Cookie-Regeln: Was Internet-Cookies sind und warum sie wichtig sind

Dieser Leitfaden erklärt Internet-Cookies praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Es gibt Cookie-Regeln, weil eine kleine Browserdatei sehr unterschiedliche Aufgaben erfüllen kann. Ein Cookie kann dafür sorgen, dass ein Benutzer eingeloggt bleibt. Ein anderes kann diesem Benutzer zu Werbezwecken über Tausende von Websites folgen. Beide als „nur Cookies“ zu behandeln, geht am Datenschutzproblem vorbei.

Ein Internet-Cookie ist ein kleines Datenelement, das vom Browser für eine Website gespeichert wird. Wenn der Browser später eine Seite oder Ressource von derselben Domain anfordert, kann er das Cookie zurücksenden. Dadurch können sich Websites Sitzungen, Präferenzen, Warenkörbe, Einwilligungsoptionen und Kennungen merken.

Hauptarten von Cookies

Erstanbieter-Cookies werden von der Website gesetzt, die der Besucher nutzt. Sie können Anmeldung, Einkaufswagen, Präferenzen, Analysen oder den Produktstatus unterstützen.

Cookies von Drittanbietern werden von einer anderen auf der Seite eingebetteten Domain gesetzt, beispielsweise einem Werbenetzwerk, einem sozialen Plugin oder einem Analyseanbieter. Diese werden häufig zum Cross-Site-Tracking eingesetzt.

Sitzungscookies verfallen, wenn die Browsersitzung endet. Persistente Cookies bleiben bis zu einem festgelegten Ablaufdatum oder einer Löschung bestehen.

Notwendige Cookies sind für einen vom Benutzer angeforderten Dienst erforderlich, z. B. Authentifizierung, Sicherheit, Lastausgleich oder einen Warenkorb. Nicht unbedingt erforderliche Cookies unterstützen Analysen, Werbung, Personalisierung oder andere optionale Zwecke.

Die Attribute Secure, HttpOnly und SameSite sind Sicherheitskontrollen. Sie wirken sich darauf aus, wie Cookies übertragen und abgerufen werden, machen einen Tracking-Zweck jedoch nicht allein datenschutzfreundlich.

Warum Cookies umstritten wurden

Cookies sind nicht grundsätzlich schlecht. Die Kontroverse entsteht durch dauerhafte Identifizierung und standortübergreifendes Tracking.

Ein Werbe-Cookie eines Drittanbieters kann auf vielen Websites denselben Browser erkennen. Im Laufe der Zeit kann dies Interessen, Gewohnheiten, Einkäufe, Gesundheitsbedenken, politische Ansichten, Standortmuster und Lebensereignisse offenbaren. Sogar Erstanbieter-Cookies können riskant sein, wenn Skripte Dritter sie zur Profilerstellung schreiben oder lesen.

Browser haben reagiert. Das WebKit von Safari verfügt über Tracking-Verhinderungsfunktionen und blockiert in modernen Kontexten standardmäßig Cookies von Drittanbietern (WebKit). Der vollständige Cookie-Schutz von Firefox isoliert Cookies nach Websites, um das Cross-Site-Tracking zu reduzieren (Mozilla).

Chrome unterscheidet sich von Safari und Firefox. Google plant nicht mehr die gleiche vollständige Ausstiegsaufforderung für Drittanbieter-Cookies, die bereits besprochen wurde. Im April 2025 hieß es, Chrome werde den aktuellen Benutzerauswahlansatz in den Datenschutz- und Sicherheitseinstellungen beibehalten (Privacy Sandbox-Update). Das macht das Tracking durch Dritte nicht dauerhaft. Dies bedeutet, dass Chrome weiterhin stärker von Benutzereinstellungen, Einwilligungen, Plattformrichtlinien und zukünftigen Datenschutzänderungen abhängig bleibt, während Safari und Firefox das Cross-Site-Tracking bereits standardmäßig stärker einschränken.

Cookie-Einwilligungsregeln

In EU und UK stammen die Cookie-Regeln hauptsächlich aus ePrivacy-Gesetzen, wobei GDPR den Standard für die Einwilligung festlegt, wenn es um personenbezogene Daten geht. Der wichtigste Grundsatz besteht darin, dass das Speichern von oder der Zugriff auf Informationen auf dem Gerät eines Benutzers eine Einwilligung erfordert, es sei denn, dies ist für den angeforderten Dienst unbedingt erforderlich.

Im UK ICO heißt es, dass Organisationen einen Zustimmungsmechanismus benötigen, der es Benutzern ermöglicht, nicht wesentliche Cookies und ähnliche Technologien zu kontrollieren (ICO). Der EDPB erklärt die GDPR-Einwilligung als frei gegeben, spezifisch, informiert und eindeutig, mit späterem kostenfreien Widerruf (EDPB).

Das bedeutet, dass ein konformes Cookie-Banner Folgendes nicht tun sollte:

• Setzen Sie vor der Einwilligung optionale Cookies.
• Verwenden Sie vorab angekreuzte Kästchen.
• Machen Sie „Akzeptieren“ viel einfacher als „Ablehnen“.
• Bündeln Sie Analysen und Werbung in einer vagen Auswahl.
• Widerruf verstecken.
• Beschreiben Sie das Tracking mit unklarer Sprache.

Analytics-Cookies

Analyse-Cookies sind oft nicht unbedingt erforderlich, da die Website auch ohne sie funktionieren kann. Einige Regulierungsbehörden erlauben enge Ausnahmen für die Zielgruppenmessung, wenn strenge Bedingungen erfüllt sind, wie z. B. begrenzte Erstanbietermessung, kurze Aufbewahrung, kein standortübergreifendes Tracking und keine Weitergabe für andere Zwecke. CNIL beschreibt solche Bedingungen für Tools zur Zielgruppenmessung (CNIL).

Die meisten Mainstream-Analyse- und Werbeeinrichtungen qualifizieren sich nicht automatisch für diese Ausnahmen. Wenn Analysedaten mit einem Dritt-Ökosystem geteilt oder für Werbung genutzt werden, erhöhen sich die Einwilligungs- und Offenlegungspflichten.

Was Websitebesitzer prüfen sollten

Erstellen Sie ein Cookie und verfolgen Sie den Bestand:

• Cookie-Name.
• Anbieter.
• Domäne.
• Zweck.
• Ablauf.
• Ob es wesentlich ist.
• Ob es sich um personenbezogene Daten handelt.
• Ob Daten an Dritte weitergegeben werden.
• Ob eine Einwilligung erforderlich ist.
• Wie Benutzer abheben können.

Überprüfen Sie dann die Website in einer neuen Browsersitzung, bevor Sie das Banner akzeptieren. Optionale Cookies sollten nicht erscheinen, bevor der Benutzer eine gültige Auswahl getroffen hat.

Cookieless bedeutet nicht automatisch privat

Einige Tracking-Systeme vermeiden Cookies, verwenden jedoch lokale Speicherung, Pixel, Fingerprinting, serverseitige Identifikatoren oder gehashte E-Mails. Das Cookie-Gesetz kann ähnliche Technologien abdecken, und das Datenschutzrecht kann weiterhin gelten, wenn sich Daten auf eine identifizierbare Person beziehen.

Ein wirklich datenschutzorientierter Ansatz vermeidet das Ersetzen von Cookies durch hinterhältigere Identifikatoren. Es verwendet aggregierte Messung, Datenminimierung, kurze Aufbewahrung und kein standortübergreifendes Profiling.

Cookies sind ein Werkzeug. Die eigentliche Frage ist, ob Ihre Website sie für etwas verwendet, das Besucher vernünftigerweise erwarten und kontrollieren können.

Ein kurzer Browser-Audit

Ohne Spezialwerkzeug kann man viel lernen. Öffnen Sie die Site in einem privaten Fenster, leeren Sie den Speicher und laden Sie die Homepage, bevor Sie mit dem Banner interagieren. Überprüfen Sie in den Entwicklertools den Anwendungsspeicher auf Cookies, localStorage und sessionStorage. Überprüfen Sie dann das Netzwerk auf Aufrufe zu Analyse-, Anzeigen-, Heatmap-, Chat- und Tag-Manager-Domänen.

Wiederholen Sie den Test, nachdem Sie optionale Cookies abgelehnt und akzeptiert haben. Der Unterschied sollte mit den Bannerkategorien übereinstimmen. Wenn Werbeaufrufe vor der Einwilligung erfolgen oder wenn bei der Ablehnung immer noch persistente Analyse-Identifikatoren zurückbleiben, hat das Banner keine Kontrolle über die Implementierung. Bewahren Sie Screenshots und Anforderungsprotokolle mit Ihrem Cookie-Bestand auf. Sie sind ein besserer Beweis als eine Tabelle, die auf den Marketingseiten der Anbieter ausgefüllt wird.

Cookie-Audit-Checkliste

Notieren Sie für jedes Cookie oder jede ähnliche Technologie Folgendes:

• Name, Domain, Anbieter, Zweck, Ablauf und Kategorie.
• Ob es sich im Kontext um Erstanbieter oder Drittanbieter handelt.
• Ob es einen angeforderten Dienst oder einen optionalen Zweck unterstützt.
• Ob ein ähnlicher Speicher in localStorage, sessionStorage, Pixel, SDKs oder Link-Dekoration vorhanden ist.
• Ob sich Safari, Firefox, der reguläre Chrome-Modus und Chrome Incognito unterschiedlich verhalten.
• Ob eine Einwilligungsablehnung faktisch eine optionale Speicherung und Abfrage verhindert.

Wenn das Tool eine Analyseausnahme beansprucht, dokumentieren Sie die genaue Konfiguration: begrenzter Zweck der Zielgruppenmessung, kein Cross-Site-Tracking, keine Wiederverwendung von Werbung, kurze Aufbewahrung, klare Benutzerinformationen und keine Umnutzung durch den Anbieter, die über den Messbedarf des Herausgebers hinausgeht.