slidebird logo favicon

Was sind eigentlich Cookies?

Datenschutz & Tacking
cookies datenschutz
Auf einen Blick

Cookies – wir alle kennen sie, und kaum jemand will noch was von ihnen hören. Bei beinahe jedem neuen Website-Aufruf poppt eine Meldung auf, in welcher Cookies erlaubt oder abgelehnt werden müssen. Sind Cookies aber wirklich so schlimm? Viele akzeptieren Website-Cookies bereits automatisch, oftmals um Zeit zu sparen oder weil das Ablehnen dieser sich meist als kompliziert gestaltet. Doch was genau sind eigentlich Cookies, wofür sind sie da, was können sie und was nicht? Dieser Blogbeitrag wirft Licht auf das Thema und beantwortet hoffentlich auch einige Deiner Fragen.

Was sind Cookies – die Basics

„Cookie“ ist an sich ein süßer Name. Dabei denkt man an leckere, unschuldige Kekse. Dieser Name wurde aber nicht grundlos gewählt, denn nicht alle Cookies sind unschuldig. Für einen großen Teil der heutzutage üblichen Cookies wäre der passendere Name „Tracker”, was schon einen wesentlich unfreundlicheren Klang hat als „Cookie“. Was also nun Cookies, bzw. Tracker genau sind, erklären wir in diesem Kapitel.

Cookies, um genauer zu sein http-Cookies sind kleine Textdateien (.txt), welche von verschiedenen Websites über den benutzten Browser auf der Festplatte des eigenen Computers gespeichert werden. Grundgedanke dahinter ist eine effiziente Speicherung von Nutzerdaten, also um den Websites sprichwörtlich ein „Gedächtnis“ zu geben. Der größte Vorteil davon ist, dass die Nutzung des Internets um ein vielfaches User-freundlicher gestaltet wird. Jede Website speichert Daten auf dem Rechner.

Wichtig dabei zu unterscheiden sind Cookies und Cache. Der Cache, spezifischer in diesem Fall, der Software-Cache, speichert Daten aus Web-Browsern wie ganze Seiten, Bilder, Animationen, etc. und macht diese schnell zugänglich beim erneuten Aufruf. Cookies hingegen sind nur Textdateien die Infos wie Nutzer-ID, Log-In Datum, persönliche Einstellungen und weitere Nutzer-spezifische Daten in Form von Text speichert. Sie werden von dem Websiteserver abgerufen, um eine personalisierte Nutzererfahrung zu ermöglichen.

So ist es beispielsweise möglich, einen vollen Warenkorb wieder aufzurufen, selbst nachdem die Seite geschlossen wurde oder die Spracheinstellung einer internationalen Seite automatisch wieder zu erhalten. Auch gespeicherte Log-In Daten verdanken wir den Cookies. Es gibt jedoch auch Cookies, welche für, wie der Name „Tracker“ schon verrät, dem Zweck einer Nutzerprofilerstellung von Drittanbietern oder zur Analyse vom Surfverhalten dienen. Zu den verschiedenen Arten von Cookies und deren Funktionsweise kommen wir später. Nun sehen wir uns einmal an, woher Cookies überhaupt stammen, und welche Idee dahintersteckt.

Wer hat Cookies erfunden und wieso?

Beim Thema Cookies möchte man meinen, dass es ein relativ frisches Thema ist und es diese kleinen Textdateien noch nicht so lange gibt. Http-Cookies wurden jedoch bereits im Jahr 1994 geschaffen.

Erfinder war der Internet-Pionier Lou Montulli, welcher für „Netscape“, die Firma des beliebtesten Internet-Browsers der frühen 90er Jahre, arbeitete. Zu dieser Zeit war das Internet noch in den Kinderschuhen und die ersten Online-Shops entstanden. Diese hatten jedoch einen großen Nachteil gegenüber realen Geschäften, denn sie waren buchstäblich blind und taub, wenn es darum ging, einen Nutzer wiederzuerkennen. Um dies zu ändern, schuf Montulli einen Mechanismus für Websites, um den bislang unbekannten Usern eine Identität geben zu können, und somit auch eine personalisierte Nutzererfahrung.

Doch ein Problem gab es noch: Jede Website läuft bekanntlich über einen Server, das war auch damals nicht anders. Wurden die Nutzerdaten auf den Servern selbst gespeichert, verursachte dies Speicherverlust, mehr Arbeit für den Server und somit auch erhöhte Kosten für die Website-Träger. Die perfekte Lösung hierfür war die Speicherung der Daten auf dem Computer des Nutzers, in Form einer Datei, welche so winzig ist, dass sie den Computerspeicher des Users kaum beeinträchtigt und gleichzeitig optimal ausreicht, um alle wichtigen Informationen zu beinhalten.

Die Erfindung verbreitete sich innerhalb kurzer Zeit auch unter anderen Browsern und verbleibt bis weit über das Ende der Firma Netscape hinaus zu den grundlegenden Bausteinen des Internets, wie wir es heute kennen.

Daniel Knoflicek Zitat

Gibt es „gute“ und „böse“ Cookies?

Bisher haben wir hauptsächlich über den guten Willen hinter Cookies und die dadurch entstehenden Vorteile für User gesprochen. Doch das Thema Cookies im Allgemeinen wird in den Medien oft mit negativen Schlagzeilen assoziiert. Eine relevante Frage, die sich dabei stellt, ist: „Gibt es gute und böse Cookies?“.

Unterschieden wird grundsätzlich zwischen drei Arten von http-Cookies:

1

Session Cookies

Einerseits gibt es Session Cookies. Session bedeutet im Deutschen „Sitzung“ und der Name könnte auf „Sitzungs-Cookie“ übersetzt werden. Diese Cookies sind unbedenklich, denn sie sind temporär und werden gelöscht, sobald die Website geschlossen wird. Session Cookies enthalten schlichtweg Informationen die relevant für die aktuelle Nutzung der Seite sind, wie beispielsweise die letzte getätigte Suche, oder welche Unterseiten bereits geöffnet wurden.

2

First-Party Persistent Cookies

First-Party Cookies – übersetzt „Erstanbieter-Cookies“, sind längerfristig gespeichert und enthalten Informationen über den Nutzer und dessen Website Einstellungen. Diese werden, wie der Name verrät, nur von der Firma der Website selbst eingesehen und für funktionelle Zwecke verwendet. Dazu gehören auch Website-eigene Analysen der Nutzung.

3

Third-Party Persistent Cookies

Diese Art von Cookies ist von den Dreien die bedenklichste. Drittanbieter-Cookies stammen nicht von Website Besitzern selbst, sammeln persönliche Daten, erstellen ein Nutzerprofil und verkaufen dieses an andere Unternehmen zusammen mit detaillierten persönlichen Daten, um gezielte Werbung an Nutzer selbst ausspielen zu können. Hierbei steckt in erster Linie auch kein böser Wille dahinter, aber wo Datensammlung geschieht, kann die Privatsphäre verletzt werden.

Nun wissen wir, welche die Grundlegenden Arten von Cookies es gibt. Drittanbieter Cookies sind diejenigen, die ein Nutzerprofil von Dir erstellen können und dieses verkaufen. Sie sind dafür verantwortlich, dass bestimmte Werbebanner Dich verfolgen. Websites die fremde Werbung schalten, benutzen auf jeden Fall Drittanbieter-Cookies. Loggt man sich auf einer Website mit Drittanbieter-Cookies ein, kann sogar die E-Mail-Adresse für SPAM verwendet werden. Aber nicht alles an Drittanbieter-Cookies ist negativ. Für Online Marketer sind diese essenziell, um personalisierte Werbung zu schalten. Da Werbung auf vielen Websites so oder so vorhanden ist, macht es Sinn, wenn diese wenigstens auf die persönlichen Bedürfnisse zurechtgeschnitten sind. Man kann also sehen, dass dieses Thema sehr kontrovers ist und es viele unterschiedliche, jedoch relevante Standpunkte gibt.

Wieso müssen Cookies akzeptiert oder abgelehnt werden?

Da Cookies eine Gefahr für die Privatsphäre sein können, hat die Europäische Union in der Datenschutzgrundverordnung (DSGVO) entschieden, dass nur essenzielle Cookies ungefragt verwendet werden dürfen. Dies bedeutet, dass hauptsächlich Drittanbieter-Cookies die Zustimmung der User benötigen. In Österreich ist die genaue Regelung im Telekommunikationsgesetz (TGK) festgelegt und gilt für jeden Website-Betreiber, der personenbezogene Daten mittels Cookies verarbeitet.

Cookie Banner sind in gewisser Weise vergleichbar mit dem Wahlrecht. Sie dienen dafür, den Menschen Entscheidungsfreiheit zu geben und lassen einen selbst darüber entscheiden, ob die personenbezogenen Daten verarbeitet werden dürfen oder nicht. Im Grunde sind Cookie-Banner also ein Grund um dankbar zu sein, dass nicht all unsere Daten automatisch für Großkonzerne zugänglich sind, ohne dass wir etwas dagegen tun können. Auch wenn es auf Dauer zugegeben nervig sein kann, bei jedem neuen Websiteaufruf Cookies anzunehmen oder abzulehnen, dient es im Grunde dem Schutz der eigenen Daten. 

Können Cookies ein Sicherheitsrisiko für den Computer darstellen?

Abgesehen von Drittanbieter Cookies, welche Daten sammeln, um personalisierte Werbung zu schalten, können Cookies auch in anderer Form ein Sicherheitsrisiko darstellen. Dabei sind nicht die Cookies selbst das Risiko, sondern diejenigen, die Zugriff darauf haben. Dies kann entweder geschehen, wenn ein Hacker Zugriff auf den Rechner oder das verwendete Netzwerk hat, aber auch indem aktuelle Session-Cookies gestohlen werden und der Hacker sich mit diesen über eine Website bewegt, während diese denkt der User ist gerade eingeloggt. Dies ist unter anderem der Grund, warum beispielsweise Banking-Seiten ein automatisches Log-Out nach 5 Minuten haben. Es gibt verschiedene Wege, wie Hacker an Cookies gelangen können. Wichtig zu wissen ist wie man dies verhindern kann.

Einerseits sollte man stets die URL checken. Dabei ist das „Hypertext Transfer Protocol“, oder auch „http“ wichtig. Dies ist das Kommunikationsprotokoll, über welches Daten übertragen werden. Jede URL beinhaltet ein „http“. Beachten sollte man, dass statt „http“ immer „https“ stehen sollte. Das „s“ steht dabei für „secure“ und bedeutet, dass die Daten abhörsicher sind. Heutzutage haben die meisten Websites bereits das https-Protokoll.

Ein anderer Weg, um sich vor Cookie-Diebstahl zu schützen, ist die Browser-Cookies zu löschen. Dies ist in jedem Browser in den Einstellungen möglich, Anleitungen dafür sind im Netz zu finden. Eine Alternative wäre, den Inkognito-Modus nutzen. Dieser heißt auch manchmal „Privates Surfen“. In diesem Modus werden alle Websitedaten gelöscht, sobald die Website verlassen wird.

Kann man die Speicherung von Cookies im Vorhinein verhindern?

Web-Browser ermöglichen heutzutage grundsätzlich das Ablehnen von Cookies im Vorhinein. Die Vorgehensweise variiert auch hier, werden Cookies im Vorhinein abgelehnt, dürfen diese auch nicht abgelegt werden. Dies beinhaltet alle Arten von Cookies und kann die Funktion mancher Websites drastisch beeinträchtigen. Es macht also mehr Sinn, Cookies manuell zu löschen, oder einfach nur funktionelle Cookies zu akzeptieren, da das Nutzererlebnis im Internet sonst nicht optimal ist.

Auflistung aller Cookie-Arten und Begriffe

In diesem letzten Kapitel bieten wir Dir noch eine Auflistung mit Erklärungen zu allen Begriffen die Cookie-Arten beschreiben oder mit Cookies im Zusammenhang stehen.

Session Cookies

Temporär gespeicherte Cookies, die nach dem Schließen der Website gelöscht werden. Beinhalten Informationen über vom User durchgeführte Aktivitäten während seines Besuchs und sind an sich harmlos, können jedoch von Hackern verwendet werden um sich als User zu tarnen.

Erstanbieter Cookies

Helfen Website-Betreibern beispielsweise Daten zur Analyse zu speichern oder Website Einstellungen wie die Sprache.

Drittanbieter Cookies

Werden von Drittanbietern gesetzt, die Informationen über den Nutzer zu Werbezwecken sammeln. Dazu gehören Infos wie demographische Daten, Surfverhalten, angesehene Produkte, etc., welche genutzt werden um ein Profil über den Nutzer zu erstellen und maßgeschneiderte Werbung bieten zu können.

Tracking Cookies

Ist eine Bezeichnung für all jene Cookies, die User verfolgen und Daten über mehrere Websites hinweg sammeln. Dies beinhaltet Daten wie die besuchten Domains, Standort zum Zeitpunkt des Website Besuchs, Kauf-Trends, usw.

Cookie-Banner

Ist die Bezeichnung für den von der DSGVO vorgeschriebenen Banner der aufpoppt, wenn Cookies angenommen oder abgelehnt werden müssen.

Erforderliche Cookies

Sind jene Cookies, welche für die Funktion der Website unbedingt notwendig sind. Dazu zählen beispielsweise Session Cookies, aber auch Opt-Out Cookies, welche gesetzt werden, wenn der User alle weiteren Cookies ablehnt (ja, es gibt auch einen Cookie für die Ablehnung von Cookies!).

Leistungs Cookies

Sammeln Informationen über das Nutzerverhalten und die Funktion der Website, um beispielsweise Fehler zu verhindern oder Ladezeiten zu verkürzen.

Analyse/Statistik Cookies

Wie die Leistungs-Cookies, helfen Analyse und Statistik Cookies den Website-Besitzern zu verstehen wie User auf der Seite interagieren und sammeln anonym Informationen über die Funktion und das Nutzerverhalten.

Marketing/Werbe/Personalisierungs Cookies

Andere Bezeichnung für Drittanbieter-Cookies. Werden verwendet um Informationen von Nutzern für Marketing-Zwecke zu verarbeiten.

Berechtigtes Interesse

Kompliziertes Thema und Schlupfloch in der DSGVO, in welcher Website-Betreiber die Schaltflächen zum Annehmen der Cookies automatisch ausgefüllt haben können. Im Normalfall dürfen diese Felder nicht ausgefüllt sein und müssen vom User selbst aktiviert werden. Doch im Falle eines berechtigten Interesses, welches dem Privatsphäre-Recht überwiegt, kann es dazu kommen, dass die Felder, nachdem man Cookies abgelehnt hat, ausgefüllt aufpoppen und man alles manuell nochmal abwählen muss. Das kann beispielsweise sein, wenn das Alter eines Users festgestellt werden muss, um dementsprechend dem Alter angemessene Werbung zu schalten.

Social Media Cookies

Werden von Social Media Drittanbieter-Plattformen verwendet, um das Nutzerverhalten Websiten-übergreifend zu tracken und zu verarbeiten.

Personenbezogene Cookies

All jene Cookies, die laut der DSGVO personenbezogene Daten verarbeiten und die aktiv vom User beim Besuch der Website angenommen werden müssen.

Zombie Cookies

Lassen sprichwörtlich „tote Cookies auferstehen“. Zombie Cookies werden gleichzeitig an mehreren Orten auf der Festplatte gespeichert, und können kaum gelöscht werden. Sie existieren zu Marketing-Zwecken und wurden entwickelt, um dem gelöscht-werden zu entgehen.

Bescheid Google Analytics Österreich

Die Einbindung von Google Analytics auf Webseiten verstößt gegen die Datenschutzgrundverordnung (DSGVO). Zu diesem Schluss kommt die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die vom Verein Noyb rund um Max Schrems eingebracht wurde. [Quelle: Standard 13.01.2022]

WICHTIG ist, dass es sich “nur” um einen Bescheid handelt und noch um kein Urteil. Experten gehen aber davon aus, dass das Urteil ähnlich wie der Bescheid ausfallen wird. Vorweg kann Entwarnung gegeben werden für alle Unternehmen in Österreich welche zur Zeit Google Analytics implementiert haben auf Ihrer Webseite. Die Entscheidung hat bis jetzt keinen direkten Einfluss auf Websitebetreiber. Der Bescheid bezieht sich noch auf einen Einzelfall welcher über 1 Jahr zurückliegt. Jedoch müssen Webseitenbetreiber jetzt noch größeren Wert darauf legen, eine wirksame Einwilligung ihrer Nutzer einzuholen. 

Fazit

Cookies – Wir können nicht mit, aber auch nicht ohne sie leben. Sie sind und bleiben vermutlich auch noch lange ein Streitpunkt. Daher ist es wichtig, sich selbst anhand der bekannten Informationen eine Meinung darüber zu bilden und zu wissen ob, und falls ja, welchen Cookies man zustimmt und wie man mit ihnen umgeht. Auch wenn der Begriff “serverseitigs Tracking” immer mehr in den Fokus rückt werden Cookies bestimmt noch länger ein Thema bleiben. 

- -

Daniel Knoflicek ist seit 2012 Geschäftsführer von Slidebird Webstories, einer Agentur für online Marketing, Webdesign und Webentwicklung. Des Weiteren hat Daniel Knoflicek das Start Up Ernst M. gegründet, welches vegane, bio Marmelade in Österreich herstellet und vertreibt. Er ist als CTO für das Start Up tätig. Seit 2015 und der Gründung von DESK.WORKS ist Daniel Knoflicek als Brand Ambassador für Österreich zuständig.