Cookies: Was Sie darüber wissen sollten

30. Juni 2022

Datenschutz Verstehen – Cookies: Was Sie darüber wissen sollten

Kurze Einleitung:

Cookies sind auf jeder Webseite zu finden, stören oft beim Lesen der Webseite und werden daher oftmals einfach akzeptiert, ohne darüber nachzudenken. Doch was bestätige ich eigentlich genau mit einem Mausklick? Hier erfahren Sie mehr zum Thema Cookies, was Cookies eigentlich sind, was diese mit Datenschutz zu tun haben und welche Konsequenzen eine Bestätigung der Cookies für Sie hat.

Inhalt:

Was sind Cookies?
Aufbau von Cookies
Cookie und Datenschutz
Funktionen von Cookies
Arten von Cookies
Cookieless tracking
Sind Cookies gefährlich?
Löschung von Cookies
Maßnahmen, um sich vor Tracking zu schützen
Fazit

Datenschutz eBook

Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

eBook erhalten

Was sind Cookies?

Cookies sind kleine Datensätze, die im Browser auf dem Gerät des Besuchers gespeichert werden. Dabei wird das Cookie entweder an den Nutzer gesendet (HTTP-Cookie) oder beim Aufrufen einer Seite generiert (gescripteter Cookie). Die Cookies werden auf dem Gerät gespeichert, von dem auf die Webseite zugegriffen wird. Eine Rückkehr auf die gleiche Seite wird dadurch ebenfalls erkannt. Bei diesem Vorgang können personenbezogene Daten transparent werden, z.B. die IP-Adresse des Nutzers der Webseite. Dies lässt mit ein wenig Aufwand einen direkten Rückschluss auf den Benutzer zu. Daher werden Cookies oft auch als digitaler Footprint einer Person bezeichnet. Es können ebenfalls z.B. bevorzugte Spracheinstellungen oder der bevorzugte Standort enthalten sein in den Cookies.

Aufbau von Cookies

Ein Cookie besteht grundlegend aus einem eindeutigen Namen und einem beliebigen zugehörigen Wert. Es gibt noch weitere Attribute wie die Domain, der Pfad, das Ablaufdatum oder Sicherheitseinstellungen, welche festlegen, an wen das Cookie übermittelt wird.

Cookies und Datenschutz

Seit 2017 sollte eigentlich die e-Privacy-Verordnung, auch Cookie-Verordnung genannt, von der EU beschlossen werden. Diese hätte eigentlich spätestens mit Inkrafttreten der EU-Datenschutzgrundverordnung anwendbar sein sollen. Es wird aktuell wieder an einer Neufassung der Cookie-Verordnung gearbeitet, welche als Verordnung ebenfalls bindend für alle Mitgliedstaaten der Europäischen Union sein soll. Die datenschutzrechtliche Zulässigkeit von Cookies richtet sich aktuell nach Art. 5 Abs. 3 der Datenschutzrichtlinie für elektronische Kommunikation von 2009. Die neuen Regelungen wurden in Deutschland mit der Einführung des TTDSG zum 01.12.2021 umgesetzt. Demnach ist die Opt-Out Lösung für die Cookie-Einwilligung nicht mehr ausreichend, sondern es ist ein ausdrückliches Einverständnis i.S.d. Art. 6 Abs. 1 lit. a) DSGVO notwendig. Auf Webseiten ist häufig nur ein Banner mit Hinweis der Cookie Nutzung zu finden und nicht die Zustimmung. Dies ist nach dem neuen TTDSG nicht erlaubt. Unternehmen sind nur auf der sicheren Seite, wenn sie mit einem Cookie-Hinweis explizit die Einwilligung zur Setzung von Cookies verlangen. Ein Datenzugriff durch Cookies ist dann weiterhin möglich. Personenbezogene Daten dürfen mit Einwilligung auch zur Direktwerbung auf der Grundlage des “berechtigten Interesses” verarbeitet werden. Es gilt hier jedoch auch der Grundsatz der Datensparsamkeit, das heißt es dürfen aufgrund des berechtigten Interesses nur die Daten verarbeitet werden, die zur Erfüllung des Interesses notwendig sind. Bei Verstößen werden dementsprechend Bußgelder erhoben. Aufgrund der neuen Vorgaben zu undurchsichtigen Cookie-Bannern musste beispielsweise Google in Frankreich ein Bußgeld von 100 Mio. Euro zahlen nach der Entscheidung der französischen Aufsichtsbehörde (CNIL) vom Dezember 2020. Dies wurde durch den Conseil d’Etat im Januar bestätigt. Bei Implementierung von Tracking und/oder Targeting Cookies, wie z.B. Reichweitenanalyse Tools wie Google Analytics ist eine regelmäßige Einwilligung notwendig, sowie ein Hinweis in der Datenschutzerklärung.

Datenschutz-Managementsystem

Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

Anfrage stellen

externer Datenschutzbeauftragter - Termin buchen

Funktionen von Cookies

Bei unterschiedlichen Cookies sind mehrere Funktionen möglich. Zum einen kann die Besucher Experience durch das Erzeugen von Cookies zur Erfassung und Überprüfung der Benutzerfreundlichkeit verbessert werden. Zum anderen kann außerdem auch das Nutzerverhalten getrackt werden, was Rückschlüsse für z.B. Marketingzwecke zulässt.

Nutzungsanalysen für Seitenbetreiber

Bei Nutzungsanalysen für die Webseitenbetreiber können die Besuchszeit, die Häufigkeit des Besuches und Nutzungsströme dabei helfen, Fehler der Webseite zu entdecken. Diese Art des Trackings nennt sich Conversion Tracking. Gerade für relevante Statistiken im Marketing ist diese Art des Trackings wichtig, um den Erfolg von gewissen Marketingaktionen zu messen.

Werbung zur Finanzierung der Webseiten

Der Besuch von Webseiten ist größtenteils kostenfrei. Daher dient Werbung als die Haupteinnahmequelle bei kostenfreien und journalistischen Inhalten. Cookies helfen bei der Personalisierung von Werbung. Hierbei gilt, dass Cookies nur von der Seite ausgelesen werden dürfen, welche sie setzt. Werbeagenturen zählen als Drittanbieter und haben somit auch Zugriff auf die Informationen der Cookies.

Personalisierung für den User

Eine weitere Funktion von Cookies ist die Speicherung von Einstellungen. Dies hat auch Vorteile für Nutzer. Es werden z.B. die Einstellung der Seitensprache, Schriftgröße, Ausfüllen von Feldern und Dateneingabe automatisch gespeichert bzw. gefüllt.

Arten von Cookies

Es gibt viele unterschiedliche Arten von Cookies. Technisch unterscheidet man zwischen Session-Cookies und permanenten Cookies, sowie zwischen First- und Third-Party-Cookies. Aus der Sicht des Datenschutzes lassen sich Cookies bspw. in notwendige Cookies, Leistungs- und Performance-Cookies, funktionale Cookies und Werbe-Cookies einteilen. Im Folgenden erfahren Sie mehr über die unterschiedlichen Arten der Cookies und somit auch die Unterschiede zwischen den Cookie-Arten.

Session- und permanente Cookies

Ob ein Cookie ein Session- oder ein permanentes Cookie ist, hängt vom Ablaufdatum des Cookies ab. Session-Cookies werden nur temporär gespeichert. Sie haben kein Ablaufdatum konfiguriert und werden automatisch gelöscht, sobald die Sitzung im Browser beendet wird. Ein Session-Cookie bietet sich daher für die Speicherung von temporären Einstellungen des Benutzers auf einer Webseite an.

Permanente-Cookies haben ein Ablaufdatum konfiguriert. Sie bleiben auch nach dem Beenden der Browser-Sitzung auf dem Gerät des Besuchers bestehen und werden erst entfernt, sobald das Ablaufdatum erreicht ist.

First-Party-Cookies

Diese Cookies werden von der aktuell besuchten Webseite erzeugt und können für eine Vielzahl von Funktionen eingesetzt werden. Aus dem Internet sind First-Party-Cookies nicht mehr wegzudenken. Auf vielen Webseiten werden sie für die Authentifizierung eingesetzt und erlauben die Zuordnung zu einem Benutzer.

Third-Party-Cookies

Third-Party-Cookies werden im Kontext der besuchten Webseite von anderen Webseiten (Drittanbietern) erstellt. Sie werden oftmals von Werbenetzwerken und Analysediensten für Cross-site-tracking verwendet. Sie können Benutzer über verschiedene Webseiten verfolgen und werden z.B. für personalisierte Werbung eingesetzt.

Notwendige Cookies

Notwendige Cookies sichern die ordnungsgemäße Funktionsweise einer Webseite und erfordern daher keine Einwilligung. Sie sind für das Ausführen spezifischer Funktionen einer Webseite notwendig, z.B. für die Speicherung des Warenkorbs, auch beim Verlassen des Browsers.

Leistungs- oder Performance Cookies

Leistungs- oder Performance-Cookies sammeln Informationen über das Verhalten der Nutzer, wie z.B. die Dauer und Häufigkeit von aufgerufenen Unterseiten oder die Reihenfolge besuchter Seiten. Diese Cookies sind dazu da, um die Hauptinteressen des Nutzers zu ermitteln. Sie speichern keine persönlichen Informationen, sind aber dennoch zustimmungspflichtige Cookies.

Funktionale Cookies

Funktionale Cookies sind ebenfalls nicht unbedingt notwendig. Sie erhöhen lediglich die Usability der Webseite durch z.B. die Speicherung des Nutzerstandortes. Durch diese Cookies können auch einmal eingegebene Formulardaten wiedergeben werden. Die gespeicherten Informationen sind anonymisiert, dennoch sind auch diese Cookies einwilligungspflichtig.

Werbe-Cookies bzw. Marketing Cookies

Werbe-Cookies bzw. Marketing-Cookies werden dazu verwendet, passend für das Surfverhalten Werbung anzeigen. Dies wird für den Nutzer oft merklich, nach dem er auf Online-Shop Seiten gesurft hat. Diese Art der Cookie Verwendung wird auch Re-Targeting genannt und ist zustimmungspflichtig. Wenn keine Werbung erwünscht ist, kann dies in den Einstellungen geändert werden.

Datenschutz-Managementsystem

Datenschutz-Management-System

Wir führen Sie individuell durch unsere Datenschutz-Management-Software (DSMS). Wir geben Ihnen Einblicke in verschiedene Funktionen des DSMS und zeigen Ihnen auf, welche Vorteile Sie mit einem DSMS erzielen.

Über 200 globale Vorlagen helfen Ihnen in Ihrer täglichen Arbeit. Sie können beliebig viele Vorlagen erstellen.

Über 62% Effizienzsteigerung werden von unseren Kunden in der Optimierung des Datenschutzes verzeichnet.

Mehr erfahren

Cookieless Tracking

Cookieless Tracking bezeichnet das Tracking ohne Setzen von Cookies und wird auch serverseitiges Tracking genannt. Dieses läuft über einen Internetserver und nicht über einen Browser. Hierbei gibt es verschiedene Möglichkeiten, das Cookieless Tracking durchzuführen.

Canvas Fingerprinting

Beim Canvas Fingerprinting erstellt der Computer ein kleines Bild, das sog. “Canvas”. Hierbei werden verschiedene Daten und Konfigurationen herangezogen. Es gibt eine spezielle Identifikationskarte für bestimmte Geräte. Das Canvas Fingerprinting ist jedoch fehleranfälliger, je älter der genutzte Computer ist.

Kohorten-Targeting

Facebook arbeitet beispielsweise mit dem Kohorten-Targeting. Hierbei werden Nutzer mittels Browserdaten in verschiedene Kohorten eingeteilt. Es werden meist mehrere tausend Personen innerhalb einer Gruppe erfasst. Dies benötigt sehr viele Datensätze, wobei der Grundsatz gilt, je mehr Kohorten, desto genauer das Tracking.

ID-geschütztes Targeting bzw. User-ID-Tracking

ID-geschütztes bzw. User-ID Tracking wird besonders für Webseiten verwendet, die einen Login-Bereich haben. Nach dem Einloggen können Aktivitäten einer ID zugeordnet werden und das Verhalten kann somit ausgewertet werden.

ID-Graph Tracking

Beim ID-Graph Tracking werden alle Daten gesammelt, die ein User freiwillig beim Surfen hinterlässt, wie z.B. E-Mail-Adresse, Anschrift, Telefonnummer. Die Daten werden unter einer zufällig erzeugten ID gesammelt und es wird ein Profil erstellt. Dies erfolgt mittels Künstlicher Intelligenz (KI) und Algorithmen.

eTracking ohne Cookies

eTracking ist ein Website-Analyse-Tool aus Deutschland, welches datenschutzfreundliche Analysen durchführt. Es kann mit und ohne Cookies betrieben werden und ist die datenschutzfreundlichere Alternative zu Google Analytics.

Sind Cookies gefährlich?

Es lässt sich nicht eindeutig sagen, ob Cookies sinnvoll oder schädlich sind. Ohne bestimmte Cookies wäre die Nutzung des Internets in der Form, wie wir sie kennen, nicht möglich. Insbesondere in Bereichen des Online-Shoppings oder Online-Bankings sind sie nicht mehr wegzudenken. Die Frage ist nicht, ob wir Cookies zulassen sollten, sondern welche wir zulassen sollten. Die oben beschriebenen Session-Cookies sind hierbei als unproblematisch einzustufen. Es besteht im Allgemeinen bei der Cookie-Nutzung ein Konflikt zwischen Unternehmerinteressen und Verbraucherinteressen, den es auszugleichen gilt. Cookies können zwar nicht dazu benutzt werden, um den Computer zu hacken, jedoch haben Drittanbieter Zugriff auf die Informationen aus den Cookies. Oftmals gibt es die Option Cookies teilweise zu blockieren, was nützlich sein kann, wenn Sie sich unsicher fühlen. Gefährlich sind lediglich die Daten, die der Internetnutzer selber preisgibt. In öffentlichen Internetzugängen, also ungesicherten Netzwerken, kann es sein, dass Browsereinstellungen bei einem anderen Nutzer fortgesetzt werden. Dieses Vorgehen nennt sich Cookie-Dropping.

Löschung von Cookies

Der Anspruch auf Cookie-Löschung ergibt sich aus Art. 7 DSGVO. Es besteht das Recht auf Löschung persönlicher Daten und Einstellungen. In der Hilfe-Funktion des jeweiligen Browsers steht, wie dies genau funktioniert. Wenn ein Nutzer nicht möchte, dass Cookies auf dem Endgerät gespeichert werden, gibt es zwei Möglichkeiten: Er kann die Einstellungen anpassen, sodass keine Speicherung stattfinden kann, oder er kann einstellen, dass er bei jedem Webseitenbesuch eine Anfrage zur Speicherung bekommt. Wenn Cookies generell deaktiviert werden, kann es jedoch zu Einschränkungen von Funktionen der Webseiten kommen.

Maßnahmen, um sich vor Tracking zu schützen

Um sich vor Tracking zu schützen, sollte der Nutzer regelmäßig Cookies löschen und seine Cookie-Einstellungen anpassen. Die Empfehlung ist außerdem, sorgsam mit Cookie-Bannern umzugehen und bei der Cookie-Abfrage nur die notwendigen Cookies zu erlauben. Der Einsatz von Session-Cookies sollte hierbei bevorzugt werden, Drittanbieter-Cookies hingegen sollte der Nutzer verbieten. Eine Installation von Anti-Tracking-Programmen kann ebenfalls nützlich sein. Es besteht weiterhin die Möglichkeit den anonymen Modus zu nutzen und es sollte in jedem Fall ein Virus-Schutz verwendet werden.

Fazit

Im Grundlegenden gibt es Vor- und Nachteile bei der Benutzung, bzw. Gestattung dieser, von Cookies. Nutzer sollten sich demnach mehr mit den Einstellungen der Cookies beschäftigen, anstatt direkt auf “Alle Cookies zulassen” zu klicken, besonders wenn man sich nicht sicher fühlt. Die zur Verfügung stehenden technischen Maßnahmen sollten dabei ebenfalls genutzt werden, um sich zu schützen.

Dennis Dase

Herr Dennis Dase hat sein Studium des Wirtschaftsrechts an der Hochschule Osnabrück abgeschlossen und ist seitdem als Consultant für das Rechtsgebiet Datenschutz tätig. Zusätzlich besitzt Herr Dase eine Zertifizierung als Datenschutzbeauftragter und Datenschutzauditor (TÜV) und zeichnet sich durch seine hohe IT-Affinität und juristische Expertise im Datenschutzrecht aus. Herr Dase unterstützt als externer Datenschutzbeauftragter und Datenschutzauditor internationale Konzerne, kleine und mittlere Unternehmen (KMU) und Start-ups bei der praxisnahen Umsetzung datenschutzrechtlicher Anforderungen unter Berücksichtigung der wirtschaftlichen Interessen der Unternehmen.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz