Cookie erklärt: Typen, Tracking und DSGVO-Pflicht

Jede Anfrage, die dein Browser an eine Website schickt, kennt standardmäßig keinen Kontext. Kein Gedächtnis, kein Wiedererkennungswert. Cookies lösen dieses Problem: Der Server sendet beim ersten Aufruf eine kleine Textdatei - der Browser speichert sie lokal und schickt sie bei jedem Folgeaufruf automatisch zurück. So entsteht Kontinuität: dein Warenkorb bleibt, dein Login bleibt, und im Marketing-Kontext auch die Information darüber, woher du kommst und was du angeschaut hast.

Die vier Cookie-Typen, die du kennen musst

Session-Cookies

Gelten nur für die aktive Browsersitzung. Sobald du den Tab schließt, sind sie weg. Typischer Einsatz: Login-Status, Warenkorb, Formular-Zwischenstände. Kein Ablaufdatum, kein persistent gespeichertes Profil. Datenschutzrechtlich meist unkritisch.

Persistent-Cookies

Bleiben gespeichert bis zum definierten Ablaufdatum. Erinnern dich beim nächsten Besuch: Spracheinstellung, gespeicherter Login, deine Cookie-Consent-Entscheidung. Letzteres ist kein Randaspekt - die Einwilligung aus dem Cookie-Banner speicherst du genau so.

First-Party-Cookies

Werden von der Domain gesetzt, die du gerade besuchst. Analytics-Tools (wenn korrekt konfiguriert), Login-Systeme oder eigene Tracking-Lösungen nutzen sie. Datenschutzrechtlich weniger problematisch als Third-Party-Cookies, aber nicht automatisch einwilligungsfrei.

Third-Party-Cookies

Werden von externen Domains gesetzt - über eingebettete Werbemittel, Tracking-Pixel oder Social-Media-Buttons. Google Ads, Meta, LinkedIn: Diese Anbieter setzen Cookies, um dich über verschiedene Websites hinweg zu verfolgen. Das ist die Basis von Retargeting. Und das ist das, was gerade systematisch abgebaut wird.

Wofür Cookies im Marketing gebraucht werden

Cookies sind die Grundlage fast aller digitalen Marketing-Metriken - von der Klickmessung bis zur Zielgruppenbildung.

• Conversion-Messung: Ein Cookie speichert, dass jemand auf deine Anzeige geklickt hat. Füllt er später das Kontaktformular aus, wird diese Conversion der Anzeige zugeordnet.
• Retargeting: Jemand besucht deine Website ohne zu konvertieren. Ein Third-Party-Cookie registriert das. Auf der nächsten Website sieht er deine Anzeige - weil der Cookie ihn wiedererkannt hat.
• Analyse: Tools wie Google Analytics messen Seitenaufrufe, Verweildauer und Absprungrate über Cookies und zeigen dir, wie Besucher deine Website nutzen.
• Personalisierung: Inhalte werden auf Basis früherer Besuche angepasst - welche Seiten aufgerufen wurden, welche Themen interessieren.

Was das TDDDG und die DSGVO verlangen

Seit § 25 TDDDG (ehemals TTDSG, umbenannt seit Mai 2024) gilt: Nicht-essenzielle Cookies dürfen nur mit aktiver, freiwilliger Einwilligung gesetzt werden. Das gilt auch für B2B-Websites. Kein vorausgewähltes Häkchen, keine stillschweigende Einwilligung durch Weiternavigieren. Mehr zum Thema Datenschutz auf Webflow-Websites findest du in unserem Blog.

Ohne Einwilligung erlaubt:

• Session-Cookies für Warenkörbe und Logins
• Technisch notwendige Cookies (Sicherheit, Load-Balancing)
• Cookies, die ausschließlich der Kommunikationsübertragung dienen

Einwilligung zwingend erforderlich:

• Analytics-Cookies (Google Analytics ohne cookielose Konfiguration)
• Werbe- und Targeting-Cookies
• A/B-Test-Tools, die Nutzerprofile erstellen

Verstöße können teuer werden: Die DSGVO sieht Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro vor, je nachdem was höher ist (European Data Protection Board). Das TDDDG sieht separat Bußgelder bis 300.000 Euro vor.

Was bedeutet das konkret für deine Website?

Kurze Antwort: Du brauchst einen Cookie-Banner, wenn du Tracking-Tools wie Google Analytics, Google Ads, Meta Pixel oder LinkedIn Insight Tag einsetzt. Punkt.

Was du konkret brauchst:

• Cookie-Banner mit echtem Opt-in - kein "Durch Weiternutzen stimmst du zu"
• Dokumentierte Einwilligungen - wer hat wann was akzeptiert
• Opt-out-Möglichkeit - Nutzer müssen ihre Einwilligung jederzeit widerrufen können
• Datenschutzerklärung, die alle gesetzten Cookies benennt und erklärt

Wenn du noch keinen Cookie-Banner hast oder dir nicht sicher bist, ob deiner rechtskonform ist: Das ist die Aufgabe, die oben auf die Liste gehört.

Das Ende der Third-Party-Cookies

Firefox und Safari blockieren Third-Party-Cookies bereits standardmäßig. Google Chrome setzt seit 2025 auf nutzerseitige Opt-out-Kontrolle via Privacy Sandbox statt eines kompletten Blockierens - hat den geplanten Phase-out aber mehrfach verschoben. Das Ergebnis: Cross-Site-Tracking über Cookies wird unzuverlässiger, unabhängig davon, was Chrome noch entscheidet.

Was Marketer stattdessen aufbauen sollten:

• Server-Side-Tracking - Events werden serverseitig erfasst, Browser-Beschränkungen greifen nicht
• First-Party-Daten - direkt gesammelt: E-Mail-Adressen, CRM-Daten, Newsletter-Engagement
• UTM-Parameter - sessionbasiertes Tracking ohne Cookies via URL-Parameter

Der Übergang ist keine Apokalypse, aber er braucht Vorbereitung. Wer jetzt auf First-Party-Daten setzt, verliert beim Cookie-Sterben nichts.