Wissenswertes zu Cookies

Was sind Cookies?

Der Einsatz von Cookies ist eine Technologie, um Informationen zwischen verschiedenen Web-Seiten auszutauschen.

Eine Technologie, um Informationen zwischen Web-Seiten auszutauschen

Wenn Ihr Web-Browser sich daran erinnern kann, dass Sie angemeldet sind, eine Web-Seite bereits besucht haben oder was Ihre persönlichen Präferenzen sind – dann ist ein Cookie im Spiel.

In Wirklichkeit ist ein Cookie eine kleine Textdatei, die vom Web-Browser des Benutzers auf dem System des Benutzers gespeichert wird. Der Cookie enthält nur Daten, keinen ausführbaren Code. Daher kann ein Cookie keinen Virus und keine Spyware enthalten. Das heißt nicht, dass alle Cookies harmlose Absichten verfolgen, aber Cookies können nur Informationen speichern.

Ein Cookie enthält beispielsweise Informationen zu einer bestimmten Web-Seite: fontsize=large

Diese Information wird vom Web-Browser nur im Kontext eines bestimmten Web-Servers ausgeliefert, beispielsweise ellersoftware.de.

Die Domäne verhindert, dass andere Web-Seiten auf die Cookies anderer zugreifen. Allerdings gibt es Möglichkeiten, wie Web-Seiten Informationen teilen können.

 

Wie Browser Cookies steuern

Alle gängigen Browser bieten Sicherheitseinstellungen für Cookies. Im Allgemeinen erlauben diese dem Benutzer, alle Cookies zu blockieren, nur bestimmte Cookies zuzulassen oder Cookies von Drittanbietern zu blockieren.

Die offiziellen Standards für Cookies (RFC 2109 und RFC 2965) besagen, dass standardmäßig Browser Drittanbieter-Cookies blockieren sollten. Doch fast alle Browser erlauben diese, solange die setzende Web-Seite über eine P3P Datenschutzrichtlinie verfügt. Die P3P Datenschutzrichtlinie ist ein (sehr) einfaches System um anzugeben, welche Datenschutzrichtlinie eine Web-Seite hat. In Wirklichkeit kann eine P3P-Richtlinie auch leer oder unbenutzt sein, und trotzdem würden Drittanbieter-Cookies installiert.

So ist zum Beispiel die P3P-Richtlinie von Facebook:

„Facebook does not have a P3P policy. Learn why here: http://fb.me/p3p“

Browser erlauben Drittanbieter-Cookies standardmäßig – wenn sie das nicht tun würden, würde in den Augen der meisten Benutzer der Browser als „kaputt“ erscheinen.

 

Das Gesetz meint nicht nur Cookies

Im Mai 2011 trat in der gesamten EU ein neues Datenschutzgesetz in Kraft. Dieses Gesetz verlangt von Web-Seiten, von den Benutzer explizit eine Zustimmung zur Verwendung von Cookies einzuholen.

Das Gesetz behandelt nicht wirklich Cookies, aber da es solche Auswirkungen darauf hat, haben viele Menschen damit begonnen, es das „Cookie-Gesetz“ zu nennen. Eigentlich berührt das Gesetz alle Technologien, welche Informationen auf dem „Endgerät“ eines Benutzers speichern. So sind damit auch sogenannte Flash-Cookies (lokal gespeicherte Objekt), HTML5 Local Storage, Silverlight und vieles mehr betroffen.

In der Tat missbilligt das Gesetz offensichtlich noch mehr diese Alternativen zu Cookies. Benutzer werden diese noch weniger wahrscheinlich verstehen und werden fälschlicherweise annehmen, dass sie auch diese über die herkömmlichen Browser-Steuerelemente steuern können:

„Da Flash-Cookies nicht so einfach gelöscht werden können wie andere Drittanbieter-Cookies (ob durch Browsereinstellung oder manuell), umgehen sie die persönlichen Browsereinstellungen des Benutzers und damit auch die Einwilligungsfrage, d.h. es gilt Artikel 5.3 der e-Privacy-Richtlinie.
Das gleiche gilt für andere Geräte wie HTML5-Techniken, Java API, Silverlight oder eine ähnliche Technik.“

Aus Gründen der Einfachheit verwenden wir auf dieser Web-Seite den Begriff Cookie, aber die Bedeutung erstreckt sich auf alle vergleichbaren Technologien.

Session Cookies

Ein Session-Cookie läuft ab, wenn der Benutzer seinen Browser schließt – manchmal erst nach einer bestimmten Zeitspanne (zum Beispiel auf mobilen Geräten, wo das Konzept des „Schließens Ihres Browsers“ weniger relevant ist).

Sessions (Sitzungen) sind daher ideal, um sich – zum Beispiel – zu merken, ob sich ein Benutzer auf einer Web-Seite angemeldet hat. Wenn der Benutzer den Browser schließt, wird er automatisch abgemeldet. Aus Sicht des Datenschutzes gelten Session Cookies als unauffällig.

 

Persistent Cookies

Persistente Cookies laufen nach einem festen Datum ab, zum Beispiel nach einem Jahr. Sie werden nicht gelöscht, wenn der Benutzer seinen Browser schließt.

Eine häufige Verwendung eines persistenten Cookies ist die „angemeldet bleiben“-Box, die sich unter vielen Login-Dialogen findet. Damit dies funktioniert, muss das Cookie gespeichert werden, nachdem der Benutzer seinen Browser geschlossen hat.

Persistente Cookies werden jedoch auch verwendet, um Benutzer auf unerwartete Weise zu verfolgen. Wenn Sie zum Beispiel Google besuchen, erhalten sie ein einzigartiges Cookie um sie damit zu verfolgen. Google kann Sie anhand des Cookies wiedererkennen und mit Ihrem Verhalten zwischen den vielen Google-Web-Seiten verknüpfen. So könnten sie zum Beispiel wissen, nach welchen Begriffen Sie suchen, welche Web-Seiten sie besuchen usw. Letztlich können sie dann diese Informationen verwenden, um speziell auf Sie ausgerichtete Werbung auf diesen Seiten zu platzieren.

 

First-Party Cookies

Ein First-Party Cookie (Eigen-Cookie) ist auf die Domäne beschränkt, zu der die Web-Seite gehört, welche besucht wird. Es wird von Browsern nicht domänenübergreifend zugänglich gemacht. Wenn Sie also www.ellersoftware.de besuchen, wird ein First-Party Cookie nur von Seiten innerhalb www.ellersoftware.de gelesen werden können.

 

Third-Party Cookies

Ein Third-Party Cookie (Drittanbieter-Cookie) wird durch eine andere Domäne als die besuchte gesetzt – also nicht durch die eigentliche Web-Seite, auf der man sich gerade befindet. Wenn ein Benutzer beispielsweise www.ellersoftware.de besucht, kann ein Drittanbieter-Cookie durch www.analytics.at festgelegt werden. Wenn der Benutzer www.example.com besucht, könnte diese Web-Seite auch das Drittanbieter-Cookie-Set von www.analytics.at verwenden. Tatsächlich wird der Benutzer zwischen verschiedenen Web-Seiten wiedererkannt.

Die Realität ist komplexer. Im genannten Beispiel können weder www.ellersoftware.de noch www.example.com die gespeicherten Cookies sehen – nur www.analytics.at kann das. Aber es hindert www.analytics.at nichts daran, auf diesem Weg Informationen zu sammeln und diese mit anderen zu teilen – einschließlich der beiden anderen Web-Seiten.

Drittanbieter-Cookies werden am häufigsten zur Verfolgung von Nutzern durch Werbenetzwerke, Suchmaschinen und Social-Media-Sites verwendet. Damit etwas wie die Facebook Like-Taste auf anderen Web-Seiten als Facebook arbeitet, sind Drittanbieter-Cookies unerlässlich. Da sie es ermöglichen, Benutzer über Web-Seiten hinweg zu verfolgen, werden sie von Datenschützern missbilligt.