Technisch notwendige Cookies sind solche, die "unbedingt erforderlich" sind, damit der Anbieter eines digitalen Dienstes einen vom Nutzer ausdrücklich gewünschten Dienst bereitstellen kann (Paragraph 25 Abs. 2 Nr. 2 TDDDG). Sie sind ohne Einwilligung zuläßig, weil sie die Grundfunktion der Website erst ermöglichen.
Beispiele für technisch notwendige Cookies:
- Session-Cookies: Halten die Sitzung aufrecht, damit der Nutzer nicht bei jedem Seitenwechsel erneut identifiziert werden muss. Werden beim Schließen des Browsers gelöscht.
- Warenkorb-Cookies: Speichern die Auswahl des Nutzers in einem Online-Shop während des Einkaufs.
- Authentifizierungs-Cookies: Ermöglichen den Login-Status im geschützten Bereich einer Website.
- Spracheinstellungs-Cookies: Speichern die vom Nutzer gewählte Sprache.
- Consent-Cookies: Speichern die Cookie-Entscheidung des Nutzers selbst (ob er zugestimmt oder abgelehnt hat).
- Load-Balancing-Cookies: Verteilen Anfragen auf verschiedene Server für die Stabilisierung des Dienstes.
- CSRF-Tokens: Schützen Formulare vor Cross-Site-Request-Forgery-Angriffen und dienen der IT-Sicherheit.
Keine technisch notwendigen Cookies sind dagegen: Analyse-Cookies (auch wenn der Betreiber sie für nützlich hält), Werbe-Cookies, Tracking-Pixel, Cookies für A/B-Tests (sofern nicht allein der Funktionsfähigkeit dienend), Social-Media-Cookies und Cookies, die Nutzungsprofile erstellen. Die DSK-OH Digitale Dienste stellt klar, dass die Beurteilung aus Sicht des Nutzers erfolgt: Der Nutzer muss den Dienst ausdrücklich gewünscht haben, und das Cookie muss für genau diesen Dienst unbedingt erforderlich sein.
Die Grenze ist eng zu ziehen. Ein Cookie, das lediglich der Bequemlichkeit oder der Geschäftsoptimierung des Anbieters dient, ist nicht "unbedingt erforderlich". Die Beweislast liegt beim Anbieter.