Kekse 101

Image of Carlo Cilento

Veröffentlicht am 9. Apr. 2024 und bearbeitet am 13. Feb. 2025 von Carlo Cilento

Wenn über den Schutz der Privatsphäre im Internet gesprochen wird, kommen immer wieder Cookies zur Sprache. Aber wie funktionieren Cookies, und welche Regeln gelten?

Man könnte meinen, dass Cookies der Zustimmung bedürfen. Schließlich belästigen so viele Websites Sie mit Cookie-Bannern! Aber die Regeln sind viel komplexer, und nicht alle Cookies werden vom Gesetz her gleich behandelt. Lassen Sie uns also ein wenig Licht ins Dunkel der Cookies und ihrer rechtlichen Anforderungen in der EU bringen.

  1. Was sind Cookies, und wofür werden sie verwendet?
  2. Wie sind Cookies in Europa geregelt?
  3. Welche Arten von Cookies gibt es?
    1. Erstanbieter vs. Drittanbieter
    2. Wesentlich vs. nicht wesentlich
    3. Einzigartig vs. nicht-einzigartig
  4. Wie sind Cookies geregelt?
    1. Nicht wesentliche Cookies erfordern eine Zustimmung...
    2. ... aber wesentliche Cookies nicht
    3. Zusätzliche Regeln aus der GDPR können gelten
    4. Was ist, wenn ich Cookies für mehrere Zwecke verwende?
    5. Zustimmung ist Opt-in
  5. Was ist mit Apps?
  6. Sind Cookies gut für die Webanalyse?
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Was sind Cookies, und wofür werden sie verwendet?

Cookies sind kleine Dateien, die in Ihrem Browser gespeichert werden und Informationen mit dem Server austauschen, wenn Sie eine Website besuchen.

Cookies werden zwar oft mit Webanalysen in Verbindung gebracht, aber sie werden für alle möglichen Zwecke verwendet. Viele Websites verwenden Cookies zur Betrugsbekämpfung, für die Web-Sicherheit und für automatische Anmeldungen. Der Zweck von Cookies ist wichtig, weil nicht alle Cookies nach EU-Recht gleich behandelt werden - dazu später mehr.

Wie sind Cookies in Europa geregelt?

Die Cookie-Vorschriften in der EU sind etwas komplex, daher hier eine kurze Zusammenfassung, um die Verwirrung zu verringern:

  • Wenn Ihre Cookies für das Funktionieren Ihrer Website unerlässlich sind, brauchen Sie keine Zustimmung.
  • Wenn Ihre Cookies nicht unerlässlich sind, dann brauchen Sie eine Zustimmung für ihre Verwendung. Dies bedeutet in der Regel, dass ein Cookie-Banner angezeigt wird.
  • Wenn Ihr Cookie eine eindeutige Kennung hat, haben Sie nach der Datenschutz-Grundverordnung einige Pflichten. Möglicherweise können Sie diese Cookies auch ohne Zustimmung platzieren, wenn sie unerlässlich sind.

Auch in diesem Blog wird nur auf das EU-Recht Bezug genommen. Die verschiedenen Gesetzgebungen regeln Cookies unterschiedlich: Das Vereinigte Königreich und Brasilien sind beispielsweise eng an die europäischen Gesetze angelehnt, während die US-Vorschriften in der Regel freizügiger sind.

Welche Arten von Cookies gibt es?

Auch wenn alle Cookies ähnlich funktionieren, gibt es doch einige Unterscheidungen zwischen ihnen, von denen einige für die Gesetzgebung von Bedeutung sind.

Erstanbieter vs. Drittanbieter

Erstanbieter-Cookies können nur von der Domäne gelesen werden, die sie in Ihrem Browser gespeichert hat, während Drittanbieter-Cookies auch von anderen Domänen gelesen werden können.

Wenn Sie z. B. Facebook besuchen und die Drittanbieter-Cookies von Meta akzeptieren, können andere Websites diese Cookies ebenfalls lesen. Dies ermöglicht es Meta, Ihr Erlebnis zu personalisieren" (sprich: gezielte Werbung auf der Grundlage eines invasiven Profils zu schalten, sowohl auf Facebook als auch beim Surfen auf anderen Websites, die Meta für die Schaltung von Anzeigen nutzen).

Wenn Sie hingegen Cookies von www.coolwebsite.com akzeptieren , kann die Website diese lesen - eine andere Domain wie _www.awesomewebsite.com\_ jedoch nicht.

Cookies von Drittanbietern sind sehr invasiv. Das ist der Grund, warum so viele Internetnutzer sich bemühen, Werbeblocker zu installieren, und warum viele Browser Cookies von Drittanbietern blockieren oder die Schnüffelei auf andere Weise einschränken (z. B. die Cookie-Töpfe in Mozilla Firefox). Diese allgemeine Ablehnung von Cookies wurde als der größte Boykott in der Geschichte der Menschheit bezeichnet und macht Cookies von Drittanbietern als Retargeting-Instrument zunehmend unwirksam.

Wesentlich vs. nicht wesentlich

Unverzichtbare Cookies sind Cookies, die eine Anwendung oder Website benötigt, um ordnungsgemäß zu funktionieren. So sind beispielsweise Cookies, die zur Verhinderung von DoS-Angriffen auf Websites verwendet werden, unerlässlich, während Webanalyse-Cookies nicht unerlässlich sind.

Dies ist die wichtigste Unterscheidung aus rechtlicher Sicht, da nicht wesentliche Cookies nach EU-Recht immer eine Zustimmung erfordern (mehr dazu später). Tatsächlich werden nicht wesentliche Cookies manchmal als fakultativ bezeichnet, da sie im Allgemeinen strengeren gesetzlichen Regelungen unterliegen.

Einzigartig vs. nicht-einzigartig

Lassen Sie uns abschließend einen Blick auf eine dritte und oft übersehene Unterscheidung werfen. Einige Cookies enthalten eine eindeutige Kennung, d. h. eine Zahlenfolge, die einen einzelnen Nutzer (oder genauer gesagt, seinen Browser) identifiziert. Diese Kennung ermöglicht es einer Website, einen einzelnen Nutzer zu überwachen, da keine zwei Cookies gleich sind.

Gängige Webanalyse-Tools wie Google Analytics und Adobe Analytics verwenden Identifizierungs-Cookies, um Menschen im Internet zu verfolgen und sie anhand ihrer Surfgewohnheiten zu profilieren. Es handelt sich also um die Art von Cookies, über die sich Datenschutzbefürworter (zu Recht) beschweren. Aber identifizierende Cookies haben auch andere, weniger invasive Verwendungszwecke: Viele Websites verwenden sie beispielsweise zur Betrugsbekämpfung, und E-Commerce-Plattformen nutzen sie oft, um die Produkte in Ihrem Warenkorb zu verfolgen.

Eindeutige Kennungen sind aus rechtlicher Sicht relevant, da sie als personenbezogene Daten gelten. Cookies mit eindeutigen Kennungen sind also immer personenbezogene Daten und fallen unter die Datenschutz-Grundverordnung, Cookies ohne eindeutige Kennungen dagegen nicht.

Wie sind Cookies geregelt?

Die Vorschriften für Cookies finden sich hauptsächlich in zwei Rechtsquellen: der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation. Die Regulierung von Cookies ist etwas kompliziert, da sich die beiden Gesetze in Bezug auf Kriterien, Terminologie und Anwendungsbereich unterscheiden.

Wie wir in unserem td;dr vorweggenommen haben:

  • Nicht wesentliche Cookies erfordern immer die Zustimmung des Nutzers.
  • Unwesentliche Cookies erfordern überhaupt keine Zustimmung.
  • Für einige Cookies gelten nach der Datenschutz-Grundverordnung andere Anforderungen - unabhängig davon, ob sie wesentlich sind oder nicht.

Lassen Sie uns diese Regeln Stück für Stück aufschlüsseln.

Nicht wesentliche Cookies erfordern eine Zustimmung...

Die Datenschutzrichtlinie für elektronische Kommunikation (genauer gesagt, Artikel 5 Absatz 3) verlangt die Zustimmung zum Zugriff auf Daten, die auf dem Endgerät eines Nutzers gespeichert sind. Das bedeutet, dass Cookies nur mit Zustimmung verwendet werden können - aber es gibt Ausnahmen, wie wir noch sehen werden.

Der Artikel gilt auch für andere Technologien als Cookies, da er sehr weit gefasst ist. So erfordern beispielsweise auch integrierte Tracker in mobilen Anwendungen eine Zustimmung, ebenso wie Werbekennungen für mobile Geräte wie die AAID von Google oder die IDFA von Apple.

Diese obligatorische Zustimmungsregelung ist strenger als die in der DSGVO enthaltenen Bestimmungen. Die Vorstellung, dass es bei der Datenschutz-Grundverordnung nur um die Einwilligung geht, ist irreführend, da es absolut legitime Möglichkeiten gibt, Daten ohne Einwilligung zu sammeln(wie wir hier erklärt haben).

... aber wesentliche Cookies nicht

Die Richtlinie enthält eine Ausnahmeregelung für Daten, die "unbedingt erforderlich sind, um einen Dienst der Informationsgesellschaft" auf Anfrage des Nutzers bereitzustellen.

Diese Ausnahmeregelung wird von den Regulierungsbehörden recht weit ausgelegt und deckt alle Daten ab, die Websites und Anwendungen benötigen, um zu funktionieren. Aus diesem Grund ist für wesentliche Cookies keine Zustimmung erforderlich, wie wir erwartet haben.

Nehmen wir zum Beispiel an, Sie besuchen eine E-Commerce-Website und ändern die Sprache auf Spanisch. Ihre Spracheinstellung wird wahrscheinlich in einem Cookie gespeichert. Es handelt sich dabei um ein wesentliches Cookie: Wenn Sie auf der Website surfen wollen, muss die Website ihren Inhalt in einer Sprache anzeigen, die Sie verstehen können. Die Website braucht also nicht Ihre Zustimmung, um dies zu tun.

Wenn dieselbe Website jedoch Google-Analytics-Cookies verwenden möchte, benötigt sie Ihre Zustimmung. Der Grund dafür ist, dass Webanalyse und Retargeting zusätzliche Dinge sind, die die Website will, aber nicht tun muss.

(Nebenbei bemerkt: Die Datenschutzrichtlinie für elektronische Kommunikation enthält eine zweite Ausnahmeregelung für Daten, die unbedingt erforderlich sind, um die Kommunikation zu ermöglichen. Diese Ausnahmeregelung gilt normalerweise nicht für Cookies, ist aber dennoch erwähnenswert.)

Zusätzliche Regeln aus der GDPR können gelten

Die Datenschutz-Grundverordnung und die Datenschutzrichtlinie für elektronische Kommunikation haben nicht den gleichen Geltungsbereich: Die Datenschutz-Grundverordnung gilt für personenbezogene Daten, während die Datenschutzrichtlinie für elektronische Kommunikation (und insbesondere Artikel 5) für alle Kommunikationsdaten gilt, unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Das macht die Sache ein wenig kompliziert, denn einige Cookies fallen sowohl unter die Datenschutzrichtlinie für elektronische Kommunikation als auch unter die Datenschutz-Grundverordnung, während andere nur unter die Datenschutzrichtlinie für elektronische Kommunikation fallen.

Alles im Detail zu erklären, würde diesen Blog zu lang werden lassen, aber hier eine kurze Zusammenfassung:

  • Die Cookies, die unter die Datenschutz-Grundverordnung fallen, sind wiederum diejenigen, die eine eindeutige Kennung enthalten.
  • Wenn die Datenschutz-Grundverordnung Anwendung findet, gelten auch einige allgemeine Regeln (z. B. Rechtsgrundlagen, Informationspflichten, Recht auf Datenzugang usw.). Nur weil die Datenschutz-Grundverordnung gilt, heißt das nicht, dass Sie eine Einwilligung brauchen! Cookies mit eindeutigen IDs können auch ohne Zustimmung verwendet werden , wenn sie unerlässlich sind. Im obigen Beispiel handelt es sich bei den eindeutigen Cookies, die von E-Commerce-Websites verwendet werden, um die Artikel in Ihrem Einkaufswagen zu verfolgen, um wesentliche Cookies, die von der Zustimmungspflicht befreit sind.

Was ist, wenn ich Cookies für mehrere Zwecke verwende?

Manchmal werden Cookies für mehrere Zwecke verwendet. So können Sie beispielsweise ein und dasselbe Cookie sowohl für die Betrugsbekämpfung als auch für die Webanalyse verwenden.

Sie sehen, warum Cookies mit mehreren Verwendungszwecken problematisch sind. Nicht essenzielle Cookies erfordern eine Zustimmung, essenzielle Cookies dagegen nicht. Was ist mit Cookies, die sowohl wesentliche als auch nicht wesentliche Zwecke erfüllen?

Glücklicherweise hat sich der Europäische Datenschutzausschuss vor einiger Zeit zu diesem Thema geäußert: Solange ein einzelner Zweck nicht unerlässlich ist, bedarf das Cookie der Zustimmung. Diese wichtige Klarstellung schließt gefährliche Schlupflöcher, die andernfalls ein Tracking ohne Zustimmung ermöglichen würden.

In der Praxis bedeutet dies, dass man vermeiden sollte, dieselben Cookies für wichtige und unwichtige Zwecke zu verwenden. Auf diese Weise können Sie die Wahl der Nutzer respektieren und trotzdem alle wichtigen Cookies schreiben, die für das Funktionieren Ihrer Website erforderlich sind.

Zustimmung ist Opt-in

Die Einwilligung ist ein komplexes Thema. Wir können hier nur an der Oberfläche kratzen, aber es lohnt sich, darauf hinzuweisen, dass nur eine aktive Zustimmung gültig ist , für die man sich entschieden hat. So etwas wie eine implizite oder Opt-out-Zustimmung gibt es nach der Datenschutz-Grundverordnung nicht!

Die Regel der Einwilligung hat wichtige Konsequenzen für die Webanalyse:

  • Ihr Cookie-Banner muss eine bestätigende Formulierung wie "Ich akzeptiere Cookies" oder "Ich bin mit der Verwendung von Cookies einverstanden" enthalten . Vermeiden Sie zweideutige Formulierungen wie die Bestätigung der Cookie-Nutzung.
  • Ihre Website sollte keine unwesentlichen Cookies schreiben, bis der Nutzer eine Entscheidung getroffen hat. Das Cookie-Banner zu ignorieren und weiterzuscrollen ist keine Entscheidung, und dasselbe gilt für das Anklicken einer Schaltfläche "Schließen/X/Löschen".

Es gibt noch viel mehr zum Thema Einwilligung und Cookies zu sagen, insbesondere im Hinblick auf die Webanalyse, und wir werden vielleicht bald auf dieses Thema zurückkommen.

Was ist mit Apps?

Das Tracking von Apps unterscheidet sich vom Cookie-basierten Tracking dadurch, dass die Tracker in der Regel direkt in die App integriert sind. Artikel 5 der Datenschutzrichtlinie für elektronische Kommunikation ist jedoch sehr weit gefasst, und die in Apps üblichen Tracker fallen in seinen Anwendungsbereich.

Kurz gesagt, die Regel ist dieselbe: Wenn das Tracking nicht unbedingt notwendig ist, ist eine Zustimmung erforderlich.

Diese Anforderung wird jedoch weitgehend ignoriert. Der größte Teil der App-Branche verwendet Softwareentwicklungskits (SDK) von Drittanbietern, die mit Trackern ausgestattet sind. Diese Kits sammeln Daten zum Nutzen des Entwicklers des Kits und ignorieren oder umgehen häufig die Zustimmungsregeln. Das Ergebnis ist eine illegale Verfolgung in globalem Ausmaß.

Erschwerend kommt hinzu, dass Sie weniger Kontrolle über Ihre Apps haben als über die Websites, die Sie besuchen, denn Sie können keinen Werbeblocker installieren oder Tracker überprüfen und löschen, so wie Sie Cookies in Ihrem Browser verwalten würden. Aus diesem Grund versucht jedes Unternehmen, Ihnen eine beschissene App aufzudrängen.

Kurz gesagt: Für Apps gelten die gleichen Regeln wie für Cookies, aber die Unternehmen stellen sich dumm.

Sind Cookies gut für die Webanalyse?

Das kommt darauf an. Cookie-basierte Analysedienste wie Google Analytics und Adobe Analytics können feinkörnige Daten sammeln, aber diese Daten gehen auf Kosten der Privatsphäre der Nutzer. Dies ist ein ethisches Problem und kann in Ländern mit strengen Zustimmungsvorschriften wie der EU zu einem praktischen Problem werden, da Cookie-Banner zu hohen Opt-out-Raten und ungenauen Analysen führen.

Simple Analytics kann dieses Problem lösen. Wir entwickeln unseren Service so, dass Sie alle benötigten Einblicke erhalten, ohne Cookies zu verwenden und ohne persönliche Daten zu sammeln. Simple Analytics ist eine großartige, datenschutzfreundliche Alternative zu Google Analytics und eine perfekte Ergänzung zu Google Analytics - als Mittel, um den Datenverlust durch Cookie-Banner zu mindern.

Wenn Sie neugierig geworden sind, probieren Sie uns doch einfach mal aus!

GA4 ist komplex. Probieren Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen ohne Pilotenlizenz

Jetzt kostenlos starten