Cookies

Was sind eigentlich Cookies?

Wenn Sie beim Wort „Cookies“ im ersten Moment an leckere Schokokekse denken, geht es Ihnen wohl wie den meisten anderen Internetnutzern. Doch leider haben Cookies im Internet damit nicht viel zu tun. Außer vielleicht, dass sie einen Suchtfaktor haben, denn jede Website scheint sie zu lieben. Denn wer kennt nicht die Cookie-Hinweise, die einen auf gefühlt jeder Website nerven? Aber was machen Cookies eigentlich genau?

Nun – stellen Sie sich vor, Sie betreten morgens vor der Arbeit Ihre Lieblingsbäckerei und die Verkäuferin erwartet Sie bereits mit einem Kaffeebecher in der Hand und den leckeren Schokocroissants, die Sie jeden Morgen mitnehmen. Sie sieht Sie hereinkommen, packt die Sachen direkt in eine Tüte und begrüßt Sie mit den Worten „Schönen guten Morgen! Einen Kaffee und ein Schokocroissant zum Mitnehmen, macht wie immer 3,50€.“ Sie bezahlen und können Ihr Frühstück direkt genießen.

Würden Sie stattdessen in die Bäckerei zwei Straßen weiter gehen, in welcher Sie noch nie zuvor eingekauft haben, weiß diese natürlich zunächst nichts über Ihre Vorlieben und kann dementsprechend auch nicht unmittelbar auf Ihre Wünsche eingehen.

Übertragen auf Cookies werden also Ihre persönlichen Angaben oder Vorlieben gespeichert. Machen Sie auf einer Webseite Angaben, wie zum Beispiel das Hinterlegen Ihrer E-Mail Adresse, merkt sich der Browser diese Daten. Rufen Sie die Seite erneut auf, sendet der Browser an den entsprechenden Server die Information, dass er diese Daten bereits gespeichert hat. Cookies helfen einer Webseite demnach dabei, Sie als Nutzer wiederzuerkennen und sich in gewisser Weise an Ihre Bedürfnisse anzupassen.

Wie funktionieren Cookies?

Bei einem Cookie handelt es sich technisch gesehen um eine kleine Textdatei, die der Server einer Webseite an den verwendeten Browser sendet. Besucht ein Nutzer zum ersten Mal eine Webseite, werden die von ihm übermittelten Informationen vom Browser lokal auf dem Gerät des Users abgelegt, meistens innerhalb eines Ordners des jeweiligen Browsers als Cookie Textdatei.

Bei nachfolgenden Zugriffen auf dieselbe Webseite, werden die gespeicherten Cookie Daten vom Browser über die Kopfzeile (Header) mit an den Server der Webseite übertragen.

Die gesammelten Daten innerhalb einer Cookie Datei werden dabei in Attribute gegliedert. Die am Häufigsten verwendeten Attribute sind:

◾ Eine zufällig generierte und einzigartige Nummer, über welche Ihr Gerät wiedererkannt werden kann. Legen Sie beispielsweise in einem Onlineshop Produkte in den virtuellen Warenkorb, schließen aber die Seite und entscheiden sich später doch für einen Kauf, kann der Shop Sie über die generierte Session-ID wiedererkennen und Ihre vorherige Sitzung wiederherstellen. Ohne diese Zuordnung wären also die Produkte in Ihrem Warenkorb jedes Mal verloren, sobald Sie die Seite verlassen.
◾ Der Name der Domain, auf welche sich der Cookie bezieht.
◾ Einstellungen des Nutzers wie bevorzugte Sprache oder spezielle Präferenzen.◾ Die auf der Webseite verbrachte Zeit im Rahmen einer statistischen Auswertung (zum Beispiel über Google Analytics).
◾ Persönliche Daten wie Name, E-Mail, Telefonnummer, die vom Nutzer beispielsweise über ein Formular oder eine Suchmaske auf der Seite eingetragen wurden.
◾ Unterseiten, Kategorieseiten oder Produktseiten, die der User auf der Webseite besucht hat.
◾ Informationen darüber, über welches Gerät und welchen Browser ein Nutzer die Seite aufgerufen hat.
◾ Meta-Daten, wie die Lebensdauer des Cookies, der Pfad und die Sicherheitsspezifikationen (zum Beispiel “nur HTTPS”).

Wofür werden Cookies eingesetzt?

In erster Linie werden Cookies eingesetzt, um dem Nutzer durch das Erfassen seiner Surfgewohnheiten ein besseres Nutzungserlebnis (User Experience) zu bieten. Nutzer müssen sich beim erneuten Aufruf einer Webseite also nicht mehr selbst um ihre präferierten Einstellungen kümmern, sondern die besuchte Webseite kann sich mithilfe von Cookies automatisch auf ihre Vorlieben anpassen. Das erspart Nutzern beispielsweise die ständige Neuanmeldung in oft besuchten Foren, weil Cookies die Möglichkeit bieten, Login Daten wie Name und Passwort abzuspeichern.

Darüber hinaus wäre das Einkaufen in einem Onlineshop ohne Cookies wohl recht frustrierend. Die mithilfe eines Cookies gespeicherte Session-ID ermöglicht es beispielsweise überhaupt erst, dass in einem virtuellen Warenkorb gespeicherte Artikel nicht verloren gehen, sobald wir den Shop verlassen oder uns weitere Angebote des Verkäufers ansehen.

Cookies sind für Webseitenbetreiber aber auch interessant, um Statistiken über das Nutzerverhalten abzuleiten. So werden Cookies von diversen Webanalyse Tools wie Google Analytics eingesetzt, um Verweildauer, verwendetes Gerät, Standort, aufgerufene Seiten und viele weitere Daten über Besucher zu ermitteln. Das eröffnet Seitenbetreibern vielfältige Möglichkeiten, um das eigene Webangebot stärker an die Interessen und Gewohnheiten ihrer Besucher anzupassen.

Der Einsatz von sogenannten Third Party Cookies schmeckt jedoch nur wenigen Internetnutzern. Denn sie werden meist unbemerkt eingesetzt, um das ausgespähte Surfverhalten für gezieltere Online Marketing Kampagnen zu nutzen. Vor allem das Retargeting ermöglicht in diesem Zusammenhang das Schalten oftmals unerwünschter personalisierter Werbeanzeigen.

Third Party Cookies beobachten Ihr Verhalten dafür über einen längeren Zeitraum über verschiedene Server hinweg. Besuchen Sie also viele Seiten zum Thema „Reisen“, werden Sie vermehrt Werbeanzeigen zu diesem Thema erhalten. Auch auf Webseiten, die thematisch überhaupt nicht dazu passen. Ein anderer Nutzer sieht auf derselben Seite wahrscheinlich andere Werbeanzeigen, weil sein Nutzungsprofil Interesse an einem anderen Themengebiet offenbart.

Datenschützer sehen Cookies daher als Hauptursache für den „gläsernen Nutzer“, dessen Spuren im Internet unfreiwillig für Marketingzwecke wie dem Retargeting missbraucht werden.

Welche Arten von Cookies gibt es?

Allgemein wird zwischen folgenden Cookies unterschieden:

Notwendige Cookies

Technisch notwendige Cookies sind auf vielen Seiten erforderlich, um spezielle Grundfunktionen zu ermöglichen. In Onlineshops ist beispielsweise das Setzen eines Cookies notwendig, damit im Warenkorb abgelegte Produkte beim Verlassen der Warenkorbseite nicht verloren gehen. Würden hier keine Cookies gesetzt, müssten Besucher jedes Mal alle Artikel erneut in den virtuellen Warenkorb legen, sobald sie die Seite schließen.

Für jeden Besucher wird daher eine individuelle Session-ID für den jeweiligen Warenkorb als Cookie abgelegt und die Artikel werden über spezielle Kundennummer dieser Session-ID zugeordnet. Session Cookies haben dabei in der Regel nur eine geringe Lebensdauer.

Performance Cookies

Performance Cookies werden eingesetzt, um Informationen der Nutzer auf einer Seite zu sammeln. Beispielsweise kann mit ihrer Hilfe auch festgestellt werden, wann und nach welchen Ereignissen bestimmte Fehlermeldungen auftauchen. Auch Ladezeiten und das Verhalten der Webseite in verschiedenen Browsertypen können mit Performance Cookies überprüft werden.

Funktionale Cookies

Funktionale Cookies sind zwar nicht dringend erforderlich, sie sorgen allerdings für eine komfortablere Nutzung einer Webseite und verbessern damit die User Experience. Funktionale Cookies werden eingesetzt, um bereits getätigte Angaben (zum Beispiel einmal eingegebene Formulardaten, Sprachauswahl, Standort, Größe der Schrift etc.) zu speichern. So muss der Besucher bei einem erneuten Aufruf der Webseite seine bevorzugten Einstellungen nicht jedes Mal von Neuem vornehmen.

Werbe- und Targeting Cookies

Werbe Cookies sind explizit dafür gedacht, das Surfverhalten eines Nutzers zu beobachten, um ihm anschließend personalisierte Werbung anzuzeigen.

Hierbei werden Nutzer beim Besuch bestimmter Webseiten (meistens bei Onlineshops) durch Cookies markiert. In diesen Cookies werden dann Daten über den User gesammelt, beispielsweise, für welche Produkte er sich interessiert. Die gesammelten Informationen werden an einen Adserver weitergegeben. Ruft der Nutzer nun andere Webseiten auf, die Werbung über denselben Adserver schalten, erhält der Nutzer Werbeanzeigen zu den Produkten, die er sich auf der Seite davor angeschaut hat. Diese Art von Marketing wird auch als Retargeting bezeichnet.

Das Ausspielen solcher Werbeanzeigen fungiert in gewisser Weise als „Reminder“. Der eigentlich „verlorene“ Kunde soll so dazu angeregt werden, zum Shop zurückzukehren und die Produkte doch noch zu kaufen.

Super Cookies

Super Cookies (auch Flash Cookies genannt) können weitaus mehr Daten speichern, als herkömmliche Browser Cookies. Wie der Name vermuten lässt, handelt es sich um ein an den Adobe Flash Player gebundenes Cookie.

Mithilfe von Super Cookies können reihenweise Informationen gesammelt werden, die Rückschlüsse auf die Surfgewohnheiten eines Users zulassen. So kann beispielsweise nachverfolgt werden, welche Webseiten besucht wurden und wie lange die Verweildauer auf den jeweiligen Seiten war. Super Cookies können außerdem auch auf Daten zugreifen, die von Tracking Cookies gesammelt werden, wie zum Beispiel Login-Daten oder Bilder aus dem Cache. Ein Super Cookie bietet dabei viel mehr Speicherplatz (bis zu 100 KB) als andere Cookies (4 KB).

Super Cookies sind auf dem Zielrechner nur schwer zu verwalten und dementsprechend auch nur mit großer Mühe wieder zu entfernen. Darüber hinaus haben sie in der Regel eine längere Lebenszeit als gewöhnliche Text Cookies.

Problematisch ist hierbei, dass Flash Cookies nicht vom Browser gespeichert und administriert werden, sondern von einem browserexternen Adobe Flash Programm. Das führt dazu, dass die Daten browserübergreifend abgerufen werden können. So werden Daten, die beim Aufrufen von Flash Inhalten (z.B. Filme oder Werbung) über einen bestimmten Browser gespeichert werden, auch dann an den Host gesendet, wenn dieselbe Internetseite über einen anderen Browser aufgerufen wird. Dadurch kann der Host das komplette Surfverhalten eines lokalen PCs nachverfolgen.

Super Cookies können außerdem mit klassischen Cookies interagieren, indem sie diese, selbst wenn der Nutzer diese in seinem Browser gelöscht hat, kopieren, aufbewahren und beim erneuten Besuch der betreffenden Webseite wiederherstellen.

Dem Benutzer wird also in gewisser Weise die Kontrolle über seine in Cookies gespeicherten Daten entzogen, sodass Super Cookies hinsichtlich des Datenschutzes stark in der Kritik stehen.

Um ungewollte Flash Cookies dennoch sicher vom lokalen PC zu entfernen, empfehlen wir das kostenlose Tool CCleaner.

Evercookies / Zombie Cookies

Ein Evercookie ist eigentlich gar kein richtiger Cookie, sondern eine JavaScript Bibliothek (API). Wird der entsprechende Code in eine Webseite implementiert, wird beim Besuch einer Webseite ein Cookie beim Anwender gesetzt. Das besondere an diesem Cookie ist nun, dass er selbst dann wiederhergestellt wird, wenn ein Nutzer alle Cookies vermeintlich gelöscht hat.

Hierfür werden mittels der API die im Cookie gespeicherten Daten einfach an mehreren Orten auf dem Endgerät des Nutzers abgelegt, auf welche der Browser Zugriff hat. Bekommt Evercookie nun mit, dass ein Nutzer Cookies gelöscht hat, erzeugt es diese Cookies einfach erneut. Durch das ständige „Sterben“ und Wiederherstellen der Cookies werden Evercookies auch als Zombie Cookies bezeichnet.

Evercookies erlauben es also, Cookies dauerhaft zu speichern. Durch ihre geschickte Vervielfältigung sind sie zudem schwierig zu entfernen.

Entwickelt wurden Evercookies von Samy Kamkar mit dem Ziel, ein Bewusstsein für Datenschutzrisiken zu verbreiten. So zeigt er mit Evercookies, wie leicht Unternehmen Nutzer ausspähen können, ohne ihre Privatsphäre Einstellungen zu respektieren.

Evercookie kann ganz unterschiedliche Speichermethoden wie z. B. die Folgenden anwenden:

◾ Standard HTTP-Cookies
◾ HTTP Strict Transport Security (HSTS) Pinning
◾ Local Shared Objects (Flash Cookies)
◾ Silverlight Isolated Storage
◾ Cookies im Verlauf des Browsers speichern
◾ Cookies in HTTP ETags speichern
◾ Cookies im Web Cache speichern
◾ Internet Explorer userData Speicher
◾ HTML5 Session, Local und Global Speicher
◾ HTML5 Database Speicher via SQLite
◾ Java JNLP PersistenceService</span

Lebensdauer von Cookies

Manche Cookies haben nur eine äußerst kurze Lebensdauer (z.B. Cookies beim Onlinebanking), aber auch Session-IDs in Onlineshops werden nach einem Time-Out nach relativ kurzer Zeit wieder automatisch entfernt. Andere Cookies bleiben aber auch dauerhaft gespeichert, sofern sich der betroffene Nutzer nicht aktiv um deren Löschung bemüht.

Denn grundsätzlich liegt die Kontrolle über die Lebensdauer von Cookies beim User selbst. So kann er beispielsweise entscheiden, ob ein Cookie gespeichert wird oder nach der vom Webserver festgelegten Lebensdauer wieder entfernt wird.

Wie kann ich Cookies löschen und vermeiden?

Cookies können über die Einstellungsseite des jeweiligen Browsers manuell vom Anwender entfernt werden. In den Einstellungen findet sich hierfür meistens ein Punkt mit der Aufschrift “Datenschutz“, über welchen sich die Cookies löschen und verwalten lassen.

Hier kann beispielsweise auch festgelegt werden, dass Cookies nach dem Schließen des Browsers automatisch gelöscht werden. Sollen Ihre Login-Daten auf verschiedenen Webseiten wie Facebook usw. weiterhin erhalten bleiben, können Sie dies ebenfalls separat einstellen.

Wer sichergehen möchte, dass wirklich alle lokalen Cookies vom verwendeten Gerät entfernt werden, sollte auf Tools wie den bereits erwähnten CCleaner zurückgreifen. Das Tool zeigt einem unter “Options” -> “Cookies” sogar eine Auflistung aller hinterlegten Cookies an. Es ist erschreckend, wie viele Cookies sich im Laufe der Zeit ansammeln, weswegen man diese immer regelmäßig löschen sollte.

Über CCleaner haben Sie zudem die Möglichkeit, bestimmte Webseiten von der Cookie Löschung auszuschließen.

Wie kann ich mich vor “bösen” Cookies schützen?

Während “gute” Cookies, wie Session Cookies, uns das Einkaufen in Onlineshops und generell die Internetnutzung komfortabler machen, sind “böse” Cookies bei den meisten Usern eher unbeliebt. Als “böse” Cookies gelten dabei vor allem Tracking Cookies, die unser Verbraucher-Verhalten analysieren und unsere Daten speichern, um personalisierte Werbung auf unsere Interessen und unsere Surfhistorie abzustimmen.

Möchten Sie diese Spionage durch Tracking-Cookies umgehen, können Sie dies über Ihren Browser einstellen. Hierfür müssen Sie bei der Option “Keine Drittanbieter-Cookies” ein Häkchen setzen. Zusätzlich gibt es noch die Einstellung, dass Sie immer um Erlaubnis gefragt werden, sobald ein Cookie verwendet werden soll.

Alternativ können Sie über Ihren Browser auch einstellen, dass überhaupt gar keine Cookies akzeptiert werden sollen. Allerdings raten wir davon ab, weil dadurch eben auch die “guten” Cookies nicht zugelassen werden, wodurch der Komfort in der Internetnutzung leidet. Zudem kann es passieren, dass Sie einige Internetseiten gar nicht nutzen können, wenn die Betreiber keine Kekse verteilen dürfen.

Vorteile und Nachteile von Cookies auf einen Blick

Update: DSGVO

Vielen Website Betreibern ist immer noch unklar, ob und welche Cookies sie setzen und ob Sie einen Cookie Banner benötigen. Faustregel: sobald ein Cookie gesetzt wird, brauchen Sie einen Cookie Banner. Dies kann ein funktionaler Cookie sein oder aber auch Cookies zu Marketing- und Statistikzwecken. Ein User muss immer die Wahl haben, ob er der Cookie Setzung zustimmt und das zwar bevor der Cookie gesetzt wird. Anderenfalls kann der Website Betreiber abgemahnt werden.  Ausnahme: funktionale oder essenzielle Cookies, ohne die die Website nicht funktionieren würde.

Ob ein Cookie gesetzt wird lässt sich im Quellcode feststellen. Hierfür drücken Sie die F12 Taste Ihres Browsers (am besten Chrome) und sehen, welche Cookies gesetzt werden. Alternativ gibt es auch praktische Online Tools, bei denen man eine Website testen kann, z.B.

◾ Cookie Serve
◾ Cookie Scanner von CCM 19
◾ Sitechecker
◾ und viele andere. Geben Sie bei der Google Suche einfach “Cookie Checker” oder “Cookie Tester” ein.

Cookie Hinweis in WordPress einbinden

Der im Rahmen der DSGVO benötigte Cookie Hinweis lässt sich ganz einfach mithilfe Plugins auf einer WordPress Webseite implementieren. Folgende Cookie Plugins können wir empfehlen:

◾ Borlabs (kostenpflichtig aber jeden Cent wert)
◾ CCM19 Cookie Banner (teilweise kostenlos)
◾ Cookie Notice & Compliance for GDPR / CCPA (kostenlos; empfehlenswert, wenn man nur funktionale Cookies nutzt)