Rechtsgrundlage ist hier das Zauberwort, die DS-GVO definiert folgende Rechtsgrundlagen.
a) wäre Cookie-Consent, also Einwilligung
Wobei ein Cookie, je nach Daten im Cookie, nicht zwangsläufig eine Verarbeitung nach DS-GVO darstellt. Sofern im Cookie keine z. B. NutzerID (z. B. Browser-Fingerprint) gespeichert ist, sondern nur z. B. die Informationen „logged in“ ist das keine personenbezogene Information und fällt nicht unter die DS-GVO.
Der direkte Nutzer-/Personenbezug ist also wichtig und dann gibt es neben Einwilligung (Consent) auch noch das berechtigte Interesse (f) oder andere Grundlagen die das Setzen eines Cookies erlauben können.
Es lässt sich also nicht pauschal sagen und kommt stark auf die Daten an.
Insgesamt ist in dem Bereich aber vieles unklar bzw. „grau“ z. B. stützen sich viele Seiten bei Werbecookies auf berechtigtes Interesse, da sie die Seite nur betreiben können, wenn sie sie effizient mit Werbung finanzieren können. Solange es die e-Privacy nicht gibt, oder passende Grundsatzurteile für bestimmte Sachverhalte, wird es oft eine Einzelfallentscheidung sein.