Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cookies: Alle wichtigen Grundlagen, Fakten und häufige Fehlinformationen zu den Keksen auf Webseiten

0

Cookies sind Informationshäppchen und werden von Ihrem Browser gespeichert. Wie entstehen Cookies eigentlich und was passiert mit ihnen? Warum sind sogenannten Cookie Blocker zum Scheitern verurteilt?

Einleitung

Wer Wissensartikel zu Cookies sucht, findet oft fragwürdige Erklärungen. So jedenfalls meine Einschätzung, die ich teilweise auch belegen kann. Hier ein Beleg: Schauen Sie doch mal in die Datenschutzerklärung vieler sogenannter Experten. Dort wird erklärt, Cookies seien Textdateien. Das ist objektiv falsch und war auch schon immer falsch. Den Beweis finden Sie in meinem Bullshit Basics Artikel oder im Fakten-Check zum Google Tag Manager. Es wird auch durch die Begründung, die DSGVO fordere eine einfache Sprache, nicht richtiger.

Erst kürzlich gab es den Plan der Politik, sogenannte Cookie Popups zu eliminieren. Der Plan kann nur unterstützt werden. Der eingeschlagene Weg, dies über Browser Voreinstellungen zu bewerkstelligen, kann allerdings nicht funktionieren. Dies wird auch dadurch nicht richtiger, wenn die von mir sehr geschätzte Datenschutzorganisation noyb mit einem Konzept namens ADPC gleiches fordert.

Spätestens mit dem EuGH-Urteil zu Planet49 ging der Cookie-Hype los. Die ePrivacy Richtlinie sorgte für zusätzlichen Zündstoff, weil sie ebenfalls auf Cookies abzielt. Gemäß BGH-Urteil zu Planet 49 ist das Telemediengesetz in § 15 Abs. 3 TMG konform zur ePrivacy Richtlinie auszulegen.

Was sind Cookies?

Cookies sind Datensätze. Sprachlich schöner formuliert, kann man auch von Informationshäppchen sprechen. Ein Cookie wird im Endgerät des Nutzers gespeichert, und zwar von dessen Browser. Jeder Browser kann Cookies auf unterschiedliche Weise abspeichern. Für die Art der Speicherung gibt es keinen Standard. Daher war die Aussage, Cookies seien Textdateien, schon immer falsch. Zwar wurde ein Cookie von vielen Browsern früher in Form einer Textdatei abgespeichert. Aber sicher wird niemand behaupten wollen, alle Browser und deren Speichermechanismen weltweit gekannt zu haben. Zudem gab es schon damals andere Möglichkeiten, als Cookies in Textdateien zu speichern.

Heutzutage werden Cookies von Firefox oder Chrome in Datenbanken gespeichert und nicht in Textdateien. Wer etwas anderes behauptet, sollte den Arzt wechseln oder andere Tabletten nehmen.

Meine folgenden Beschreibungen zu Cookies kratzen nur an der Oberfläche, um erstens allgemein verständlich und zweitens in endlicher Zeit lesbar zu sein.

Wie entstehen Cookies?

Ein Cookie wird bei einem Datenabruf erzeugt. Konkret bedeutet das: Wenn ein Nutzer eine Webseite aufruft und die Webseite Dateien lädt, kann durch das Laden der Datei ein Cookie erzeugt werden.

Dateien sind beispielsweise Schriftarten, Bilder, JavaScript-Bibliotheken, Videos oder sonstige Dienste. Ein Dienst wird oft als Tool bezeichnet. Beispiele für Dienste sind Google Maps, SoundCloud Audio Player, Vimeo Videos oder reCAPTCHAs.

Außerdem kann ein First-Party Cookie durch eine JavaScript-Logik erzeugt werden. Mehr dazu finden Sie weiter unten.

Cookies werden von geladenen Tools und Dateien erzeugt und existieren nicht einfach so

auch die gerade besuchte webseite kann eigene Cookies setzen

Cookies werden also von geladenen Tools und Dateien erzeugt und verwaltet. Cookies fallen nicht einfach vom Himmel. Auch die gerade besuchte Webseite kann Cookies erzeugen und verwalten.

Gültigkeitsbereich für Cookies

Ein Cookie hat eine Lebensdauer. Im EuGH-Urteil zu Planet49 wurde dies als Funktionsdauer bezeichnet. Das EuGH-Urteil sorgte für Aufsehen, weil es feststellte, dass Art. 13 DSGVO so auszulegen ist, dass zu Cookies die Zwecke und Funktionsdauern zu erklären sind.

Ein Cookie lebt innerhalb einer sogenannten Domäne. Warum manche in Deutschland den Begriff Domain verwenden, bleibt mir für immer ein Rätsel. Die DSGVO fordert eine klare, leicht verständliche Sprache (Art. 12 Abs. 1 DSGVO). Warum der englische Begriff mit genauso vielen Buchstaben, aber weniger Verständlichkeit als der deutsche Begriff verwendet wird, bleibt mir unklar.

Eine Domäne ist, verkürzt gesagte, eine Internet Adresse. Ein Beispiel für eine solche Adresse ist dr-dsgvo.de.

Wird im Browser bei Aufruf einer Webseite eine Datei von der Domäne dr-dsgvo.de abgerufen, kann diese Datei ein Cookie zurückschicken, und zwar nur mit dem Geltungsbereich für die Domäne dr-dsgvo.de.

Das Zurückschicken geschieht folgendermaßen:

  1. Auf dem Server, von dem die Datei abgerufen wird, wird ein Cookie erzeugt. Dies geschieht über eine auf dem Server ablaufende Logik, beispielsweise in der Programmiersprache PHP
  2. Das Cookie wird beim Zurückschicken der angeforderten Datei aufgrund der Vorgaben des Internet-Protokolls automatisch an den Aufrufer zurückgeschickt
  3. Das Cookie wird vom Browser automatisch im Endgerät des Nutzers gespeichert

Ein Endgerät ist ein Smartphone, ein Tablet, ein Desktop PC oder dergleichen. Die Webseite, die eine Datei einbindet, sorgt also mit dieser Einbindung dafür, dass Cookies erzeugt werden können. Auf demselben Weg können auch Cookies gesendet werden.

Senden von Cookies

Angenommen, Sie haben bereits mehrere Webseiten im Internet besucht. Dabei haben sich eine Reihe von Cookies auf Ihrem Endgerät, also auf der Festplatte Ihres Computers, angesammelt. Nun rufen Sie eine der schon besuchten Webseiten erneut ab. Dabei wird eine Datei von der Domäne abcdwxyz.de abgerufen. Aufgrund Ihrer Reise durch das Internet liegt auf Ihrem Endgerät bereits ein Cookie vor, welches als Geltungsbereich die Domäne abcdwxyz.de besitzt. Nun passiert folgendes:

  1. Sie rufen eine Webseite X ab
  2. Die Webseite bindet eine Datei von der Domäne abcdwxyz.de ein
  3. Der Browser schaut in der Cookie-Datenbank auf Ihrem Rechner, die Ihr Browser angelegt hat, nach, ob sich dort Cookies für die Domäne abcdwxyz.de befinden
  4. Findet der Browser solche Cookies, schickt er diese Cookies automatisch mit seiner Anfrage mit, die Datei von abcdwxyz.de abzurufen! Die Datei wurde also noch nicht abgerufen, sondern nur angefordert. Diese Anforderung enthält also die bei Ihnen gespeicherten Cookies, welches zur Adresse (Domäne) passen, an die die Dateianforderung gestellt wird

Punkt 4 bedeutet also: Befinden sich bereits Cookies auf Ihrem Computer, werden diese automatisch, aufgrund des Internet Protokoll TCP, beim Abruf von Dateien mitgeschickt! Der Server, der die angeforderte Datei zurückschicken soll, erhält also automatisch das Cookie von Ihrem Endgerät. Beim Zurückschicken der angeforderten Datei kann der Dritt-Server nun den Wert des Cookies ändern, es löschen oder neue Cookies hinzufügen.

Auf Ihrem Endgerät gespeicherte Cookies werden von Ihrem Browser automatisch bei jedem Anforderung einer Datei an den aufgerufenen Server geschickt

Vorgabe des Internet Protokoll

Technisch werden First-Party Cookies und Third-Party Cookies unterschieden. First-Party bedeutet Erstanbieter und Third-Party bedeutet Drittanbieter oder einfach nur Dritter.

First-Party Cookies

Wird eine Webseite besucht, werden logischerweise auch beim Besuch der Webseite und um die Webseite überhaupt anzeigen zu können, Dateien übertragen. Damit kann auch eine Webseite selbst Cookies erzeugen. Diese Art von Cookies werden als (technische) First-Party Cookies bezeichnet.

Derartige Cookies können von der gerade besuchten Webseite verwaltet werden. Verwalten bedeutet:

  • Erzeugen
  • Wert ändern
  • Andere Eigenschaften ändern (Lebensdauer etc.)
  • Löschen

Third-Party Cookies

Ruft eine Webseite eine Datei von einem Dritt-Server ab und wird dabei ein Cookie erzeugt, handelt es sich um ein Third-Party Cookie.

Ein (technisches) Third-Party Cookie kann nur vom Dritten, der das Cookie erzeugt hat, verwaltet werden. Die besuchte Webseite, die den Third-Party Dienst einbindet, hat vom Cookie, das von diesem Dienst erzeugt wird, keine Kenntnis und kann dieses Cookie somit auch nicht verwalten oder auslesen.

Umwandlung von First-Party zu Third-Party

Wenn Sie die Google Suchmaschine aufrufen, werden Google Cookies erzeugt. Hierbei handelt es sich offensichtlich um First-Party Cookies, weil die gerade besuchte Webseite die Cookies selbst erzeugt und verwaltet. Die Cookies existieren in diesem Beispiel also für die Domäne google.de oder google.com (je nach dem). Hier ein Beispiel, welche Google Cookies das sein können:

Google Cookies, die beim Aufruf der Google Suchmaschine feststellbar sind

Besuchen Sie nun eine Webseite, die Google reCAPTCHA einbindet, passiert in etwa das Folgende:

  1. Auf Ihrem Computer befindet sich aufgrund der Nutzung der Google Suchmaschine ein Cookie namens NID in der Domäne google.com
  2. Sie besuchen nun eine Webseite X
  3. Die besuchte Webseite X bindet Google reCAPTCHA ein
  4. Dabei wird eine Datei von der Domäne google.com abgerufen, um Google reCAPTCHA bereitzustellen
  5. Beim Abruf dieser Datei sendet Ihr Browser automatisch das auf Ihrem Endgerät schon vorhandene Cookie namens IDE an google.com

Offensichtlich ist das Cookie namens NID nun kein First-Party Cookie mehr, das es beim Besuch der Google Suchmaschine war. Vielmehr ist das ehemalige First-Party Cookie nun zum Third-Party Cookie geworden!

Definitionen aus technischer und datenschutzrechtlicher Sicht

Letztendlich ist für die Beantwortung von Datenschutzfragen eher die datenschutzrechtliche Sicht auf Cookies Ausschlag gebend und die technische Sicht ist untergeordnet zu sehen.

Technische Definition von First-Party und Third-Party Cookies

Ein Cookie heißt aus technischer Sicht First-Party, wenn es als Geltungsbereich eine Domäne besitzt, die der Domäne von der gerade besuchten Webseite entspricht. Beispiel:

  • Gerade besuchte Webseite: dr-dsgvo.de
  • Wenn in der gleichen Domäne, nämlich dr-dsgvo.de, ein Cookie vorhanden ist, ist es ein First-Party Cookie

Details wie Subdomänen lasse ich hier außen vor, weil sie für die Erklärung des Grundprinzips unerheblich sind.

Ein Cookie, welches kein First-Party Cookie ist, heißt Third-Party Cookie. Ein Third-Party Cookie hat also als Geltungsbereich eine Domäne, die ungleich der Domäne der gerade besuchten Webseite ist. Second Party Cookies werden nicht betrachtet, weil sie aus Datenschutzsicht nicht relevant sind. Dort gibt es nur den Ersten und den Dritten. Auftragsverarbeiter sind dem Ersten zuzurechnen.

So einfach ist es aus technischer Sicht.

Datenschutzrechtliche Definition von First-Party und Third-Party Cookies

Datenschutzrechtlich ist ein First-Party Cookie ein solches, welches nur vom Verantwortlichen selbst verarbeitet wird. Der Verantwortliche kann sich dabei Auftragsverarbeitern o.ä. bedienen.

Ein Third-Party Cookie liegt datenschutzrechtlich vor, wenn ein Cookie von einem Dritten verarbeitet wird. Was ein Dritter ist, erklärt Art. 4 Nr. 10 DSGVO:

Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten

Artikel 4 Nr. 10 DSGVO

Spezialfall für Cookie-Nutzung: Google Analytics

Als prominentes Beispiel für technische First-Party Cookies, die datenschutzrechtlich Third-Party Cookies sind, sei Google Analytics genannt. Besuchen Sie eine Webseite, die Google (Universal) Analytics (in Standardkonfiguration) nutzt, passiert folgendes:

  1. Sie besuchen die Webseite X
  2. Die Webseite bindet Google (Universal) Analytics ein, das ist die aktuell gängige Version dieses Tools
  3. Dazu wird von der Webseite eine JavaScript-Datei von einem Google-Server geladen
  4. Die JavaScript-Datei lebt nun auf der Webseite, so, als wäre der Google JavaScript Code direkt in die Webseite eingebettet
  5. Der Google JavaScript Code erzeugt mehrere Google Analytics Cookies
  6. Diese Cookies sind technische First-Party Cookies, weil sie in der Domäne gültig sind, die der der gerade besuchten Webseite entspricht
  7. Der Google JavaScript Code liest weiterhin diese Cookies aus und sendet deren Werte an einen Google-Server. Damit handelt es sich ab jetzt aus Datenschutzsicht um Third-Party Cookies.

Warum sind Cookies wichtig?

Funktionelle Notwendigkeit

Funktionell sind Cookies wichtig, um Einstellungen von Benutzern auf Webseiten zu speichern, beispielsweise, dass ein Nutzer angemeldet ist. Weiterhin werden Cookies genutzt, um einen Besucher widerzuerkennen, der eine Webseite einige Tage oder Wochen später erneut besucht.

Findet diese Wiedererkennung von Besuchern alleinig durch den Betreiber der Webseite, ohne Hinzuziehen von Dritten statt, kann von Reichweitenmessung gesprochen werden.

Bedient sich der Verantwortliche für die besuchte Webseite eines Dritten, um Besucher nachzuverfolgen, wird von Tracking oder Web Tracking gesprochen. Ein Tracking kann allerdings auch vorliegen, wenn ein Webseitenbetreiber selbst das Verhalten seiner Nutzer tiefer gehend analysiert, als dies über ein berechtigtes Interesse begründbar wäre.

Rechtliche Relevanz

Die ePrivacy Richtlinie fordert in Art. 5 Abs. 3, dass eine Einwilligung einzuholen ist, bevor auf Informationen zugegriffen wird, die im Endgerät des Nutzers gespeichert sind und dieser Vorgang technisch nicht notwendig ist. Aktuell gibt es meiner Untersuchung nach nur Cookies, die beim Besuch von Webseiten (zumindest über einen PC) in diese Kategorie fallen.

Im §15 Abs. 3 TMG ist allerdings etwas anderes geregelt, weil der Gesetzgeber seiner Verpflichtung nicht nachgekommen ist, die ePrivacy Richtlinie in deutsches Recht umzusetzen. Das TMG fordert nämlich für die Datenerhebung von Marketing-Zwecke und für die Bildung von Nutzerprofilen eine Abwahlmöglichkeit (sog. Opt-Out).

Der BGH hat am 28.05.2020 – I ZR 7/16 entschieden, dass das TMG im Sinne der e.g. ePrivacy Richtlinie auszulegen ist. Somit sind auch in Deutschland technisch nicht notwendige Cookies einwilligungspflichtig.

Was ist das Problem mit Cookie Bannern?

Sogenannten Consent Tools oder Cookie Popups oder Cookie Tools, oder wie immer man sie bezeichnen möchte, können in der Praxis nicht zuverlässig funktionieren und tun es auch nicht. Ich habe dies umfangreich untersucht. Nur soviel in Kürze an dieser Stelle:

  • Das TMG schreibt auch für andere Vorgänge als Cookies eine Abwahlmöglichkeit vor. Beispiel: Eingebundenes YouTube Video ohne Cookies, das auch DoubleClick nachlädt.
  • Beim Datentransfer in unsichere Drittländer wie die USA muss gemäß Art. 44 DSGVO eine Einwilligung nachgewiesen werden. Beispiele: Vimeo Videos, SoundCloud Audio Player sowie wahrscheinlich sämtliche Google Tools.
  • Für vermeidbare Datentransfers muss gemäß Art. 5 Abs. 1 c DSGVO eine Einwilligung eingeholt werden. Beispiel: Externe Google Fonts.
  • Für viele Tools liegen mehrere dieser Bedingungen für eine Einwilligung gleichzeitig vor.
  • Die Zwecke von Cookies kennt zunächst nur der Herausgeber von Diensten, die Cookies erzeugen und nutzen. Verrät der Herausgeber keine Details zu den Zwecken der genutzten Cookies, ist der Zweck Dritten nicht bekannt und somit nicht rechtskonform erklärbar. Beispiel für Intransparenz: Google-Tools wie Google reCAPTCHA.
  • Cookie Scanner können unmöglich alle Cookies erkennen, die auf einer Webseite ins Spiel kommen. Cookies werden nämlich im Endgerät des Nutzers gespeichert. Pro Nutzer liegen unterschiedliche Cookies vor, je nach dem, welche anderen Webseiten der Nutzer vor dem Besuch der aktuellen Webseite besucht hat. Besonders anschaulich wird das Problem hieran: Sie selbst können sich mit frei verfügbaren Mitteln Cookies auf Ihrem Computer erzeugen, die dann beim Abruf einer Webseite gezogen werden. Offensichtlich kann niemand außer Ihnen wissen, dass es diese Cookies gibt. Dieses Beispiel ist rein theoretisch und soll nur die Grundproblematik zeigen.
  • Die Texte und Erklärungen, die mit Cookie Tools ausgeliefert werden, sind nach meiner Erfahrung und Einschätzung in Gänze als großer Haufen Bullshit zu bezeichnen. Leider scheint das Millionen von Webseitenbetreibern nicht zu stören, denn sie binden unreflektiert diesen Berg an Bullshit, für den sie verantwortlich sind, auf deren Webseiten ein.
  • Das Blockieren von ansonsten stattfindenden Datentransfers durch ein sogenanntes Consent Script funktioniert nicht zuverlässig. Wer das versucht, hat den Bullshit Preis des Jahres verdient.
  • Anbieter von Cookie Tools verschweigen gerne die Probleme mit deren sogenannten Lösungen.

Weiterführende Informationen zu Consent Tools

Was ist die Lösung?

Verwenden Sie keine Cookie Tools von populären Anbietern. Diese sind anscheinend ungeeignet, um rechtssichere Webseiten zu erhalten (siehe meine o.g. Untersuchungen und den Praxistest). Ich halte alle bekannteren Cookie Tools für Versager und kann das auch an konkreten Fällen belegen.

Entfernen Sie alle Dienste, die Sie nicht mehr benötigen und die nur da sind, weil jemand anders Ihnen eingeredet hat, Sie bräuchten diese Dienste. Beispiele: Google Maps, Google Analytics.

Ersetzen Sie datenschutzfeindliche Dienste durch datenschutzfreundliche Versionen. Beispiele: Matomo statt Google Analytics, meine interaktive Karte statt Google Maps.

Nutzen Sie ein eigenes Consent Tool oder die Open Source Variante von Klaro! Nutzen Sie eine Checkliste, um die Anforderungen an eine Einwilligungsabfrage bestmöglich zu gestalten.

Machen Sie einen Schnelltest Ihrer Webseite, um eine erste Idee zu erhalten, wie es um den Datenschutz steht.

Meine Annahme: 90% aller deutschen Webseiten benötigen kein nervices Cookie Popup, weil einwilligungspflichtige Datenverarbeitungen gänzlich vermieden werden können.

Bullshit Basics
Dies war ein Beitrag aus der Kategorie Bullshit Basics.
In dieser Kategorie werden weit verbreitete Unwahrheiten oder Falschwissen thematisiert und durch Fakten aufbereitet.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Gesetzesentwurf des TTDSG: Reichweitenmessung auf Webseiten, was ist das eigentlich?