Wie weiter oben ausgeführt, gibt es verschiedene Arten von Cookies, die sich nach Inhalt, Verwendungszweck und Nutzungsdauer unterscheiden. Technisch notwendige Cookies dienen beispielsweise
zur Speicherung bestimmter Login-Daten
für die Einstellung der Landessprache
zum Speichern der Einstellung, dass der Cookie-Hinweis bereits bestätigt wurde.
Sie sind technisch notwendig, weil Nutzer:innen Ihre Website sonst möglicherweise nicht korrekt oder nicht vollumfänglich nutzen könnten. Bei diesen technisch notwendigen Cookies ist nach gegenwärtiger Rechtslage keine Einwilligung Ihrer Website-Besucher:innen notwendig.
Nicht technisch notwendige Cookies
Für andere Cookies – insbesondere Werbe-Cookies – gilt hingegen, dass Sie diese erst dann verwenden dürfen, wenn der oder die Nutzer:in explizit und aktiv zugestimmt hat. Tut er:sie dies nicht, dürfen Sie ihm jedoch den Zugang zu Ihrer Website nicht verweigern. Es gibt allerdings eine Grauzone:
Bestimmte Cookie-Arten („Komfort-Cookies“) sind umstritten und in bestimmten Fällen erlaubt.
Zu diesen umstrittenen Cookies gehören solche, die zwar technisch nicht zwingend notwendig sind, um die Webseite anzuzeigen, die aber das Nutzererlebnis deutlich und spürbar verbessern, ohne jedoch Daten an externe Stellen zu übertragen. Hierzu zählen:
Cookies, die die vorherige Anmeldung auf dieser Seite erkennen und weitere Logins überflüssig machen
Cookies, die die zuletzt aufgerufenen Unterseite(n) einer Website indizieren
Warenkorb-Cookies, die es ermöglichen, auch ohne vorheriges Login oder Registrierung einen Warenkorb anzulegen.
Verschiedene Arten von Cookies
Cookies, die beispielsweise für interne Statistikzwecke, zur Messung des Klickverhaltens oder für die Marktforschung (A/B-Testing, Nutzerführung, Statistik) beispielsweise mit Matomo (ein Marketing-Analysetool) genutzt werden, können erlaubt sein, sind aber besonders umstritten. Problematisch ist hier insbesondere die explizite Zuordnung von verhaltensbezogenen Daten zu einzelnen Personen oder auch nur die bloße Möglichkeit, dies zu tun.
Um kostenpflichtige Abmahnungen zu vermeiden ist es daher sinnvoll, die Verwendung dieser Cookies ebenfalls per Opt-in von den Website-Besucher:innen genehmigen zu lassen.
Allgemein geht die gängige Rechtsprechung aktuell davon aus, dass auch wirtschaftliche Notwendigkeiten Rechtfertigung für „notwendige Cookies“ sein können. Unklar ist jedoch, was noch als wirtschaftlich notwendig gilt.
Session-Cookies: Wenn Sie einen Onlineshop betreiben, kommen Sie um sogenannte Session-Cookies nicht herum. Sonst würde kein Warenkorb sinnvoll funktionieren. Sie sind nur für die Dauer der Sitzung gültig (oder für eine andere festgelegte Zeitspanne). Außerdem funktioniert über diesen Weg die Passwortspeicherung ohne mehrfaches Login.
Google-Analytics-Cookies: Diese Cookie-Art dient zu Statistik-Zwecken und macht Ihre Google-Analytics-Auswertungen (beispielsweise zu wiederkehrenden Besuchern) überhaupt erst möglich.
Retargeting-Cookies: Mit Retargeting-Cookies können Sie erreichen, dass Werbung für Ihre Produkte auch zu einem späteren Zeitpunkt angezeigt wird, wenn die betreffende Person gar nicht mehr auf Ihrer Seite unterwegs ist, beispielsweise dann bei Google oder Facebook.
Außerdem ist es wichtig darauf hinzuweisen, dass selbst bei Ablehnung der vorgeschlagenen Cookies noch solche (nämlich die technisch notwendigen) gespeichert werden: „Mit "Alle akzeptieren" erteilen Sie Ihre Einwilligung zu allen Cookies und der damit verbundenen Datenverarbeitung. Mit „Alle ablehnen“ akzeptieren Sie nur technisch notwendige Cookies, die sicherstellen, dass Sie alle Funktionen der Seite richtig nutzen können.
Ein solcher Hinweis muss so oder ähnlich und für Ihre Webseite passend abgewandelt verpflichtend gezeigt werden, wenn Sie die Nutzungsdaten Ihrer Website etwa mit Tools wie Google Adsense oder Google Analytics auswerten (möchten), Retargeting betreiben wollen oder allgemein Daten nutzen wollen, die von Ihren Webseitenbesucher:innen nicht explizit eingegeben wurden.
Diese Praxis ist inzwischen durch die europäischen Datenschutzbehörden explizit als „Opt-In”-Lösung deklariert und seit 1.10.2019 gemäß Urteil des Europäischen Gerichtshof (EuGH) verpflichtend. Es ist somit nicht zulässig, beispielsweise einen automatisch gesetzten Haken bei den Cookies nur noch bestätigen zu lassen. Die Einwilligung muss „explizit” erfolgen – zumindest, wenn Sie Cookies zum Tracking beziehungsweise zu Werbezwecken einsetzen wollen. Diese Notwendigkeit wurde erst im Mai 2020 in der Auslegung des genannten EuGH-Urteils bestätigt und im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) am 1.12.2021 (Inkrafttreten) auch auf deutscher Ebene verankert. First Party versus Third Party
Die Rechtsprechung unterscheidet bei Cookies außerdem noch zwischen „First-Party-Cookies“ (auf Deutsch: eigenen Cookies) und Third-Party-Cookies (auf Deutsch: Cookies von Drittanbietern). First-Party-Cookies sind all jene Cookies, die Sie selber auf Ihrer Website erzeugen und nur mit Ihren Besucher:innen austauschen. Sogenannte Third-Party-Cookies werden hingegen extern von großen Suchmaschinenbetreibern oder Werbenetzwerk erzeugt und über viele unterschiedliche Seiten verteilt, die im Gegenzug die Dienste dieser Anbieter nutzen oder für das Verteilen der Cookies vergütet werden.
Mit solchen globalen Third-Party-Cookies kann dann beispielsweise ein generelles Nutzerprofil von Privatpersonen im Internet erstellt werden. Daher sind diese Cookies auch datenschutzrechtlich problematischer.
Rechtsunsicherheiten
Unsicherheiten bestehen insbesondere bei den Themen Facebook-Pixel und Google-Analytics-Trackingcode. Diese sind beispielsweise für das sogenannte Programmatic Advertising zur Automatisierung von Werbemaßnahmen notwendig. Ferner ist bisher unklar, ob Warenkorb-Cookies nach Ende einer Sitzung grundsätzlich gelöscht werden müssen oder nicht und falls ja, nach welchem Zeitraum. Ähnliches gilt bei der Frage nach Cookies, die beispielsweise die letzte Position in einem angeschauten Video speichern (sogenannte Mediensteuerungs-Cookies). Diese verbessern einerseits die Nutzererfahrung, lassen aber auch Rückschlüsse über Absprungpunkte und detaillierte Verhaltensanalysen zu.
Bei sogenannten Tracking-Pixeln, Web-Beacons, Fingerprints und Tags ist der Fall jedoch klar: Auch diese dürfen gemäß §25 des TTDSG nur nach vorheriger Einwilligung verwendet werden.
Tipp: Prüfen Sie sehr sorgfältig, welche Cookies von Drittanbieter-Modulen auf Ihren Seiten erzeugt werden. Derartige Drittanbieter-Module können beispielsweise auch externe Medien enthalten oder mittels JavaScript programmierte Werkzeuge, beispielsweise ein digitaler Besucher-Zähler.
Verwenden Sie auf Ihren Seiten nur Module von absolut vertrauenswürdigen Anbietern. Denn mit JavaScript kann beispielsweise auch gefährlicher Schadcode programmiert werden, mit dem Ihre Website unbemerkt zum Virenverteiler wird.
Sichern Sie auch Ihre eigenen Endgeräte immer vor Cybergefahren, die vom Besuch fremder Webseiten ausgehen könnten. Dabei hilft Ihnen auch der Microsoft Defender for Business. 
