Technisch notwendige Cookies: Der kleine Begriff mit großer Consent-Wirkung

Ein Cookie-Audit klingt nach Routine, bis ein Plugin, ein neues Tracking-Setup oder ein Consent-Tool-Wechsel die alte Sortierung durcheinanderbringt. Genau hier steckt der operative Anlass für österreichische Website-Betreiber: Die WKO ordnet in ihrer Rechtsfrage zu Cookies Anfang 2026 noch einmal klar ein, wann Cookies ohne Einwilligung eingesetzt werden können und wann nicht. Auch die Datenschutzbehörde beschreibt in ihren FAQ, dass technisch notwendige Cookies anders zu behandeln sind als Analyse-, Marketing- oder Komfortdienste.

Der entscheidende Punkt ist kleiner, als viele Banner vermuten lassen: “technisch notwendig” bedeutet nicht “für unser Marketing nützlich”, nicht “branchenüblich” und auch nicht “praktisch für die Statistik”. Es geht um Funktionen, die für einen ausdrücklich gewünschten Dienst wirklich gebraucht werden. Wer diesen Begriff zu breit auslegt, riskiert nicht nur eine schlechte Consent-Erfahrung, sondern auch eine falsche Datenschutzerklärung, unsaubere Dienstedokumentation und unnötige Angriffsfläche bei Beschwerden.

Warum die Kategorie so heikel ist

Cookie-Banner leben von Kategorien. Technisch notwendig, Statistik, Marketing, externe Medien, Präferenzen: Das sieht sauber aus, kann aber trügerisch sein. Sobald ein Dienst in der falschen Kategorie landet, stimmt der ganze Ablauf nicht mehr. Ein Analyse-Tool wird dann vielleicht vor Einwilligung geladen, ein Werbepixel erscheint im Quellcode, obwohl der Nutzer abgelehnt hat, oder ein eingebetteter Dienst speichert Kennungen, bevor die Entscheidung dokumentiert ist.

Besonders heikel sind Grenzfälle. Ein Cookie für den Warenkorb ist naheliegend notwendig, wenn ein Nutzer Produkte in den Warenkorb legt. Ein Cookie für Spracheinstellungen kann notwendig oder zumindest vom Nutzer ausdrücklich gewünscht sein, wenn die Einstellung aktiv gewählt wird. Ein dauerhaftes Analyse-Cookie ist dagegen nicht notwendig, nur weil es hilft, die Website zu verbessern. Genau diese Trennlinie gehört regelmäßig geprüft, vor allem nach Plugin-Updates, Theme-Wechseln, neuen Formularen oder einem Wechsel des Consent-Management-Systems.

Der österreichische Rahmen: DSGVO und TKG 2021 zusammendenken

In Österreich ist für Cookies nicht nur die DSGVO relevant. Das Telekommunikationsgesetz 2021 enthält die zentrale Regel für das Speichern von Informationen oder den Zugriff auf Informationen auf Endgeräten. Vereinfacht gesagt: Für nicht notwendige Cookies und vergleichbare Technologien braucht es grundsätzlich eine Einwilligung. Technisch notwendige Vorgänge können ausgenommen sein, wenn sie für die Übertragung einer Nachricht oder für einen vom Nutzer ausdrücklich gewünschten Dienst unbedingt erforderlich sind.

Die DSGVO kommt zusätzlich ins Spiel, sobald personenbezogene Daten verarbeitet werden. Viele Cookie- und Tracking-Setups tun genau das, etwa über IDs, Nutzerprofile, Gerätekennungen oder Kombinationen mit Login-Daten. Deshalb reicht es nicht, nur im Banner eine Kategorie umzubenennen. Die tatsächliche Verarbeitung muss in den Datenschutzhinweisen, in der Dienstedokumentation und in der internen Einschätzung zusammenpassen. Der AdSimple Datenschutz Generator ist dafür eine praktische Grundlage, wenn neue Dienste dokumentiert oder bestehende Texte überprüft werden.

Was meist ohne Einwilligung laufen kann

Technisch notwendige Cookies sind keine Wunschliste, sondern eine enge Funktionskategorie. Typische Beispiele sind Session-Cookies für Loginbereiche, Warenkorb-Funktionen, Sicherheitsmechanismen gegen Missbrauch, Formularzustände während einer laufenden Eingabe oder die Speicherung der Consent-Entscheidung selbst. Auch Lastverteilung oder technische Auslieferung können dazugehören, wenn sie für den Betrieb der angefragten Website-Funktion erforderlich sind.

Wichtig ist der konkrete Kontext. Ein Cookie, das nur während einer Sitzung den Warenkorb hält, ist anders zu bewerten als ein Cookie, das über Monate hinweg Nutzerverhalten analysiert. Ein Sicherheits-Cookie für Login-Schutz ist anders zu bewerten als ein Marketing-Cookie eines Drittanbieters. Wer die Kategorie “notwendig” korrekt nutzen will, sollte deshalb zu jedem Dienst beantworten können: Welche Funktion fällt ohne dieses Cookie aus? Hat der Nutzer diese Funktion ausdrücklich angefragt? Gibt es eine datensparsamere Alternative?

Was fast nie in die notwendige Schublade gehört

Analyse, Remarketing, Affiliate-Tracking, Social-Media-Pixel, Heatmaps, personalisierte Werbung und viele eingebettete externe Inhalte sind in der Regel keine technisch notwendigen Funktionen. Sie können geschäftlich wichtig sein, aber sie sind nicht automatisch erforderlich, damit die Website den vom Nutzer angefragten Dienst erbringt. Auch “berechtigtes Interesse” löst die Endgeräte-Regel nicht einfach auf, wenn vorab Informationen gespeichert oder ausgelesen werden.

Gerade bei modernen Website-Stacks verschwimmt die Grenze schnell. Ein Chat-Widget kann für den Support hilfreich sein, ist aber nicht zwingend für den Besuch jeder Seite notwendig. Ein Karten-Embed kann für eine Kontaktseite nützlich sein, muss aber nicht vor Zustimmung Daten an externe Anbieter senden. Ein Video-Embed kann redaktionell wertvoll sein, darf aber häufig erst nach aktiver Entscheidung geladen werden. Hier hilft ein sauber konfigurierter AdSimple Consent Manager, weil Dienste blockiert, gruppiert und nach Einwilligung kontrolliert geladen werden können.

Ein praktischer Audit-Ablauf für Website-Betreiber

Ein guter Consent-Audit beginnt nicht im Banner-Design, sondern im Browser. Öffnen Sie die Website in einem frischen Profil, lehnen Sie alle nicht notwendigen Kategorien ab und prüfen Sie anschließend, welche Cookies, Local-Storage-Einträge, Skripte und Netzwerkanfragen trotzdem entstehen. Danach wiederholen Sie den Test mit Zustimmung zu Statistik, Marketing und externen Medien. Die Differenz zeigt oft sehr klar, welche Dienste sauber gesteuert werden und welche vorher schon aktiv sind.

• Inventar erstellen: Alle Cookies, Pixel, SDKs, Embeds, Fonts, Chat-Tools und Analyse-Dienste erfassen.
• Zweck notieren: Für jeden Dienst kurz festhalten, welche Funktion er erfüllt und ob diese vom Nutzer aktiv angefragt wird.
• Kategorie prüfen: Notwendig nur dort verwenden, wo die Funktion ohne den Dienst tatsächlich nicht bereitgestellt werden kann.
• Ladezeitpunkt testen: Nicht notwendige Dienste dürfen erst nach passender Einwilligung aktiv werden.
• Texte abgleichen: Banner, Datenschutzerklärung und interne Diensteliste müssen dieselbe Wirklichkeit beschreiben.

Dieser Ablauf passt auch gut zu größeren Website-Prüfungen. Der Beitrag zur Cookie-Einwilligung in Österreich beschreibt den breiteren Consent-Rahmen. Der heutige Fokus ist enger: die Frage, welche Dienste überhaupt ohne Einwilligung starten dürfen. Genau diese Engführung macht Audits greifbar, weil sie nicht über jedes Detail diskutieren muss, sondern mit einer klaren Ja/Nein-Prüfung beginnt.

Banner-Texte: klarer als juristisch klingen

Viele Banner scheitern an Sprache. Wenn “notwendig” neben “funktional”, “Komfort” oder “Optimierung” steht, ist für Nutzerinnen und Nutzer kaum erkennbar, was tatsächlich passiert. Besser ist eine knappe, ehrliche Beschreibung: Notwendige Dienste sichern Grundfunktionen wie Warenkorb, Login, Sicherheit oder die Speicherung der Einwilligungsentscheidung. Statistik, Marketing und externe Medien bleiben getrennt und werden erst nach Auswahl aktiviert.

Auch die Anbieteridentität sollte leicht erkennbar sein. Wer ein Consent-Banner sieht, muss verstehen, von welcher Website die Abfrage kommt und wo Details zu Anbieter, Kontakt und rechtlichen Angaben zu finden sind. Dafür bleiben saubere Pflichtangaben wichtig; der AdSimple Impressum Generator ergänzt die technische Consent-Ebene um die klassische Vertrauensebene einer Website.

Datenschutzhinweise müssen mit dem technischen Test mithalten

Ein Banner kann technisch korrekt sein und trotzdem schlecht dokumentiert wirken, wenn die Datenschutzerklärung alte Dienste nennt oder neue Dienste verschweigt. Das ist besonders nach Relaunches, Plugin-Wechseln und Agenturübergaben ein Problem. Die EDPB-Prüfaktion zu Datenschutzhinweisen zeigt, dass Behörden weiterhin auf verständliche, aktuelle Informationen achten. Der Beitrag zur EDPB-Prüfaktion 2026 passt deshalb gut als zweiter Prüfpfad neben dem Cookie-Audit.

Für Unternehmen, die Consent, Datenschutzerklärung und Basistexte gemeinsam pflegen wollen, ist das AdSimple Business Paket oft der pragmatischere Weg als mehrere isolierte Einzellösungen. Entscheidend bleibt aber die Vorarbeit: Der tatsächliche technische Zustand der Website muss bekannt sein. Ohne dieses Inventar wird jeder Text nur eine Vermutung.

Fazit: Notwendig ist eine technische und rechtliche Aussage

“Technisch notwendig” ist keine Komfortkategorie, sondern eine überprüfbare Aussage über den Betrieb einer konkreten Website-Funktion. Genau deshalb sollte sie nicht pauschal aus alten Banner-Vorlagen übernommen werden. Wer Dienste sauber inventarisiert, Kategorien streng vergibt und Ladezeitpunkte testet, macht den Consent-Prozess robuster und verständlicher.

Der nächste sinnvolle Schritt ist klein: einmal mit abgelehnten Cookies durch die eigene Website klicken und prüfen, was wirklich passiert. Wenn Statistik, Marketing oder externe Dienste trotzdem starten, ist der Banner nicht nur ein Textproblem. Dann braucht es eine technische Korrektur, eine aktualisierte Datenschutzerklärung und eine klare Dienstelogik. Das ist weniger spektakulär als neue Tools, aber genau die Arbeit, die Website-Compliance im Alltag stabil macht.

Quellen

• WKO: Rechtsfrage 19 – Cookies
• Datenschutzbehörde: Datenschutz und Cookies
• RIS: Telekommunikationsgesetz 2021
• Article 29 Working Party: Opinion 04/2012 on Cookie Consent Exemption