Hakuna matata!

Dafür würde sich ein Cookie (Zustimmung erforderlich) oder die Verwendung des lokal storage anbieten.

Hm, ich frage mich: Wenn exakt dieselben Daten gespeichert würden, warum soll sich dann die Notwendigkeit einer Zustimmung unterschiedlich verhalten?

Es ist eine weit verbreiteter Irrtum, dass die Cookie-Richtlinie sich auf nur auf Cookies auswirkt. Es geht darin sehr viel allgemeiner und unabhängig von konkreten technischen Implementationen darum, was man mit und ohne ausdrückliches Einverständnis des Nutzers tracken darf. Sofern ich das einschätzen kann, geht es dabei nicht um die Daten, die eine Webseite beim Nutzer lokal abspeichert, sondern um Daten, die an den Server gesendet werden.

Wenn man Cookies für die clientseitige Speicherung von Daten einsetzt, dann muss man sich darüber bewusst sein, dass die Daten bei jedem Request an den Server übermittelt werden. Beim localStorage ist das nicht der Fall.

Man kann natürlich auch Daten aus dem localStorage mit AJAX an den Server übermitteln, aber damit hat man auf keinen Fall die Cookie-Richtlinie ausgetrickst. Jenachdem welche Daten an den Server geschickt werden, muss trotzdem das Einverständnis des Nutzers eingeholt werden.

In diesem konkreten Fall, wo es nur um den letzten Stand der Banner-Rotation geht, müsste vermutlich auch nicht auf das Cookie hingewiesen werden, weil es sich dabei nicht um Tracking-Code handelt.