Zum Inhalt springen
Biscotti CMP
FunktionenPreise🔍 Cookie-Check♿ Barrierefreiheit📦 DownloadsDokumentationBlog
Anmelden
Startseite›Blog

LocalStorage unter dem Radar: Warum es auch eine explizite Nutzereinwilligung erfordert

7. Juli 2026 · 17 Min. Lesezeit

Kurze Antwort: LocalStorage ist ein browserbasierter Speichermechanismus, der wie Cookies unter Datenschutzbestimmungen fällt, einschließlich der ePrivacy-Richtlinie und der DSGVO der EU. Das Speichern oder Zugreifen auf nicht-essentielle Daten in LocalStorage ohne vorherige, informierte und freiwillige Nutzereinwilligung ist ein Compliance-Verstoß. Die meisten Organisationen übersehen dies, weil ihre Tools zur Einwilligungsverwaltung nur für Cookies konfiguriert sind, wodurch LocalStorage völlig unmanaged bleibt.

Wichtige Erkenntnisse

  • LocalStorage wird rechtlich als „ähnliche Technologie“ wie Cookies nach britischem und EU-Recht behandelt, was bedeutet, dass die gleichen Einwilligungsregeln gelten.
  • Der Europäische Datenschutzausschuss (EDSA) hat bestätigt, dass Technologien wie LocalStorage eine vorherige, informierte und freiwillige Einwilligung erfordern, bevor nicht-essentielle Daten gespeichert oder darauf zugegriffen werden [2].
  • Das ICO unterscheidet zwischen Speicherung, die für einen Dienst unbedingt erforderlich ist, und nicht-notwendiger Speicherung, die für Tracking oder Analysen verwendet wird; nur letztere erfordert eine explizite Einwilligung [1].
  • Viele Plattformen zur Einwilligungsverwaltung regulieren Cookies standardmäßig, lassen LocalStorage jedoch unüberwacht, was eine erhebliche Compliance-Lücke schafft [3].
  • SessionStorage hat die gleichen Datenschutzimplikationen wie LocalStorage, wenn es für Tracking- oder Analysezwecke verwendet wird.
  • Der Widerruf der Einwilligung verpflichtet eine Website, alle unter dieser Einwilligung gesammelten LocalStorage-Daten zu löschen.
  • Drittanbieter-Skripte, die in LocalStorage schreiben, erfordern ebenfalls eine Einwilligung; die Verantwortung liegt beim Website-Betreiber.
  • Strafen für die Nichteinhaltung der DSGVO können erheblich sein; das Risiko erhöht sich, wenn Verstöße systemisch und nicht offengelegt sind.

Was ist LocalStorage und wie funktioniert es?

LocalStorage ist eine in moderne Browser integrierte Web Storage API, die es Websites ermöglicht, Schlüssel-Wert-Datenpaare direkt auf dem Gerät eines Benutzers zu speichern, ohne Verfallsdatum und mit einer typischen Pro-Origin-Grenze von etwa 5-10 MB. Im Gegensatz zu Cookies werden LocalStorage-Daten niemals automatisch mit HTTP-Anfragen an einen Server gesendet; sie bleiben bestehen, bis sie explizit durch das JavaScript der Website oder durch den Benutzer gelöscht werden.

So funktioniert es in der Praxis:

  • Das JavaScript einer Website ruft localStorage.setItem('key', 'value') auf, um Daten zu schreiben.
  • Diese Daten bleiben über Browsersitzungen hinweg auf dem Gerät, bis localStorage.removeItem('key') oder localStorage.clear() aufgerufen wird.
  • Nur Skripte desselben Ursprungs (Protokoll + Domäne + Port) können diese Daten lesen oder schreiben.

Häufige Verwendungen umfassen: Speichern von Benutzereinstellungen (Theme, Sprache), Sitzungstoken, Analyse-Identifikatoren, Warenkorbinhalte und A/B-Testvariantenzuweisungen.

Der kritische Compliance-Punkt: Da LocalStorage Daten auf dem Gerät eines Benutzers speichert, löst es den gleichen rechtlichen Rahmen wie Cookies gemäß der ePrivacy-Richtlinie und der DSGVO aus, unabhängig davon, ob diese Daten jemals an einen Server übertragen werden [4].


Benötigen Sie eine Nutzereinwilligung für LocalStorage gemäß DSGVO?

Ja, für jede nicht-essentielle Nutzung von LocalStorage ist eine explizite Nutzereinwilligung erforderlich, bevor Daten gespeichert oder darauf zugegriffen werden. Der EDSA hat bestätigt, dass Technologien wie LocalStorage denselben Einwilligungsanforderungen wie Cookies unterliegen und eine vorherige, informierte und freiwillige Einwilligung erfordern [2]. Das ICO präzisiert weiter, dass die Einwilligung durch eine klare, eindeutige Handlung bestätigt werden muss, nicht durch Browsing-Verhalten abgeleitet oder durch die fortgesetzte Nutzung der Website angenommen werden darf [1].

Die Notwendigkeitsausnahme: Wenn LocalStorage ausschließlich dazu verwendet wird, eine vom Benutzer explizit angeforderte Funktion bereitzustellen, z. B. das Beibehalten von Artikeln in einem Warenkorb während einer aktiven Sitzung, kann dies als unbedingt notwendige Speicherung qualifiziert werden und erfordert keine Einwilligung. Wenn dieselben Warenkorbdaten jedoch für Analysen, Retargeting oder Verhaltensprofiling verwendet werden, gilt die Notwendigkeitsausnahme nicht mehr.

Häufiger Fehler: Die Annahme, dass LocalStorage-Daten, da sie nicht mit HTTP-Anfragen übertragen werden, außerhalb des Geltungsbereichs des Datenschutzrechts liegen. Das Gesetz gilt für das Speichern oder Zugreifen auf Informationen auf dem Gerät eines Benutzers, nicht dafür, ob diese Informationen übertragen werden.


Der Unterschied zwischen LocalStorage und Cookies: Einwilligungsanforderungen

Sowohl LocalStorage als auch Cookies erfordern eine Einwilligung, wenn sie für nicht-essentielle Zwecke verwendet werden, unterscheiden sich jedoch im technischen Verhalten und wie Compliance-Tools sie typischerweise handhaben.

Merkmal Cookies LocalStorage
Ablauf Konfigurierbar Keine (bis gelöscht)
Mit HTTP-Anfragen gesendet Ja Nein
Serverseitiger Zugriff Ja Nein
Standardmäßig von den meisten CMPs abgedeckt Ja Oft nicht [3]
Einwilligung erforderlich (nicht-essentiell) Ja Ja
Geltungsbereich Pro Domäne/Pfad Pro Origin

Die praktische Lücke ist erheblich: Die meisten Plattformen zur Einwilligungsverwaltung sind auf das Blockieren und Kategorisieren von Cookies ausgelegt. LocalStorage-Schreibvorgänge erfolgen über JavaScript, das CMPs möglicherweise nicht abfangen, es sei denn, sie sind speziell dafür konfiguriert. Deshalb ist LocalStorage unter dem Radar: Warum es auch eine explizite Nutzereinwilligung erfordert, nicht nur ein theoretisches Problem, sondern ein aktiver Compliance-Blindfleck für einen Großteil der Websites [3].


Warum LocalStorage eine explizite Nutzereinwilligung benötigt

LocalStorage erfordert eine explizite Einwilligung, da es das Zugreifen oder Speichern von Informationen auf dem Gerät eines Benutzers darstellt, eine Handlung, die durch die ePrivacy-Richtlinie (und ihre nationalen Umsetzungen) reguliert wird, unabhängig davon, ob personenbezogene Daten betroffen sind. Rechtsexperten stufen LocalStorage nach britischem Recht als „ähnliche Technologie“ wie Cookies ein, die eine vorherige, informierte und freiwillige Einwilligung erfordert, bevor eine nicht-essentielle Speicherung erfolgt [4].

Die zugrunde liegende Logik ist einfach: Das Gesetz schützt das Gerät des Benutzers als Erweiterung seiner Privatsphäre. Ob Daten in einem Cookie, LocalStorage, IndexedDB oder einem Service Worker Cache gespeichert werden, der rechtliche Auslöser ist der Akt der Speicherung selbst, nicht das Format.

Drei Bedingungen für eine gültige Einwilligung (gemäß ICO-Leitfaden) [1]:

  1. Freiwillig erteilt, keine Bündelung der Einwilligung mit der Annahme der Nutzungsbedingungen.
  2. Spezifisch und informiert, der Benutzer muss wissen, was gespeichert wird und warum.
  3. Eindeutig, die Einwilligung muss durch eine klare bestätigende Handlung erfolgen, z. B. durch Ankreuzen eines Kästchens.

Wird LocalStorage unter Datenschutzgesetzen als Tracking betrachtet?

LocalStorage wird als Tracking betrachtet, wenn es verwendet wird, um Benutzer über Sitzungen oder Seiten hinweg zu identifizieren, zu profilieren oder zu überwachen. Das Speichern einer Analyse-Benutzer-ID, einer A/B-Testzuweisung oder eines Verhaltenssegment-Labels in LocalStorage stellt nach den meisten regulatorischen Interpretationen Tracking dar, unabhängig davon, ob diese Daten später mit einem Server synchronisiert werden.

Dies ist der Kern von LocalStorage unter dem Radar: Warum es auch eine explizite Nutzereinwilligung erfordert. Viele Entwickler behandeln LocalStorage als neutralen Caching-Mechanismus, während Regulierungsbehörden jeden persistenten geräteseitigen Identifikator als potenziellen Tracking-Vektor betrachten, der eine Einwilligung erfordert.


Können Sie personenbezogene Daten in LocalStorage speichern?

Technisch ja, aber dies birgt erhebliche rechtliche Risiken und ist im Allgemeinen nicht ratsam. Personenbezogene Daten, die in LocalStorage gespeichert sind (wie E-Mail-Adressen, Komponenten des Geräte-Fingerabdrucks oder Benutzer-IDs, die mit Profilen verknüpft sind), unterliegen allen DSGVO-Verpflichtungen: Rechtsgrundlage, Datenminimierung, Aufbewahrungsfristen und das Recht auf Löschung [1].

Spezifische Risiken bei LocalStorage:

  • Daten bleiben unbegrenzt bestehen, es sei denn, sie werden explizit gelöscht, was die Einhaltung der Aufbewahrungsvorschriften erschwert.
  • Jedes JavaScript auf der Seite (einschließlich Drittanbieter-Skripte) kann potenziell auf LocalStorage-Daten desselben Ursprungs zugreifen.
  • Es gibt keine integrierte Verschlüsselung; sensible Daten, die im Klartext gespeichert sind, sind für jeden mit Gerätezugriff oder über XSS-Schwachstellen zugänglich.

Empfehlung: Vermeiden Sie das Speichern identifizierbarer personenbezogener Daten in LocalStorage. Wenn eine Speicherung notwendig ist, stellen Sie sicher, dass eine Einwilligung eingeholt wird, Daten minimiert werden und ein klarer Löschmechanismus vorhanden ist.


LocalStorage vs. SessionStorage: Datenschutzimplikationen

SessionStorage verhält sich hinsichtlich der Web Storage API identisch mit LocalStorage, aber die Daten werden gelöscht, wenn der Browser-Tab oder das Fenster geschlossen wird. Trotz dieser kürzeren Lebensdauer unterliegt SessionStorage denselben Einwilligungsanforderungen, wenn es für Tracking oder Analysen verwendet wird [6].

Der Hauptunterschied für Compliance-Zwecke:

  • SessionStorage kann leichter als unbedingt notwendig qualifiziert werden (z. B. zur Aufrechterhaltung des Status während eines mehrstufigen Checkout-Prozesses), da die Daten nicht über die Sitzung hinaus bestehen bleiben.
  • LocalStorage erfordert fast immer eine Einwilligung für Tracking-Anwendungsfälle, da seine Persistenz einen langfristigen Identifikator auf dem Gerät des Benutzers erzeugt.

Keiner der Mechanismen ist von Natur aus vom Datenschutzrecht ausgenommen. Der Zweck und Inhalt der gespeicherten Daten bestimmen die Einwilligungspflicht, nicht der Speichertyp selbst.


Was passiert, wenn Sie LocalStorage ohne Einwilligung verwenden?

Die Verwendung von LocalStorage für nicht-essentielle Zwecke ohne gültige vorherige Einwilligung ist ein Verstoß gegen die ePrivacy-Richtlinie und, wenn personenbezogene Daten betroffen sind, gegen die DSGVO. Die Folgen können behördliche Untersuchungen, Durchsetzungsmaßnahmen und Reputationsschäden sein.

Neben dem regulatorischen Risiko gibt es eine wachsende technische Durchsetzungsdimension: Browser-Datenschutzfunktionen und Werbeblocker zielen zunehmend auf LocalStorage-basiertes Tracking ab. Websites, die sich für Analysen oder Personalisierung auf nicht-eingewilligtes LocalStorage verlassen, könnten feststellen, dass ihre Daten zunehmend unzuverlässig werden, da diese Tools immer häufiger eingesetzt werden.

Praktische Checkliste für die Exposition:

  • Drittanbieter-Analyse-Skripte, die LocalStorage-Identifikatoren ohne Einwilligung schreiben.
  • A/B-Test-Tools, die Variantenzuweisungen speichern, bevor die Einwilligung eingeholt wird.
  • Chat-Widgets oder Support-Tools, die LocalStorage beim Laden der Seite initialisieren, bevor eine Benutzerinteraktion stattfindet.
  • Retargeting-Pixel, die LocalStorage als Cookie-Sync-Fallback verwenden.

So implementieren Sie die LocalStorage-Einwilligung auf Ihrer Website

Die Implementierung der LocalStorage-Einwilligung erfordert eine Plattform zur Einwilligungsverwaltung, die die Ausführung von JavaScript blockieren kann, nicht nur das Setzen von Cookies, bis der Benutzer eine gültige Einwilligungsentscheidung getroffen hat. Standard-Cookie-Banner, die nur auf der HTTP-Ebene arbeiten, werden LocalStorage-Schreibvorgänge, die von JavaScript vorgenommen werden, nicht abfangen [3].

Schritt-für-Schritt-Implementierungsansatz:

  1. Überprüfen Sie Ihre LocalStorage-Nutzung. Verwenden Sie die Entwicklertools des Browsers (Registerkarte "Anwendung") und einen Skript-Scanner, um jeden in LocalStorage geschriebenen Schlüssel zu identifizieren, welches Skript ihn schreibt und zu welchem Zweck.
  2. Kategorisieren Sie jede Nutzung. Klassifizieren Sie die Speicherung als unbedingt notwendig, funktional, analytisch oder Marketing. Nur unbedingt notwendige Speicherung darf ohne Einwilligung erfolgen.
  3. Wählen Sie eine CMP, die LocalStorage abdeckt. Stellen Sie sicher, dass Ihre Plattform zur Einwilligungsverwaltung die Ausführung von JavaScript für nicht-notwendige Skripte blockieren oder verzögern kann, bis die Einwilligung erteilt wurde. Biscotti CMP ist darauf ausgelegt, dieses Maß an Skript-Ebene-Einwilligungsverwaltung zu handhaben.
  4. Implementieren Sie ein einwilligungsgesteuertes Skript-Laden. Nicht-essentielle Skripte, die in LocalStorage schreiben, sollten erst geladen werden, nachdem der Benutzer die entsprechende Einwilligungskategorie akzeptiert hat.
  5. Stellen Sie eine klare Einwilligungs-Benutzeroberfläche bereit. Das Einwilligungsbanner muss die LocalStorage-Nutzung in einfacher Sprache, nach Zweck kategorisiert und mit granularen Opt-in-Optionen beschreiben.
  6. Implementieren Sie einen Widerrufs- und Löschmechanismus. Wenn ein Benutzer die Einwilligung widerruft, müssen die relevanten LocalStorage-Schlüssel sofort gelöscht werden.

So löschen Sie LocalStorage-Daten, nachdem der Benutzer die Einwilligung widerrufen hat

Wenn ein Benutzer die Einwilligung widerruft, muss die Website alle LocalStorage-Daten, die unter dieser Einwilligung gesammelt wurden, unverzüglich löschen. Dies ist nicht optional; das Recht, die Einwilligung zu widerrufen und die damit verbundenen Daten entfernen zu lassen, ist ein zentraler DSGVO-Grundsatz.

Implementierungsmuster:

← Zurück zum Blog
Biscotti CMP

Consent Management und Legal Text Generator der Campcruisers GmbH. Kann Sie bei Ihrer Webseiten-Compliance unterstützen.

Produkt

🏢 Über unsFunktionenPreiseDokumentation🔍 Cookie-Check📦 Downloads📚 Datenschutz & Consent Wissensdatenbank📝 Blog📖 Cookie-Consent & Datenschutz-Glossar🌍 Jurisdiktionen♿ WCAG 2.2 Barrierefreies Consent-Banner

Rechtliches

ImpressumDatenschutzAGBWiderrufsrechtAVVCookie-Richtlinie

Kontakt

Kontakt
© 2026 Biscotti – Ein Service der Campcruisers GmbH🍪 Cookie-Einstellungen ändern