Cookies im Internet | Antworten auf 14 wichtige Fragen

Was sind Cookies, welchem Zweck dienen sie und was ist zu beachten? Umfassende Informationen für Webdesigner, Website-Betreiber und -Besucher.

Cookies im Internet - Antworten auf 14 wichtige Fragen
Grafik: eb

Teil 2

Wann ist Tracking besonders problematisch?

Besonders Google ist als Datensammler bekannt und nicht nur das. Einerseits verknüpft Google gesammelte Daten aus unterschiedlichen Quellen miteinander, um daraus Profile zu erstellen oder mit den Daten anderweitig Geld zu verdienen. Andererseits ist die Aufklärung darüber, um welche Daten es sich im einzelnen überhaupt handelt, mehr als vage und weder für Website-Betreiber noch für die Besucher einer Website nachvollziehbar. Dasselbe gilt für Facebook, wenn ein von Facebook selbst zur Verfügung gestellter Code in die Programmierung der Website eingefügt wird. Darüber hinaus findet immer auch ein Datentransfer in die USA statt und als Website-Betreiber bewegst du dich damit in einer rechtlichen Grauzone.

Dessen ungeachtet werden Dienste wie Google Fonts, – Maps, -Ads, -Adsense, -Tag Manager, YouTube-Videos und nicht zuletzt Google Analytics auf zahlreichen deutschen und EU-Websites eingesetzt. Dabei ist noch nicht endgültig geklärt, ob das nach der derzeitigen Rechtssprechung überhaupt datenschutz-konform möglich ist. So hat die österreichische Datenschutzbehörde im Januar 2022 entschieden, dass die Verwendung von › Google Analytics auf österreichischen Websites gegen die EU-DSGVO verstößt, also rechtswidrig ist.

Zwar gilt das Urteil nicht automatisch auch für deutsche Websites, aber in ihrer Begründung schließt sich die Behörde der Bewertung des EuGHs an. Somit ist damit zu rechnen, dass diesbezüglich die noch ausstehende Entscheidung in Deutschland und anderen EU-Ländern ähnlich ausfallen wird.

Welche Folgen hat das für Google Analytics?

Die Konsequenz aus dem oben gesagten kann nur sein, dass du auf den Einsatz von Google Analytics ganz verzichtest. Stattdessen stehen dir alternative Angebote von Unternehmen mit Sitz in der EU oder das Matomo Analyse Tool, das du selbst auf dem Server deiner Website hostest, zur Verfügung.

Falls du aber meinst, dass deine Website ohne die Nutzung von Google-Diensten nicht existieren kann, solltest du unbedingt die im Folgenden aufgeführten Maßnahmen ergreifen. Und selbst dann muss dir bewusst sein, dass du sich in einer rechtlichen Grauzone mit dem Risiko jederzeit abgemahnt werden zu können, bewegst.

  • Ohne Einwilligung der Website-Besucher geht gar nichts. Diese Einwilligung muss über ein Consent Tool (s. o.) erfolgen. Ein einfacher Cookie-Hinweis/-Banner reicht nicht aus!
  • Du musst mit Google einen Auftragsdatenverarbeitsvertrag (AV-Vertrag) abschließen, in dem Google zusichert, deine Daten DSGVO-konform zu verarbeiten. Aber auch ein solcher Vertrag ist rechtlich höchst umstritten.
  • Die IP-Adressen müssen anonymisiert werden, wozu du den Standard-Code von Google entsprechend ergänzen musst.
  • Außerdem muss ein zusätzlicher Code in die Programmierung deiner Website einfügt werden, der sicherstellt, dass nicht bereits Daten erfasst werden, bevor die Besucher dem zugestimmt haben.
  • In deine Datenschutzerklärung muss eine ausführliche Erläuterung zu Google Analytics mit einem Widerspruchshinweis (inklusive Opt-out-Cookie) eingefügt werden.
  • Darüber hinaus musst du alle bisher erfassten Daten löschen, indem du das alte Konto schließst und ein neues anlegst.

(Quelle der Angaben zu den rechtlichen Vorgaben: › eRecht24)

Vor allem für Betreiber kleinerer Websites und insbesondere wenn diese Shared Hosting und vorgefertigte Website-Themes nutzen, dürften diese Vorgaben kaum umsetzbar sein. Einerseits haben sie häufig keinen Zugriff auf die Programmdateien ihrer Website oder kein Recht diese zu bearbeiten. Andererseits mangelt es vielen auch an den notwendigen Programmierkenntnissen. Bleibt nur, sich mit dem Hoster in Verbindung zu setzen.

Ähnliches gilt auch für die beliebten Schriften von Google. Diese › Google Web Fonts dürfen Sie auf Ihrer Website nur verwenden, wenn du sie selbst auf dem Server deiner Website installiert hast. Dies ist leider meistens nicht nur auf von „Laien“ erstellten Websites nicht der Fall. Diesbezüglich ist auch eine Ablehnung über ein Consent Tool keine echte Option, da die Schrift normalerweise bereits geladen und die Verbindung zu einem Server von Google hergestellt wurde, bevor der Hinweis überhaupt sichtbar ist.

Gerade bei günstigen Hosting-Paketen zeigen die Anbieter jedoch oft wenig Bereitschaft, aktiv zu werden. Hinzu kommt, dass der Hoster unter Umständen selbst Google Dienste auf deiner Website einsetzt, unter anderem um auf diesem Weg (zusätzlich) Geld zu verdienen. Infolgedessen musst du mit ihm sprechen und ggf. den Anbieter / Vertrag wechseln, denn letzten Endes haftest immer du als Betreiber der Website für Verstöße, nicht dein Hoster und auch nicht Google.

Welche Cookies setzt eine Website?

Um herauszufinden, welche Cookies auf einer Website gesetzt sind, gibt es mehrere Wege. Während die ersten drei allen offen stehen, eignet sich der 4. Weg nur für diejenigen, die selbst die Website betreiben und verwalten.

Sobald Sie eine Website aufrufen, erscheint bei den meisten inzwischen ein mehr oder weniger ausführlicher Cookie-Hinweis. Außerdem kannst/solltest dueinen Blick in die jeweilige Datenschutzerklärung werfen.

Sei misstrauisch,
… wenn eine Website vorgibt, gar keine Cookies zu verwenden und (auch) in der Datenschutzerklärung noch nicht einmal über die technisch notwendigen aufklärt. Der Betreiber spielt nicht mit offenen Karten.

Angaben im Browser

Nach dem Aufrufen einer Website hast du die Möglichkeit, auf entsprechende Informationen in deinem Browser zuzugreifen. Hierzu

  1. klickst du auf das Schloss vor der URL der Website und
  2. es öffnet sich ein Drop-down-Menü.
  3. Dort findest du den Punkt Cookies mit einer Angabe der Anzahl.
  4. Klick darauf –
  5. ein neues Fenster öffnet sich.

Insbesondere wenn du den Tracking-Schutz aktiviert hast, was du tun solltest, siehst du nun eine Unterteilung in Zugelassen und Blockiert. In der ersten sowie ggf. in der zweiten Spalte findest du nun eine Ordner-Liste, die Auskunft darüber gibt, auf welchem Server die Cookies gespeichert sind bzw. welchen Ursprung sie haben. Wenn du auf einen der Ordner klickst, erscheint die Anzahl und die Bezeichnung der enthaltenen Textdateien.

Bei den zugelassenen handelt es sich normalerweise um solche der Gruppen A und B, die unproblematisch sind und auf dem Server der Website und in deinem Browser gespeichert sind. Interessanter sind die blockierten, da es sich hierbei in der Regel um Drittanbieter-Cookies handelt, die die erfassten Daten an Server außerhalb der aktuellen Website bzw. der EU übermitteln.

Cookies - Anzeige im Browser
Abb. 5: Cookies – Anzeige im Browser (Screenshot: Opera/eb)

Entwickler-Werkzeuge

Darüber hinaus findest du in deinem Browser eine weitere Informationsquelle. Sobald du eine Website geöffnet hast, suchst du in der Task-Leiste oder in einem speziellen Menü in der Seitenleiste deines Browsers nach den Entwickler-Werkzeugen. Nachdem du darauf geklickt hast, öffnet sich im Browser ein zusätzliches Fenster rechts oder unterhalb der Website.

Wähle nun den Menüpunkt Quellcode bzw. Sources aus und schau dir die Liste an. Falls dort hinter einem Wolken-Symbol Domains aufgeführt sind, die nicht der der Website entsprechen, kannst du davon ausgehen, dass eine Verknüpfung zu Drittanbietern, eventuell auch außerhalb der EU besteht. Dementsprechend könnten Daten dorthin übertragen werden, selbst wenn sie nicht im Cookie-Hinweis oder in der Datenschutzerklärung genannt sind.

Hosting, Theme und Plugins

Falls du selbst eine Website betreibst und gestaltest, solltest du bei der Wahl des Hostings und der Programmierung auch an Cookies denken. So ist es nicht selten, dass von den jeweiligen Anbietern bereits entsprechende Textdateien eingebaut sind, ohne das dir dies bewusst ist. Gerade bei der Verwendung eines vorgefertigten Website-Themes, eines Page Builders und eines vom Hoster eingesetzten CDNs kann es passieren, dass ein Datentransfer zu Drittanbietern stattfindet, du darüber aber nicht explizit aufgeklärt wirst.

Demzufolge würdest du einen unvollständigen Cookie-Hinweis erstellen und Daten übertragen (lassen), ohne dass die Besucher deiner Website davon Kenntnis hätten und es ablehnen könnten.

Informiere dich
Lies die Hosting-Paket-Beschreibungen, AGB und Datenschutzerklärungen der Anbieter. Suche nach Informationen über die Funktionsweise von Plugins sowie einen eventuellen Datentransfer auf externe Server und prüfe die Optionen, die dein Theme mitbringt, bevor du etwas installierst und nutzt. Insbesondere vorgefertigte Themes sind für den internationalen Markt gemacht und enthalten unter Umständen Funktionen, die du in der EU gar nicht oder zumindest nicht ohne Anpassung verwenden darfst.

Wie lange bleiben Cookies gespeichert?

Die Dauer der Datenspeicherung hängt in erster Linie von der Art / dem Zweck der Cookies ab. So werden die meisten technisch zwingend erforderlichen (Gruppe A) gelöscht, sobald du die Website wieder verlässt. Solche der Gruppe B gehören wie die der Gruppen C und D zu den permanenten Cookies. Das bedeutet, dass die Daten über einen vom Website-Betreiber oder Drittanbieter festgelegten Zeitraum gespeichert bleiben. Bei manchen sind das nur wenige Minuten, bei anderen können es einige Stunden, Tage, Monate bis hin zu mehreren Jahren sein. Auch die Angabe eines bestimmten Ablaufdatums ist möglich.

Sobald der festgelegte Zeitpunkt erreicht ist, verschwinden die Cookies von selbst. Natürlich kannst du auch bei permanenten Cookies solange warten. Wenn du jedoch häufig auf unterschiedlichen Websites surfst, von denen du manche nur ein Mal besuchst, ist eine dauerhafte Speicherung wenig sinnvoll.

Cookies - Einstellungen im Firefox-Browser
Abb. 6: Cookies – Einstellungen im Firefox Browser (Screenshot: Firefox/eb)

Die Speicherung der Textdateien im Browser lässt sich nicht komplett verhindern, was bei manchen auch nicht sinnvoll wäre (s. Gruppe A). Allerdings kannst du das Tracking einschränken, in dem du einerseits die Cookie-Hinweise tatsächlich dazu nutzen, deine Zustimmung zu verweigern und nicht nur schnell auf den erstbesten Button klicken.

Andererseits hast du bei den meisten Browsern inzwischen die Möglichkeit, die Einstellungen anzupassen, um das Tracking von vorne herein zu verhindern oder zumindest die meisten dieser Cookies zu blockieren. Hierzu gehst du in die Einstellungen deines Browsers und öffnest den Bereich Sicherheit und Datenschutz. Anschließend klickst du auf

  1. Cookies und andere Websitedaten und
  2. aktivierst die von dir gewünschten Optionen.

Dieses Verfahren funktioniert im Safari-, Firefox- und Opera-Browser bereits recht gut. Zwar hinkt Google Chrome diesbezüglich immer noch etwas hinterher, was vor dem Hintergrund, dass Google in erster Linie mit auf Tracking basierender Werbung sein Geld verdient, nicht allzu sehr verwundert. Jedoch hat sich auch dort in der letzten Zeit einiges getan.

Cookies - Einstellungen im Chrome Browser
Abb. 7: Cookies – Einstellungen bei Google (Screenshot: Chrome/eb)

Darüber hinaus plant das Unternehmen in Zukunft nur Cookies an Websites zu senden, die eine SameSite-Info in ihre eigenen Codes einfügen. Langfristig sollen so alle Websites gänzlich › auf Third-Party-Cookies verzichten.

Wie kannst du Cookies löschen?

Um die kleinen Textdateien los zu werden, hast du wieder zwei Möglichkeiten. Entweder du legst in den Einstellungen deines Browsers fest, dass bei dessen Schließen sofort alle Cookies verschwinden. Oder du entfernst sie zu einem von dir gewünschten Zeitpunkt, indem du in deinem Browser den Verlauf bzw. die Chronik (die weiteren Schritte oder Bezeichnungen können je nach Browser etwas variieren) aufrufst:

  1. Kompletten Verlauf zeigen
  2. Browserdaten löschen
  3. Zeitraum auswählen: Letzte Stunde, 24 Stunden, 7 Tage, 4 Wochen oder Gesamte Zeit
  4. Haken setzen bei: Cookies und andere Website-Daten sowie
  5. evtl. auch bei Browserverlauf und/oder Bilder und Dateien im Cache
  6. Daten löschen

Einerseits dürften nun alle im Browser gespeicherten Cookies verschwunden sein. Andererseits musst du dich jetzt bei allen Diensten / Websites erneut anmelden, da diese natürlich auch auf die gespeicherten Login-Daten nicht mehr zugreifen können.

Wichtig zu wissen ist in diesem Zusammenhang, dass du so zwar die in deinem Browser gespeicherten Informationen löschst, nicht aber alle Daten, die auf dem Server der Website sowie auf Servern von Drittanbietern liegen. Um diese verschwinden zu lassen, müsstest du die jeweiligen Betreiber / Datensammler direkt kontaktieren, was je nach Unternehmen nicht ganz einfach ist und nicht immer zum gewünschten Erfolg führt.

Sind Cookies gefährlich …?

oder eigentlich ganz harmlose Kekskrümel und einfach nur lästig? Die Antwort lautet – es kommt darauf an. Wirklich gefährlich in dem Sinne, dass es sich um Schadsoftware, Viren oder ähnliches handelt, sind sie nicht. Auch ist bisher noch kein Fall bekannt geworden, dass sie zu deren Verbreitung beigetragen hätten. Somit liegt die „Gefahr“ eher bei einer Missachtung des Datenschutzes und deiner Privatsphäre.

Wenn die kleinen Textdateien zur Speicherung sensibler Daten wie E-Mail-Adressen, Namen, etc. dienen, besteht immer das Risiko, dass sie aufgrund von Programmierfehlern oder Sicherheitslücken von Unbefugten ausgelesen und missbraucht werden können. Besonders kritisch ist dies bei unverschlüsselten Websites, da sie dort schon auf dem Übertragungsweg relativ leicht angreifbar sind.

Lästig ist ein Cookie ebenfalls nicht, denn dessen Vorhandensein fällt dir gewöhnlich während des Besuchs der Website nicht (negativ) auf. Was viele Internet-Nutzer als lästig empfinden, sind die Cookie-Hinweise und Paywalls. Vor allem aufgrund des massiven Trackings mancher Websites, sehen sich die Besucher mit einer kaum noch überschaubaren Menge an Informationen und Optionen konfrontiert. Da sollen sie sich nun durchklicken oder gar ein Abonnement abschließen, obwohl sie doch nur eine kurze Information zu einem bestimmten Thema lesen wollten.

Ganz harmlos sind die Kekskrümel jedoch auch wieder nicht. Je nach Zweck sammeln sie nicht nur sensible Daten, über deren Verarbeitung du keine echte Kontrolle hast. Aus der Verknüpfung deiner im Internet hinterlassenen Spuren, können zudem sehr detaillierte Profile erstellt werden. Beispielsweise lassen die Erfassung Ihrer IP-Adresse, deines Standorts, der Geräteinformationen, deiner Suchanfragen, besuchten Websites, online gekauften Produkte sowie heruntergeladenen Apps/Programme und anderes mehr Rückschlüsse auf dein Geschlecht, Alter, deine Interessen und sogar deine finanziellen Möglichkeiten zu. All diese Informationen sind Gold wert – nicht nur wenn sie in falsche Hände geraten.

Grundsätzliche Tipps
1. Klick die Cookie-Hinweise / Consent Tools nicht einfach nur weg, sondern sieh dir die Liste(n) an.
2. Geh sparsam mit deinen Daten um und überlege dir, welche Informationen du von wem und zu welchem Zweck sammeln lassen willst. Das Argument „Ich habe nichts zu verbergen“ ist hier wirklich fehl am Platze.
3. Misstraue den Websites insbesondere größerer Unternehmen, wenn du dort keinen Hinweis zu den verwendeten Cookies findest. Dass diese tatsächlich überhaupt keine Daten sammeln und auswerten, ist relativ unwahrscheinlich.

Wie sieht die Zukunft aus?

Abgesehen davon, dass eine Website ganz ohne diese kleinen Helfer gar nicht oder zumindest nur sehr eingeschränkt funktionieren würde, haben sie für viele Unternehmen auch noch eine existentielle Bedeutung. Denn der Betrieb einer Website und das dafür notwendige „Personal“ müssen bezahlt und im Idealfall soll auch noch ein gewisser Gewinn erzielt werden. Wie viele und welche Tracking-Cookies dafür wirklich erforderlich sind, sei einmal dahin gestellt.

Viele Websites werden deshalb auf ein wie auch immer gestaltetes Tracking kaum verzichten (wollen). Die Frage ist somit, ob und wie eine transparentere, datenschutz-konforme und letztendlich auch „Website-Besucher-freundliche“ Umsetzung möglich ist. Diesbezüglich sind bereits mehrere Modelle in der Diskussion.

Auf interne Lösungen setzen

Im Grunde geht es darum, Drittanbieter-Cookies durch First-Party-Cookies zu ersetzen. Das bedeutet, dass die Verarbeitung nicht mehr auf externen Servern, sondern auf dem der Website stattfindet. Ein Ansatz sind die Paywalls oder Plus-Artikel, die schon auf einigen Websites zu finden sind (s. o.). Des Weiteren wäre ein Touch-Modell denkbar, bei dem den Besuchern mittels des Angebots von Zusatz-Diensten wie Gewinnspielen o. ä. ein Anreiz zur Zustimmung geboten wird. Jedoch sind beide Ansätze rechtlich noch umstritten.

Eine weitere Option wäre ein Log-in-Modell, bei dem die Website-Besucher sich nur ein Mal registrieren und so ihre Einwilligung erteilen. Zumindest würde ihnen das die immer wiederkehrenden Interaktionen mit den Consent-Tools ersparen.
(Quelle: › online marketing.de)

Lösungen von Google

Als einer der größten Datensammler und wahrscheinlich auch wegen immer wiederkehrender Konflikte mit den EU-Datenschutzbehörden arbeitet auch Google an neuen Tracking-Modellen. Eines davon ist der oben beschriebene SameSite Info-Ansatz sowie die Privacy Sandbox. Diesbezüglich äußerte der Google-Manager David Temkin im Unternehmens-Blog, dass Google aus dem Geschäft mit Third-Party-Cookies aussteigen wolle und es das Ziel des Konzerns sei, mit seinem Anzeigengeschäft die Finanzierung des „offenen Internets“ weiter sicherzustellen.

„Heute stellen wir explizit klar, dass wir nicht planen, alternative Identifikationslösungen aufzubauen, die dazu genutzt werden können, individuelle Nutzer quer durch das Netz zu tracken, sobald die Third Party Cookies verschwunden sind.“ … „Wir werden solche Identifikationslösungen auch nicht in unseren eigenen Werbeprodukten verwenden.“
Quelle: Heise online

Als Teil der Privacy Sandbox testet Google › FLoC (Federated Learning of Cohorts = Vereinigtes Kohortenwissen) – bisher nur in außereuropäischen Ländern. Hierbei werden Internet-Nutzer mit ähnlichen Interessen in Gruppen (Kohorten) zusammengefasst. Jede Gruppe erhält eine eigene ID, auf die Werbetreibende zugreifen können, ohne dadurch Kenntnis über reale Personen zu erhalten. Die Verarbeitung fände nur im Browser des Nutzers statt und würde nicht mit Dritten geteilt.

Doch auch dieses Verfahren ist umstritten. Unter anderem bemängeln Kritiker, dass FLoC noch nicht ausgereift wäre und die Fragen zum trotzdem notwendigen Opt-in und auch die DSGVO-/ePrivacy-Konformität nicht geklärt seien. Des Weiteren haben Duckduckgo, Mozilla sowie WordPress und Amazon schon angekündigt, diese Methode zu blockieren. Infolgedessen würden sich › Werbetreibende noch mehr in die Abhängigkeit von Google und seinem Chrome Browser begeben.

Cookies im Internet - Zusammenfassung

Cookies im Internet – Zusammenfassung

Wenn du dir die oft langen Listen der Tracking-Cookies ansiehst, drängt sich der Gedanke auf, dass es immer mehr werden. Vermutlich trügt jedoch der Schein. Im Unterschied zu „früher“ muss heute nur deutlich darauf hingewiesen werden, während ihr Dasein zuvor vom Website-Besucher weitgehend unbemerkt blieb. Um ganz auf Tracking zu verzichten und trotzdem Einnahmen zu generieren, käme nur ein Bezahl-Modell in Frage. Das wird vor allem aus drei Gründen wenig praktikabel sein.

Die Erwartung, im Internet müssten alle Dienstleistungen kostenlos zur Verfügung gestellt werden, ist sehr weit verbreitet. Offenbar kommt den wenigsten Benutzern der Gedanke, dass sie selbst wohl kaum bereit wären, dauerhaft ohne angemessene Bezahlung zu arbeiten und für die notwendige Infrastruktur aus ihrem Privatvermögen zu bezahlen. Warum sollten insbesondere Online-Dienstleister, die nur Informationen bereitstellen und keine Einnahmen aus dem Verkauf von Produkten / Dienstleistungen generieren (können), das dann tun (wollen)? Trotzdem führt die Bitte, dieser Anbieter im Internet sie und ihre Arbeit freiwillig finanziell zu unterstützen, nur in den seltensten Fällen zum Erfolg.

Automatisch bei jedem Besuch einer Website im Voraus bezahlen zu müssen, würde wohl auch zu lauten Protesten führen. Denn häufig suchst du im Internet nur nach einer bestimmten Information oder einem Produkt. Dazu stattest du dann mehreren Websites einen kurzen Besuch ab, ohne im Voraus zu wissen, wo du am Ende fündig wirst. Verständlicherweise willst du dann nicht für jeden, unter Umständen einmaligen Kurzbesuch im Voraus bezahlen, geschweige denn gleich jede Website für einen längeren Zeitraum abonnieren.

Außerdem widerspräche es dem Prinzip der Freiheit im Internet, wenn, überspitzt gesagt, nur noch zahlungskräftige Besucher Zugang zu Informationen hätten und alle anderen gezwungen wären, schon für einen kurzen Klick mit ihren Daten zu bezahlen. Selbst wenn die bisherigen Drittanbieter-Cookies in Zukunft durch First-Party-Cookies oder ein ähnliches Modell ersetzt würden, wäre das alleine wohl auch noch nicht DIE Lösung, die alle Beteiligten zufrieden stellen könnte.

Fazit

Trotz aller guten Wünsche und Ideen wird die Verarbeitung von Daten zu Analyse- und Werbezwecken nicht vollkommen zu verhindern sein. Jedoch müssen Lösungen gefunden werden, die transparent sowie einfach gestaltet sind und bei denen der Schutz der Daten an erster Stelle steht.

© eb | › Externe Verlinkungen: Dieser Beitrag enthält keine Affiliate-/Partner-Links.

NEUESTE / Aktualisierte BEITRÄGE