Zurück zur Übersicht
CookiesKategorienDSG

Cookie-Kategorien erklärt: Notwendig, Funktional, Statistik, Marketing

Vier Kategorien, die jede Webseite kennen sollte — und die jede Webagentur ihren Kunden erklären können muss. Was reingehört, was nicht, und welche Klassifizierungs-Fehler ich regelmässig sehe.

Aiara Team··4 Min. Lesezeit
Cookie-Kategorien erklärt: Notwendig, Funktional, Statistik, Marketing

«Welche Kategorie ist dieses Cookie?» — diese Frage taucht in jedem Implementierungs-Projekt auf. Und überraschend oft wird falsch klassifiziert. Hier eine klare Übersicht der vier Kategorien, mit konkreten Beispielen aus dem Schweizer Webagentur-Alltag.

Die vier Kategorien im Überblick

Notwendige Cookies

Cookies, ohne die die Webseite technisch nicht funktioniert. Beispiele:

  • Session-Cookies (PHPSESSID, JSESSIONID): identifizieren die laufende Session
  • CSRF-Schutz (_csrf, XSRF-TOKEN): verhindern Cross-Site-Request-Forgery
  • Warenkorb (cart_id, basket): in E-Commerce-Shops zwingend
  • Login (auth_token, remember_me): für eingeloggte Bereiche
  • Cookie-Consent (cookie_consent, aiara_consent): speichert die Einwilligungs-Wahl
  • Stripe Payment (__stripe_mid, __stripe_sid): für Zahlungs-Sicherheit
  • Cloudflare (__cf_bm): Bot-Schutz

Diese Cookies brauchen keine Einwilligung, müssen aber in der Datenschutzerklärung erwähnt werden.

Funktionale Cookies

Cookies, die die Nutzung komfortabler machen, aber technisch nicht zwingend sind. Beispiele:

  • Sprach-Präferenz (locale, lang): merkt sich die gewählte Sprache
  • Theme-Auswahl (theme=dark): merkt sich Light/Dark Mode
  • Geo-Lokation (country, region): für regionale Inhalte
  • Schriftgrösse (font_size): Accessibility-Einstellung
  • Cookie-Banner-Präferenzen (banner_dismissed): Banner nicht erneut zeigen

Diese Cookies sind grenzwertig: Information empfehlenswert, Einwilligung in der Schweiz meist nicht zwingend, in der DSGVO-Praxis empfohlen.

Statistik-Cookies

Cookies, die Webseiten-Statistiken sammeln. Beispiele:

  • Google Analytics 4 (_ga, ga*): Webseiten-Tracking
  • Matomo (_pk_id, _pk_ses): selbstgehostete Analytics
  • Hotjar (hjSession, hjUser): Session-Recording
  • Plausible (in der Cookie-Less-Konfiguration ohne Cookie)
  • YouTube Embed Statistics (YSC, VISITOR_INFO1_LIVE): wenn YouTube-Videos eingebettet

Diese Cookies brauchen in der Regel Einwilligung — auch wenn sie nicht direkt für Werbung sind. Der EDÖB-Leitfaden empfiehlt Opt-In, das DSG sieht das ähnlich.

Marketing-Cookies

Cookies für Werbe-Tracking, Targeting und Conversion-Messung. Beispiele:

  • Google Ads (_gcl_au, _gcl_aw): Conversion-Tracking
  • Meta Pixel (_fbp, fr): Facebook/Instagram-Werbung
  • LinkedIn Insight Tag (li_oatml): B2B-Werbung
  • TikTok Pixel (_ttp): TikTok-Werbung
  • HubSpot CRM (__hstc, hubspotutk): Marketing-Automation
  • Salesforce Pardot: Lead-Tracking

Diese Cookies brauchen zwingend Einwilligung. Sie dürfen erst nach Opt-In geladen werden, und der Consent muss dokumentiert sein.

Die häufigsten Klassifizierungs-Fehler

Fehler 1 — Google Analytics als «Notwendig» klassifizieren. Manche Webseiten begründen das mit «wir nutzen das ja eh für unsere internen Statistiken». Das ist falsch: Statistik ist nicht notwendig im Sinne der technischen Funktion.

Fehler 2 — Live-Chat-Cookies als «Funktional» einordnen. Tools wie Intercom oder Drift sind oft als CRM- und Lead-Generation-Tool konzipiert. Sobald Daten an den Anbieter fliessen für Marketing-Zwecke, ist das Marketing — nicht funktional.

Fehler 3 — YouTube-Embed pauschal als «Statistik». Wer ein YouTube-Video einbettet, lädt YouTube-Cookies. YouTube tut damit auch User-Tracking für Google Ads. Korrekter: als Marketing-Cookie behandeln, oder besser: youtube-nocookie.com nutzen, das deutlich weniger Tracking macht.

Fehler 4 — A/B-Test-Tools als «Statistik». Tools wie VWO oder Optimizely können als Statistik klassifiziert werden, wenn sie ausschliesslich anonyme Aggregat-Daten sammeln. Sobald aber Personalisierung im Spiel ist (User-Segmentierung), wird es Marketing.

Klassifizierungs-Entscheidungsbaum

Bei jedem neuen Cookie folgende Fragen stellen:

  1. Funktioniert die Webseite ohne den Cookie?

    • Nein → Notwendig
    • Ja, weiter zu 2

  2. Werden Daten an Drittanbieter übertragen?

    • Nein → Funktional
    • Ja, weiter zu 3

  3. Was ist der Zweck der Datenübertragung?

    • Reine Webseiten-Analyse, anonyme Aggregat-Daten → Statistik
    • Werbe-Tracking, Targeting, Conversion → Marketing

Im Zweifel: strengere Kategorie wählen. Es ist immer sicherer, ein Cookie als Marketing zu klassifizieren und Einwilligung zu verlangen, als zu lasch zu sein.

Was bei korrekter Klassifizierung passiert

Wer sauber klassifiziert, bietet Nutzern echte Wahl:

  • Alle ablehnen: nur notwendige Cookies werden gesetzt
  • Nur Statistik: Notwendige + Statistik aktivieren, Marketing bleibt aus
  • Alles akzeptieren: alle vier Kategorien aktiv

Diese Granularität ist EDÖB- und DSGVO-Anforderung. Banner ohne diese Wahl-Möglichkeit gelten als unzureichend.

Klassifizierung in Aiaras Cookie-Datenbank

Aiara pflegt eine Cookie-Datenbank mit über 1500 bekannten Cookies und ihrer Standard-Klassifizierung. Wenn der Scanner einen bekannten Cookie auf einer Webseite findet, wird er automatisch korrekt eingeordnet. Bei unbekannten Cookies wird der Webseiten-Verantwortliche aufgefordert, eine manuelle Klassifizierung vorzunehmen — mit den drei Fragen aus dem Entscheidungsbaum als Hilfe.

Das Resultat: weniger Klassifizierungs-Fehler, konsistente Banner-Konfiguration, und im Falle einer EDÖB-Stichprobe eine dokumentierte Begründung für jede Zuordnung.

Häufige Fragen

Welche Cookie-Kategorien gibt es?

Im Schweizer Datenschutzrecht haben sich vier Kategorien etabliert: Notwendige Cookies (für die technische Funktion zwingend), Funktionale Cookies (Komfort, aber nicht zwingend), Statistik-Cookies (Webseiten-Analyse) und Marketing-Cookies (Werbe-Tracking). Diese Einteilung folgt dem EDÖB-Leitfaden und der DSGVO-Praxis.

Welche Cookies brauchen keine Einwilligung?

Notwendige Cookies (Session, CSRF-Schutz, Warenkorb, Login) brauchen keine Einwilligung — sie sind technisch zwingend für die Webseiten-Funktion. Funktionale Cookies (Sprach-Präferenz, Theme) sind grenzwertig: meist Information ausreichend, Einwilligung nicht zwingend, aber empfohlen.

Sind Google Analytics-Cookies Statistik oder Marketing?

Standardmässig sind sie Statistik-Cookies. Aber: sobald Google Analytics mit Google Ads verknüpft ist (Audiences, Conversion-Tracking), wird die Datenverarbeitung zu Marketing. In der Praxis empfehle ich, Google Analytics immer als Marketing zu klassifizieren, wenn auch Google Ads im Einsatz ist.

Wie ordne ich neue Cookies zu?

Drei Fragen: 1. Funktioniert die Webseite ohne diesen Cookie? Wenn nein → Notwendig. 2. Wird der Cookie nur für eine Komfortfunktion ohne Datenweitergabe an Dritte gesetzt? → Funktional. 3. Werden Daten an Drittanbieter übertragen? → Je nach Zweck Statistik oder Marketing.

Was passiert bei falscher Klassifizierung?

Ein Marketing-Cookie als 'Notwendig' zu klassifizieren wäre eine Umgehung der Einwilligungspflicht — bei einer EDÖB-Stichprobe ein klarer Verstoss. Konservativ klassifizieren: Im Zweifel als strenger Kategorie zuweisen, statt zu lasch.

Bereit für sauberen Cookie-Consent?

Aiara macht Cookie-Banner, Datenschutzerklärung und Impressum für Ihre Webseite — DSG- und DSGVO-konform.

Aiara entdecken

Weitere Beiträge

Risiko-Radar nach EDÖB Anhang A: Datenschutz-Risiken systematisch bewerten

15. April 2026 · 4 Min. Lesezeit

Risiko-Radar nach EDÖB Anhang A: Datenschutz-Risiken systematisch bewerten

Cookie-Scanner: So finden Sie heraus, was Ihre Webseite wirklich tracked

3. April 2026 · 4 Min. Lesezeit

Cookie-Scanner: So finden Sie heraus, was Ihre Webseite wirklich tracked

7 Cookie-Banner-Fehler, die Schweizer KMU teuer kommen können

25. März 2026 · 4 Min. Lesezeit

7 Cookie-Banner-Fehler, die Schweizer KMU teuer kommen können