# Cookie-Klassifikation und TTDSG-Konformität
## DokuParse — Cookie-Richtlinie
> **Stand: 2026-05-24 | öffentlich (Footer-Link) | TTDSG §25 + DSGVO Art. 6**
>
> Dieses Dokument richtet sich an Nutzer der Plattform (Makler-Mitarbeiter) und beschreibt alle eingesetzten Cookies sowie die rechtliche Grundlage für deren Verwendung.
>
> **Verwandte Dokumente:**
> - Datenschutzerklärung: `docs/legal/privacy-marketing.md` / [dokuparse.de/legal/privacy](https://dokuparse.de/legal/privacy)
> - AVV-Template: `docs/legal/avv-template.md`
> - GDPR-Audit: `docs/compliance/2026-05-22-gdpr-audit.md` (Art. 7 — kein Einwilligungsmodell nötig)
---
## 1. Was sind Cookies?
Cookies sind kleine Textdateien, die beim Besuch einer Website von Ihrem Browser auf Ihrem Gerät (Computer, Smartphone, Tablet) gespeichert werden. Sie ermöglichen es der Website, Ihren Browser bei einem erneuten Besuch wiederzuerkennen und bestimmte Einstellungen oder Sitzungsinformationen beizubehalten.
Neben klassischen Cookies werden ähnliche Speichertechnologien eingesetzt, zum Beispiel:
- **Session Storage:** Daten werden nur für die Dauer der Browser-Sitzung gespeichert.
- **Local Storage:** Daten werden dauerhaft im Browser gespeichert, bis sie explizit gelöscht werden.
Für alle diese Technologien gilt in Deutschland das **Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TTDSG)**, insbesondere §25, der die Speicherung von Informationen auf Endgeräten der Nutzer regelt.
---
## 2. Cookie-Tabelle — Alle aktiv gesetzten Cookies
Der DokuParse setzt ausschließlich die folgenden, technisch notwendigen Cookies. Es werden keine Tracking-, Analyse- oder Marketing-Cookies eingesetzt.
| Cookie-Name | Anbieter | Zweck | Lebensdauer | Klassifikation | Rechtsgrundlage |
|---|---|---|---|---|---|
| `next-auth.session-token` | easytect UG (NextAuth.js) | Authentifizierungs-Session-Token. Ermöglicht die Anmeldung und das Beibehalten der Anmeldesitzung über Seitenaufrufe hinweg. Enthält einen verschlüsselten JWT. | 30 Minuten (Session-Timeout), httpOnly, Secure | Technisch notwendig | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Zugang zur gebuchten SaaS-Leistung) |
| `next-auth.csrf-token` | easytect UG (NextAuth.js) | CSRF-Schutz (Cross-Site-Request-Forgery). Schützt Formulare und Aktionen vor unbefugter Ausführung durch Dritte. Technisch unverzichtbar für sichere Web-Anwendungen. | Sitzungsdauer (Browser-Session), httpOnly, Secure | Technisch notwendig | Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (IT-Sicherheit des Systems und Schutz der Nutzerdaten) |
| `next-auth.callback-url` | easytect UG (NextAuth.js) | Speichert die URL, zu der der Nutzer nach dem Login weitergeleitet werden soll (Login-Redirect-State). Verhindert, dass der Nutzer nach dem Anmelden stets auf die Startseite weitergeleitet wird. | Sitzungsdauer (Browser-Session), httpOnly, Secure | Technisch notwendig | Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Benutzerfreundlichkeit, technisch notwendig für Auth-Flow) |
| `csrf-token` | easytect UG (eigene App) | Double-Submit-CSRF-Schutz für Formulare außerhalb des NextAuth.js-Flows (Azure Functions API). Schutzmechanismus gegen Cross-Site-Request-Forgery. **Hinweis:** `httpOnly=false` ist technisch beabsichtigt — das Token muss vom JavaScript-Code der eigenen Seite lesbar sein für den Double-Submit-Pattern. | Sitzungsdauer (Browser-Session), Secure | Technisch notwendig | Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (IT-Sicherheit des Systems) |
### Erläuterungen zur Tabelle
**httpOnly:** Ein Cookie mit `httpOnly=true` ist für JavaScript-Code nicht zugänglich. Dies schützt das Cookie vor Cross-Site-Scripting (XSS)-Angriffen. Der `csrf-token` bildet eine begründete Ausnahme (s. oben).
**Secure:** Das Cookie wird ausschließlich über HTTPS-Verbindungen übertragen. Bei unverschlüsselten HTTP-Verbindungen wird es nicht gesendet.
**Session-Dauer:** Das Cookie wird automatisch gelöscht, wenn Sie den Browser schließen oder die Sitzung abläuft.
---
## 3. Keine Tracking- oder Analytics-Cookies
Der DokuParse ist eine **reine Arbeitsplattform** (B2B SaaS). Wir setzen **keine** der folgenden Cookie-Typen ein:
| Cookie-Typ | Eingesetzt | Begründung |
|---|---|---|
| Analytics-Cookies (z. B. Google Analytics, Matomo) | **Nein** | Nicht geplant für die Plattform-Nutzung |
| Marketing-/Werbe-Cookies (z. B. Facebook Pixel, Google Ads) | **Nein** | B2B-Plattform ohne Werbeschaltung |
| Social-Media-Cookies | **Nein** | Keine Social-Media-Integration |
| Personalisierungs-Cookies (z. B. Intercom, HubSpot) | **Nein** | Derzeit nicht eingesetzt |
| Performance-Monitoring-Cookies | **Nein** | Azure Application Insights (server-seitig, kein Browser-Cookie) |
### Rechtliche Konsequenz: Kein Cookie-Banner erforderlich
Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist gemäß **§25 Abs. 2 TTDSG** keine Einwilligung der Nutzer erforderlich. Ein Cookie-Consent-Banner oder Cookie-Verwaltungs-Tool (wie Klaro!, Cookiebot oder Usercentrics) ist bei der aktuellen Konfiguration **nicht nötig**.
§25 Abs. 2 TTDSG lautet:
> *„Die Einwilligung [...] ist nicht erforderlich, wenn [...] die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann."*
Alle vier eingesetzten Cookies fallen unter diese Ausnahme: Sie sind unbedingt erforderlich, um die gebuchte Plattform-Funktionalität (Anmeldung, Sitzungsverwaltung, Sicherheitsschutz) bereitzustellen.
---
## 4. Zukünftige Cookies
Falls in Zukunft Cookies eingesetzt werden, die nicht technisch notwendig sind (z. B. für Analytics, A/B-Testing, Live-Chat oder Marketing), gelten folgende Anforderungen:
**Vor Einführung nicht-notwendiger Cookies ist zwingend erforderlich:**
1. **Cookie-Consent-Management-System** integrieren. Geeignete Lösungen:
- [Klaro!](https://klaro.org/) — Open Source, DSGVO-konform, TTDSG-konform
- [Cookiebot](https://www.cookiebot.com/) — Kommerziell, automatische Cookie-Erkennung
- [Usercentrics](https://usercentrics.com/) — Kommerziell, DE-basiert
2. **Einwilligung (Opt-in)** der Nutzer vor dem Setzen nicht-notwendiger Cookies einholen. Standard: Opt-in (nicht Opt-out).
3. **Datenschutzerklärung aktualisieren** — neue Cookies + Anbieter + Zwecke dokumentieren.
4. **Cookie-Tabelle** (Abschnitt 2 dieses Dokuments) aktualisieren.
5. **AVV** mit neuen Subprozessoren (z. B. Analytics-Anbieter) ergänzen.
> **Hinweis:** Vor Einführung von Analytics-Cookies — auch cookieloser Varianten wie server-seitigem Tracking — ist eine rechtliche Bewertung nach TTDSG und DSGVO einzuholen. Auch „cookielose" Tracking-Methoden (Fingerprinting, Local Storage) unterliegen § 25 TTDSG.
**Stand heute (2026-05-22):** Keine Tracking- oder Analytics-Cookies geplant. Diese Zeile wird aktualisiert, wenn sich der Stand ändert.
---
## 5. Cookie-Verwaltung
Sie können die Verwendung von Cookies in Ihren Browser-Einstellungen verwalten. Da alle von uns genutzten Cookies technisch notwendig für den Betrieb der Plattform sind, führt das vollständige Deaktivieren von Cookies dazu, dass **die Anmeldung und Nutzung der Plattform nicht mehr möglich ist**.
### Browser-Einstellungen (Anleitungen):
| Browser | Einstellungen |
|---|---|
| **Google Chrome** | Einstellungen → Datenschutz und Sicherheit → Cookies und andere Websitedaten |
| **Mozilla Firefox** | Einstellungen → Datenschutz & Sicherheit → Cookies und Website-Daten |
| **Microsoft Edge** | Einstellungen → Cookies und Website-Berechtigungen |
| **Safari** | Einstellungen → Datenschutz → Cookies und Website-Daten |
Für Fragen zur Cookie-Nutzung können Sie uns erreichen unter: **datenschutz@easytect.de**
---
## 6. Verwandte Dokumente und weiterführende Informationen
| Dokument | Inhalt | Pfad / Link |
|---|---|---|
| Datenschutzerklärung | Vollständige Information über Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO | `docs/legal/privacy-marketing.md` / [dokuparse.de/legal/privacy](https://dokuparse.de/legal/privacy) |
| Auftragsverarbeitungsvertrag (AVV) | Vertrag zwischen easytect UG und Makler-Kunden gemäß Art. 28 DSGVO | `docs/legal/avv-template.md` |
| ROPA | Verzeichnis aller Verarbeitungstätigkeiten (intern) | `docs/compliance/2026-05-22-ropa.md` |
| TOMs | Technische und organisatorische Maßnahmen | `docs/compliance/2026-05-22-toms.md` |
**Aufsichtsbehörde:** Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren. Zuständig für die easytect UG (Sitz Westerburg, Rheinland-Pfalz) ist der **Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP)**, Hintere Bleiche 34, 55116 Mainz, [datenschutz.rlp.de](https://www.datenschutz.rlp.de). Eine Liste aller deutschen Landesbehörden finden Sie unter: [www.bfdi.bund.de](https://www.bfdi.bund.de)
---
## Änderungshistorie
| Version | Datum | Änderung | Autor |
|---|---|---|---|
| 1.0 | 2026-05-22 | Initiale Erstellung | Claude Code (intern) |
| 1.1 | 2026-05-24 | Rebrand auf DokuParse, zuständige Aufsichtsbehörde (LfDI RLP) eingetragen, Datenschutzerklärung verlinkt | Claude Code (intern) |
---
*Stand: 2026-05-24 | Dieses Dokument ist als öffentlicher Footer-Link geplant. Bei Änderungen der Cookie-Nutzung wird dieses Dokument aktualisiert.*