Cookie-Kategorien: So klassifizieren Sie Cookies für die Einwilligung
Cookie-Einwilligung ist keine Alles-oder-nichts-Entscheidung. Datenschutzvorschriften verlangen, dass Nutzer granulare Entscheidungen darüber treffen können, welche Arten von Cookies sie akzeptieren. Um dies zu ermöglichen, werden Cookies in Kategorien eingeteilt — Gruppen, die auf ihrem Zweck basieren und jeweils eigene Einwilligungsanforderungen haben.
Eine korrekte Kategorisierung ist entscheidend. Ein Marketing-Cookie fälschlicherweise als „unbedingt erforderlich" einzustufen, ist nicht nur ein technischer Fehler — es ist ein Verstoß gegen geltende Vorschriften, nach dem Aufsichtsbehörden aktiv suchen und den sie ahnden.
Warum die Kategorisierung wichtig ist
Die DSGVO verlangt, dass die Einwilligung „für den bestimmten Fall" erteilt wird (Artikel 4 Absatz 11). Die Artikel-29-Datenschutzgruppe (heute der EDSA) hat klargestellt, dass dies bedeutet, dass die Einwilligung für jeden einzelnen Zweck gesondert erteilt werden muss. Alle Cookies in einer einzigen „Alle akzeptieren"-Option zu bündeln, ohne eine Auswahl pro Kategorie anzubieten, erfüllt diesen Standard nicht.
In der Praxis bedeutet dies, dass Ihr Cookie-Einwilligungsmechanismus Cookies nach Zweck gruppiert darstellen und es Nutzern ermöglichen muss, jede Kategorie unabhängig zu akzeptieren oder abzulehnen. Der branchenweit etablierte Standard — den auch die Aufsichtsbehörden erwarten — verwendet vier Kategorien.
Die vier Standard-Cookie-Kategorien
1. Unbedingt erforderliche Cookies
Diese Cookies sind für die grundlegende Funktion der Website unverzichtbar. Ohne sie kann der vom Nutzer ausdrücklich angeforderte Dienst nicht bereitgestellt werden.
Einwilligung erforderlich: Nein. Unbedingt erforderliche Cookies sind gemäß Artikel 5 Absatz 3 der ePrivacy-Richtlinie von der Einwilligungspflicht ausgenommen. Danach ist keine Einwilligung erforderlich für Cookies, die „unbedingt erforderlich sind, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann".
Beispiele für unbedingt erforderliche Cookies:
- Session-Cookies, die den Login-Status aufrechterhalten
- Warenkorb-Cookies auf einer E-Commerce-Website
- CSRF-Schutztokens (Cross-Site Request Forgery)
- Load-Balancing-Cookies, die den Datenverkehr auf mehrere Server verteilen
- Cookies für Einwilligungspräferenzen (das Cookie, das Ihre Einwilligungsentscheidung speichert)
- Sicherheits-Cookies, die Missbrauch bei der Authentifizierung erkennen
Was NICHT unbedingt erforderlich ist:
- Analyse-Cookies — auch Erstanbieter-Cookies. Die Messung des Datenverkehrs ist für den Website-Betreiber nützlich, aber nicht erforderlich, um den vom Nutzer angeforderten Dienst bereitzustellen.
- Social-Media-Plugins — Teilen-Schaltflächen und eingebettete Feeds dienen den Interessen des Website-Betreibers, nicht einer vom Nutzer ausdrücklich angeforderten Funktion.
- Werbe-Cookies — diese dienen per Definition einem Zweck, der über den vom Nutzer aufgerufenen Dienst hinausgeht.
- A/B-Test-Cookies — diese dienen den Optimierungszielen des Website-Betreibers, nicht der ausdrücklichen Anforderung des Nutzers.
Der entscheidende Prüfstein ist die Perspektive: erforderlich für wen? Wenn das Cookie den Interessen des Website-Betreibers dient statt einer vom Nutzer ausdrücklich angeforderten Funktion, ist es nicht unbedingt erforderlich — unabhängig davon, wie wichtig es für das Unternehmen sein mag.
2. Analyse- / Statistik-Cookies
Diese Cookies sammeln Informationen darüber, wie Besucher die Website nutzen: welche Seiten aufgerufen werden, wie lange Nutzer bleiben, woher sie kommen und wo sie abspringen. Die Daten werden in der Regel aggregiert und zur Verbesserung der Website verwendet.
Einwilligung erforderlich: Ja, in den meisten Rechtsordnungen. Einige Datenschutzbehörden (insbesondere die französische CNIL und die niederländische AP) haben jedoch angedeutet, dass bestimmte Erstanbieter-Analysetools unter bestimmten Bedingungen für eine begrenzte Ausnahme in Frage kommen könnten (siehe unser Abschnitt zu wann eine Einwilligung erforderlich ist).
Gängige Analyse-Cookies:
| Cookie | Dienst | Zweck | Standard-Lebensdauer |
|---|---|---|---|
_ga |
Google Analytics | Unterscheidet einzelne Nutzer | 2 Jahre |
_ga_* |
Google Analytics 4 | Hält den Sitzungsstatus aufrecht | 2 Jahre |
_gid |
Google Analytics | Unterscheidet Nutzer (24 Std.) | 24 Stunden |
_pk_id.* |
Matomo | Besucher-ID | 13 Monate |
_pk_ses.* |
Matomo | Sitzungsverfolgung | 30 Minuten |
_hjSessionUser_* |
Hotjar | Nutzerkennung | 1 Jahr |
Beachten Sie, dass Google-Analytics-Cookies ihrer Natur nach Drittanbieter-Cookies sind, auch wenn sie als Erstanbieter-Cookies erscheinen mögen — denn Google verarbeitet die Daten auf eigenen Servern und kann sie für eigene Zwecke verwenden. Diese Unterscheidung war in mehreren europäischen Durchsetzungsverfahren von Bedeutung.
3. Marketing- / Werbe-Cookies
Diese Cookies verfolgen Besucher über verschiedene Websites hinweg, um ein Profil ihres Surfverhaltens zu erstellen. Dieses Profil wird verwendet, um zielgerichtete Werbung auszuspielen, die Wirksamkeit von Werbekampagnen zu messen und die Häufigkeit zu begrenzen, mit der ein Nutzer eine bestimmte Anzeige sieht.
Einwilligung erforderlich: Immer. Für Werbe-Cookies gibt es unter keiner Auslegung der ePrivacy-Richtlinie oder der DSGVO eine Ausnahme.
Gängige Marketing-Cookies:
| Cookie | Dienst | Zweck | Standard-Lebensdauer |
|---|---|---|---|
_fbp |
Meta (Facebook) | Verfolgt Besuche für Ad-Targeting | 3 Monate |
_gcl_au |
Google Ads | Conversion-Tracking | 3 Monate |
IDE |
Google DoubleClick | Retargeting und Anzeigenauslieferung | 13 Monate |
_uetsid |
Microsoft Advertising | Conversion-Tracking | 1 Tag |
li_fat_id |
Indirekte Mitgliederkennung | 30 Tage |
Marketing-Cookies sind fast immer Drittanbieter-Cookies. Sie stellen das höchste Datenschutzrisiko dar und sind die am stärksten regulierte Kategorie. Jeder Einwilligungsmechanismus, der es leichter macht, Marketing-Cookies zu akzeptieren als abzulehnen, riskiert Maßnahmen der Aufsichtsbehörden.
4. Präferenz- / Funktions-Cookies
Diese Cookies ermöglichen erweiterte Funktionen und Personalisierung, die über das unbedingt Erforderliche hinausgehen. Sie speichern Entscheidungen, die der Nutzer getroffen hat, sind aber für die Kernfunktion des Dienstes nicht erforderlich.
Einwilligung erforderlich: Ja, wenngleich das Risikoniveau geringer ist als bei Analyse- oder Marketing-Cookies. Einige Aufsichtsbehörden behandeln Präferenz-Cookies etwas nachsichtiger, doch rechtlich gesehen ist eine Einwilligung dennoch erforderlich.
Beispiele:
- Sprachpräferenz (wenn die Website auch ohne sie funktioniert und einfach auf eine andere Sprache voreinstellt)
- Auswahl von Region oder Währung
- Vorausfüllen des Benutzernamens in Anmeldeformularen
- Einstellungen des Videoplayers (Lautstärke, Qualität)
- Status des Chat-Widgets (geöffnet/geschlossen, Gesprächsverlauf)
- Schriftgröße oder Barrierefreiheitspräferenzen
Die Unterscheidung zwischen „unbedingt erforderlich" und „Präferenz" kann subtil sein. Ein Sprach-Cookie auf einer einsprachigen Website ist bedeutungslos. Ein Sprach-Cookie auf einer mehrsprachigen Website, die ohne dieses Cookie auf eine funktionsfähige Sprache voreinstellt, ist eine Präferenz. Ein Sprach-Cookie auf einer Website, die ohne dieses Cookie überhaupt nicht funktionieren kann — weil der Inhalt ohne Sprachauswahl nicht geladen wird — könnte durchaus als unbedingt erforderlich gelten. Der Kontext ist entscheidend.
So kategorisieren Sie Ihre Cookies korrekt
Befolgen Sie diesen Prozess für jedes Cookie auf Ihrer Website:
- Identifizieren Sie das Cookie. Wie lautet sein Name, wer setzt es (Erst- oder Drittanbieter) und wie lange bleibt es bestehen?
- Bestimmen Sie seinen Zweck. Warum existiert dieses Cookie? Was passiert, wenn es entfernt wird?
- Wenden Sie den Test der unbedingten Erforderlichkeit an. Ist dieses Cookie für eine vom Nutzer ausdrücklich angeforderte Funktion unverzichtbar? Wenn der Nutzer sich anmelden wollte, ist ein Session-Cookie erforderlich. Wenn Sie sein Verhalten verfolgen wollen, ist das Ihr Bedürfnis, nicht seines.
- Weisen Sie die Kategorie zu. Wenn es nicht unbedingt erforderlich ist, ordnen Sie es anhand seines Hauptzwecks ein: Analyse, Marketing oder Präferenzen.
- Dokumentieren Sie Ihre Begründung. Halten Sie für jedes Cookie fest, warum Sie es so kategorisiert haben. Diese Dokumentation ist wertvoll, falls eine Aufsichtsbehörde jemals danach fragt.
Häufige Fehler bei der Kategorisierung
Auf Grundlage von Durchsetzungsverfahren der Aufsichtsbehörden und Audit-Ergebnissen sind dies die häufigsten Fehler:
- Google Analytics als unbedingt erforderlich einstufen. Dies ist der mit Abstand häufigste Fehler. GA ist ein Analysetool. Es ist niemals unbedingt erforderlich, um dem Nutzer einen Dienst bereitzustellen. Mehrere Datenschutzbehörden haben dies ausdrücklich hervorgehoben.
- Alle Drittanbieter-Cookies unter „Funktionalität" fassen. Eingebettete YouTube-Videos, Social-Sharing-Schaltflächen und Chat-Widgets sind nicht unbedingt erforderlich, und ihre Cookies dienen in der Regel Analyse- oder Marketingzwecken, die über die sichtbare Funktion hinausgehen.
- Cookies von Plugins und Integrationen ignorieren. Eine WordPress-Website mit 20 Plugins kann Dutzende Cookies setzen, von denen der Website-Betreiber nicht einmal etwas weiß. Sie sind dennoch für sie alle verantwortlich.
- Marketing-Cookies als Analyse-Cookies behandeln. Facebook Pixel und das Conversion-Tracking von Google Ads sind Marketing-Cookies, keine Analyse-Cookies — ihr Hauptzweck ist Werbung, auch wenn Sie die Daten analytisch nutzen.
- A/B-Test-Cookies falsch kategorisieren. Tools wie Optimizely und VWO setzen Cookies, um Nutzer Testgruppen zuzuordnen. Diese sind nicht unbedingt erforderlich und sollten als Analyse oder Präferenzen kategorisiert werden.
Automatisieren Sie den Prozess
Manuelle Cookie-Audits sind zeitaufwendig und fehleranfällig. Websites verändern sich ständig — ein neues Plugin, ein aktualisiertes Skript, ein Marketing-Team, das ein Tracking-Pixel hinzufügt — und jede Änderung kann neue Cookies einführen, die kategorisiert werden müssen.
Passiro scannt und kategorisiert automatisch alle Cookies auf Ihrer Website, erkennt neue Cookies, sobald sie auftauchen, und markiert mögliche Fehlkategorisierungen. So stellen Sie sicher, dass Ihr Cookie-Einwilligungsmechanismus stets die tatsächlich von Ihrer Website verwendeten Cookies widerspiegelt — nicht nur diejenigen, die Sie bei Ihrer letzten Überprüfung kannten.
Nachdem wir nun die Kategorien verstehen, werfen wir einen Blick darauf, was Cookie-Einwilligung rechtlich tatsächlich bedeutet — die Anforderungen sind spezifischer, als die meisten Menschen annehmen.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen