gekennzeichnet. 
Cookies werden oft als Textdatei bezeichnet. Selbst aktuelle Datenschutzerklärungen verbreiten diesen Mythos. Richtig ist etwas anderes, wie ich beweisen kann.
Nahezu jede Datenschutzerklärung, die auf Cookies hinweist, bezeichnet Cookies als Textdateien. Dort ist zu lesen: „Ein Cookie ist eine Textdatei“. Auch in einer Datenschutzerklärung eines mir bekannten Unternehmens war diese Aussage zu finden. Sie wurde von einem Anwalt erstellt. Woher sollte er es auch besser wissen, wenn selbst Webmaster hier oft Wissenslücken haben.
Was ist ein Cookie?
Früher waren Cookies in der Tat oft oder möglicherweise immer eine Textdatei. Wie Cookies tatsächlich abgespeichert werden, entscheidet jeder Browser selbst. Früher haben viele oder möglicherweise alle Browser Cookies als Textdateien abgespeichert. Das war aber reiner Zufall, weil es zahlreiche technische Möglichkeiten gibt, Kleinstinformationen wie die für Cookies abzuspeichern. Allerdings ist die theoretische Größe eines Cookies nicht kleinst.
Mittlerweile speichern moderne Browser Cookies anders ab. Der Firefox Browser für Windows etwa verwendet eine Datenbank. Als Datenbank wählt Firefox SQLite. SQLite ist eine Datei-basierte Datenbank.
Wie werden Cookies gespeichert?
SQLite speichert, wie jede andere klassische SQL-Datenbank auch, mehrere Datensätze in einer Tabelle. Mehrere Tabellen wiederum ergeben eine Datenbank. Eine Datenbank wiederum wird mit SQLite als einzelne Datei abgespeichert. Aber auch hier gilt: Ein Cookie ist keine Textdatei und auch keine Datei! Die Datenbank ist eine Datei (meist keine Textdatei!), die wiederum zahlreiche Cookies enthält, aber nicht in Gänze, sondern nur einige Informationen dazu. Wiederum andere Informationen zu Cookies, die etwa die Sichtbarkeit steuern, sind in einer anderen Datenbank abgespeichert.
Für Firefox gibt es eine ganze Reihe solcher Datenbanken. Hier ein Auszug:
Die Datenbank, in der Cookies gespeichert werden, hat den Dateinamen cookies.sqlite. Dies ist keine Textdatei, sondern eine Binärdatei. Selbst wenn es eine Textdatei wäre: Dort ist nicht ein Cookie gespeichert, und es sind auch nicht alle Angaben zu einem Cookie gespeichert! Oft liegen mehrere Cookies zusammen in mehreren Dateien. Dabei ist ein Cookie (oft) jeweils über mehrere Dateien verteilt.
Der Speicherort kann in Firefox durch Eingabe von about:support in der Adresszeile des Browsers, Drücken auf Enter und klicken auf den Button Ordner öffnen (rechts neben der Beschriftung Profilordner) geöffnet werden,
In der genannten Datenbank sind vielmehr die wesentlichen Informationen zu Cookies gespeichert. Dies sind u. a.:
- Name
- Wert
- Domäne
- Pfad
- Lebensdauer
- Flags wie HTTP ja/nein, Sicher ja/nein, SameSite ja/nein
Zusätzliche Metadaten werden in anderen Datenbanken abgespeichert.
Die Datenbank zu Cookies enthält beispielsweise Einträge wie die folgenden:
Wie man leicht sehen kann, sind Cookies keine Textdateien.
Vielmehr gilt:
Ein Cookie ist ein Datensatz.
Eine richtige Definition für Cookies. Idealerweise wird der Zweck des Datensatzes hinzugefügt oder alleinig ausgeführt.
Eine kurze Stichprobe zeigte: Jede der (wenigen) Datenschutzerklärungen, die ich mir angeschaut habe, war falsch hinsichtlich der Angabe, was Cookies sind. Bemerkenswerterweise wissen selbst Anbieter von Consent Tools nicht, was Cookies wirklich sind. Wie ich gezeigt habe, sind Consent Tools ungeeignet, datenschutzkonforme Webseiten zu erzeugen.
Wer immer noch behaupten möchte, Cookies seien Textdateien, der möge mir bitte die folgende Ansicht aus der angeblichen Cookie-Textdatei von Firefox erklären:
Die Ansicht erschien beim Öffnen der Hauptdatei der Firefox Cookie-Datenbank mit dem leistungsfähigen Editor Notepad++.
Zu erkennen sind zahlreiche nichtdarstellbare Zeichen, die in einer der Cookie-Datenbankdateien enthalten sind. Eine Textdatei ist laut Wikipedia (und nach meinem gesunden Menschenverstand) eine Datei, die „darstellbare Zeichen enthält“. Die einzige Ausnahme wird auf Wikipedia ebenso erwähnt: „Diese können durch Steuerzeichen wie Zeilen- und Seitenwechsel untergliedert sein.“ Die obige Ansicht zeigt zahlreiche Zeichen, die in keine dieser Kategorien fallen.
Würde man dennoch solche Dateien als Textdateien bezeichnen, wäre jede Datei eine Textdatei. Das ergibt wenig Sinn. Eine Datei ist zudem eine Art der Speicherung, die vom Browser festgelegt wird. Niemand kennt alle Speicherformen aller Browser. Universell richtig ist aber, dass ein Cookie ein Datensatz oder Datenspeicher oder Zustandsspeicher ist, egal, welcher Browser Cookies wie handhabt. Dies ergibt sich aus dem RFC 6265.
Ein Cookie befindet sich nicht zwangsläufig in einer Datei, sondern ist oft sogar zusammen mit anderen Cookies über mehrere Dateien (oft nicht Textdateien!) verteilt gespeichert.
Fakt.
Vielleicht hilft es bei der Entscheidungsfindung, wenn man berücksichtigt, dass die Datenschutzerklärungen der folgenden Webseiten Cookies als Textdatei klassifizieren (Stand: 18.01.2021):
- UserCentrics: „Ein Webbrowser-Cookie ist eine kleine Textdatei, die von einer Website an Ihren Computer oder Ihr mobiles Gerät gesendet wird, wo sie von Ihrem Webbrowser gespeichert wird.“ Auch eRecht24 empfiehlt UserCentrics und erklärt Cookies in seiner Datenschutzerklärung zu Textdateien.
- Cookiebot: „Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten.“
- consent manager: „Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen.“ Auch der Händlerbund, der den consent manager empfiehlt, erklärt Cookies zu Textdateien.
- CCM19: „Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.“
- OneTrust: „Ein Cookie ist ein kleines Datenpaket (Textdatei), das Ihr Browser auf Anweisung einer besuchten Website auf Ihrem Gerät speichert, um sich Informationen über Sie zu ‚merken‘, wie etwa Ihre Spracheinstellungen oder Anmeldeinformationen.“
Wer meint, die hier nicht genannten Anbieter von Consent Tools seien besser, kann sich gerne meinen Praxistest zu Einwilligungslösungen ansehen. Das Ergebnis des Tests: Alle getesteten Consent Tools erzeugen Bullshit auf Webseiten.
Sogar auf der Facebook Webseite wird falsch erklärt, dass Cookies kleine Textstücke seien.
Speicherform (Textdatei?): unwichtig.
Zweck: bestimmte Information verwalten → wichtig!
Angaben zu Cookies. Wichtig ist nur der Zweck (+ Speicherdauer und Empfänger).
Ein freundlicher Leser schlug vor, Cookies in Datenschutzhinweisen zu umschreiben. Ich schlug oben ja vorher vor, ein Cookie als Datensatz oder Informationshappen zu bezeichnen. Ein Happen ist allerdings eher klein als groß. Der Begriff ist insofern nicht ganz exakt.
Allerdings erscheint folgender Vorschlag leichter verständlich:
„Ein Cookie ist eine Information, die auf Ihrem Endgerät (Computer, Smartphone o. ä.) gespeichert wird.“
Sind Cookies klein? Nein, sind sie nicht. Ein Cookie kann laut RFC 6265 eine Datenmenge von bis zu 4096 Bytes (4 Kilobytes) aufnehmen. Local Storage ist ein Web Speicher, der noch viel größere Datenmengen aufnehmen kann. Laut Wikipedia ist die Größe wohl abhängig vom Browser und kann mehrere Megabyte betragen. Demnach sind Cookies erst recht nicht klein. Übrigens sind selbst 4 KB an personenbeziehbaren Daten bei klassischen Cookies um Größenordnungen mehr an Daten als jedes andere Datum, das mir gerade einfällt, um Personen zu identifizieren. Der Name einer Person hat nur wenige Bytes. Selbst eine Postadresse hat oft unter 100 Bytes.
Werden Cookies auch auf dem Web Server einer Webseite oder eines eingebundenen Dienstes gespeichert? An sich nicht. Lediglich die Werte der Cookies werden an den Web Server geschickt. Ob und wie der Server diese Werte speichert, ist ihm selber überlassen. Im Sinne der Spezifikation RFC6265 liegen auf dem Web Server an sich schon keine Cookies vor. Es ist und bleibt falsch, Cookies als Textdateien zu bezeichnen. Cookies sind keine Textdateien, egal, wie man es dreht und wendet. Es wird nicht besser durch wiederholtes Falschbehaupten. Auch wenn jemand programmieren kann, sich mit Datenschutz auskennt und meint, Cookies seien Textdateien: Cookies sind immer noch keine Textdateien. Wieso sollten Programmier- und Datenschutzkenntnisse in dieser Frage eine Rolle spielen? Was zählt, sind Fakten und Beweise und nicht Ansichten oder Meinungen.
Viel Erfolg beim Abändern der eigenen Datenschutzerklärung.
PS: Auch ich bin bis vor einiger Zeit auf die Aussagen mancher angeblicher Datenschutz-Experten hereingefallen und hatte die falsche Cookie-Definition abgeschrieben. Seit einiger Zeit suche ich lieber selbst die Wahrheit und schreibe diese, so gut es mir gelingt, im Dr. DSGVO Blog auf. Sie sollten sich von der Annahme verabschieden, dass etwas richtig ist, nur weil viele es behaupten. Das Gegenteil ist oft der Fall.
Es geht mir hier gar nicht um die simple Definition von Cookies. Vielmehr möchte ich zeigen, dass viele in Fachgebieten wie der Technik und dem digitalen Datenschutz wildern, in denen sie keine Kompetenz haben.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen 
ich habe mich am Artikel leider ein wenig gestoßen. Ein Cookie ist im weitesten Sinne eine Textdatei – unabhängig davon ob dieser Text in einer Datenbank organisiert ist oder wie früher bei vielen Browsern tatsächlich als einzelne Textdateien gespeichert. Nach Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um betroffenen Personen alle Informationen […] in einer klaren und einfachen Sprache zu übermitteln. Es ist einem Verantwortlichem nicht zuzumuten, dass er jeden einzelnen Browser und die technischen Details in seiner Datenschutzerklärung aufführt. Dies würde allenfalls zur Intransparenz durch Verwirrung des Betroffenen führen. Wenn man den Begriff Datei also im weitesten Sinne betrachtet und der Typ hier Text ist, kann man – denke ich durchaus – von Textdateien sprechen.
Nein, ein Cookie ist keine Textdatei. Eine Textdatei kann man in einem Texteditor öffnen. Technisch ist das eindeutig. Textdatei ist ein technischer Begriff. Wenn Sie recht hätten, wäre alles eine Textdatei. Hier kann ich Ihnen nicht Recht geben, sorry.
Außerdem: Im „weitesten Sinn“ ist keine zulässige Grundlage für eine Rechtfertigung,. Klingt eher nach Verzweiflung.
Mein einfacher Vorschlag: Ein Cookie ist ein Datensatz.
Versteht jeder. Jedenfalls nicht umständlicher und trotzdem richtiger als “Ein Cookie ist eine Textdatei”.
Sorry – aber diesr Artikel ist genau der Grund weshalb “normale” Menschen mit den Augen rollen, wenn Sie “Informatikersprech” hören.
Gerne gebe ich zu, dass dieser Artikel technisch orientiert und nicht für jeden verständlich ist.
Der Artikel ist als Beweis dafür geschrieben, dass Cookies keine Textdateien sind. Ein Beweis erfordert auch tief gehende technische Betrachtungen.
In ganz anderen Artikeln beschreibe ich, was Cookies sind und dies geschieht oft weniger technisch. Aber auch dann ist es teilweise erforderlich, etwas tiefer einzusteigen, um genau schreiben zu können. Wer nur abstrakt schreibt, kann nicht zeigen, dass das Gesagte auch stimmt.
…wohl war. Allerdings verlangt die DSGVO auch “einfache Sprache” – insofern versteht vielleicht ein kleiner Teil der Besucher (falls sie den Hinweis überhaupt lesen) zumindest “Textdatei” eher als “Datensatz”. Daher halte ich das “bullshit”Label für etwas überzogen.
Das Argument mit der einfachen Sprache habe ich schon öfters gehört.
Was ein Datensatz ist, wussten viele aber schon, bevor es Computer gab. Auch heutzutage und gerade heutzutage ist der Datensatz-Begriff bestens bekannt, behaupte ich. Man könnte ja auch “Träger von Daten” sagen oder was einem sonst einfällt, hauptsache es ist richtig. Das Recht, einen an sich falschen Begriff zu verwenden, hat jedenfalls gemäß DSGVO niemand.
Weiterhin konnte ich noch nirgendwo lesen, dass Cookies in Wirklichkeit keine Textdateien sind, sondern dies nur aus angeblichen Verständlichkeitsgründen so geschrieben wird und in Wirklichkeit etwas anderes gemeint ist.
Die sogenannten Experten, die diese Falschaussage eingeführt hatten, wussten es einfach nicht besser, behaupte ich. Das liegt wohl daran, dass dies wahrscheinlich von Anwälten kommt, die aber gerade keine Experten für technische Gebilde wie Webseiten oder Browser sind.
Hallo Klaus,
vielen Dank für diese wirklich tiefgründige und somit auch für einen technisch-interessierten, aber keinesfalls versierten oder fachkundigen Unternehmenjuristen wie mich verständliche Analyse. Bei der Erstellung des Cookie-Einwilligung unseres Unternehmens habe ich fast wie selbstverständlich an der dogmatischen Erkenntnis festgehalten, dass Cookies Textdateien seien.
Deine Ausführungen scheinen aber durchaus nachvollziehbar und plausibel zu sein. Interessant wäre es zu beobachten, ob die einzelnen Aufsichtsbehörden sich auch so detailliert mit der Thematik bei den angekündigten Prüfungen der Cookie-Einwilligungen befassen werden.
Du schreibst in deinem Text, dass sich alle Browser Datenbanken zur Speicherung der Cookies bedienen und hast als Beispiel die Umsetzung bei Firefox aufgezeigt. Wo liegen denn dabei die Unterschiede z.B. zu Chrome und Safari? Macht es auch Unterschiede, ob die Cookies auf einem mobilen Device wie Smartphone oder Tablett gespeichert werden oder an einem Laptop oder PC?
Viele Grüße aus Norddeutschland!
Vielen Dank für die Rückmeldung!
Chrome speichert Cookies ebenso wie Firefox im SQLite Datenbankformat. Unter Windows kommt man hier zum Speicherort: Windows + E Taste drücken, um den Windows Explorer zu öffnen, in der Adresszeile eingeben: %localappdata%\Google\Chrome\User Data\Default\
Im sich öffnenden Ordner die Datei namens Cookies öffnen (sie ist verschlüsselt, enthält aber am Dateianfang die Zeichenfolge SQLite).
Wie andere Browser, auch auf Smartphones, Cookies speichern, habe ich nicht untersucht. Sie nutzen jedenfalls irgendein (beliebiges) Format zum Abbilden einer Datenbank.
Rechtlich macht es keinen Unterschied. Die Cookies werden im Endgerät des Nutzers gespeichert und zwar auf Veranlassung einer besuchten Webseite, und können bei Besuch einer Webseite aus dem Endgerät des Nutzers ausgelesen werden.
Hi Klaus, man kann es (genau genommen) auch so sehen:
Ein Cookie ist eine Textdatei die vom Webserver zum Browser gesendet wird.
Da ist wirklich so. _Während_ der Übertragung ist es eine Textdatei – ein Cookie (per Defintion).
Erst bei Empfänger wird der Cookie-Text als “Datensatz” in einem frei wählbaren Format von der Empfängersoftwre lokal gespeichert.
Für den Versand vom Browser zum Server wird der Datensatz wieder als Textdatei extrahiert und gesendet.
Ein Cookie ist also die Text-Ascii-Datei die transferiert wird. Übertragungsformat.
Aber prinzipiell hast du Recht, weil die Info “Cookie=harmlose Textdatei” Sicherheit suggeriert. Aber wenn das Cookie vom Browser falsch gespeichert und interpretiert werden kann (sqlite, select, run execute “text” ) autsch
Ich stimme Dir zu, es sollte “Datensatz” heißen. Damit alle sensibler werden, dass ein “Datensatz” nicht so harmlos ist …
Gruss Mark
Hallo Mark,
danke für Deine Rückmeldung, die einen sehr interessanten Aspekt aufgreift, nämlich die Server-Seite.
Allerdings existieren Cookies NICHT auf dem Server, sondern NUR auf dem Client!
Es gibt keine Cookies auf dem Server.
Cookies werden höchstens auf einem Client erzeugt, wenn sie dort noch nicht vorliegen und ein Server ein Wertepaar an den Client schickt, welches als Cookie gekennzeichnet ist.
Der Datentransfer über TCP/IP findet allgemein über Datenpakete statt. Ein Datenpaket ist KEINE Textdatei. Eine Information zu einem Wertepaar für ein Cookie ist darin enthalten und liegt nicht separiert vor. Bekanntlich können Datenpakete zudem komprimiert werden, um den Datentransfer vom Server zum Client/Browser zu optimieren. Komprimierte Daten sind noch viel weniger Textdateien als unkomprimierte Datenströme.
Ich werde meinen Artikel bei Gelegenheit um diesen Aspekt erweitern.
Wer schon mal was über IP Datagramme lesen möchte, sieht hier, dass diese rein gar nichts mit Textdateien zu tun haben:
https://www.informit.com/articles/article.aspx?p=29578&seqNum=5
Hier wird es noch deutlicher:
https://inc0x0.com/tcp-ip-packets-introduction/tcp-ip-packets-3-manually-create-and-send-raw-tcp-ip-packets/
Cookies sind keine Textdateien und waren nie welche. Das ist das gleiche wie mit dem Privacy Shield: Es war nie gültig (das wurde nachträglich vom EuGH festgestellt) 😉
Die Spezifikation RFC6013 enthält Informationen dazu, wie ein Cookie erstellt wird bzw. – vom Server aus gesehen – wie die Erstellung des Cookies initiiert wird, denn die Erstellung findet auf dem Client statt:
https://datatracker.ietf.org/doc/html/rfc6013#page-13