Ein praktischer Leitfaden zu Browser-Cookies verstehen
TL;DR — Kurzantwort
5 Min. LesezeitBrowser-Cookies können dafür sorgen, dass eine Website funktioniert, sich Präferenzen merken, die Nutzung messen oder Personen im Internet verfolgen. Das Datenschutzrisiko hängt vom Zweck, dem Identifikatordesign, der Aufbewahrung, der Weitergabe und davon ab, ob eine Einwilligung erforderlich ist.
Dieser Leitfaden erklärt Browser-Cookies verstehen praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.
Ein Browser-Cookie ist ein kleines Textstück, das eine Website von Ihrem Browser speichern möchte. Bei späteren Anfragen kann der Browser dieses Cookie an die entsprechende Domain zurücksenden. Dieser einfache Mechanismus ermöglicht Anmeldesitzungen, Warenkörbe, Spracheinstellungen, Analysen und Werbeverfolgung.
Cookies sind nicht automatisch schlecht. Ein sicheres Sitzungscookie kann dafür sorgen, dass Sie angemeldet bleiben. Ein Präferenzcookie kann sich den Dunkelmodus merken. Das Datenschutzproblem beginnt, wenn Cookies zu dauerhaften Identifikatoren werden, mit denen Menschen über Zeit, Seiten, Geräte oder Websites hinweg beobachtet werden können.
Erstanbieter- und Drittanbieter-Cookies
Ein Erstanbieter-Cookie wird von der Website gesetzt, die Sie besuchen. Wenn Sie example.com besuchen und example.com ein Cookie setzt, handelt es sich um ein Erstanbieter-Cookie. Erstanbieter-Cookies werden häufig für Sitzungen, Präferenzen, Betrugsprävention und Analysen verwendet.
Ein Drittanbieter-Cookie wird von einer anderen auf der Seite eingebetteten Domäne gesetzt, beispielsweise einem Werbenetzwerk, einem sozialen Widget oder einem Drittanbieter für Analysen. Cookies von Drittanbietern ermöglichten in der Vergangenheit das Cross-Site-Tracking, da dieselbe externe Domain den Browser auf vielen Websites erkennen konnte.
Das Browserverhalten hat sich geändert. Die WebKit-Tracking-Verhinderung von Safari erklärt, dass der Cookie-Zugriff von Drittanbietern stark eingeschränkt ist und dass ein Teil des über Skripts beschreibbaren Speichers begrenzt werden kann, einschließlich einer 7-Tage-Obergrenze in bestimmten ITP-Kontexten. Der Total Cookie Protection von Firefox isoliert Cookies nach Website und ist laut [Mozillas Firefox-Dokumentation] (https://www.firefox.com/en-US/features/total-cookie-protection/) für viele Benutzer im standardmäßigen erweiterten Tracking-Schutz aktiviert. Laut Googles [Privacy Sandbox-Update] (https://privacysandbox.google.com/blog/privacy-sandbox-next-steps) änderte Chrome im Jahr 2025 seinen Kurs und sagte, es werde seinen aktuellen Ansatz zur Auswahl von Drittanbieter-Cookies beibehalten, anstatt eine neue eigenständige Eingabeaufforderung einzuführen.
Der praktische Punkt: Third-Party-Cookies sind keine stabile Grundlage mehr für die Messung und First-Party-Cookies stehen bei der Verwendung zum Tracking stärker im Fokus.
Sitzungs-, dauerhafte und sichere Cookies
Sitzungscookies verfallen, wenn die Browsersitzung endet. Sie werden häufig für den Anmeldestatus oder den temporären Workflow-Status verwendet.
Permanente Cookies bleiben bis zu ihrem Ablaufdatum oder bis der Benutzer sie löscht. Sie können Minuten, Tage, Monate oder Jahre dauern. Langlebige persistente Cookies sind sensibler für die Privatsphäre, da sie die Erkennung wiederkehrender Browser erleichtern.
Sichere Cookies werden nur über HTTPS gesendet. HttpOnly-Cookies können von JavaScript nicht gelesen werden, wodurch Sitzungscookies vor bestimmten Angriffen geschützt werden. SameSite steuert, ob Cookies in standortübergreifenden Kontexten gesendet werden. Bei diesen Attributen handelt es sich um Sicherheitskontrollen und nicht um eine Erlaubnis zum Datenschutz.
Wesentliche vs. nicht wesentliche Cookies
Die rechtliche Frage ist in der Regel der Zweck. In Europa erfordert Artikel 5 Absatz 3 der ePrivacy-Richtlinie die Einwilligung, bevor Informationen auf dem Gerät eines Benutzers gespeichert oder darauf zugegriffen werden kann, es sei denn, die Speicherung ist für einen vom Benutzer angeforderten Dienst unbedingt erforderlich. Regulierungsbehörden wie das ICO von UK fassen dies wie folgt zusammen: Für nicht unbedingt notwendige Cookies ist eine entsprechende Einwilligung erforderlich, für unbedingt notwendige Cookies hingegen nicht. Siehe die öffentlichen Leitlinien des ICO zu Cookies.
Typische unbedingt notwendige Cookies:
- Cookies für Anmeldesitzungen.
- Warenkorb-Cookies.
- Sicherheitscookies zur Betrugsprävention.
- Load-Balancing-Cookies.
- Benutzerpräferenz-Cookies, die eine gewünschte Einstellung unterstützen.
Typische nicht unbedingt erforderliche Cookies:
- Analyse-Cookies.
- Werbe-Cookies.
- A/B-Test-Cookies zur Geschäftsoptimierung.
- Tracking-Cookies für soziale Medien.
- Cross-Site-Personalisierungscookies.
Einige Länder erlauben enge Ausnahmen von der Einwilligung zur Zuschauermessung, wenn strenge Bedingungen erfüllt sind. Beispielsweise beschreibt CNIL in seinen Leitlinien zu [Lösungen zur Zielgruppenmessung] (https://www.cnil.fr/fr/solutions-de-mesure-daudience-exemptees-de-consentement-la-cnil-lance-un-programme-devaluation) die einwilligungsfreie Zielgruppenmessung als auf Statistiken für den Herausgeber beschränkt, ohne standortübergreifendes Tracking oder Wiederverwendung für andere Zwecke. Das ist nicht dasselbe wie zu sagen, dass alle Analyse-Cookies unerlässlich sind.
Cookies und personenbezogene Daten
Ein Cookie-Wert kann zufällige und dennoch personenbezogene Daten sein, wenn er einen Browser identifiziert oder mit anderen Informationen verknüpft werden kann. Gemäß GDPR können Online-Kennungen personenbezogene Daten sein, wenn sie sich auf eine identifizierte oder identifizierbare Person beziehen. Aus diesem Grund verdienen eindeutige Analyse-IDs, Werbe-IDs und pseudonyme Benutzer-IDs eine sorgfältige Behandlung.
Flowsery
Kostenlos testen
Echtzeit-Dashboard
Zielverfolgung
Cookie-freies Tracking
Fügen Sie keine Namen, E-Mail-Adressen, Telefonnummern, Konto-IDs, Gesundheitsdaten oder Formularantworten in Cookies ein, es sei denn, Sie haben einen ganz bestimmten Grund und ein bestimmtes Sicherheitskonzept. Auch dann sollten Sie es wann immer möglich vermeiden.
Cookies in der Webanalyse
Traditionelle Webanalysen verwenden Cookies, um Benutzer und Sitzungen zu unterscheiden. Google sagt in seiner GA4 Cookie-Dokumentation, dass GA4 JavaScript-Tags Erstanbieter-Cookies wie _ga verwenden, um Benutzer und Sitzungen zu unterscheiden. Dieses Design kann bekannte Berichte unterstützen, bringt aber auch Fragen zu Einwilligung, Aufbewahrung, Anbieter und produktübergreifenden Fragen mit sich.
Die Cookie-lose Analyse geht einen anderen Weg: Sie zählt Seitenaufrufe, Referrer, Kampagnen, Länder, Geräte und Ereignisse, ohne eine Browser-ID zu speichern. Der Nachteil besteht darin, dass die Journey weniger detailliert auf Benutzerebene beschrieben wird, der Vorteil jedoch in einer einfacheren Compliance, weniger Lücken in den Einwilligungsbannern und einem geringeren Risiko besteht, dass grundlegende Messungen in Überwachung umgewandelt werden.
Ein einfaches Cookie-Audit
Notieren Sie für jedes Cookie Folgendes:
| Feld | Was soll erfasst werden? |
|---|---|
| Name | Der Cookie-Name, wie er in den Browser-Entwicklungstools angezeigt wird |
| Domain | Erstanbieter- oder Drittanbieterdomäne |
| Zweck | Sitzung, Präferenz, Analysen, Anzeigen, Sicherheit |
| Dauer | Nur Sitzung oder exakter Ablauf |
| Datentyp | Zufällige ID, Präferenzwert, Token, Kampagnendaten |
| Verkäufer | Internes System oder Drittanbieter |
| Einwilligungskategorie | Unbedingt erforderlich, Präferenzen, Analysen, Marketing |
Entfernen Sie dann, was Sie nicht benötigen. Verkürzen Sie die Aufbewahrung nach Möglichkeit. Blockieren Sie nicht unbedingt erforderliche Cookies, bis die Zustimmung erforderlich ist. Wenn der einzige Grund für Ihr Banner Analysen sind, sollten Sie erwägen, Cookie-basierte Analysen durch eine Einrichtung zu ersetzen, bei der der Datenschutz an erster Stelle steht.
Anfängerfragen-Teams verpassen oft
Ein Cookie-Banner ist nicht dasselbe wie eine Datenschutzrichtlinie. Das Banner sammelt eine Auswahl, bevor die optionale Speicherung erfolgt; Die Richtlinie erläutert die umfassendere Verarbeitung. Möglicherweise benötigen Sie beides.
Ein Cookie-freies Skript ist nicht automatisch einwilligungsfrei. Wenn es den Browserspeicher liest, einen Fingerabdruck erstellt oder eine eindeutige Kennung vom Gerät sendet, kann es dennoch unter die ePrivacy-Regeln fallen.
Durch das Löschen von Cookies werden keine serverseitigen Datensätze gelöscht, die bereits erstellt wurden. Wenn ein Analysetool vor dem Löschen Ereignisse empfangen hat, können diese Ereignisse im System des Anbieters verbleiben, bis Aufbewahrungs- oder Löschregeln gelten.
Checkliste für die Cookie-Prüfung
Überprüfen Sie jede Seite vor einer Einwilligungsentscheidung und erneut nach einer Ablehnung. Untersuchen Sie Netzwerkaufrufe, Cookies, lokalen und Sitzungsspeicher, Pixel, Tag-Manager-Trigger und serverseitige Ereignisse. Wenn vor einer gültigen Auswahl immer noch optionale Analysen oder Werbung ausgelöst werden, ist das Banner kosmetisch. Wenn für ein Tool eine Analyseausnahme beansprucht wird, dokumentieren Sie die genaue Konfiguration und stellen Sie sicher, dass die Einrichtung begrenzt, auf Publisher ausgerichtet und frei von Werbewiederverwendung ist.
War dieser Artikel hilfreich?
Teilen Sie uns Ihre Meinung mit!
Bevor Sie gehen...
Flowsery
Umsatzorientierte Analysen für Ihre Website
Verfolgen Sie jeden Besucher, jede Quelle und jede Conversion in Echtzeit. Einfach, leistungsstark und vollständig DSGVO-konform.
Echtzeit-Dashboard
Zielverfolgung
Cookie-freies Tracking
Verwandte Artikel
Ein praktischer Leitfaden zu So erstellen Sie GDPR-konforme Website-Analysen
Erfahren Sie, wie So erstellen Sie GDPR-konforme Website-Analysen datenschutzfreundliche Analytics, Messqualität und praktische Website-Entscheidungen beeinflusst.
Ein praktischer Leitfaden zu Direktmarketing unter GDPR
Direktmarketing unter GDPR: Regeln, Rechtsgrundlagen und Compliance-Anforderungen erklärt, wann eine Einwilligung erforderlich ist, wann berechtigtes Interesse bestehen kann und wie ePrivacy-Regeln Ihre Möglichkeiten einschränken.
Ein praktischer Leitfaden zu Anforderungen an die Datenschutzrichtlinie bei
Anforderungen an die Datenschutzrichtlinie bei der Verwendung von Google Analytics auf Ihrer Website erläutert, was Sie über cookies, Datenerfassung, Übertragungen, Werbefunktionen und Benutzerrechte offenlegen müssen.