Bedeutung von Cookies
Cookies spielen im Rahmen der DSGVO eine wesentliche Rolle für Webseiten. Die Gründe sind insbesondere:
- Das EuGH-Urteil zu Cookies. Hierbei ging es allerdings nicht in erster Linie um Cookies, vielmehr hat die Berichterstattung dies so dargestellt
- Die Neufassung der ePrivacy Richtlinie wird unzutreffenderweise auch als Cookie Richtlinie bezeichnet.
- Die Vermarktungsmasche einiger Anbieter von Consent Tools und einiger Beratungsplattformen
- Die Tatsache, dass Cookies am leichtesten als Datenverarbeitungsmechanismus nachweisbar sind und nicht wegdiskutiert werden können
Was ist ein Cookie?
Ein Cookie besteht aus einem Schlüssel und einem Wert und wird vom Browser des Nutzers verwaltet. Üblichwerweise speichern Browser die Cookies auf dem Endgerät des Nutzers in Form von Textdateien. Damals speicherten Browser die Cookies üblicherweise in Form von Textdateien auf dem Endgerät des Nutzers. Heutzutage werden Cookies oft in Datenbanken abgelegt. Cookies sind keine Textdateien und waren es auch nie, weil jeder Browser die Ablageform selber frei wählen konnte und kann.
Ein Cookie hat insbesondere folgende Eigenschaften (Beispielwerte sind mit angegeben):
- Name: NID
- Wert: 200=UxxxxxxsGiW99MK4GuykyVJnK8PMOWi02EBAwQ-juoMaximilia-injksa728lslsn
- Lebensdauer: 1 Jahr
- Sicherheitseinstellungen: HttpOnly
- Domäne: google.com
Über die Domäne des Cookies wird festgestellt, ob ein First- oder Third-Party Cookie vorliegt.
First-Party Cookies
First-Party Cookies werden von der gerade aufgerufenen Webseite selbst verwaltet und können nur von dieser ausgelesen werden. Hat das Cookie die Domäne webseite4711.de und die Webseite hat ebenfalls diese Adresse, ist das Cookie First-Party für diese Webseite.
Third-Party Cookies
Third-Party Cookies hingegen werden von Dritten verwaltet. Ein Dritter ist ein Anbieter eines Tools wie beispielsweise Google reCAPTCHA. Wird ein solches Drittanbietertool geladen, werden vom Browser alle Cookies an den Aufruf angehängt, die in derselben Domäne liegen wie das Tool.
Ein Third-Party Cookie kann nur auf dem Server desjenigen erzeugt werden, von dem eine Datei abgerufen wird.
Ein praktisches Beispiel für Google reCAPTCHA: Dieses Tool stellt sich über die Domäne google.com zur Verfügung. Beim Aufruf einer Webseite, die reCAPTCHA einbindet, passiert folgendes:
- Die Webseite wird im Browser durch Eingabe der Adresse www.webseite4711.de aufgerufen
- Die Webseite bindet Google reCAPTCHA über folgende Datei ein: https://www.google.com/recaptcha/api.js
- Der Browser ruft die Datei ab und sendet alle bereits für die Domäne google.com vorhandenen Cookies dabei mit. Insbesondere wird dabei das Cookie NID übermittelt, welches die Google Nutzer-ID enthält. Dieses Cookie wird beispielsweise gesetzt, wenn sich ein Nutzer in seinem Google Konto anmeldet.
- Das aufgerufene Tool kann das Cookie auslesen oder dessen Wert ändern.
Third-Party Cookies sind also nur für die Tools zugänglich, die sich in derselben Domäne befinden wie das Cookie, wobei die Domäne per definitionem eine andere ist als die der aufgerufenen Webseite (daher der Name Third-Party, also Drittpartei).
Teilen von Third-Party Cookies zwischen verschiedenen Tools
Das eben genannte Tools Google reCAPTCHA hat Zugriff auf mehrere Domänen, u.a. google.com und gstatic.com. Alle für diese Domänen vor dem Einbinden von Google reCAPTCHA gesetzten Cookies werden automatisch diesem Tool zugänglich. Damit kann reCAPTCHA nicht nur selbst verwaltete Cookies auslesen, sondern auch die von allen anderen Google Tools, die Cookies auf einer der beiden genannten Google Domänen setzen. Somit hat reCAPTCHA umfassenden Zugriff auf diverse Cookies, die eigentlich anderen Tools zuzuordnen sind! Dies macht es eigentlich unmöglich, Google reCAPTCHA ohne Einwilligungsabfrage rechtskonform einzusetzen. Die Abfrage nach einer Einwilligung wiederum ist schwierig, weil niemand weiß, welche Daten Google wie verarbeitet.
First-Party Cookies für Drittparteien
Bindet eine Webseite ein Tool wie Google Analytics ein, wird dabei ein Javascript-Code auf der Webseite geladen. Mit diesem Javascript-Code können auch First-Party Cookies verwaltet werden, denn der JavaScript-Code „lebt“ auf der ladenden Webseite und kann an ihrer Stelle handeln.
Ein First-Party Cookie wird zum Drittpartei-Cookie
Ein First-Party Cookie kann auch zum Third-Party Cookie werden. Hier ein populäres Beispiel:
- Ein Nutzer ruft die Webseite google.com auf
- Dabei wird ein First-Party Cookie namens NID auf der Domäne google.com erzeugt (oder aktualisiert, falls es schon vorhanden war)
- Der Nutzer ruft nun eine Webseite uvwxyz.de auf, die Google reCAPTCHA einbindet
- Google reCAPTCHA wird u.a. von der Domäne google.com geladen. Beim Laden des Tools wird also das ursprüngliche First-Party Cookie NID geladen und ist nun ein Third-Party Cookie, denn die Domäne der aktuellen Webseite lautet uvwxyz.de und ist somit ungleich google.com.
Cookies und Datenschutz
Immer, wenn eine Webseite ein Tool von einer Domäne lädt, werden alle auf dem Endgerät des Nutzers zu dieser Domäne vorhandenen Cookies automatisch mit übertragen.
Lädt ein Tool weitere Scripte von anderen Domänen nach, können diese Scripte weitere Third-Party Cookies erzeugen, auslesen und ändern. In der Praxis geschieht dies etwa (immer, Stand 30.12.2020) beim Einbinden von YouTube Videos mit oder ohne Cookies (!), wo für Vermarktungszwecke der Tracker DoubleClick geladen wird. DoubleClick wird von der Domäne doubleclick.net geladen und kann demnach auf Cookies dieser Domänen zugreifen.
Je mehr Dateien von verschiedenen Domänen ein Tool nachlädt, desto mehr Kontrolle über Cookies hat es potentiell. Auf Webseiten eingebundene YouTube Videos laden beispielsweise nicht nur von youtube.com bzw. youtube-nocookie.com Dateien, sondern auch von ytimg.com, gstatic.com und doubleclick.net. Gleichzeitig lädt Google Maps auch Dateien von gstatic.com nach, so dass beide Tools sich beispielsweise über diese Domänen austauschen könnten. Da die Firma Google im Besitz all dieser Server ist, kann sich das Unternehmen nach Belieben erhobene Daten unsichtbar selbst zuspielen.
Cookies eignen sich zum Identifizieren und Nachverfolgen von Nutzern über mehrere Sitzungen hinweg. Eine Sitzung ist der Besuch einer Webseite, die durch das Verlassen der Webseite oder das Schließen des Browsers beendet wird.
Ein Cookie existiert nur innerhalb eines einzigen Browsers auf dem Endgerät des Nutzers. Besucht der Nutzer eine Webseite von einem anderen Browser aus, kennt dieser andere Browser die Cookies von vorigen Besuchen der Webseite nicht.
Cookies eignen sich also grundsätzlich nicht zum browser- oder geräteübergreifenden Nachverfolgen von Nutzern.
Das Märchen von der cookielosen Domäne
Bestimmt haben Sie auch schon mal über den Google Tag Manager gelesen, er sei eine cookielose Domäne. Dass diese Aussage an sich grober Unfug ist, weil ein Dienst keine Domäne ist, sei mal außen vor gelassen.
Die Aussage stimmt auch dann nicht, wenn man die Domäne googletagmanager.com als cookielos bezeichnet. Dies habe ich in einem eigenen Beitrag zum Google Tag Manager gezeigt und bewiesen.
Die Lösung für Cookies
Die Lösung lautet, möglichst keine Tools einzusetzen, die Cookies verarbeiten. Unnötige Tools sollten unbedingt entfernt werden. Externe Schriften, Bilder und Bibliotheken sollten lokal abgelegt werden. Fragen Sie Ihren Dienstleister nach eine vollständigen Bestandsaufnahme Ihrer Webseite, um alle eingesetzten Tools zu ermitteln.
Weitere Lösungsmöglichkeiten:
- Alternativen für Google Tools
- Checkliste Einwilligungsabfrage (als Motivation, diese nicht zu verwenden)
Bitte beachten Sie, dass auch Tools auf Webseiten, die keine Cookies einsetzen, oft einwilligungspflichtig sind.
Es erstaunt mich etwas folgendes zu lesen: "Üblichwerweise speichern Browser die Cookies auf dem Endgerät des Nutzers in Form von Textdateien" wo doch u.a. hier
https://dr-dsgvo.de/cookies-sind-keine-textdateien/ genau das Gegenteil beschrieben wird?
Ihre Anmerkung ist absolut berechtigt. Ich hatte damals auch von anderen falsch abgeschrieben, bevor mein späterer Beitrag zu Cookies, die keine Textdateien sind, erschien. Dieser Beitrag hier wurde aufgrund Ihres Kommentars korrigiert. Meine Aussage war dennoch nicht ganz falsch, denn sie behauptete nicht, dass Cookies Textdateien seien, sondern sagte nur etwas über den üblichen Speicherweg aus. Viele hatten leider immer wieder behauptet, Cookies seien (definitiv) Textdateien. Das ist (definitiv) falsch.
Seit ich die Cookie-Thematik näher untersuchte, habe ich mir abgewöhnt, Aussagen zu glauben, die andere ohne Beweis o.ä. von sich geben und die ich selber überprüfen kann.
Hallo Herr Meffert,
danke für die informativen Artikel, die Sie hier teilen. Ich bin gerade dabei mich in das Thema Cookies einzuarbeiten. Komme selbst aus der IT und habe seit neuestem mit Cookies zu tun. Ich bin auf der Suche nach guten Quellen, um das Thema besser zu verstehen und wollte fragen, ob Sie etwas empfehlen können?
Brennend würde mich auch interessieren, wie ich wirklich ALLE Cookies einer Seite aufspüre. Ich habe aktuell das Gefühl, dass ein Inkognito Fenster + Dev Tools nicht die beste Lösung ist…
Danke und Grüße
Alle Cookies einer Seite kann man nur mit einer relativen Sicherheit feststellen.
Dazu:
1. Alle Cookies im Browser löschen
2. Webseite besuchen und am besten zu jeder Seite navigieren.
3. Ggf. Aktionen auf einer Seite ausführen, etwa Video freigeben oder anderweitig einwilligen; oder auch Formulare ausfüllen und absenden
4. Im Cookie-Speicher des Browsers nachsehen, etwa mit einem Cookie-Plugin für Firefox wie "Cookie Manager"
5. Zusätzlich am besten einen Webseiten-Check ausführen (meine Software kann das).
Ich werde demnächst einen Beitrag dazu schreiben.