Cookies sind ein viel diskutiertes Thema wenn es um Datenschutz geht. Viele Artikel erklären, was Cookies sind, aber oft führen Ungenauigkeiten zu Missverständnissen bei diesem Thema. In diesem Blogpost schauen wir uns technisch notwendige Cookies genauer an und versuchen die kleinen aber wichtigen Nuancen zu beleuchten.
Was sind technisch notwendige Cookies überhaupt?
Cookies sind kleine Textdateien, die auf Ihrem Gerät gespeichert werden, um die grundlegenden Funktionen einer Website sicherzustellen. Dies ist eine weit verbreitete Definition, die man so aber nicht stehen lassen kann. Cookies werden zwar tatsächlich im Dateisystem des Computers gespeichert, kommen aber nicht direkt als Textdateien aus dem Internet. Vielmehr werden sie als Teil von geladenen HTML- oder anderen Dateien auf den Computer übertragen oder durch ausgeführten JavaScript-Code gesetzt - häufig von den Javascript-Bibliotheken externer Dienste wie etwa Google Analytics.
Der genaue Zweck eines Cookies - und daher auch seine Notwendigkeit - kann jedoch nicht ohne weiteres erkannt werden. Ob ein Cookie für Trackingzwecke oder zum Speichern der gewählten Sprache verwendet wird, lässt sich nur vermuten. Sichtbar sind lediglich technische Eigenschaften wie der Name, der Inhalt und die Speicherdauer eines Cookies sowie teilweise die Domain des Servers, von dem es gesetzt wurde. Der eigentliche Zweck ergibt sich daraus, wie der Programmcode die im Cookie gespeicherten Daten verarbeitet. Alle Cookies sind also technisch gesehen gleich, und ihr Verwendungszweck ergibt sich aus dem, was der Programmierer mit ihnen macht.
Sind Session Cookies immer technisch notwendig?
Ein Session-Cookie dient dazu, eine Sitzung zu etablieren und Aktivitäten in eine zeitliche Reihenfolge zu bringen. Die Eigenschaft „Session-Cookie“ bzw. „Permanentes Cookie“ sagt aber lediglich etwas über die Speicherdauer aus, und nicht über den Verwendungszweck: Ein Session-Cookie wird nach dem Schließen des Browsers gelöscht, ein permanentes Cookie hingegen für eine beim Setzen festgelegte Zeit gespeichert.
In vielen Fällen haben Cookies die Aufgabe, den Besucher über mehrere Seitenaufrufe hinweg wiederzuerkennen. Das Cookie enthält in diesem Fall lediglich eine eindeutige Benutzerkennung. Der Inhalt des Warenkorbs, die gewählte Sprache oder die Trackingdaten eines Besuchers werden dann auf dem Server gespeichert. Ein Cookie kann also häufig überhaupt keinen eindeutigen Zweck zugeordnet werden.
Typische Einsatzbeispiele von Cookies
Technisch notwendige Cookies
Die folgenden Einsatzgebiete werden von Aufsichtsbehörden als notwendig eingestuft:
- Session Cookies: Diese Cookies dienen dazu, eine Sitzung zu etablieren und die Aktivitäten des Nutzers in eine zeitliche Reihenfolge zu bringen. Sie werden nach dem Schließen des Browsers gelöscht.
- Warenkorbcookies: Diese Cookies dienen dazu, die Artikel im Warenkorb eines Nutzers zu speichern und sind unerlässlich für den Online-Shopping-Prozess.
- Spracheinstellungen: Diese Cookies speichern die vom Nutzer gewählte Sprache und sorgen dafür, dass die Website in der bevorzugten Sprache angezeigt wird.
- Verhinderung von Betrug Cookies, die in Online-Shops eingesetzt werden, um betrügerische Aktivitäten zu erkennen und zu verhindern.
- Verhinderung von Cyber-Angriffen: Cookies, die eingesetzt werden, um sicherheitsrelevante Funktionen zu gewährleisten und Cyber-Angriffe zu verhindern.
- Opt-out Cookies: Diese Cookies ermöglichen es den Nutzern, ihre Cookie-Einwilligungen zu widerrufen und dienen somit der Einhaltung rechtlicher Verpflichtungen.
- Cookies von Chat-Tools oder Messengerdiensten: Diese Cookies sind notwendig, um die Funktionalität von Chat- und Messenger-Diensten auf der Website sicherzustellen.
- Cookies von Consent-Tools: Diese Cookies sind notwendig, um die Einhaltung der Datenschutzgesetze zu gewährleisten und die Zustimmung der Nutzer zu speichern.
Nicht notwendige Cookies:
- User-Tracking für WerbungDiese Cookies werden verwendet, um das Verhalten der Nutzer zu verfolgen und personalisierte Werbung anzuzeigen.
- Cookies von externen Diensten, die für den Betrieb der Website nicht notwendig sind: Dazu gehören beispielsweise Cookies von Video- oder Kartendiensten, die lediglich zusätzliche Funktionen bieten, aber für den Betrieb der Website nicht erforderlich sind.
Praktische Vorgehensweise bei der Cookie-Prüfung
Wie erkennt man den Typ eines Cookies?
Wie schon oben beschrieben, kann der Zweck des gesetzten Cookies nicht ohne weiteres erkannt werden, denn er ergibt sich daraus, wie der Programmcode die im Cookie gespeicherten Daten verarbeitet.
Praktische Tipps zur Zuordnung von Cookies
Die Erkennung und Zuordnung von Cookies kann sich als kompliziert erweisen. Beispielsweise lässt sich anhand der Bezeichnung oft nur vermuten, um was für ein Cookie es sich handelt. Cookies, in denen nur Spracheinstellungen gespeichert werden, tragen häufig den Namen „language“. Der Programmierer einer Web-Anwendung (bspw. der Entwickler eines WordPress-Plugins oder eines Consent-Tools) kann jedoch beliebige Namen für die verwendeten Cookies vergeben. Deshalb müssen außenstehende Prüfer sich darauf verlassen, dass ein Cookie mit dem Namen „language“ eine Spracheinstellung speichert, obwohl es eine ganz andere Aufgabe haben könnte.
Hersteller von externen Diensten (etwa Google Analytics oder PayPal) dokumentieren teilweise, welche Cookies verwendet werden und welche Aufgaben sie haben. Dadurch ist beispielsweise bekannt, dass „_ga“ der Name eines Cookies von Google Analytics ist und zur Unterscheidung einzelner Nutzer dient. Oft ist aber für eine finale Antwort eine Anfrage beim Hersteller der Web-Anwendung notwendig.
Ein separates Warenkorb-Cookie beispielsweise existiert in Webshops oft gar nicht, vielmehr wird der Benutzer über ein Session-Cookie erkannt und ihm ein auf dem Server gespeicherter Warenkorb zugeordnet. Wenn alle Cookies gelöscht werden bleibt der Warenkorb trotzdem erhalten.
Das pragmatischste Vorgehen bei einer Prüfung einer Website besteht darin, sich auf die Cookies zu fokussieren, die von externen Diensten gesetzt werden. Diese kann man anhand des Namens zuordnen und aus dem Zweck des Dienstes ableiten, ob das Cookie technisch notwendig ist oder nicht:
- Cookies eines Consent-Tools sind vermutlich notwendig.
- Cookies eines Video-Dienstes sind für den Betrieb der Website nicht notwendig.
- Cookies eines Analytics- oder Werbedienstes sind auf keinen Fall notwendig.
Ausblick
Die Erkennung und Zuordnung von Cookies ist komplex und erfordert ein tiefes Verständnis der technischen Hintergründe. Als Datenschützer ist es wichtig, sorgfältig zu prüfen, welche Cookies technisch notwendig sind und welche nicht.
Dabei auf Erfahrungswerte oder regelmäßige Anfragen bei dem Hersteller zu setzen, ist für Datenschützer oft unpraktikabel und zeitaufwendig.
Deshalb gibt es Tools wie decareto, die über eine umfangreiche Datenbank verfügen und den Umgang mit Cookies für Datenschützer erheblich erleichtern. Wenn Sie decareto ausprobieren möchten, melden Sie sich gerne über diesen Link für eine kostenlose Demo an: https://decareto.com/de/demo/