Cookies & Datenschutz: Die unsichtbare Gefahr im Netz

Kategorien: Datenschutz und Cookies

Bedeutung von Cookies

Cookies spielen im Rahmen der DSGVO eine wesentliche Rolle für Webseiten. Die Gründe sind insbesondere:

1. Das EuGH-Urteil zu Cookies. Hierbei ging es allerdings nicht in erster Linie um Cookies, vielmehr hat die Berichterstattung dies so dargestellt
2. Die Neufassung der ePrivacy Richtlinie wird unzutreffenderweise auch als Cookie Richtlinie bezeichnet.
3. Die Vermarktungsmasche einiger Anbieter von Consent Tools und einiger Beratungsplattformen
4. Die Tatsache, dass Cookies am leichtesten als Datenverarbeitungsmechanismus nachweisbar sind und nicht wegdiskutiert werden können

Was ist ein Cookie?

Ein Cookie besteht aus einem Schlüssel und einem Wert und wird vom Browser des Nutzers verwaltet. Üblichwerweise speichern Browser die Cookies auf dem Endgerät des Nutzers in Form von Textdateien. Damals speicherten Browser die Cookies üblicherweise in Form von Textdateien auf dem Endgerät des Nutzers. Heutzutage werden Cookies oft in Datenbanken abgelegt. Cookies sind keine Textdateien und waren es auch nie, weil jeder Browser die Ablageform selber frei wählen konnte und kann.

Ein Cookie hat insbesondere folgende Eigenschaften (Beispielwerte sind mit angegeben):

• Name: NID
• Wert: 200=UxxxxxxsGiW99MK4GuykyVJnK8PMOWi02EBAwQ-juoMaximilia-injksa728lslsn
• Lebensdauer: 1 Jahr
• Sicherheitseinstellungen: HttpOnly
• Domäne: google.com

Über die Domäne des Cookies wird festgestellt, ob ein First- oder Third-Party Cookie vorliegt.

First-Party Cookies

First-Party Cookies werden von der gerade aufgerufenen Webseite selbst verwaltet und können nur von dieser ausgelesen werden. Hat das Cookie die Domäne webseite4711.de und die Webseite hat ebenfalls diese Adresse, ist das Cookie First-Party für diese Webseite.

Third-Party Cookies

Third-Party Cookies hingegen werden von Dritten verwaltet. Ein Dritter ist ein Anbieter eines Tools wie beispielsweise Google reCAPTCHA. Wird ein solches Drittanbietertool geladen, werden vom Browser alle Cookies an den Aufruf angehängt, die in derselben Domäne liegen wie das Tool.

Ein Third-Party Cookie kann nur auf dem Server desjenigen erzeugt werden, von dem eine Datei abgerufen wird.

Ein praktisches Beispiel für Google reCAPTCHA: Dieses Tool stellt sich über die Domäne google.com zur Verfügung. Beim Aufruf einer Webseite, die reCAPTCHA einbindet, passiert folgendes:

1. Die Webseite wird im Browser durch Eingabe der Adresse www.webseite4711.de aufgerufen
2. Die Webseite bindet Google reCAPTCHA über folgende Datei ein: https://www.google.com/recaptcha/api.js
3. Der Browser ruft die Datei ab und sendet alle bereits für die Domäne google.com vorhandenen Cookies dabei mit. Insbesondere wird dabei das Cookie NID übermittelt, welches die Google Nutzer-ID enthält. Dieses Cookie wird beispielsweise gesetzt, wenn sich ein Nutzer in seinem Google Konto anmeldet.
4. Das aufgerufene Tool kann das Cookie auslesen oder dessen Wert ändern.

Third-Party Cookies sind also nur für die Tools zugänglich, die sich in derselben Domäne befinden wie das Cookie, wobei die Domäne per definitionem eine andere ist als die der aufgerufenen Webseite (daher der Name Third-Party, also Drittpartei).

Teilen von Third-Party Cookies zwischen verschiedenen Tools

Das eben genannte Tools Google reCAPTCHA hat Zugriff auf mehrere Domänen, u.a. google.com und gstatic.com. Alle für diese Domänen vor dem Einbinden von Google reCAPTCHA gesetzten Cookies werden automatisch diesem Tool zugänglich. Damit kann reCAPTCHA nicht nur selbst verwaltete Cookies auslesen, sondern auch die von allen anderen Google Tools, die Cookies auf einer der beiden genannten Google Domänen setzen. Somit hat reCAPTCHA umfassenden Zugriff auf diverse Cookies, die eigentlich anderen Tools zuzuordnen sind! Dies macht es eigentlich unmöglich, Google reCAPTCHA ohne Einwilligungsabfrage rechtskonform einzusetzen. Die Abfrage nach einer Einwilligung wiederum ist schwierig, weil niemand weiß, welche Daten Google wie verarbeitet.

First-Party Cookies für Drittparteien

Bindet eine Webseite ein Tool wie Google Analytics ein, wird dabei ein Javascript-Code auf der Webseite geladen. Mit diesem Javascript-Code können auch First-Party Cookies verwaltet werden, denn der JavaScript-Code „lebt“ auf der ladenden Webseite und kann an ihrer Stelle handeln.

Ein First-Party Cookie wird zum Drittpartei-Cookie

Ein First-Party Cookie kann auch zum Third-Party Cookie werden. Hier ein populäres Beispiel:

1. Ein Nutzer ruft die Webseite google.com auf
2. Dabei wird ein First-Party Cookie namens NID auf der Domäne google.com erzeugt (oder aktualisiert, falls es schon vorhanden war)
3. Der Nutzer ruft nun eine Webseite uvwxyz.de auf, die Google reCAPTCHA einbindet
4. Google reCAPTCHA wird u.a. von der Domäne google.com geladen. Beim Laden des Tools wird also das ursprüngliche First-Party Cookie NID geladen und ist nun ein Third-Party Cookie, denn die Domäne der aktuellen Webseite lautet uvwxyz.de und ist somit ungleich google.com.

Cookies und Datenschutz

Immer, wenn eine Webseite ein Tool von einer Domäne lädt, werden alle auf dem Endgerät des Nutzers zu dieser Domäne vorhandenen Cookies automatisch mit übertragen.

Lädt ein Tool weitere Scripte von anderen Domänen nach, können diese Scripte weitere Third-Party Cookies erzeugen, auslesen und ändern. In der Praxis geschieht dies etwa (immer, Stand 30.12.2020) beim Einbinden von YouTube Videos mit oder ohne Cookies (!), wo für Vermarktungszwecke der Tracker DoubleClick geladen wird. DoubleClick wird von der Domäne doubleclick.net geladen und kann demnach auf Cookies dieser Domänen zugreifen.

Je mehr Dateien von verschiedenen Domänen ein Tool nachlädt, desto mehr Kontrolle über Cookies hat es potentiell. Auf Webseiten eingebundene YouTube Videos laden beispielsweise nicht nur von youtube.com bzw. youtube-nocookie.com Dateien, sondern auch von ytimg.com, gstatic.com und doubleclick.net. Gleichzeitig lädt Google Maps auch Dateien von gstatic.com nach, so dass beide Tools sich beispielsweise über diese Domänen austauschen könnten. Da die Firma Google im Besitz all dieser Server ist, kann sich das Unternehmen nach Belieben erhobene Daten unsichtbar selbst zuspielen.

Cookies eignen sich zum Identifizieren und Nachverfolgen von Nutzern über mehrere Sitzungen hinweg. Eine Sitzung ist der Besuch einer Webseite, die durch das Verlassen der Webseite oder das Schließen des Browsers beendet wird.

Ein Cookie existiert nur innerhalb eines einzigen Browsers auf dem Endgerät des Nutzers. Besucht der Nutzer eine Webseite von einem anderen Browser aus, kennt dieser andere Browser die Cookies von vorigen Besuchen der Webseite nicht.

Cookies eignen sich also grundsätzlich nicht zum browser- oder geräteübergreifenden Nachverfolgen von Nutzern.

Das Märchen von der cookielosen Domäne

Bestimmt haben Sie auch schon mal über den Google Tag Manager gelesen, er sei eine cookielose Domäne. Dass diese Aussage an sich grober Unfug ist, weil ein Dienst keine Domäne ist, sei mal außen vor gelassen.

Die Aussage stimmt auch dann nicht, wenn man die Domäne googletagmanager.com als cookielos bezeichnet. Dies habe ich in einem eigenen Beitrag zum Google Tag Manager gezeigt und bewiesen.

Die Lösung für Cookies

Die Lösung lautet, möglichst keine Tools einzusetzen, die Cookies verarbeiten. Unnötige Tools sollten unbedingt entfernt werden. Externe Schriften, Bilder und Bibliotheken sollten lokal abgelegt werden. Fragen Sie Ihren Dienstleister nach eine vollständigen Bestandsaufnahme Ihrer Webseite, um alle eingesetzten Tools zu ermitteln.

Weitere Lösungsmöglichkeiten:

• Alternativen für Google Tools
• Checkliste Einwilligungsabfrage (als Motivation, diese nicht zu verwenden)

Bitte beachten Sie, dass auch Tools auf Webseiten, die keine Cookies einsetzen, oft einwilligungspflichtig sind.