Alle Artikel

Technisch notwendige Cookies: Was braucht keine Einwilligung?

Welche Cookies brauchen keine Einwilligung? Praxisguide für Agenturen: Abgrenzung, Beispiele und die entscheidende Frage – technisch notwendig oder nicht?

Technisch notwendige Cookies: Was braucht keine Einwilligung?

Ein Entwickler fragt im Ticket: „Muss das Session-Cookie in den Banner?" Die Projektmanagerin antwortet: „Ich glaube nicht, aber sicher bin ich nicht." Dieses Zögern kostet Zeit – und im Zweifel Vertrauen beim Kunden. Technisch notwendige Cookies sind der einzige Cookie-Typ, der ohne Einwilligung gesetzt werden darf. Was genau darunter fällt, ist jedoch keine Frage des Bauchgefühls, sondern der konkreten Funktion.

Technisch notwendige Cookies und DSGVO: Was steckt hinter dem Begriff?

Der Begriff „technisch notwendig" stammt nicht wortwörtlich aus der DSGVO, sondern aus der Ausnahmeregelung, die das Telemedienrecht bzw. das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) für Cookies vorsieht. Vereinfacht gesagt: Cookies, die ausschließlich dazu dienen, einen vom Nutzer ausdrücklich gewünschten Dienst zu übermitteln, benötigen keine Einwilligung. Alle anderen Cookies – also solche, die Verhalten analysieren, Werbung personalisieren oder Nutzerdaten an Dritte übermitteln – fallen nicht darunter.

Für die Agenturpraxis bedeutet das: Die Frage ist nicht, ob ein Cookie technisch implementiert ist, sondern ob er für die Kernfunktion der Seite unentbehrlich ist. Ein Cookie, der theoretisch weggelassen werden könnte, ohne dass die Seite für den Nutzer aufhört zu funktionieren, ist in der Regel nicht technisch notwendig. Diese Abgrenzung klingt einfach, ist im Alltag aber oft eine Grauzone – gerade bei Drittanbieterdiensten, die mehrere Cookies gleichzeitig setzen, von denen nur ein Teil wirklich notwendig ist.

Wichtig: Technisch notwendige Cookies können trotzdem personenbezogene Daten verarbeiten. Die Einwilligungsfreiheit bezieht sich auf die Einwilligung nach dem TDDDG, nicht auf die Informationspflichten nach DSGVO. Nutzer müssen in der Datenschutzerklärung über diese Cookies informiert werden – auch wenn kein Banner nötig ist.

Technisch notwendige Cookies: Beispiele aus dem Agenturalltag

Welche Cookies fallen typischerweise in diese Kategorie? Die folgende Übersicht zeigt häufige Beispiele, die in Kundenprojekten auftauchen – ohne Anspruch auf Vollständigkeit, denn die Einordnung hängt immer vom konkreten Einsatzzweck ab.

Cookie-Typ Typisches Beispiel Technisch notwendig?
Session-Cookie (Authentifizierung) Eingeloggter Bereich, Warenkorb Ja – ohne diesen Cookie funktioniert der Login nicht
CSRF-Token Formularschutz gegen Cross-Site-Request-Forgery Ja – Sicherheitsfunktion, keine Alternative
Load-Balancer-Cookie Serverinfrastruktur bei mehreren Instanzen Ja – technische Infrastruktur, nicht nutzerbezogen
Cookie-Consent-Status Speichert die Entscheidung des Nutzers im Banner Ja – notwendig, um die Einwilligung nicht bei jedem Aufruf neu abzufragen
Sprachpräferenz Speichert gewählte Sprache auf mehrsprachiger Seite Grauzone – je nach Ausgestaltung; im Zweifel rechtlich prüfen lassen
Analytics-Cookie (z. B. _ga) Google Analytics, Matomo mit Tracking Nein – Reichweitenmessung ist kein technisch notwendiger Zweck
Marketing-Cookie (z. B. _fbp) Meta Pixel, Google Ads Remarketing Nein – Einwilligung zwingend erforderlich
Affiliate-Tracking-Cookie Provisionszuordnung über Drittanbieter Nein – dient dem Betreiber, nicht dem Nutzer

Die Tabelle zeigt: Viele Cookies sind eindeutig. Die Grauzone entsteht vor allem bei Cookies, die eine Komfortfunktion für den Nutzer speichern – etwa Schriftgröße, Warenkorbinhalt ohne Login oder UI-Präferenzen. Hier kommt es auf die konkrete Ausgestaltung an.

Welche Cookies brauchen keine Einwilligung – und warum ist das keine Selbstauskunft?

Ein häufiger Fehler in der Agenturpraxis: Der Entwickler oder der Kunde entscheidet selbst, welche Cookies „notwendig" sind – und schreibt das in die Datenschutzerklärung. Das ist keine ausreichende Grundlage. Die Einordnung als technisch notwendig ist eine rechtliche Bewertung, keine technische Selbstauskunft.

Entscheidend ist die Perspektive des Nutzers: Hat er diesen Dienst aktiv angefordert? Ist das Cookie unentbehrlich, damit der Dienst funktioniert? Oder dient es primär dem Interesse des Betreibers – etwa zur Optimierung, Analyse oder Monetarisierung? Wenn Letzteres zutrifft, scheidet die Einwilligungsfreiheit aus, unabhängig davon, wie das Cookie intern bezeichnet wird.

Für Agenturen ist das relevant, weil Kunden häufig darum bitten, bestimmte Cookies als „notwendig" zu deklarieren, um den Banner zu umgehen. Das ist verständlich – niemand möchte einen aufdringlichen Consent-Dialog. Aber die Einordnung lässt sich nicht durch Benennung herbeiführen. Wer ein Analytics-Cookie als „technisch notwendig" kategorisiert, obwohl es das nicht ist, riskiert nicht nur eine Rüge durch eine Datenschutzbehörde, sondern auch Vertrauensverlust beim Endnutzer und mögliche zivilrechtliche Auseinandersetzungen. Im Zweifel sollte die Einordnung durch einen Datenschutzbeauftragten oder Anwalt geprüft werden.

Essenzielle Cookies – eine praktische Liste für die Projektkommunikation

Wenn Sie mit Kunden oder intern über Cookie-Kategorien sprechen, hilft eine klare Sprache. Der Begriff „essenzielle Cookies" ist im Agenturalltag gebräuchlich und entspricht dem, was rechtlich als „technisch notwendig" gilt. Folgende Kategorien werden in der Praxis überwiegend als essenziell anerkannt:

  • Authentifizierungs- und Session-Cookies: Halten den Nutzer eingeloggt, verwalten den Warenkorb oder sichern Formulareingaben über mehrere Schritte.
  • Sicherheits-Cookies: CSRF-Tokens, Anti-Bot-Mechanismen (sofern keine Drittanbieter-Datenübermittlung stattfindet), Sitzungsverschlüsselung.
  • Infrastruktur-Cookies: Load-Balancing, Sticky-Session-Routing – diese sind meist kurzlebig und enthalten keine nutzeridentifizierenden Daten.
  • Consent-Management-Cookies: Der Cookie, der die Einwilligungsentscheidung selbst speichert, gilt als notwendig – ohne ihn müsste der Nutzer bei jedem Seitenaufruf erneut gefragt werden.

Nicht in diese Liste gehören: Cookies von Drittanbietern, die auch dann gesetzt werden, wenn der Nutzer den entsprechenden Dienst gar nicht aktiv nutzt. Ein häufiges Beispiel: Eingebettete Schriftarten oder Social-Media-Widgets, die beim Laden der Seite automatisch Cookies setzen – hier fehlt der aktive Nutzerwunsch.

Cookies ohne Einwilligung erlaubt: Wo die Grenze wirklich liegt

Die Faustregel „technisch notwendig = keine Einwilligung nötig" ist korrekt, aber sie verleitet dazu, die Grenze zu weit zu ziehen. Drei Konstellationen, die in der Praxis regelmäßig falsch eingeschätzt werden:

1. Matomo oder andere selbst gehostete Analytics-Tools: Wer Matomo vollständig auf dem eigenen Server betreibt, IP-Adressen anonymisiert und keine Daten an Dritte überträgt, bewegt sich in einem Bereich, in dem auch berechtigte Interessen als Rechtsgrundlage diskutiert werden – das ist jedoch strittig und hängt von der konkreten Konfiguration ab. Eine pauschale Aussage, dass selbst gehostetes Analytics keine Einwilligung braucht, ist nicht haltbar. Einzelfallprüfung ist hier unumgänglich.

2. Komfort-Cookies: Ein Cookie, der die zuletzt besuchte Kategorie im Shop speichert, damit der Nutzer beim nächsten Besuch schneller navigiert, ist kein technisch notwendiger Cookie – auch wenn der Nutzer ihn als angenehm empfindet. Komfort ist kein Ersatz für Notwendigkeit.

3. Drittanbieter-Cookies im „technisch notwendigen" Kontext: Wenn ein CDN-Anbieter oder ein Sicherheitsdienstleister Cookies setzt, die technisch für den Betrieb der Seite erforderlich sind, aber gleichzeitig Daten an Server außerhalb der EU übertragen, entsteht ein zusätzliches Problem: Die technische Notwendigkeit entbindet nicht von der Pflicht, eine geeignete Rechtsgrundlage für die Drittlandübermittlung zu schaffen. Auch hier gilt: Im Zweifel rechtlich prüfen lassen.

Notwendige Cookies und Einwilligungspflicht: Was in die Datenschutzerklärung muss

Auch wenn technisch notwendige Cookies keine Einwilligung erfordern, sind sie nicht unsichtbar. Die DSGVO verlangt Transparenz: Nutzer müssen in der Datenschutzerklärung erfahren, welche Cookies gesetzt werden, welchen Zweck sie erfüllen, wie lange sie gespeichert werden und – bei Drittanbietern – wer der Empfänger der Daten ist.

In der Praxis bedeutet das für Agenturen: Jedes Cookie, das auf einer Kundenseite gesetzt wird, gehört dokumentiert – unabhängig davon, ob es einwilligungspflichtig ist oder nicht. Eine Datenschutzerklärung, die nur die „zustimmungspflichtigen" Cookies auflistet und die essenziellen ignoriert, ist unvollständig. Das ist kein theoretisches Risiko: Abmahnungen und Beschwerden bei Datenschutzbehörden richten sich häufig gegen intransparente oder veraltete Datenschutzerklärungen.

Für die Projektkommunikation empfiehlt sich eine klare Trennung in der Datenschutzerklärung: Erst die technisch notwendigen Cookies mit Zweck und Speicherdauer, dann – in einem eigenen Abschnitt – die einwilligungspflichtigen Cookies. Diese Struktur macht die Erklärung für Nutzer verständlicher und für Behörden nachvollziehbarer.

Die eigentliche Herausforderung für Agenturen ist nicht das Verstehen der Regel, sondern die skalierbare Umsetzung über mehrere Kundenprojekte. Wer zwanzig Websites betreut, kann nicht bei jedem Deployment manuell prüfen, ob ein neues Plugin ein Cookie setzt und wie es einzuordnen ist. Genau hier entstehen Compliance-Lücken: nicht aus Böswilligkeit, sondern aus fehlenden Prozessen.

Ein strukturierter Ansatz sieht so aus: Vor dem Launch wird ein Cookie-Scan durchgeführt – idealerweise in zwei Phasen: einmal vor der Einwilligung (Pre-Consent) und einmal nach der Einwilligung (Post-Consent). Der Pre-Consent-Scan zeigt, welche Cookies ohne jede Nutzeraktion gesetzt werden. Alles, was dort auftaucht und nicht technisch notwendig ist, ist ein Befund. Der Post-Consent-Scan zeigt, was nach einer Einwilligung hinzukommt – und ob das mit den deklarierten Zwecken übereinstimmt.

Dieses Zwei-Phasen-Verfahren ist kein Luxus, sondern die Grundlage für eine nachweisbare Dokumentation. Wenn ein Kunde oder eine Behörde fragt, warum Cookie X ohne Einwilligung gesetzt wurde, brauchen Sie einen Beleg – nicht nur eine Erklärung. Complianty führt genau diesen Pre-/Post-Consent-Scan durch und legt die Ergebnisse im Agentur-Dashboard mandantenübergreifend ab, damit Sie den Überblick behalten, ohne jeden Kunden einzeln zu prüfen.

Nächster Schritt: Cookies auf Kundenseiten systematisch prüfen

Die Frage „Ist dieses Cookie technisch notwendig?" lässt sich nicht ein für alle Mal pauschal beantworten – sie stellt sich bei jedem neuen Plugin, jedem Update, jeder neuen Drittanbieterin. Was Sie brauchen, ist kein einmaliges Audit, sondern ein wiederholbarer Prozess, der Befunde dokumentiert und Veränderungen sichtbar macht.

Wenn Sie wissen möchten, welche Cookies auf Ihren Kundenseiten aktuell ohne Einwilligung gesetzt werden und wie viele davon wirklich technisch notwendig sind, ist ein strukturierter Pre-Consent-Scan der erste sinnvolle Schritt. Complianty führt diesen Scan durch und zeigt die Ergebnisse im DSGVO-Tool für Datenschutzbeauftragte und Agenturen übersichtlich an – ohne dass Sie dafür ein Cookie-Banner kaufen oder wechseln müssen.