Was ist unter „technisch notwendigen Cookies“ konkret zu verstehen?

Frage 5 des FAQs der österreichischen Datenschutzbehörde beschäft sich mit der Frage, was unter „technisch notwendigen Cookies“ konkret zu verstehen ist. Weder die Richtlinie 2002/58/EG noch das TKG 2021 enthalten eine Aufzählung, was unter „technisch notwendigen Cookies“ konkret zu verstehen ist. Die Opinion 04/2012 on Cookie Consent Exemption, WP 194, 00879/12/EN der ehemaligen Art. 29 Gruppe enthält Kriterien zur Beurteilung, ob Cookies im Sinne Art. 5 Abs. 3 der Richtlinie 2002/58/EG idgF aus technischer Sicht notwendig sind.

Nachfolgend erläutere ich kurz, was diese Kriterien sind.

Technisch notwendige Cookies, die nach der Stellungnahme der “Artikel-29-Datenschutzgruppe” keine Einwilligung erfordern, sind:

User-Input-Cookies: Session-Cookies, die genutzt werden, um Benutzereingaben (z.B. in Formularen oder Einkaufswagen) über mehrere Seiten hinweg zu speichern. Sie verfallen mit Sitzungsende und erfüllen die Nutzeranfrage.
Authentifizierungs-Cookies: Cookies, die nach dem Login genutzt werden, um den Zugang zu geschützten Inhalten zu gewährleisten, wie z. B. auf Banking-Websites. Sie sind auf Sitzungsdauer beschränkt und notwendig für den Zugang.
Sicherheits-Cookies für den Nutzer: Cookies, die zur Erkennung von Missbrauch (z. B. wiederholte Fehlversuche beim Login) eingesetzt werden und zur Sicherung des Zugangs dienen. Sie sind meist persistent, jedoch zeitlich begrenzt.
Multimedia-Player-Sitzungs-Cookies: Cookies, die technische Daten für die Wiedergabe von Video- oder Audioinhalten speichern (z. B. Pufferparameter, Bildqualität). Diese verfallen mit Sitzungsende und unterstützen eine angeforderte Funktionalität.
Load-Balancing-Sitzungs-Cookies: Cookies zur Verteilung der Lasten auf Servern, um Konsistenz bei der Weiterleitung sicherzustellen. Sie werden für die Dauer der Sitzung eingesetzt und erfüllen die Bedingung, dass die Übertragung ohne sie nicht möglich wäre.
UI-Anpassungs-Cookies: Cookies zur Speicherung von benutzerdefinierten Einstellungen (z. B. Spracheinstellungen), die der Nutzer selbst initiiert hat. Diese können sitzungsbasiert oder persistent (über Stunden/Wochen) sein, wenn diese Funktion explizit aktiviert wurde.
Social-Plugin-Cookies (nur für eingeloggte Nutzer): Social-Media-Plattformen speichern Cookies, um Mitglieder, die auf externe Inhalte zugreifen, zu identifizieren. Diese Cookies müssen bei Ausloggen gelöscht werden und sind für die Funktionalität erforderlich.

Nicht erforderliche Cookies sind:

Tracking-Cookies, z. B. für Social-Plug-ins zur Nachverfolgung (insbesondere für Nicht-Mitglieder).
Werbe-Cookies: Third-Party-Cookies für Werbung und andere kommerzielle Zwecke wie Analysen und Marktstudien.
Analyse-Cookies: Cookies für Analyse- und Statistikzwecke (auch First-Party), da sie für den Website-Besuch nicht zwingend erforderlich sind.

Zusammenfassend sind technisch notwendige Cookies diejenigen, die unmittelbar für die Bereitstellung einer vom Nutzer explizit angeforderten Funktion erforderlich sind, und sie können ohne Einwilligung eingesetzt werden, solange sie strikt den Anforderungen der Richtlinie entsprechen.

Über den Autor: Andreas Ostheimer

Andreas Ostheimer ist Geschäftsführer bei AdSimple, Betreiber einer Webagentur, zertifizierter Datenschutzbeauftragter und langjähriger Profi im Bereich Suchmaschinenoptimierung und WordPress Webdesign.

Warum der Datenschutz heute unverzichtbar ist: Ein Leitfaden für Unternehmen

Erstellen Sie Ihre Datenschutzerklärung in 5 Minuten

Regelmäßige Updates im Datenschutz: Warum sie so wichtig sind

So stellen Sie sicher, dass Ihre Datenschutzerklärung korrekt und aktuell ist

Warum Datenschutzerklärung und Impressum für jede Website unerlässlich sind

Datenschutz Generator Update: 2000+ anwaltlich geprüfte Datenschutztexte verfügbar

Auf welcher Rechtsgrundlage dürfen Websitebetreiber US-Dienste nutzen?