Kategorien: Allgemein
Cookie heißt übersetzt Keks. Ein Cookie ist ein Datensatz (und keine Textdatei), der vom Browser des Nutzers, der eine Webseite aufruf, abgespeichert wird.
Ein Cookie befindet sich immer auf dem System des Nutzers. System bedeutet hier: Das Endgerät, mit dem der Nutzer die Webseite aufgerufen hat, die ein Cookie verwendet. Ein typisches Endgerät ist ein Smartphone, ein IPad oder ein Desktop PC, wie er meist auf oder unter dem Schreibtisch steht.
Ein Cookie ist ein Informationsspeicher. Wichtig ist, dass ein Cookie Informationen zu einer bestimmten Person speichert. Diese Person ist ein bestimmter Besucher einer Webseite.
Hier ein Beispiel für Cookies, die beim Aufruf der Google-Suche gesetzt werden:

Wie funktionieren Cookies?
Ein Cookie ist einer Domäne zugeordnet, beispielsweise google.de. Sobald eine Webseite eine Datei von google.de abruft, werden automatisch und zwangsweise alle Cookies an den Server übertragen, von dem die Datei abgerufen wird. Die abgerufene Datei kann dann die erhaltenen Cookies auslesen, ändern, löschen oder neue Cookies setzen.
Ein Sonderfalls sind Cookies, die von einer besuchten Webseite selbst verwaltet werden. Diese Cookies werden beim Besuch der Webseite an den Server übertragen, auf dem die Webseite betrieben wird. Bindet die Webseite Tools ein, können diese Tools ebenfalls auf die Cookies der Webseite zugreifen!
Arten von Cookies
Oft werden Cookies nach technischen Kriterien klassifiziert. Dies ist datenschutzrechtlich zu kurz gedacht.
First Party Cookies
Cookies, die in der Domäne existieren, die der Domäne der gerade besuchten Webseite entspricht, heién First Party Cookies, auf Deutsch Erstpartei-Cookies. Solche Cookies sind nur rein technisch einer Erstpartei zugeordnet. Jedes von der besuchten Webseite geladene Tool kann diese Cookies selbst setzen, auslesen oder ändern. Beispielsweise tut dies Google Analytics seit einiger Zeit.
Third Party Cookies
Cookies von Drittanbietern heißen Third Party Cookies, auf Deutsch Drittanbieter-Cookies. Drittanbieter sind alle, die ungleich dem Betreiber der gerade besuchten Webseite sind. Ein Third Party Cookie existiert nur in einer Domäne, die ungleich der Domäne der gerade besuchten Webseite ist. Wird ein Tool eingebunden, welches solche Drittpartei-Cookies setzt, kann das Tool damit über mehrere verschiedene Webseiten hinweg Nutzer nachverfolgen. Dies ist dann möglich, wenn das Tool auf unterschiedlichen Webseiten zum Einsatz kommt. Dies betrifft beispielsweise Google reCAPTCHA.
Allerdings kann der Nutzer auch ohne Cookies über zahlreiche Webseiten hinweg nachverfolgt werden.
Third Party Cookies werden insbesondere in der Online Marketing Branche verwendet, um mehr über Nutzer zu erfahren. So können sehr zugespitzte Werbeanzeigen platziert werden. Daher ist insbesondere die Online Marketing Szene betrübt über das Verbot von 3rd Party Cookies ohne Einwilligung.
Auslesen von Cookies
Damit ein Cookie als Informationsspeicher Sinn macht, muss ein Cookie nicht nur erstellt, sondern auch ausgelesen werden.
Das Auslesen eines Cookies geschieht dann, wenn man eine Webseite ein zweites (oder drittes oder viertes) Mal aufruft.
Beim ersten Aufruf einer Webseite wird also ein Cookie erzeugt, um dann bei späteren Aufrufen derselben Webseite, etwa eine Woche später, wieder ausgelesen werden zu können.
Lebendauer von Cookies
Derjenige, der ein Cookie erzeugt, kann eine Lebensdauer für das Cookie definieren. Es gibt unsterbliche Cookies, die auf alle Zeit gelten. Üblich sind aber Cookies mit begrenzter Laufzeit. Die Lebensdauer eines Cookies kann also von einer ganz kurzen Zeitspanne (wenige Sekunden) bis hin zu Jahren reichen.
Die ungefährlichsten Cookies sind sogenannte Session Cookies, also Sitzungs-Cookies. Solche Cookies erlischen automatisch, sobald die Webseite oder der Browser geschlossen wird. Ein Nachverfolgen des Nutzers ist damit nicht möglich.
Ist die Lebensdauer eines Cookies erloschen, wird es automatisch vom Browser gelöscht. Das Cookie kann dann nicht mehr ausgelesen werden.
Warum werden Cookies benötigt?
Eine Webseite ist per se zustandslos. Das bedeutet, wenn Sie eine Webseite zig mal hintereinander aufrufen, weiß die Webseite nicht, dass Sie dies getan haben. Die Webseite vergisst also alles, was zuvor war. Das ist im Internetprotokoll begründet. Die technischen Details lassen wir hier aus. Cookies sind die Medizin gegen diese Vergesslichkeit.
Mit Cookies kann etwa festgestellt werden, ob sich ein Nutzer angemeldet hat und ob er aktuell noch angemeldet ist. Sie kennen sicher diese geschützten Bereiche, in die man nur nach Registrierung und Anmeldung kommt. Ein gutes Beispiel ist Facebook. Erst nach Anmeldung können Sie Ihr Profil sehen.
Statt einem Cookie kann auch eine Sitzungs-Identifikation in der Adresse der Webseite mitgeführt werden. Dies hat aber den Nachteil, dass es technisch anspruchsvoller ist. Außerdem geht diese Sitzungsinformation ohne Cookie verloren, wenn Sie die Webseite von Hand erneut eintippen (dann nämlich ohne Sitzungsangabe, sondern einfach die reine Webseitenadresse).
Gefahren von Cookies
Warum reden alle immer über Cookies, wenn es um das Thema Datenschutz geht?
Mit Cookies kann ein Nutzer quasi eindeutig identifiziert werden. Man kann also feststellen: Ja, dieser eine Nutzer hat meine Webseite bereits 23 mal aufrufen und zwar an diesem und jenem Tag zu der und der Zeit. Der Nutzer hat diese Liste an Artikeln gelesen usw.
Tracking
Beim sogenannten Tracking werden Cookies eingesetzt, um Nutzer über mehrere Webseiten hinweg – weltweit – zu verfolgen. Bekanntestes Beispiel ist Google Analytics. Das Problem: Die Aktivitäten eines Nutzers im Internet dürfen gemäß DSGVO nicht einfach so nachverfolgt werden. Vielmehr ist dafür die vorige Einwilligung des Nutzers erforderlich. Diese holen viele aber gar nicht ein. Die Einwilligungspflicht ist in Artikel 5 der ePrivacy Richtlinie geregelt, der laut einem BGH-Urteil aus dem Jahr 2020 auch für Deutschland gilt.
Das größte Missverständnis zu Cookies
Cookies an sich sind nichts Schlechtes. Sie sind teilweise technisch sogar notwendig, damit Anwendungen wie Facebook funktionieren. Das Problem ist nicht das Cookie an sich.
Das Problem sind die Tools, die Cookies als Hilfsmittel nutzen, um die Aktivitäten von Nutzern zu verfolgen.
Das bedeutet: Auch ohne Cookies ist Tracking von Nutzeraktivitäten möglich. Auch ohne Cookies ist dieses Tracking an sich nicht erlaubt. Egal ob mit oder ohne Cookies, es ändert sich nichts an der Rechtslage.
Der reine Hinweise, dass auf einer Webseite Cookies verwendet werden, ist also Unsinn und ohne jeden Belang. Er ist sowohl unnötig als auch wirkungslos. er ist unnötig, weil technisch notwendige Cookies ohne Weiteres verwendet werden dürfen.
Das Urteil des Europäischen Gerichtshofs vom 01.10.2019 zu Cookies besagt genau das: Cookie-Banner, die nur informieren, sind wirkungslos. Vielmehr muss der Nutzer um vorige Einwilligung gebeten werden.
Ein reiner Cookie-Hinweis ist wirkungslos, weil Cookie, die zu Tracking-Zwecken verwendet werden, nur Mittel zum Zweck sind. Für das Tracking muss eine Einwilligung abgefragt werden. Eine Cookie-Bar, die nur erwähnt, dass Cookies verwendet werden und dem Nutzer mit einem “OK” Button die Möglichkeit gibt, die Cookie Bar wieder auszublenden, hat keinen Sinn.
Manche Tools, wie Cookiebot, generieren beispielsweise für YouTube-Videos eine ganze Menge von Cookie-Hinweisen, die sehr technisch und nicht aussagekräftig sind. Diese Hinweise sind insofern rechstwidrig, als dass in der DSGVO geregelt ist, dass die Information an den Nutzer ausreichend und verständlich sein muss.
Abgesehen davon informieren diese Tools den Webseiteninhaber auch nicht darüber, dass Videos falsch eingebunden sind. Bindet man YouTube Videos wenigstens mit erweiterten Datenschuzeinstellungen ein, so reduziert sich das Tracking Problem ganz erheblich – um Cookies geht es bei YouTube-Videos allerdings weniger! Hier greift Artikel 5 DSGVO, die Datenminimierung. Deswegen dürfen externe Google Schriften auch nicht eingebunden werden (eine Einwilligung macht für Schriften wenig Sinn).
Fazit
Cookies sind an sich harmlos und nie das Problem selbst.
Das Problem sind nur Tools, Scripte und Plugins, die Cookies nutzen oder Drittanbieter, die Cookies auswerten.
Entfernen Sie also jede Cookie-Bar, die eine reine Information anzeigt, ohne um Erlaubnis für irgend etwas zu fragen.
Fügen Sie statt dessen eine Einwilligungsabfrage auf Ihrer Webseite ein, wenn Sie Tools wie Google Analytics, Facebook Connect, Social Media Plugins o.ä. verwenden. Formulieren Sie diese Einwilligungsabfrage fachlich und nicht auf Cookies bezogen. Verwenden Sie höchstens der Form halber einmal das Wort Cookies. Ansonsten informieren Sie darüber, was tatsächlich passiert, nämlich dass bei Zustimmung durch den Nutzer das Tracking-Tool X geladen oder das Video von Anbieter Y eingebunden wird.
Wir raten auch dazu, eine Einwilligungsabfrage für eingebundene YouTube-Videos einzuholen, da YouTube zahlreiche Datenerhebungen durchführt.