Der Kampf und die Cookies: Kontrolle über digitales Backwerk

Vertrieb - 14.08.2023

Für die Einen stellen Cookies eine unschätzbare Währung dar, für die Anderen sind sie störend bis gefährlich. Was steckt hinter den Cookies und wie kann man sie kontrollieren? Wir geben einen Überblick.

Was sind Cookies?

Im Grunde sind Cookies kleine Textdateien, die Webseiten immer dann erzeugen, wenn jemand sie öffnet. Sie stammen von aufgerufenen Webseiten (zum Beispiel Google oder Shopping-Seiten) und sichern eine Auswahl verschiedenster Daten. Darunter etwa die Sprache, diverse Seiteneinstellungen, die E-Mail-Adresse oder, sofern vorhanden, Profilinformationen zur Person. Ein Beispiel dafür ist etwa das voreingestellte Passwort auf verschiedenen Seiten. Häufig sollen Cookies das Surferlebnis erleichtern und beschleunigen - anstatt etwa immer aufs Neue ein Passwort eingeben zu müssen, übernehmen die Cookies diesen Job und vereinfachen das Ganze zu einem simplen Klick.

Nutzen von Cookies

Die Zwecke, zu denen die Technologien eingesetzt werden reichen von der Erhebung von Statistiken zur Verbesserung der Nutzbarkeit des Telemedienangebots bis hin zur Identifizierung der Nutzerinnen und Nutzer zur Profilbildung für die Anzeige verhaltensbezogener Onlinewerbung. Ein häufiger Anwendungsfall von Tracking-Technologien sind Cookies oder andere technische Lösungen wie „Local Storage“ und „Session Storage“. Cookies sind kleine Textdateien, die beim Aufruf einer Internetseite erzeugt werden können. Der Server der aufgerufenen Internetseite fordert den Browser auf, eine Textdatei mit Informationen auf dem Endgerät des Nutzers zu speichern. Navigieren Nutzende auf der aufgerufenen Seite weiter oder ruft sie später erneut auf, kann der Telemediendienst das Endgerät anhand dieser Informationen erkennen.

Arten von Cookies

Dabei können verschiedene Arten von Cookies verschiedene Aufgaben erfüllen. Es ist daher nicht möglich, sie pauschal als „gut“ oder „schlecht“ zu kategorisieren – denn während Nutzerinnen und Nutzer auf einige Sorten von Cookies sicher verzichten können, sind andere dringend notwendig, um verschiedene Web-Services überhaupt zu ermöglichen.

Session Cookies

Das geht mit den Session Cookies los. Dabei handelt es sich um temporäre Cookies, die gemeinhin als unproblematisch gelten. Sie verbringen ihr Dasein direkt im Browser der Nutzenden, verschwinden allerdings, sobald die Browsing-Session beendet ist. Ein Beispiel dafür sind Online-Shops, die sich mittels Cookies „merken“ können, welche Waren derzeit im Warenkorb liegen. Ohne Cookies wäre der Warenkorb nach jedem Klick auf eine neue Unterseite wieder leer. Wichtig dabei: Wer die Internet-Sitzung nicht beendet oder sich nicht ausloggt, riskiert, dass die Session-Cookies weiterhin gültig sind. Der Warenkorb ist dann zum Beispiel für andere sichtbar, die sich Zugriff auf das Gerät verschaffen.

Persistent Cookies

Auch permanente Cookies oder Tracking Cookies genannt, sind Cookies, die auf dem Gerät der Userinnen und User verbleiben, auch wenn der Browser geschlossen ist. Sie können zwar nach einer Weile zu einem gesetzten Datum „verfallen“ oder durch manuelle Löschung verschwinden, aber bis dahin verbleiben sie. Ihre Aufgabe ist es, die Präferenzen der Nutzenden zu speichern, sich Personalisierungseinstellungen zu merken oder die Historie der Browsernutzung zu dokumentieren. Wegen ihnen können sich Webseiten Nutzerinnen und Nutzer merken, die zurückkehren, und eine auf sie zugeschnittene Nutzer-Experience bieten. Beim Öffnen einer Internet-Seite mit Werbebanner entsteht ebenfalls ein Cookie. Dieses „spioniert“ das Surf-Verhalten aus und kann dazu führen, personalisierte Werbung zu erhalten. Weil Tracking-Cookies manchmal Daten wie Adressen, Telefonnummern oder Bankverbindungen speichern, besteht hier ein Sicherheitsrisiko.

Third Party Cookies

Was uns direkt zu den Third Party Cookies führt. Hierbei handelt es sich um Tracking-Cookies, die nicht direkt von der aufgesuchten Webseiten stammen, sondern von Unternehmen, die Werbung platziert haben. Häufig sind das Firmen, die damit individuell personalisierte Werbung schalten wollen.

Der Lebenszyklus von Cookies

Im Grunde gibt es für Cookies zwei mögliche Lebenswege: Entweder (im Falle von Session Cookies) erfolgt die Löschung sofort, wenn die aktuelle Session endet. Wann genau das der Fall ist, ist je nach Browser definiert. Manche Browser können eine Session nach erneuter Seitenöffnung wiederherstellen. In diesem Fall können auch die sonst so kurzlebigen Session Cookies über einen längeren Zeitraum hinweg bestehen. Persistent Cookies wiederum „vergammeln“ entweder zu einem gesetzten Datum oder nach einem vorprogrammierten Zeitraum.

Cookie Privacy und Sicherheit

Immer, wenn von „Datenkraken“ oder ähnlichem die Rede ist, geht es unweigerlich auch um Cookies. Sie helfen beim Erstellen von detaillierten Nutzerprofilen, können dabei aber nicht nur Marketingzwecken dienen, sondern auch attraktiv für Internet-Kriminelle sein. Um diese Risiken anzugreifen und Userinnen und Usern die Möglichkeit zu geben, sich vielen Cookies von vornherein zu entledigen, hat die Europäische Union (EU) bereits um die Jahrtausendwende entsprechende Gesetze vorbereitet. Heutzutage müssen Webseitenbetreibende entsprechende „Cookie-Banner“ auf ihren Webseiten einbinden, mit deren Hilfe User entscheiden können, welche Cookies tatsächlich generiert werden.

Cookies managen und kontrollieren

Dabei besteht eine gewisse Auswahl an Möglichkeiten, um Cookies zu kontrollieren. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät zum Beispiel dazu, Cookies und Javascript stets mit kritischem Auge zu prüfen. Außerdem gilt es einen Blick in die Privacy-Einstellungen des Browsers zu werfen. Diese können einen zusätzlichen Schutz vor der Aufzeichnung des Browsing-Verhaltens bieten. Beim Schließen des Browsers sollten Cookies standardmäßig gelöscht (oder zumindest regelmäßig) oder der sogenannten Inkognitomodus genutzt werden.

In den meisten Browsern können Nutzende einstellen, dauerhafte Cookies nach jedem Schließen des Browsers zu löschen.
Alternativ ist es möglich, den Browser so einzustellen, dass er Cookies erst nach Rückfrage speichert.
Oder aber man sperrt persistente Cookies pauschal, legt jedoch eine Liste von „zugelassenen“ Webseiten an, die noch dauerhafte Cookies anlegen können.
Andersherum ist es ebenso möglich, Cookies pauschal zuzulassen, aber eine „Blacklist“ anzulegen.

Das Cookie-Banner

Wer kennt es nicht: Man ruft eine Webseite auf und das erste, was einem ins Auge springt, ist das Cookie-Banner, dass die Zustimmung zum Setzen von Cookies erbittet. Wer ablehnt, wird unter Umständen einfach von der Webseite ausgeschlossen. Die Ursache für diese Banner liegt im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das seit dem 1. Dezember 2021 in Deutschland gilt. Dieses besagt, dass alle Betreiber und Betreiberinnen von Webseiten vor dem Setzen von nicht notwendigen Cookies die Einwilligung beim User einholen. Die Einwilligung darf dabei nicht in Form von voreingestellten Häkchen oder Kreuzen erfolgen - Nutzer und Nutzerinnen müssen aktiv ihre Zustimmung erteilen. Manipulative Cookie-Hinweise oder solche, die aktiv zur Zustimmung verleiten, können juristisch unzulässig sein. Ein Stichwort ist hier „Dark Pattern“, eine Praxis, die mehr oder weniger subtil eine Zustimmung einfordert.

Wer alle nicht-essenziellen Cookies blockt oder verhindert, kann dafür sorgen, dass die Internet-Aktivität sicherer ist. Allerdings kann es sein, dass das Erlebnis im Web nicht mehr so flüssig oder „praktisch“ abläuft wie mit Cookies. Webseiten merken sich keine Passwörter mehr, die berüchtigten Algorithmen funktionieren nicht im gewohnten Umfang, was dazu führt, dass sich die Art, wie man sich im Internet bewegt, nicht mehr so persönlich und individuell anfühlt. Weitere Informationen dazu stellt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) zur Verfügung.

Die Zukunft der Cookies

Wie geht es mit Cookies weiter? Derzeit häufen sich die Berichte, dass verschiedene Browser, zum Beispiel Google Chrome, sogenannte Third-Party-Cookies in den kommenden Jahren ganz verhindern
wollen. Allerdings tauchen für Marketer bereits jetzt zunehmend Alternativen auf. Zum Beispiel sammeln Verantwortliche die Daten zunehmend direkt „First Party“ - bei der Quelle. Social Media ist ebenfalls eine gern gesehene Lösung, um gezielt Werbung auszuspielen. Hubspot listet außerdem Google Topics API auf. Dabei soll es sich um eine Lösung handeln, um zwar Privatsphäre zu garantieren, aber trotzdem Daten an Dritte zu senden. Eine weitere Alternative ist das Fingerprinting, eine Tracking-Methode, die noch übergriffiger ist als Cookies. Hierbei zeichnen Browser unter anderem die speziellen Schriftarten, Add-Ons oder Hardware auf und können so auch dann noch eine Verfolgung gewährleisten, sobald der Browserverlauf und die Cookies gelöscht sind.

Am Ende ist es sowohl für Nutzende als auch für Webseitenbetreibende notwendig, Cookies zu verstehen und korrekt zu managen. Wer sich tiefer mit den Mechaniken dahinter vertraut macht
und entsprechend reagiert, kann die eigene Privatsphäre wesentlich besser schützen.