Cookies werden oft als Textdatei bezeichnet. Selbst aktuelle Datenschutzerklärungen verbreiten diesen Mythos. Richtig ist etwas anderes.

Nahezu jede Datenschutzerklärung, die auf Cookies hinweist, bezeichnet Cookies als Textdateien. Dort ist zu lesen: “Ein Cookie ist eine Textdatei”. Auch in einer Datenschutzerklärung eines mir bekannten Unternehmens war diese Aussage zu finden. Sie wurde von einem Anwalt erstellt. Woher sollte er es auch besser wissen, wenn selbst Webmaster hier oft Wissenslücken haben.
Wie werden Cookies gespeichert?
Früher waren Cookies in der Tat oft oder möglicherweise immer eine Textdatei. Wie Cookies tatsächlich abgespeichert werden, entscheidet jeder Browser selbst. Früher haben viele oder möglicherweise alle Browser Cookies als Textdateien abgespeichert. Das war aber reiner Zufall, weil es zahlreiche technische Möglichkeiten gibt, Kleinstinformationen wie die für Cookies abzuspeichern.
Mittlerweile speichern moderne Browser Cookies anders ab. Der Firefox Browser für Windows etwa verwendet eine Datenbank. Als Datenbank wählt Firefox SQLite. SQLite ist eine Datei-basierte Datenbank.
SQLite speichert, wie jede andere klassische SQL-Datenbank auch, mehrere Datensätze in einer Tabelle. Mehrere Tabellen wiederum ergeben eine Datenbank. Eine Datenbank wiederum wird mit SQLite als einzelne Textdatei abgespeichert. Aber auch hier gilt: Ein Cookie ist keine Textdatei! Die Datenbank ist eine Datei (keine Textdatei!), die wiederum zahlreiche Cookies enthält, aber nicht in Gänze, sondern nur einige Informationen dazu. Wiederum andere Informationen zu Cookies, die etwa die Sichtbarkeit steuern, sind in einer anderen Datenbank abgespeichert.
Für Firefox gibt es eine ganze Reihe solcher Datenbanken. Hier ein Auszug:

Die Datenbank, in der Cookies gespeichert werden, hat den Dateinamen cookies.sqlite. Dies ist keine Textdatei, sondern eine Binärdatei. Selbst wenn es eine Textdatei wäre: Dort ist nicht ein Cookie gespeichert, und es sind auch nicht alle Angaben zu einem Cookie gespeichert!
In der genannten Datenbank sind vielmehr die wesentlichen Informationen zu Cookies gespeichert. Dies sind u.a.:
- Name
- Wert
- Domäne
- Pfad
- Lebensdauer
- Flags wie HTTP ja/nein, Sicher ja/nein, SameSite ja/nein
Zusätzliche Metadaten werden in anderen Datenbanken abgespeichert.
Die Datenbank zu Cookies enthält beispielsweise Einträge wie die folgenden:

Wie man leicht sehen kann, sind Cookies keine Textdateien.
Vielmehr gilt: Ein Cookie ist ein Datensatz.
Eine kurze Stichprobe zeigte: Jede der (wenigen) Datenschutzerklärungen, die ich mir angeschaut habe, war falsch hinsichtlich der Angabe, was Cookies sind. Bemerkenswerterweise wissen selbst Anbieter von Consent Tools nicht, was Cookies wirklich sind. Wie ich gezeigt habe, sind Consent Tools ungeeignet, datenschutzkonforme Webseiten zu erzeugen.
Vielleicht hilft es bei der Entscheidungsfindung, wenn man berücksichtigt, dass die Datenschutzerklärungen der folgenden Webseiten Cookies als Textdatei klassifizieren (Stand: 18.01.2021):
- UserCentrics: “Ein Webbrowser-Cookie ist eine kleine Textdatei, die von einer Website an Ihren Computer oder Ihr mobiles Gerät gesendet wird, wo sie von Ihrem Webbrowser gespeichert wird.”. Auch eRecht24 empfiehlt UserCentrics und erklärt Cookies in seiner Datenschutzerklärung zu Textdateien.
- Cookiebot: “Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten.”
- consent manager: “Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen.” Auch der Händlerbund, der den consent manager empfiehlt, erklärt Cookies zu Textdateien.
- CCM19: “Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.”
- OneTrust: “Ein Cookie ist ein kleines Datenpaket (Textdatei), das Ihr Browser auf Anweisung einer besuchten Website auf Ihrem Gerät speichert, um sich Informationen über Sie zu „merken“, wie etwa Ihre Spracheinstellungen oder Anmeldeinformationen.”
Wer meint, die hier nicht genannten Anbieter von Consent Tools seien besser, kann sich gerne meinen Praxistest zu Einwilligungslösungen ansehen. Das Ergebnis des Tests: Alle getesteten Consent Tools erzeugen Bullshit auf Webseiten.
Sogar auf der Facebook Webseite wird falsch erklärt, dass Cookies kleine Textstücke seien.
Viel Spaß beim Abändern der eigenen Datenschutzerklärung.
ich habe mich am Artikel leider ein wenig gestoßen. Ein Cookie ist im weitesten Sinne eine Textdatei – unabhängig davon ob dieser Text in einer Datenbank organisiert ist oder wie früher bei vielen Browsern tatsächlich als einzelne Textdateien gespeichert. Nach Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um betroffenen Personen alle Informationen […] in einer klaren und einfachen Sprache zu übermitteln. Es ist einem Verantwortlichem nicht zuzumuten, dass er jeden einzelnen Browser und die technischen Details in seiner Datenschutzerklärung aufführt. Dies würde allenfalls zur Intransparenz durch Verwirrung des Betroffenen führen. Wenn man den Begriff Datei also im weitesten Sinne betrachtet und der Typ hier Text ist, kann man – denke ich durchaus – von Textdateien sprechen.
Nein, ein Cookie ist keine Textdatei. Eine Textdatei kann man in einem Texteditor öffnen. Technisch ist das eindeutig. Textdatei ist ein technischer Begriff. Wenn Sie recht hätten, wäre alles eine Textdatei. Hier kann ich Ihnen nicht Recht geben, sorry.
Außerdem: Im „weitesten Sinn“ ist keine zulässige Grundlage für eine Rechtfertigung,. Klingt eher nach Verzweiflung.
Mein einfacher Vorschlag: Ein Cookie ist ein Datensatz.
Versteht jeder. Jedenfalls nicht umständlicher und trotzdem richtiger als “Ein Cookie ist eine Textdatei”.