Cookies – kleine Datei, große Kontroverse
Letzte Aktualisierung am: 22. August 2024
Geschätzte Lesezeit: 11 Minuten
Jeder hinterlässt Spuren im Internet
„Im Internet weiß niemand, dass du ein Hund bist“ – Dies war vor einigen Jahren der Untertitel eines Cartoons und wurde schnell zum geflügelten Satz für die Anonymität, die das World Wide Web verspricht. Doch gerade die letzten Entwicklungen haben gezeigt, dass es sich hierbei um einen Trugschluss handelt.
Benutzer hinterlassen ständig und umfassend Informationen – wie das technisch genau vonstatten geht, dessen ist sich der Großteil wohl kaum bewusst. Die Auswertung und auch der Verkauf von Big Data sind für die Wirtschaft und auch die Politik von großem Interesse, und der Datenschutz im Internet ist nach wie vor in vielerlei Hinsicht äußerst problematisch.
Eine Aufzeichnungsmethode, welche wohl schon jedem Internetbenutzer begegnet sein dürfte, sind Cookies – viele sind von dem recht unschuldigen Namen irritiert und wissen nicht, was es damit auf sich hat. Was heißt es, wenn Cookies gesetzt werden? Können Nutzer Cookies auch wieder entfernen? Und vor allem: Wofür werden sie genutzt? Diesen und anderen Fragen widmet sich der nachfolgende Ratgeber.
Inhaltsverzeichnis:
FAQ: Cookies
Cookies sind kleine Textdateien. Sie werden von Webseiten auf Smartphones oder lokalen Computern abgespeichert. Diese Dateien speichern die IP-Adresse und das Verhalten des Nutzers. Welche Informationen Cookies genau aufzeichnen, lesen Sie hier.
Die Betreiber verfolgen damit unterschiedliche Ziele. Einerseits erleichtert Cookies den Nutzern das Surfen. Anderseits wollen Anbieter damit passende Werbung für den Nutzer schalten oder den Traffic einer Website genauer analysieren. Mehr Informationen zu dieser Frage finden Sie in diesem Abschnitt.
Mithilfe von Cookies lässt sich ein sehr umfangreiches Nutzer-Profil erstellen und hierfür verschiedenste personenbezogene Daten speichert. § 25 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) verlangt daher, dass Nutzer über die Verwendung von Cookies zu informieren und auf sein Widerrufsrecht hinzuweisen ist.
Zuerst einmal: Was ist bzw. sind Cookies überhaupt?
Um zu verstehen, wofür sie benutzt werden, muss natürlich erst die Frage geklärt werden, worum es sich bei Cookies eigentlich handelt.
Deshalb wird auch von „Cookies setzen“ gesprochen: Bei einer Benutzung eines Services platziert der Anbieter diese im PC des Benutzers. Auf diese Art wird so etwas wie ein künstliches Gedächtnis geschaffen: Wurden Cookies von Webseiten gespeichert und der Benutzer ruft diese erneut auf, dann wird ein Signal an diese zurück gesendet.
Die Identifizierung des Benutzers läuft über die IP-Adresse. IP ist kurz für „Internet Protocol“; damit ist ein spezieller Zahlencode gemeint, welcher an ein Gerät gekoppelt ist und dieses im Datennetzwerk erkennbar macht. Alle internetfähigen Endgeräte besitzen in der Regel eine IP-Adresse, mitunter können dies auch mehrere sein. Eine IP-Adresse kann zwar bspw. durch die Schaltung eines Proxy-Servers anonymisiert werden, doch auch dies bietet in den meisten Fällen keinen vollständigen Schutz vor einer Identifizierung.
Technisch werden dabei zwei Arten Cookies unterschieden: Zum einen HTTP-Cookies, welche bei einem Webseitenbesuch an den Benutzer gesendet werden, und geskriptete Cookies, die erst bei einem Aufruf generiert werden. Erstere ist die gängigere Variante. Cookies werden seit etwa den 1960er Jahren eingesetzt, heute zählen sie für Online- Angebote zum Standard-Repertoire.
Nutzer müssen sich an dieser Stelle keine Sorgen machen, dass Cookies die ganze Festplatte belegen. Es handelt sich nämlich um sehr kleine Dateien, welche nur einen verschwindend geringen Speicherplatz benötigen.
Was zeichnen Cookies auf?
Ein Cookie ist also so etwas wie ein Peilsender in Dateiform, welcher mit dem Server kommuniziert – so weit, so gut. Bei diesem Vorgang fallen eine ganze Reihe an Daten und Metadaten an, welche Hosts und Werbende für sich nutzbar machen können:
- die IP-Adresse, von welcher ein Benutzer auf eine Seite zugreift, und mitunter auch Standortdaten
- wann und wie häufig ein bestimmter Benutzer eine Webseite besucht
- wie lange ein Benutzer eine Webseite besucht hat
- welche Elemente wie häufig angeklickt und ob diese gespeichert wurden
- wie der Benutzer auf die Webseite gelangt ist: Wurde ein Besucher etwa durch einen gesetzten Hyperlink auf einer anderen Seite zu dem eigenen Angebot weitergeleitet, dann wird dies erfasst – was im Umkehrschluss bedeutet, dass Cookies vorher besuchte Seiten ermitteln
- welche Suchbegriffe in Suchleisten auf der Seite eingegeben werden
- ob Nutzer über auf der eigenen Seite gesetzte Hyperlinks auf anderen Seiten weitersurfen
- welche Einstellungen auf der Seite selbst vorgenommen wurden: Login-Daten wie (Benutzer)Namen und Passwörter, Spracheinstellungen usw.
Zwar wird wiederholt gerade von Hosts betont, dass a) Cookies nur von den Seiten ausgelesen werden, auf welchen Sie erzeugt werden und b) dass der Nutzer, gleichwohl ein eindeutiges Profil für diesen angelegt wird, als natürliche Person unerkannt bleibt. Es hat sich jedoch herausgestellt, dass dem in vielen Fällen nicht so ist – dazu an späterer Stelle mehr.
Wie lange werden Cookies gespeichert?
Wenn Webseiten Cookies zulassen bzw. selbst benutzen, hängt deren Speicherdauer beim Nutzer stark von deren Funktion ab. Session-Cookies werden direkt nach Beendigung der Nutzung gelöscht, sie kommen bspw. beim Online-Banking zum Einsatz. Cookies, die zu Marketingzwecken eingesetzt werden, halten sich teilweise jahrelang, insofern sie nicht gelöscht werden. Ein „unendliches“ Vorhandensein von Cookies ist jedoch in der Regel nicht vorgesehen.
Wofür Anbieter Cookies verwenden
Nutzer sollten also grundsätzlich davon ausgehen, dass Internetseiten Cookies verwenden – auch wenn entgegen den gesetzlichen Vorschriften nicht gesondert darauf hingewiesen wird. Deren Nutzen kann allgemein mit Nachvollziehbarkeit – oder eher modern, „Tracking“ – zusammengefasst werden. Das Protokollieren dient zwar auch der Nutzungsoptimierung, hauptsächlich bedient dies jedoch wirtschaftliche Interessen.
Hierbei muss zunächst unterschieden werden, wer die Cookies schaltet. Sind diese vom Seitenbetreiber selbst, wird von „First Party Cookies“ gesprochen, die von Dritten sind die „Third Party Cookies“.
Finanzierung durch Werbung
Dies bezieht sich vor allem auf die „Third Party Cookies“ und ist wohl die wichtigste Funktion der kleinen Datein. Kommerzielle Seitenbetreiber finanzieren sich nämlich in der Regel durch das Schalten von Werbung bzw. durch sogenanntes „Affiliate Marketing“. Letzteres bezeichnet Verträge mit einem Anbieter: Der Seitenbetreiber erhält eine Provision, wenn Kunden durch ein Schalten auf der Internetseite zum Verkäufer gelangt sind.
Wichtig ist hier nicht nur irgendeine Werbung, sondern zielgruppenspezifische Angebote. Durch die Informationen, die Cookies bereitstellen, können Werbeangebote auf die Bedürfnisse und Interessen der Nutzer zugeschnitten werden. Wenn ein User etwa viele Angebote zum Schuhkauf ansieht, werden dementsprechend Werbeanzeigen für den Schuhkauf eingeblendet.
Auch wenn das Internet schnell und häufig einfach im Zugriff ist, gilt auch hier: „Alles hat seinen Preis“. User bezahlen für das Benutzen eines Services häufig mit ihren Informationen. Dies hat zum einen den Vorteil, dass Suchalgorithmen inzwischen unheimlich präzise sind: Schon mit wenigen Schlagworten, selbst wenn diese falsch geschrieben oder inkorrekt sind, können treffende Informationen ermittelt werden. Recommender-Systeme und ähnliche Programme entwickeln sich stetig fort. Cookies tragen zu dieser Datensammlung in großem Stile bei.
Höhere Gewinne durch Optimierung
Wer heutzutage mit einem online-Service sein Geld verdient, der sieht sich einer Vielzahl an Konkurrenten gegenüber. Deswegen müssen Seitenbetreiber ständig am Ball bleiben, um ihre Besucher zu halten: Schlagwort Seitenoptimierung. Schließlich möchte jeder möglichst viel Traffic (engl. „Verkehr“) auf seiner eigenen Seite verzeichnen.
Hierfür sind Nutzerdaten natürlich von elementarem Interesse: Was haben Nutzer besonders häufig benutzt? Wo bestehen Verbesserungsmöglichkeiten? Welche Teile einer Webseite werden gar nicht genutzt?
Um dies zu ermitteln, ist der Einsatz von Programmen wie Cookies unerlässlich. Auf diese Art wird festgehalten, wie, wann und was benutzt wird und und so kann die eigene Seite entsprechend den Bedürfnissen der Kunden angepasst werden. Meist werden Cookies nicht einzeln abgelegt, sondern sind Teil eines Tools für Webseitenoptimierung.
Ermöglichung von Serviceleistungen
Abgesehen davon muss auch erwähnt werden, dass bestimmte Internetangebote ohne Cookies schlichtweg nicht funktionieren würden. Beim Online-Shopping erfolgt die Abspeicherung in dem digitalen Warenkorb in der Regel immer über Cookies. Deshalb sind die ausgesuchten Objekte auch nicht gelöscht, sollte mal versehentlich der Tab geschlossen wurden. Müssen Daten vom Nutzer hochgeladen werden – wie bei einer Online-Bewerbung etwa – dann wird auch dies über Cookies realisiert.
Die Informationen, welche durch Cookies erzeugt werden, können auch der Sicherheit dienen: Wenn ein Benutzer genau nachvollziehen kann, wann er sich wo das letzte Mal eingeloggt hat, kann zum Beispiel ein Identitätsmissbrauch nachgewiesen werden. In vielen Fällen müssen Benutzer Cookies zustimmen, wenn sie Dienste im Internet nutzen möchten.
Personalisierung für den User
All das Sammeln von Daten hat natürlich auch den Zweck, die Nutzererfahrung zu verbessern: Indem Voreinstellungen bei einem nächsten Seitenbesuch ohne erneute Bestätigung wieder eingestellt werden. Hierzu zählen zum Beispiel ein automatisches Nutzer-Log-In, das Auswählen genau der Seite, welche zuletzt angesehen wurde, Zooms, Spracheinstellungen und so fort. Viele Nutzer dürften diese Personalisierung sehr schätzen, vergessen dabei aber häufig, dass hierfür persönliche Daten benötigt werden.
Zur rechtlichen Lage von Cookies
Die länderübergreifenden Regelungen zur Datenerhebung und vor allem zum Datenschutz nehmen einen immer größeren Stellenwert ein. Da innerhalb der EU nach einer weitestgehend einheitlichen Rechtsprechung gestrebt wird, ist auch die Handhabe von Daten entsprechend kodifiziert.
Die Datenschutzrichtlinie für elektronische Kommunikation, die 2002 erlassen wurde, ist 2009 um die sogenannte Cookie-Richtlinie der EU ergänzt worden. Diese legte unter anderem fest, dass Benutzer die Verwendung von Cookies ausdrücklich akzeptieren müssen. Dafür reicht meist eine eher formlose Auskunft darüber, dass entsprechende Dateien eingesetzt werden. Diese gesetzlichen Vorgaben wurden durch die Überarbeitung der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) in entsprechende nationale Vorschriften übernommen.
Dies ist der Grund, warum auf den Internetseiten ein Hinweis auf Cookies geschaltet sein muss – häufig sind diese sehr prominent bis spam-haft im Blickfeld des Nutzers und werden erst dann ausgeblendet, wenn eine Zustimmung durch Klicken erfolgte. Dieses wird als Opt-Out bezeichnet: Ein Verfahren, bei welchem Daten erhoben werden, insofern der Nutzer diesem Vorgang eben nicht aktiv widersprochen hat. Oftmals ist es auch so, dass die Seiten nicht nutzbar sind, bevor einer entsprechenden Cookie-Meldung zugestimmt wurde.
Strenge Auflagen für Seitenbetreiber
Jede Stelle, welche personenbezogene Daten verarbeitet, muss den europäischen Auflagen entsprechen. Es bedarf also für jedes Cookie des Einverständnisses des Benutzers.
Früher verhielt es sich eher so, dass häufig im Impressum ein Hinweis über verwendete Cookies eingefügt wurde. Dies reicht jedoch nicht mehr aus. Ein wichtiger Bestandteil von Datenschutz ist nämlich nicht nur eine rein zweckgebundene und möglichst begrenzte Erhebung von Daten; Nutzer müssen ebenso darüber aufgeklärt werden und ihnen muss die Möglichkeit geboten werden, über ihre personenbezogenen Daten zu verfügen.
Dies gebietet die EU-Grundrechtcharta im achten Artikel:
[1] Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
[2] 1. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. 2. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
Aus diesem Grund sind Webseitenbetreiber auch verpflichtet, sowohl eine Einwilligung für das Zulassen von Cookies als auch eine Datenschutzerklärung auf ihrer Seite zu schalten. Diese muss dem Nutzer umfassend und ohne Ausnahme in verständlicher Weise darüber aufklären, welche Daten erhoben werden und welche Nutzerrechte es gibt.
So eine Datenschutzerklärung muss Cookies zwingend erläutern. Zudem sollte auch erwähnt werden, wie diese ggf. gelöscht werden können. Halten Betreiber diese Auflagen nicht ein, können andere Wettbewerber eine Abmahnung erwirken. Cookies müssen also, neben anderen Mechanismen auf einer Webseite, umfänglich dargestellt werden – sonst drohen Sanktionen. Dies gilt im Übrigen nicht nur für eigene Cookies, sondern eben auch für Cookies dritter Anbieter.
Cookies und der Datenschutz
Dadurch, dass die Textdateien Nutzeraktivitäten aufzeichnen, schließen sich Datenschutz und Cookies eigentlich aus. In der Regel gilt, dass die jeweiligen Seitenbetreiber die von Cookies gesammelten Informationen zwar auslesen dürfen und die jeweiligen Profile jedoch weitestgehend anonymisiert sind.
Wichtig ist in diesem Zusammenhang, dass die Regelungen der EU bzw. in Deutschland auch nur für Seiten gelten, die hier betreiben werden. Wenn ein deutscher Nutzer etwa eine amerikanische Webseite besucht, dann muss sich der amerikanische Host nicht an den gesetzlich vorgeschriebenen Datenschutz in Deutschland halten. Das bedeutet, dass eine Datensicherheit nur begrenzt garantiert werden kann. Ausländische Anbieter können also Cookies in ihrem PC setzen, welche ein umfangreiches Profiling vornehmen.
Außerdem verhält es sich so, dass die oben erwähnten Third Party Cookies genauso aufschlussreich über die Aktivitäten einer Person sein können wie die des Webseitenbetreibers selbst. Weiterhin können Third Party Cookies Daten von First Party Cookies beziehen – insofern bleiben die Informationen also nicht nur bei dem Datenverursacher und dem Datenerheber, sondern auch bei den Werbenden. Bei einem ausformulierten Cookie-Hinweis ist im Text dann häufig von „Dritten“ oder „Drittanbietern“ die Rede.
Abgesehen davon ergeben sich aus den technischen Wirkweisen ebenso Probleme. Wie bereits erwähnt, können Cookies auch webseitenübergreifend Daten erfassen. Wenn bspw. ein Werbetreibender auf zwei Internetseiten vertreten ist und Benutzer auf beiden Seiten surfen, dann können entsprechende Informationen natürlich zusammengeführt werden. Dies ist der Grund, warum auf bestimmten Internetseiten eben genau die Sache auftaucht, welche vorher auf einem Einkaufsportal angeschaut wurde.
Die Möglichkeiten von Cybercrime
Cookies können durchaus eine datenschutzrechtliche Gefahr darstellen. Vor allem weil sie so viele Informationen sammeln. Auch kann es sein, dass die kleinen Datenbits nicht genug vor einer Einsicht bzw. einen Angriff von außen geschützt sind. Findet ein Hackerangriff auf eine große Seite statt, dann können die durch Cookies generierten Daten schnell in falsche Hände gelangen. Abgesehen davon setzen schädliche Websites häufig eigene, äußert aggressive Cookies ein, die persönliche Daten in großem Stil ausspionieren.
Spam-Mails und Viren
Diese sind so verbreitet, dass E-Mail-Programme selbst schon vorfiltern, welche Nachrichten potentieller Spam ist. Nutzer fragen sich dann häufig, wie die Versender überhaupt an ihre E-Mail-Adresse gekommen sind – mitunter waren ungenügend gesicherte Cookies der Grund.
Viren können unterschiedliche Programme sein. Gemein ist ihnen, dass sie Daten abfangen und Schaden an Software und Hardware verursachen können. Klassifizierungsmerkmal sind außerdem eine Reproduktion und Weiterverbreitung von einem Rechner zum nächsten, deshalb der Begriff „Virus“. Wie oben bereits erwähnt, verhalten sich bösartige Cookies häufig selbst virenähnlich.
Wie kann ich Cookies deaktivieren oder löschen?
Da Cookies im Browserverlauf gespeichert werden, muss eine Löschung dementsprechend auch über den benutzen Internetbrowser geschehen. Es besteht keine Pflicht, Cookies zu behalten. Sie können nach Belieben jederzeit gelöscht werden. Zudem können Benutzer häufig auswählen, ob Cookies von vornherein blockiert werden sollen. Hier muss jedoch bedacht werden dass – wie bereits erläutert – bestimmte Webangebote dann eventuell nicht in Anspruch genommen werden können. In solch einem Fall kann auch festgelegt werden, Cookies nur für eine bestimmte Anzahl an Websites zu erlauben.
Bedenken Sie, dass Sie auf diese Art alle Voreinstellungen, die durch die Cookies eingetragen wurden, löschen. Benutzen Sie später erneut eine entsprechende Website, wird ein Cookie-Hinweis unweigerlich wieder erscheinen.
Zudem werden Sie durch ein Löschen von den meisten Diensten abgemeldet werden – vergewissern Sie sich also, dass Sie entsprechende Zugänge und Passwörter anderweitig gesichert haben, da Sie sich sonst eventuell nicht mehr einloggen können!
Abgesehen vom Löschen der gesetzten Cookies besteht weiterhin die Möglichkeit, eine „Do-Not-Track“-Funktion (engl. „Nicht verfolgen“) einzuschalten. Gerade große Websites erheben im großen Stile Daten über Benutzer; durch die Aktivierung dieser Funktion teilen Sie diesen mit, dass Sie ein Ausspähen Ihrer Surfgewohnheiten nicht wünschen. Beachten Sie hierzu jedoch: Selbst wenn Sie dies benutzen, müssen sich entsprechende Seitenbetreiber nicht daran halten. Sie äußern somit lediglich Ihren Wunsch, nicht verfolgt zu werden – die Zuständigen müssen dem jedoch nicht nachkommen.
Sehr geehrte Damen und Herren,
gehe ich richtig in meiner Annahme, je länger eine Sitzungszeit bei einem Seitenbetreiber dauert, daß sich dieses finanziell positiv niederschlägt? Dies erklärt dann auch den wuseligen und unübersichtlichen Seitenaufbau, um mit einem riesigen Zeitaufwand das Suchen seines Anliegens hinauszuzögern. Ein klarer und schnellzufindender Seitenaufbau würde demnach die finanziellen Einnahmen des Seitenbetreibers schmälern.
Für Ihre Auskunft danke ich im voraus.
Mit freundlichem Gruß
Peter K