerzen.

Und denk dran: Das regulatorische Umfeld bleibt in Bewegung. Das „Digital Package“ wird kommen, Details werden sich ändern. Deine Consent-Strategie regelmäßig zu aktualisieren ist kein Projekt mit Enddatum – es ist ein Dauerauftrag für jeden, der im E-Commerce erfolgreich und rechtssicher unterwegs sein will.

Melde dich zum wöchentlichen Newsletter an!