gekennzeichnet. 
Cookies werden oft als Textdatei bezeichnet. Selbst aktuelle Datenschutzerklärungen verbreiten diesen Mythos. Richtig ist etwas anderes, wie ich beweisen kann.
Nahezu jede Datenschutzerklärung, die auf Cookies hinweist, bezeichnet Cookies als Textdateien. Dort ist zu lesen: „Ein Cookie ist eine Textdatei“. Auch in einer Datenschutzerklärung eines mir bekannten Unternehmens war diese Aussage zu finden. Sie wurde von einem Anwalt erstellt. Woher sollte er es auch besser wissen, wenn selbst Webmaster hier oft Wissenslücken haben.
Was ist ein Cookie?
Früher waren Cookies in der Tat oft oder möglicherweise immer eine Textdatei. Wie Cookies tatsächlich abgespeichert werden, entscheidet jeder Browser selbst. Früher haben viele oder möglicherweise alle Browser Cookies als Textdateien abgespeichert. Das war aber reiner Zufall, weil es zahlreiche technische Möglichkeiten gibt, Kleinstinformationen wie die für Cookies abzuspeichern. Allerdings ist die theoretische Größe eines Cookies nicht kleinst.
Mittlerweile speichern moderne Browser Cookies anders ab. Der Firefox Browser für Windows etwa verwendet eine Datenbank. Als Datenbank wählt Firefox SQLite. SQLite ist eine Datei-basierte Datenbank.
Wie werden Cookies gespeichert?
SQLite speichert, wie jede andere klassische SQL-Datenbank auch, mehrere Datensätze in einer Tabelle. Mehrere Tabellen wiederum ergeben eine Datenbank. Eine Datenbank wiederum wird mit SQLite als einzelne Datei abgespeichert. Aber auch hier gilt: Ein Cookie ist keine Textdatei und auch keine Datei! Die Datenbank ist eine Datei (meist keine Textdatei!), die wiederum zahlreiche Cookies enthält, aber nicht in Gänze, sondern nur einige Informationen dazu. Wiederum andere Informationen zu Cookies, die etwa die Sichtbarkeit steuern, sind in einer anderen Datenbank abgespeichert.
Für Firefox gibt es eine ganze Reihe solcher Datenbanken. Hier ein Auszug:
Die Datenbank, in der Cookies gespeichert werden, hat den Dateinamen cookies.sqlite. Dies ist keine Textdatei, sondern eine Binärdatei. Selbst wenn es eine Textdatei wäre: Dort ist nicht ein Cookie gespeichert, und es sind auch nicht alle Angaben zu einem Cookie gespeichert! Oft liegen mehrere Cookies zusammen in mehreren Dateien. Dabei ist ein Cookie (oft) jeweils über mehrere Dateien verteilt.
Der Speicherort kann in Firefox durch Eingabe von about:support in der Adresszeile des Browsers, Drücken auf Enter und klicken auf den Button Ordner öffnen (rechts neben der Beschriftung Profilordner) geöffnet werden,
In der genannten Datenbank sind vielmehr die wesentlichen Informationen zu Cookies gespeichert. Dies sind u. a.:
- Name
- Wert
- Domäne
- Pfad
- Lebensdauer
- Flags wie HTTP ja/nein, Sicher ja/nein, SameSite ja/nein
Zusätzliche Metadaten werden in anderen Datenbanken abgespeichert.
Die Datenbank zu Cookies enthält beispielsweise Einträge wie die folgenden:
Wie man leicht sehen kann, sind Cookies keine Textdateien.
Vielmehr gilt:
Ein Cookie ist ein Datensatz.
Eine richtige Definition für Cookies. Idealerweise wird der Zweck des Datensatzes hinzugefügt oder alleinig ausgeführt.
Eine kurze Stichprobe zeigte: Jede der (wenigen) Datenschutzerklärungen, die ich mir angeschaut habe, war falsch hinsichtlich der Angabe, was Cookies sind. Bemerkenswerterweise wissen selbst Anbieter von Consent Tools nicht, was Cookies wirklich sind. Wie ich gezeigt habe, sind Consent Tools ungeeignet, datenschutzkonforme Webseiten zu erzeugen.
Wer immer noch behaupten möchte, Cookies seien Textdateien, der möge mir bitte die folgende Ansicht aus der angeblichen Cookie-Textdatei von Firefox erklären:
Die Ansicht erschien beim Öffnen der Hauptdatei der Firefox Cookie-Datenbank mit dem leistungsfähigen Editor Notepad++.
Zu erkennen sind zahlreiche nichtdarstellbare Zeichen, die in einer der Cookie-Datenbankdateien enthalten sind. Eine Textdatei ist laut Wikipedia (und nach meinem gesunden Menschenverstand) eine Datei, die „darstellbare Zeichen enthält“. Die einzige Ausnahme wird auf Wikipedia ebenso erwähnt: „Diese können durch Steuerzeichen wie Zeilen- und Seitenwechsel untergliedert sein.“ Die obige Ansicht zeigt zahlreiche Zeichen, die in keine dieser Kategorien fallen.
Würde man dennoch solche Dateien als Textdateien bezeichnen, wäre jede Datei eine Textdatei. Das ergibt wenig Sinn. Eine Datei ist zudem eine Art der Speicherung, die vom Browser festgelegt wird. Niemand kennt alle Speicherformen aller Browser. Universell richtig ist aber, dass ein Cookie ein Datensatz oder Datenspeicher oder Zustandsspeicher ist, egal, welcher Browser Cookies wie handhabt. Dies ergibt sich aus dem RFC 6265.
Ein Cookie befindet sich nicht zwangsläufig in einer Datei, sondern ist oft sogar zusammen mit anderen Cookies über mehrere Dateien (oft nicht Textdateien!) verteilt gespeichert.
Fakt.
Vielleicht hilft es bei der Entscheidungsfindung, wenn man berücksichtigt, dass die Datenschutzerklärungen der folgenden Webseiten Cookies als Textdatei klassifizieren (Stand: 18.01.2021):
- UserCentrics: „Ein Webbrowser-Cookie ist eine kleine Textdatei, die von einer Website an Ihren Computer oder Ihr mobiles Gerät gesendet wird, wo sie von Ihrem Webbrowser gespeichert wird.“ Auch eRecht24 empfiehlt UserCentrics und erklärt Cookies in seiner Datenschutzerklärung zu Textdateien.
- Cookiebot: „Cookies sind kleine Textdateien, die von Webseiten verwendet werden, um die Benutzererfahrung effizienter zu gestalten.“
- consent manager: „Bei Cookies handelt es sich um kleine Textdateien, die auf Ihrer Festplatte dem von Ihnen verwendeten Browser zugeordnet gespeichert werden und durch welche der Stelle, die den Cookie setzt (hier durch uns), bestimmte Informationen zufließen. Cookies können keine Programme ausführen oder Viren auf Ihren Computer übertragen.“ Auch der Händlerbund, der den consent manager empfiehlt, erklärt Cookies zu Textdateien.
- CCM19: „Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert.“
- OneTrust: „Ein Cookie ist ein kleines Datenpaket (Textdatei), das Ihr Browser auf Anweisung einer besuchten Website auf Ihrem Gerät speichert, um sich Informationen über Sie zu ‚merken‘, wie etwa Ihre Spracheinstellungen oder Anmeldeinformationen.“
Wer meint, die hier nicht genannten Anbieter von Consent Tools seien besser, kann sich gerne meinen Praxistest zu Einwilligungslösungen ansehen. Das Ergebnis des Tests: Alle getesteten Consent Tools erzeugen Bullshit auf Webseiten.
Sogar auf der Facebook Webseite wird falsch erklärt, dass Cookies kleine Textstücke seien.
Speicherform (Textdatei?): unwichtig.
Zweck: bestimmte Information verwalten → wichtig!
Angaben zu Cookies. Wichtig ist nur der Zweck (+ Speicherdauer und Empfänger).
Ein freundlicher Leser schlug vor, Cookies in Datenschutzhinweisen zu umschreiben. Ich schlug oben ja vorher vor, ein Cookie als Datensatz oder Informationshäppchen zu bezeichnen. Allerdings erscheint folgender Vorschlag leichter verständlich:
„Ein Cookie ist eine Information, die auf Ihrem Endgerät (Computer, Smartphone o. ä.) gespeichert wird.“
Sind Cookies klein? Nein, sind sie nicht. Ein Cookie kann laut RFC 6265 eine Datenmenge von bis zu 4096 Bytes (4 Kilobytes) aufnehmen. Local Storage ist ein Web Speicher, der noch viel größere Datenmengen aufnehmen kann. Laut Wikipedia ist die Größe wohl abhängig vom Browser und kann mehrere Megabyte betragen. Demnach sind Cookies erst recht nicht klein. Übrigens sind selbst 4 KB an personenbeziehbaren Daten bei klassischen Cookies um Größenordnungen mehr an Daten als jedes andere Datum, das mir gerade einfällt, um Personen zu identifizieren. Der Name einer Person hat nur wenige Bytes. Selbst eine Postadresse hat oft unter 100 Bytes.
Viel Erfolg beim Abändern der eigenen Datenschutzerklärung.
PS: Auch ich bin bis vor einiger Zeit auf die Aussagen mancher angeblicher Datenschutz-Experten hereingefallen und hatte die falsche Cookie-Definition abgeschrieben. Seit einiger Zeit suche ich lieber selbst die Wahrheit und schreibe diese, so gut es mir gelingt, im Dr. DSGVO Blog auf. Sie sollten sich von der Annahme verabschieden, dass etwas richtig ist, nur weil viele es behaupten. Das Gegenteil ist oft der Fall.
Es geht mir hier gar nicht um die simple Definition von Cookies. Vielmehr möchte ich zeigen, dass viele in Fachgebieten wie der Technik und dem digitalen Datenschutz wildern, in denen sie keine Kompetenz haben.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen 
ich habe mich am Artikel leider ein wenig gestoßen. Ein Cookie ist im weitesten Sinne eine Textdatei – unabhängig davon ob dieser Text in einer Datenbank organisiert ist oder wie früher bei vielen Browsern tatsächlich als einzelne Textdateien gespeichert. Nach Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um betroffenen Personen alle Informationen […] in einer klaren und einfachen Sprache zu übermitteln. Es ist einem Verantwortlichem nicht zuzumuten, dass er jeden einzelnen Browser und die technischen Details in seiner Datenschutzerklärung aufführt. Dies würde allenfalls zur Intransparenz durch Verwirrung des Betroffenen führen. Wenn man den Begriff Datei also im weitesten Sinne betrachtet und der Typ hier Text ist, kann man – denke ich durchaus – von Textdateien sprechen.
Nein, ein Cookie ist keine Textdatei. Eine Textdatei kann man in einem Texteditor öffnen. Technisch ist das eindeutig. Textdatei ist ein technischer Begriff. Wenn Sie recht hätten, wäre alles eine Textdatei. Hier kann ich Ihnen nicht Recht geben, sorry.
Außerdem: Im „weitesten Sinn“ ist keine zulässige Grundlage für eine Rechtfertigung,. Klingt eher nach Verzweiflung.
Mein einfacher Vorschlag: Ein Cookie ist ein Datensatz.
Versteht jeder. Jedenfalls nicht umständlicher und trotzdem richtiger als “Ein Cookie ist eine Textdatei”.
Sorry – aber diesr Artikel ist genau der Grund weshalb “normale” Menschen mit den Augen rollen, wenn Sie “Informatikersprech” hören.
Gerne gebe ich zu, dass dieser Artikel technisch orientiert und nicht für jeden verständlich ist.
Der Artikel ist als Beweis dafür geschrieben, dass Cookies keine Textdateien sind. Ein Beweis erfordert auch tief gehende technische Betrachtungen.
In ganz anderen Artikeln beschreibe ich, was Cookies sind und dies geschieht oft weniger technisch. Aber auch dann ist es teilweise erforderlich, etwas tiefer einzusteigen, um genau schreiben zu können. Wer nur abstrakt schreibt, kann nicht zeigen, dass das Gesagte auch stimmt.
…wohl war. Allerdings verlangt die DSGVO auch “einfache Sprache” – insofern versteht vielleicht ein kleiner Teil der Besucher (falls sie den Hinweis überhaupt lesen) zumindest “Textdatei” eher als “Datensatz”. Daher halte ich das “bullshit”Label für etwas überzogen.
Das Argument mit der einfachen Sprache habe ich schon öfters gehört.
Was ein Datensatz ist, wussten viele aber schon, bevor es Computer gab. Auch heutzutage und gerade heutzutage ist der Datensatz-Begriff bestens bekannt, behaupte ich. Man könnte ja auch “Träger von Daten” sagen oder was einem sonst einfällt, hauptsache es ist richtig. Das Recht, einen an sich falschen Begriff zu verwenden, hat jedenfalls gemäß DSGVO niemand.
Weiterhin konnte ich noch nirgendwo lesen, dass Cookies in Wirklichkeit keine Textdateien sind, sondern dies nur aus angeblichen Verständlichkeitsgründen so geschrieben wird und in Wirklichkeit etwas anderes gemeint ist.
Die sogenannten Experten, die diese Falschaussage eingeführt hatten, wussten es einfach nicht besser, behaupte ich. Das liegt wohl daran, dass dies wahrscheinlich von Anwälten kommt, die aber gerade keine Experten für technische Gebilde wie Webseiten oder Browser sind.
Hallo Klaus,
vielen Dank für diese wirklich tiefgründige und somit auch für einen technisch-interessierten, aber keinesfalls versierten oder fachkundigen Unternehmenjuristen wie mich verständliche Analyse. Bei der Erstellung des Cookie-Einwilligung unseres Unternehmens habe ich fast wie selbstverständlich an der dogmatischen Erkenntnis festgehalten, dass Cookies Textdateien seien.
Deine Ausführungen scheinen aber durchaus nachvollziehbar und plausibel zu sein. Interessant wäre es zu beobachten, ob die einzelnen Aufsichtsbehörden sich auch so detailliert mit der Thematik bei den angekündigten Prüfungen der Cookie-Einwilligungen befassen werden.
Du schreibst in deinem Text, dass sich alle Browser Datenbanken zur Speicherung der Cookies bedienen und hast als Beispiel die Umsetzung bei Firefox aufgezeigt. Wo liegen denn dabei die Unterschiede z.B. zu Chrome und Safari? Macht es auch Unterschiede, ob die Cookies auf einem mobilen Device wie Smartphone oder Tablett gespeichert werden oder an einem Laptop oder PC?
Viele Grüße aus Norddeutschland!
Vielen Dank für die Rückmeldung!
Chrome speichert Cookies ebenso wie Firefox im SQLite Datenbankformat. Unter Windows kommt man hier zum Speicherort: Windows + E Taste drücken, um den Windows Explorer zu öffnen, in der Adresszeile eingeben: %localappdata%\Google\Chrome\User Data\Default\
Im sich öffnenden Ordner die Datei namens Cookies öffnen (sie ist verschlüsselt, enthält aber am Dateianfang die Zeichenfolge SQLite).
Wie andere Browser, auch auf Smartphones, Cookies speichern, habe ich nicht untersucht. Sie nutzen jedenfalls irgendein (beliebiges) Format zum Abbilden einer Datenbank.
Rechtlich macht es keinen Unterschied. Die Cookies werden im Endgerät des Nutzers gespeichert und zwar auf Veranlassung einer besuchten Webseite, und können bei Besuch einer Webseite aus dem Endgerät des Nutzers ausgelesen werden.