Drücke „Enter”, um zum Inhalt zu springen.
Auf dieser Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise

Alles, was Sie über Cookies wissen müssen

· Ein Beitrag von IT Logic
Cookies

Kategorien: Allgemein

Cookie heißt übersetzt Keks. Ein Cookie ist ein Datensatz (und keine Textdatei), der vom Browser des Nutzers, der eine Webseite aufruf, abgespeichert wird.

Ein Cookie befindet sich immer auf dem System des Nutzers. System bedeutet hier: Das Endgerät, mit dem der Nutzer die Webseite aufgerufen hat, die ein Cookie verwendet. Ein typisches Endgerät ist ein Smartphone, ein IPad oder ein Desktop PC, wie er meist auf oder unter dem Schreibtisch steht.

Ein Cookie ist ein Informationsspeicher. Wichtig ist, dass ein Cookie Informationen zu einer bestimmten Person speichert. Diese Person ist ein bestimmter Besucher einer Webseite.

Hier ein Beispiel für Cookies, die beim Aufruf der Google-Suche gesetzt werden:

Cookies, die beim Aufruf der Webseite google.com gesetzt werden

Wie funktionieren Cookies?

Ein Cookie ist einer Domäne zugeordnet, beispielsweise google.de. Sobald eine Webseite eine Datei von google.de abruft, werden automatisch und zwangsweise alle Cookies an den Server übertragen, von dem die Datei abgerufen wird. Die abgerufene Datei kann dann die erhaltenen Cookies auslesen, ändern, löschen oder neue Cookies setzen.

Ein Sonderfalls sind Cookies, die von einer besuchten Webseite selbst verwaltet werden. Diese Cookies werden beim Besuch der Webseite an den Server übertragen, auf dem die Webseite betrieben wird. Bindet die Webseite Tools ein, können diese Tools ebenfalls auf die Cookies der Webseite zugreifen!

Arten von Cookies

Oft werden Cookies nach technischen Kriterien klassifiziert. Dies ist datenschutzrechtlich zu kurz gedacht.

First Party Cookies

Cookies, die in der Domäne existieren, die der Domäne der gerade besuchten Webseite entspricht, heién First Party Cookies, auf Deutsch Erstpartei-Cookies. Solche Cookies sind nur rein technisch einer Erstpartei zugeordnet. Jedes von der besuchten Webseite geladene Tool kann diese Cookies selbst setzen, auslesen oder ändern. Beispielsweise tut dies Google Analytics seit einiger Zeit.

Third Party Cookies

Cookies von Drittanbietern heißen Third Party Cookies, auf Deutsch Drittanbieter-Cookies. Drittanbieter sind alle, die ungleich dem Betreiber der gerade besuchten Webseite sind. Ein Third Party Cookie existiert nur in einer Domäne, die ungleich der Domäne der gerade besuchten Webseite ist. Wird ein Tool eingebunden, welches solche Drittpartei-Cookies setzt, kann das Tool damit über mehrere verschiedene Webseiten hinweg Nutzer nachverfolgen. Dies ist dann möglich, wenn das Tool auf unterschiedlichen Webseiten zum Einsatz kommt. Dies betrifft beispielsweise Google reCAPTCHA.

Allerdings kann der Nutzer auch ohne Cookies über zahlreiche Webseiten hinweg nachverfolgt werden.

Third Party Cookies werden insbesondere in der Online Marketing Branche verwendet, um mehr über Nutzer zu erfahren. So können sehr zugespitzte Werbeanzeigen platziert werden. Daher ist insbesondere die Online Marketing Szene betrübt über das Verbot von 3rd Party Cookies ohne Einwilligung.

Auslesen von Cookies

Damit ein Cookie als Informationsspeicher Sinn macht, muss ein Cookie nicht nur erstellt, sondern auch ausgelesen werden.

Das Auslesen eines Cookies geschieht dann, wenn man eine Webseite ein zweites (oder drittes oder viertes) Mal aufruft.

Beim ersten Aufruf einer Webseite wird also ein Cookie erzeugt, um dann bei späteren Aufrufen derselben Webseite, etwa eine Woche später, wieder ausgelesen werden zu können.

Lebendauer von Cookies

Derjenige, der ein Cookie erzeugt, kann eine Lebensdauer für das Cookie definieren. Es gibt unsterbliche Cookies, die auf alle Zeit gelten. Üblich sind aber Cookies mit begrenzter Laufzeit. Die Lebensdauer eines Cookies kann also von einer ganz kurzen Zeitspanne (wenige Sekunden) bis hin zu Jahren reichen.

Die ungefährlichsten Cookies sind sogenannte Session Cookies, also Sitzungs-Cookies. Solche Cookies erlischen automatisch, sobald die Webseite oder der Browser geschlossen wird. Ein Nachverfolgen des Nutzers ist damit nicht möglich.

Ist die Lebensdauer eines Cookies erloschen, wird es automatisch vom Browser gelöscht. Das Cookie kann dann nicht mehr ausgelesen werden.

Warum werden Cookies benötigt?

Eine Webseite ist per se zustandslos. Das bedeutet, wenn Sie eine Webseite zig mal hintereinander aufrufen, weiß die Webseite nicht, dass Sie dies getan haben. Die Webseite vergisst also alles, was zuvor war. Das ist im Internetprotokoll begründet. Die technischen Details lassen wir hier aus. Cookies sind die Medizin gegen diese Vergesslichkeit.

Mit Cookies kann etwa festgestellt werden, ob sich ein Nutzer angemeldet hat und ob er aktuell noch angemeldet ist. Sie kennen sicher diese geschützten Bereiche, in die man nur nach Registrierung und Anmeldung kommt. Ein gutes Beispiel ist Facebook. Erst nach Anmeldung können Sie Ihr Profil sehen.

Statt einem Cookie kann auch eine Sitzungs-Identifikation in der Adresse der Webseite mitgeführt werden. Dies hat aber den Nachteil, dass es technisch anspruchsvoller ist. Außerdem geht diese Sitzungsinformation ohne Cookie verloren, wenn Sie die Webseite von Hand erneut eintippen (dann nämlich ohne Sitzungsangabe, sondern einfach die reine Webseitenadresse).

Gefahren von Cookies

Warum reden alle immer über Cookies, wenn es um das Thema Datenschutz geht?

Mit Cookies kann ein Nutzer quasi eindeutig identifiziert werden. Man kann also feststellen: Ja, dieser eine Nutzer hat meine Webseite bereits 23 mal aufrufen und zwar an diesem und jenem Tag zu der und der Zeit. Der Nutzer hat diese Liste an Artikeln gelesen usw.

Tracking

Beim sogenannten Tracking werden Cookies eingesetzt, um Nutzer über mehrere Webseiten hinweg – weltweit – zu verfolgen. Bekanntestes Beispiel ist Google Analytics. Das Problem: Die Aktivitäten eines Nutzers im Internet dürfen gemäß DSGVO nicht einfach so nachverfolgt werden. Vielmehr ist dafür die vorige Einwilligung des Nutzers erforderlich. Diese holen viele aber gar nicht ein. Die Einwilligungspflicht ist in Artikel 5 der ePrivacy Richtlinie geregelt, der laut einem BGH-Urteil aus dem Jahr 2020 auch für Deutschland gilt.

Das größte Missverständnis zu Cookies

Cookies an sich sind nichts Schlechtes. Sie sind teilweise technisch sogar notwendig, damit Anwendungen wie Facebook funktionieren. Das Problem ist nicht das Cookie an sich.

Das Problem sind die Tools, die Cookies als Hilfsmittel nutzen, um die Aktivitäten von Nutzern zu verfolgen.

Cookies und Tracking
Cookies werden landläufig als das Problem gesehen, wenn es um Datenschutz im Internet geht. Viele meinen, dass man nur mit Cookies einen Nutzer identifizieren kann. Das ist falsch. Auch ganz ohne Cookies kann ein Internetbenutzer nahezu eindeutig erkannt werden. Somit können seine Aktivitäten im Netz über zahlreiche Webseiten hinweg verfolgt werden.

Das bedeutet: Auch ohne Cookies ist Tracking von Nutzeraktivitäten möglich. Auch ohne Cookies ist dieses Tracking an sich nicht erlaubt. Egal ob mit oder ohne Cookies, es ändert sich nichts an der Rechtslage.

Der reine Hinweise, dass auf einer Webseite Cookies verwendet werden, ist also Unsinn und ohne jeden Belang. Er ist sowohl unnötig als auch wirkungslos. er ist unnötig, weil technisch notwendige Cookies ohne Weiteres verwendet werden dürfen.

Das Urteil des Europäischen Gerichtshofs vom 01.10.2019 zu Cookies besagt genau das: Cookie-Banner, die nur informieren, sind wirkungslos. Vielmehr muss der Nutzer um vorige Einwilligung gebeten werden.

Ein reiner Cookie-Hinweis ist wirkungslos, weil Cookie, die zu Tracking-Zwecken verwendet werden, nur Mittel zum Zweck sind. Für das Tracking muss eine Einwilligung abgefragt werden. Eine Cookie-Bar, die nur erwähnt, dass Cookies verwendet werden und dem Nutzer mit einem “OK” Button die Möglichkeit gibt, die Cookie Bar wieder auszublenden, hat keinen Sinn.

Manche Tools, wie Cookiebot, generieren beispielsweise für YouTube-Videos eine ganze Menge von Cookie-Hinweisen, die sehr technisch und nicht aussagekräftig sind. Diese Hinweise sind insofern rechstwidrig, als dass in der DSGVO geregelt ist, dass die Information an den Nutzer ausreichend und verständlich sein muss.

Abgesehen davon informieren diese Tools den Webseiteninhaber auch nicht darüber, dass Videos falsch eingebunden sind. Bindet man YouTube Videos wenigstens mit erweiterten Datenschuzeinstellungen ein, so reduziert sich das Tracking Problem ganz erheblich – um Cookies geht es bei YouTube-Videos allerdings weniger! Hier greift Artikel 5 DSGVO, die Datenminimierung. Deswegen dürfen externe Google Schriften auch nicht eingebunden werden (eine Einwilligung macht für Schriften wenig Sinn).

Fazit

Cookies sind an sich harmlos und nie das Problem selbst.

Das Problem sind nur Tools, Scripte und Plugins, die Cookies nutzen oder Drittanbieter, die Cookies auswerten.

Entfernen Sie also jede Cookie-Bar, die eine reine Information anzeigt, ohne um Erlaubnis für irgend etwas zu fragen.

Fügen Sie statt dessen eine Einwilligungsabfrage auf Ihrer Webseite ein, wenn Sie Tools wie Google Analytics, Facebook Connect, Social Media Plugins o.ä. verwenden. Formulieren Sie diese Einwilligungsabfrage fachlich und nicht auf Cookies bezogen. Verwenden Sie höchstens der Form halber einmal das Wort Cookies. Ansonsten informieren Sie darüber, was tatsächlich passiert, nämlich dass bei Zustimmung durch den Nutzer das Tracking-Tool X geladen oder das Video von Anbieter Y eingebunden wird.

Wir raten auch dazu, eine Einwilligungsabfrage für eingebundene YouTube-Videos einzuholen, da YouTube zahlreiche Datenerhebungen durchführt.

Das könnte Sie auch interessieren:
Google Fonts Abmahnung erhalten: Was tun? Kostenfreie Erstberatung
Google Fonts und Google Analytics: Das rechtliche Risiko steigt
Datenschutz-News: Beitrag zu Consent Tools auf Webseiten
Web Tracking: Wann einwilligungspflichtig?
Wie man DSGVO-konform die eigene Webseite tracken kann
Google Analytics DSGVO konform nutzen: Ein Ratgeber