Datenschutz Verstehen – Cookies: Was Sie darüber wissen sollten
Kurze Einleitung:
Cookies sind auf jeder Webseite zu finden, stören oft beim Lesen der Webseite und werden daher oftmals einfach akzeptiert, ohne darüber nachzudenken. Doch was bestätige ich eigentlich genau mit einem Mausklick? Hier erfahren Sie mehr zum Thema Cookies, was Cookies eigentlich sind, was diese mit Datenschutz zu tun haben und welche Konsequenzen eine Bestätigung der Cookies für Sie hat.
Was sind Cookies?
Cookies sind kleine Datensätze, die im Browser auf dem Gerät des Besuchers gespeichert werden. Dabei wird das Cookie entweder an den Nutzer gesendet (HTTP-Cookie) oder beim Aufrufen einer Seite generiert (gescripteter Cookie). Die Cookies werden auf dem Gerät gespeichert, von dem auf die Webseite zugegriffen wird. Eine Rückkehr auf die gleiche Seite wird dadurch ebenfalls erkannt. Bei diesem Vorgang können personenbezogene Daten transparent werden, z.B. die IP-Adresse des Nutzers der Webseite. Dies lässt mit ein wenig Aufwand einen direkten Rückschluss auf den Benutzer zu. Daher werden Cookies oft auch als digitaler Footprint einer Person bezeichnet. Es können ebenfalls z.B. bevorzugte Spracheinstellungen oder der bevorzugte Standort enthalten sein in den Cookies.
Aufbau von Cookies
Ein Cookie besteht grundlegend aus einem eindeutigen Namen und einem beliebigen zugehörigen Wert. Es gibt noch weitere Attribute wie die Domain, der Pfad, das Ablaufdatum oder Sicherheitseinstellungen, welche festlegen, an wen das Cookie übermittelt wird.
Cookies und Datenschutz
Seit 2017 sollte eigentlich die e-Privacy-Verordnung, auch Cookie-Verordnung genannt, von der EU beschlossen werden. Diese hätte eigentlich spätestens mit Inkrafttreten der EU-Datenschutzgrundverordnung anwendbar sein sollen. Es wird aktuell wieder an einer Neufassung der Cookie-Verordnung gearbeitet, welche als Verordnung ebenfalls bindend für alle Mitgliedstaaten der Europäischen Union sein soll. Die datenschutzrechtliche Zulässigkeit von Cookies richtet sich aktuell nach Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation von 2009. Die neuen Regelungen wurden in Deutschland mit der Einführung des TTDSG zum 01.12.2021 umgesetzt. Demnach ist die Opt-Out Lösung für die Cookie-Einwilligung nicht mehr ausreichend, sondern es ist ein ausdrückliches Einverständnis i.S.d. Art. 6 Abs. 1 lit. a) DSGVO notwendig. Auf Webseiten ist häufig nur ein Banner mit Hinweis der Cookie Nutzung zu finden und nicht die Zustimmung. Dies ist nach dem neuen TTDSG nicht erlaubt. Unternehmen sind nur auf der sicheren Seite, wenn sie mit einem Cookie-Hinweis explizit die Einwilligung zur Setzung von Cookies verlangen. Ein Datenzugriff durch Cookies ist dann weiterhin möglich. Personenbezogene Daten dürfen mit Einwilligung auch zur Direktwerbung auf der Grundlage des “berechtigten Interesses” verarbeitet werden. Es gilt hier jedoch auch der Grundsatz der Datensparsamkeit, das heißt es dürfen aufgrund des berechtigten Interesses nur die Daten verarbeitet werden, die zur Erfüllung des Interesses notwendig sind. Bei Verstößen werden dementsprechend Bußgelder erhoben. Aufgrund der neuen Vorgaben zu undurchsichtigen Cookie-Bannern musste beispielsweise Google in Frankreich ein Bußgeld von 100 Mio. Euro zahlen nach der Entscheidung der französischen Aufsichtsbehörde (CNIL) vom Dezember 2020. Dies wurde durch den Conseil d’Etat im Januar bestätigt. Bei Implementierung von Tracking und/oder Targeting Cookies, wie z.B. Reichweitenanalyse Tools wie Google Analytics ist eine regelmäßige Einwilligung notwendig, sowie ein Hinweis in der Datenschutzerklärung.
Funktionen von Cookies
Bei unterschiedlichen Cookies sind mehrere Funktionen möglich. Zum einen kann die Besucher Experience durch das Erzeugen von Cookies zur Erfassung und Überprüfung der Benutzerfreundlichkeit verbessert werden. Zum anderen kann außerdem auch das Nutzerverhalten getrackt werden, was Rückschlüsse für z.B. Marketingzwecke zulässt.
Nutzungsanalysen für Seitenbetreiber
Bei Nutzungsanalysen für die Webseitenbetreiber können die Besuchszeit, die Häufigkeit des Besuches und Nutzungsströme dabei helfen, Fehler der Webseite zu entdecken. Diese Art des Trackings nennt sich Conversion Tracking. Gerade für relevante Statistiken im Marketing ist diese Art des Trackings wichtig, um den Erfolg von gewissen Marketingaktionen zu messen.
Werbung zur Finanzierung der Webseiten
Der Besuch von Webseiten ist größtenteils kostenfrei. Daher dient Werbung als die Haupteinnahmequelle bei kostenfreien und journalistischen Inhalten. Cookies helfen bei der Personalisierung von Werbung. Hierbei gilt, dass Cookies nur von der Seite ausgelesen werden dürfen, welche sie setzt. Werbeagenturen zählen als Drittanbieter und haben somit auch Zugriff auf die Informationen der Cookies.
Personalisierung für den User
Eine weitere Funktion von Cookies ist die Speicherung von Einstellungen. Dies hat auch Vorteile für Nutzer. Es werden z.B. die Einstellung der Seitensprache, Schriftgröße, Ausfüllen von Feldern und Dateneingabe automatisch gespeichert bzw. gefüllt.
Arten von Cookies
Es gibt viele unterschiedliche Arten von Cookies. Technisch unterscheidet man zwischen Session-Cookies und permanenten Cookies, sowie zwischen First- und Third-Party-Cookies. Aus der Sicht des Datenschutzes lassen sich Cookies bspw. in notwendige Cookies, Leistungs- und Performance-Cookies, funktionale Cookies und Werbe-Cookies einteilen. Im Folgenden erfahren Sie mehr über die unterschiedlichen Arten der Cookies und somit auch die Unterschiede zwischen den Cookie-Arten.
Session- und permanente Cookies
Ob ein Cookie ein Session- oder ein permanentes Cookie ist, hängt vom Ablaufdatum des Cookies ab. Session-Cookies werden nur temporär gespeichert. Sie haben kein Ablaufdatum konfiguriert und werden automatisch gelöscht, sobald die Sitzung im Browser beendet wird. Ein Session-Cookie bietet sich daher für die Speicherung von temporären Einstellungen des Benutzers auf einer Webseite an.
Permanente-Cookies haben ein Ablaufdatum konfiguriert. Sie bleiben auch nach dem Beenden der Browser-Sitzung auf dem Gerät des Besuchers bestehen und werden erst entfernt, sobald das Ablaufdatum erreicht ist.
First-Party-Cookies
Diese Cookies werden von der aktuell besuchten Webseite erzeugt und können für eine Vielzahl von Funktionen eingesetzt werden. Aus dem Internet sind First-Party-Cookies nicht mehr wegzudenken. Auf vielen Webseiten werden sie für die Authentifizierung eingesetzt und erlauben die Zuordnung zu einem Benutzer.
Third-Party-Cookies
Third-Party-Cookies werden im Kontext der besuchten Webseite von anderen Webseiten (Drittanbietern) erstellt. Sie werden oftmals von Werbenetzwerken und Analysediensten für Cross-site-tracking verwendet. Sie können Benutzer über verschiedene Webseiten verfolgen und werden z.B. für personalisierte Werbung eingesetzt.
Notwendige Cookies
Notwendige Cookies sichern die ordnungsgemäße Funktionsweise einer Webseite und erfordern daher keine Einwilligung. Sie sind für das Ausführen spezifischer Funktionen einer Webseite notwendig, z.B. für die Speicherung des Warenkorbs, auch beim Verlassen des Browsers.
Leistungs- oder Performance Cookies
Leistungs- oder Performance-Cookies sammeln Informationen über das Verhalten der Nutzer, wie z.B. die Dauer und Häufigkeit von aufgerufenen Unterseiten oder die Reihenfolge besuchter Seiten. Diese Cookies sind dazu da, um die Hauptinteressen des Nutzers zu ermitteln. Sie speichern keine persönlichen Informationen, sind aber dennoch zustimmungspflichtige Cookies.
Funktionale Cookies
Funktionale Cookies sind ebenfalls nicht unbedingt notwendig. Sie erhöhen lediglich die Usability der Webseite durch z.B. die Speicherung des Nutzerstandortes. Durch diese Cookies können auch einmal eingegebene Formulardaten wiedergeben werden. Die gespeicherten Informationen sind anonymisiert, dennoch sind auch diese Cookies einwilligungspflichtig.
Werbe-Cookies bzw. Marketing Cookies
Werbe-Cookies bzw. Marketing-Cookies werden dazu verwendet, passend für das Surfverhalten Werbung anzeigen. Dies wird für den Nutzer oft merklich, nach dem er auf Online-Shop Seiten gesurft hat. Diese Art der Cookie Verwendung wird auch Re-Targeting genannt und ist zustimmungspflichtig. Wenn keine Werbung erwünscht ist, kann dies in den Einstellungen geändert werden.
Cookieless Tracking
Cookieless Tracking bezeichnet das Tracking ohne Setzen von Cookies und wird auch serverseitiges Tracking genannt. Dieses läuft über einen Internetserver und nicht über einen Browser. Hierbei gibt es verschiedene Möglichkeiten, das Cookieless Tracking durchzuführen.
Canvas Fingerprinting
Beim Canvas Fingerprinting erstellt der Computer ein kleines Bild, das sog. “Canvas”. Hierbei werden verschiedene Daten und Konfigurationen herangezogen. Es gibt eine spezielle Identifikationskarte für bestimmte Geräte. Das Canvas Fingerprinting ist jedoch fehleranfälliger, je älter der genutzte Computer ist.
Kohorten-Targeting
Facebook arbeitet beispielsweise mit dem Kohorten-Targeting. Hierbei werden Nutzer mittels Browserdaten in verschiedene Kohorten eingeteilt. Es werden meist mehrere tausend Personen innerhalb einer Gruppe erfasst. Dies benötigt sehr viele Datensätze, wobei der Grundsatz gilt, je mehr Kohorten, desto genauer das Tracking.
ID-geschütztes Targeting bzw. User-ID-Tracking
ID-geschütztes bzw. User-ID Tracking wird besonders für Webseiten verwendet, die einen Login-Bereich haben. Nach dem Einloggen können Aktivitäten einer ID zugeordnet werden und das Verhalten kann somit ausgewertet werden.
ID-Graph Tracking
Beim ID-Graph Tracking werden alle Daten gesammelt, die ein User freiwillig beim Surfen hinterlässt, wie z.B. E-Mail-Adresse, Anschrift, Telefonnummer. Die Daten werden unter einer zufällig erzeugten ID gesammelt und es wird ein Profil erstellt. Dies erfolgt mittels Künstlicher Intelligenz (KI) und Algorithmen.
eTracking ohne Cookies
eTracking ist ein Website-Analyse-Tool aus Deutschland, welches datenschutzfreundliche Analysen durchführt. Es kann mit und ohne Cookies betrieben werden und ist die datenschutzfreundlichere Alternative zu Google Analytics.
Sind Cookies gefährlich?
Es lässt sich nicht eindeutig sagen, ob Cookies sinnvoll oder schädlich sind. Ohne bestimmte Cookies wäre die Nutzung des Internets in der Form, wie wir sie kennen, nicht möglich. Insbesondere in Bereichen des Online-Shoppings oder Online-Bankings sind sie nicht mehr wegzudenken. Die Frage ist nicht, ob wir Cookies zulassen sollten, sondern welche wir zulassen sollten. Die oben beschriebenen Session-Cookies sind hierbei als unproblematisch einzustufen. Es besteht im Allgemeinen bei der Cookie-Nutzung ein Konflikt zwischen Unternehmerinteressen und Verbraucherinteressen, den es auszugleichen gilt. Cookies können zwar nicht dazu benutzt werden, um den Computer zu hacken, jedoch haben Drittanbieter Zugriff auf die Informationen aus den Cookies. Oftmals gibt es die Option Cookies teilweise zu blockieren, was nützlich sein kann, wenn Sie sich unsicher fühlen. Gefährlich sind lediglich die Daten, die der Internetnutzer selber preisgibt. In öffentlichen Internetzugängen, also ungesicherten Netzwerken, kann es sein, dass Browsereinstellungen bei einem anderen Nutzer fortgesetzt werden. Dieses Vorgehen nennt sich Cookie-Dropping.
Löschung von Cookies
Der Anspruch auf Cookie-Löschung ergibt sich aus Art. 7 DSGVO. Es besteht das Recht auf Löschung persönlicher Daten und Einstellungen. In der Hilfe-Funktion des jeweiligen Browsers steht, wie dies genau funktioniert. Wenn ein Nutzer nicht möchte, dass Cookies auf dem Endgerät gespeichert werden, gibt es zwei Möglichkeiten: Er kann die Einstellungen anpassen, sodass keine Speicherung stattfinden kann, oder er kann einstellen, dass er bei jedem Webseitenbesuch eine Anfrage zur Speicherung bekommt. Wenn Cookies generell deaktiviert werden, kann es jedoch zu Einschränkungen von Funktionen der Webseiten kommen.
Maßnahmen, um sich vor Tracking zu schützen
Um sich vor Tracking zu schützen, sollte der Nutzer regelmäßig Cookies löschen und seine Cookie-Einstellungen anpassen. Die Empfehlung ist außerdem, sorgsam mit Cookie-Bannern umzugehen und bei der Cookie-Abfrage nur die notwendigen Cookies zu erlauben. Der Einsatz von Session-Cookies sollte hierbei bevorzugt werden, Drittanbieter-Cookies hingegen sollte der Nutzer verbieten. Eine Installation von Anti-Tracking-Programmen kann ebenfalls nützlich sein. Es besteht weiterhin die Möglichkeit den anonymen Modus zu nutzen und es sollte in jedem Fall ein Virus-Schutz verwendet werden.
Fazit
Im Grundlegenden gibt es Vor- und Nachteile bei der Benutzung, bzw. Gestattung dieser, von Cookies. Nutzer sollten sich demnach mehr mit den Einstellungen der Cookies beschäftigen, anstatt direkt auf “Alle Cookies zulassen” zu klicken, besonders wenn man sich nicht sicher fühlt. Die zur Verfügung stehenden technischen Maßnahmen sollten dabei ebenfalls genutzt werden, um sich zu schützen.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.