Über Cookies

Was sind Cookies? Wo werden sie benötigt, wo sind sie sinnvoll - und wo nicht?

Wer sich im Internet bewegt kennt die allgegenwärtigen Cookie-Banner: „Wir bitten Sie um Ihre Zustimmung ...“. Cookies finden sich überall - sehr wahrscheinlch auch in Ihrem Browser und auf Ihrem Computer.

In diesem Beitrag erfahren Sie, wofür Cookies eingesetzt werden, wie sie auf die Computer Ihrer Seitenbesucherinnen und -besucher gelangen - und warum Sie auch beim Einsatz von Cookies auf die professionelle Unterstützung durch einen Webdesigner setzen sollten.

Kurz und knapp:
Beachten Sie diese Grundsätze bei der Verwendung von Cookies:
  • „Datensparsamkeit“: Beschränken Sie die Anzahl und die Speicherdauer Ihrer Cookies, „so wenig wie möglich, so kurz wie möglich.“
  • „Transparenz“: Erklären Sie Ihre Cookie-Nutzung und bitten Sie um Zustimmung bevor sie Cookies setzen.
  • „Funktionalität“: Prüfen Sie Ihren Auftritt auch unter der Annahme, dass Gäste alle Cookies blockieren.

Cookies - Was ist das eigentlich?

„Ein Cookie ([ˈkʊki]; englisch „Keks“) ist eine Textinformation, die im Browser auf dem Endgerät des Betrachters [...] gespeichert werden kann“, Quelle: Wikipedia. Typische Beispiele:

  • GA1.2.21703503.1607087008, ein Google-Analytics Cookie, mit dem Google statistische Daten zur Nutzung einer Webseite erfasst.
  • 1c4460589990453ef4e19fbcbb4df5ab, eine Sitzungskennzahl (engl.: Session-ID), die einem Besucher bzw. einer Besucherin typischerweise beim ersten Aufruf der Seite als Identifikationsmerkmal zugewiesen wird, um zusammengehörige Anfragen auf weiteren Seiten des Webauftritts zu erkennen.

Cookies können nach dem Aufruf einer Seite entweder vom Server an den Browser des Benutzers übertragen werden, oder sie werden lokal auf dem Rechner des Benutzers durch ein Skript ereugt und direkt in den Zwischenspeicher des Browsers abgelegt.

Alle Cookies werden mit einem Verfallsdatum gespeichert. Die sogenannten Sitzungs-Cookies (engl.: session cookies) werden automatisch gelöscht, sobald der Browser geschlossen wird. Wird dem Cookie ein konkretes Ablaufdatum zugewiesen, können solche Cookies bis zu diesem Datum immer wieder ausgelesen werden - auch nach dem Aus- und Einschalten des Rechners.

Sind Cookies gefährlich?

Die kurze Antwort: Nein!

Cookies enthalten Text-Daten. Zwar kann - theoretisch - dieser Text auch Programm-Code sein, vielleicht der Code eines ultimativen Virus... - aber um gefährlich werden zu können, müsste dieser Code ausgeführt werden, und genau dafür gibt es im Browser keine Möglichkeit. Über einen Cookie kann also kein Rechner mit einem Virus / mit Malware infiziert werden.

Datenschutz-Probleme...

Allerdings gibt es ein „Aber“ beim Einsatz von Cookies, und zwar im Zusammenhang mit dem Schutz der eigenen Privatsphäre. Cookies können benutzt werden, um die Aktivitäten eines einzelnen Benutzers zu verfolgen (engl.: Tracking). Das eigene Surfverhalten kann so erfasst werden, z.B. die Häufigkeit, mit der eine bestimmte Seite besucht wird, Käufe bei Amazon, oder das Genre meiner Lieblings-Videos.

Natürlich argumentieren die Anbieter mit den „Komfortmerkmalen“ des Tracking: Artikel bleiben in Ihrem Warenkorb auch bei Seitenwechseln, Einstellungen bleiben erhalten, online-Angebote können „passgenauer“ gestaltet werden.

Insbesondere sogenannte Drittanbieter-Cookies, bei denen gesammelte Daten an Dritte weitergegeben werden, gerieten in den letzten Jahren immer mehr in die Kritik: Seitenbetreiber kooperieren z.B. mit Werbenetzwerken, deren Cookies dann auf den eigenen Angebotsseiten gesetzt werden. Dabei kommen auch außereuropäische Anbieter zum Zug, die nicht dem deutschen Datenschutzrecht unterliegen, und zusätzlich können die online-gesammelten Daten ausdrücklich auch mit offline-Informationen zusammengeführt werden. Dabei können personenbezogene Profile erstellt werden, auch über verschiedene Webseiten hinweg. Eine 'Momentaufnahme': Die Süddeutsche Zeitung listet in ihrem Zustimmungsdialog des online-Angebots mehr als 120 „Partner", darunter jeweils mehr als 70 Dienste, die einfache bzw. personalisierte Anzeigen ausliefern (Stand: 4.12.2020). Das ist keineswegs ein Einzelfall. Die Wochenzeitung Die Zeit nennt im 'Privacy Center' mehr als 90 „Partner“, der Tagespiegel mehr als 150!

...und die Folgen

Spätestens mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) mussten Anbieter die bis dahin häufig eher „alibihaften“ Cookie-Informationen überarbeiten. Nach einem Urteil des Europäischen Gerichtshofs vom 1.10.2019 schien klar, dass Anbieter Cookies nur bei ausdrücklicher Zustimmung („informierte Einwilligung“) der Benutzerinnen und Benutzer setzen dürfen.

Also alles gut? Wohl eher nicht. Den Streit um die Zustimmungspflicht gibt es weiter und die zur Zeit üblichen, allgegenwärtigen Zustimmungsdialoge sind weithin unbeliebt. Veränderungen zeichnen sich aber sowohl auf der Seite der Browserhersteller als auch bei den Inhaltsanbietern und den Werbedienstleistern ab. Letztere sehen sich massiv unter Druck, die etablierte Cookie-Verwendung aufzugeben. Apple, Mozilla (Firefox) und inzwischen auch Google (Chrome-Browser) werden in absehbarer Zeit Drittanbieter-Cookies vollständig blockieren, Apple will darüberhinaus auch andere Tracking-Methoden abfangen und verwerfen. Alle Browser erlauben schon heute, Cookies komplett oder anlassbezogen zu blockieren, bzw. die gesammelten Websitedaten gezielt zu löschen.

Vernünftige Cookie-Nutzung heute

Sollten Sie Werbung Dritter auf Ihrem Webauftritt schalten wollen, werden Sie um eines der üblichen, langen (...und häufig nervigen) Zustimmungsbanner nicht herumkommen. In diesem Artikel beziehe ich mich im Folgenden allerdings auf die Nutzung einfacher „first-party“-Cookies. Sie sind insofern zukunftssicherer als die Cookies der Partner- und Werbenetzwerke, als Sie Inhalt, Form und Speicherdauer eben selbst festlegen.

Es schien absehbar, dass in der - seit Jahren geplanten - E-Privacy-Verordnung eine Aufzählung von Erlaubnistatbeständen für Setzen von Cookies ohne besondere Zustimmung an die Stelle des zur Zeit arg strapierten „berechtigten Interesses“ treten würde. Aktuell (Stand: Dezember 2020) scheint aber die deutsche Ratspräsidentschaft erneut mit ihrer Vorlage zur Verordnung bereits im EU-Ministerrat gescheitert zu sein. Gerade deswegen sollten Sie Cookies zur Zeit, wie in den Grundsätzen oben beschrieben, transparent, mit Zustimmung und so sparsam wie möglich einsetzen.

Mit first-party-Cookies können Sie beispielsweise eine Sitzungs-ID erzeugen oder einen Kundenbereich mit Anmeldung realisieren. Auch google-Analytics-Dienste können Sie mit wenig Aufwand einbinden. Achten Sie für die Google-Dienste darauf, in Ihre Datenschutzerklärung Hinweise zur Anonymisierung der erfassten Daten und zum möglichen „opt-out“ aus den Analyse-Diensten aufzu­nehmen.

An dieser Stelle sollten Sie erwägen, für die Konzeption und Umsetzung Ihres Webauftritts einen professionellen Webdesigner hinzuzuziehen. Für das Erzeugen eigener Cookies und deren Auswertung benötigen Sie Kenntnisse in einer Skriptsprache, eine Zustimmungserklärung soll alle Optionen ansprechend, transparent und benutzerfreundlich präsentieren und die Datenschutzerklärung soll vollständig und korrekt sein - bei diesen Aufgaben kann ich Ihnen behilflich sein. Gerne führe ich ein Beratungsgespräch mit Ihnen - nehmen Sie Kontakt zu mir auf!