Skip to main content

Was sind Cookies?

Cookies sind kleine Textdateien, die Websites in Ihrem Browser speichern. Wenn Sie eine Website besuchen, kann der Server zusammen mit dem Seiteninhalt ein Cookie senden. Ihr Browser speichert dieses Cookie und sendet es bei jeder weiteren Anfrage an den Server zurück. Dieser einfache Mechanismus – einen Wert speichern und zurücksenden – ist die Grundlage für nahezu jedes personalisierte Web-Erlebnis.

Zu verstehen, was Cookies sind, wie sie funktionieren und wozu sie dienen, ist der wesentliche erste Schritt zur Cookie-Compliance. Man kann nicht regulieren, was man nicht versteht.

Wie Cookies technisch funktionieren

Im Kern sind Cookies Schlüssel-Wert-Paare. Ein Cookie hat einen Namen, einen Wert und eine Reihe von Attributen, die sein Verhalten steuern. Wenn ein Webserver ein Cookie setzen möchte, fügt er seiner HTTP-Antwort einen Set-Cookie-Header hinzu:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

Das teilt dem Browser mit: „Speichere ein Cookie mit dem Namen session_id und dem Wert abc123. Sende es bei jeder Anfrage an jeden Pfad auf dieser Domain mit. Behalte es bis März 2027. Sende es nur über HTTPS. Und erlaube JavaScript keinen Zugriff darauf.“

Bei jeder weiteren Anfrage an diese Domain fügt der Browser das Cookie automatisch im Cookie-Header ein:

Cookie: session_id=abc123

Der Server liest diesen Wert und weiß, von wem die Anfrage stammt. Das ist der gesamte Mechanismus. Cookies sind keine Programme. Sie können keinen Code ausführen, nicht auf Ihr Dateisystem zugreifen und nichts installieren. Sie sind passive Daten – Textzeichenfolgen, die zwischen Browser und Server hin- und herwandern.

Wozu Cookies verwendet werden

Cookies erfüllen im modernen Web vier grundlegende Zwecke:

Authentifizierung und Sitzungsverwaltung

Wenn Sie sich bei einer Website anmelden, erstellt der Server eine Sitzung und speichert eine eindeutige Sitzungskennung in einem Cookie. Ohne dieses Cookie hätte der Server keine Möglichkeit zu erkennen, dass Ihre nächste Seitenanfrage vom selben angemeldeten Nutzer stammt. Jeder Seitenaufruf würde sich wie ein Erstbesuch anfühlen. Warenkörbe, Benutzerkonten, Admin-Dashboards – nichts davon funktioniert ohne Sitzungscookies.

Nutzereinstellungen

Cookies merken sich Ihre Entscheidungen. Spracheinstellungen, Design-Einstellungen (Dark Mode oder Light Mode), Währungsauswahl, die Cookie-Einwilligungen selbst – all dies wird typischerweise in Cookies gespeichert. Wenn Sie zu einer Website zurückkehren und diese bereits weiß, dass Sie Deutsch bevorzugen, ist dieses Wissen in einem Cookie gespeichert.

Analyse und Leistung

Dienste wie Google Analytics, Matomo und Plausible verwenden Cookies, um zwischen neuen und wiederkehrenden Besuchern zu unterscheiden, um zu verfolgen, welche Seiten in einer einzelnen Sitzung aufgerufen werden, und um zu messen, wie Besucher durch eine Website navigieren. Das Analyse-Cookie enthält in der Regel keine personenbezogenen Informationen direkt – es enthält eine anonyme Kennung wie _ga=GA1.2.123456789.1710000000.

Werbung und Tracking

Hier werden Cookies zu einem Datenschutzproblem. Werbenetzwerke nutzen Cookies, um Nutzer über mehrere Websites hinweg zu verfolgen, und erstellen so Profile des Surfverhaltens, die zielgerichtete Werbung ermöglichen. Wenn Sie eine Nachrichtenseite besuchen und später Werbung für ein Produkt sehen, das Sie sich auf einer anderen Seite angesehen haben, wurde dies durch website-übergreifende Tracking-Cookies möglich gemacht. Diese Drittanbieter-Cookies sind das primäre Ziel moderner Datenschutzregulierung.

Eine kurze Geschichte der Cookies

Cookies wurden 1994 von Lou Montulli erfunden, einem Programmierer bei Netscape Communications. Der ursprüngliche Zweck war bescheiden: Netscape brauchte eine Möglichkeit, einen Warenkorb für einen E-Commerce-Kunden zu implementieren, ohne die Warenkorbinhalte jedes Nutzers auf dem Server zu speichern. Montulli adaptierte das Konzept der „Magic Cookies“ aus der Unix-Welt – kleine Token, die zwischen Programmen weitergegeben werden, um Zustände zu erhalten.

Die ersten Cookies waren eine praktische technische Lösung. Doch ihr Potenzial für Tracking wurde schnell erkannt. Bereits 1996 veröffentlichte die Financial Times den ersten Artikel in einer Publikumszeitung, der Datenschutzbedenken zu Cookies aufwarf. Bis 2002 hatte die EU die ePrivacy-Richtlinie verabschiedet, die sich gezielt mit ihnen befasst.

In den folgenden zwei Jahrzehnten entwickelten sich Cookies von einem einfachen Werkzeug zur Sitzungsverwaltung zum Rückgrat der digitalen Werbeindustrie – und zum primären Ziel von Datenschutzgesetzen weltweit.

Warum Cookies ein Datenschutzproblem darstellen

Das Datenschutzproblem bei Cookies betrifft nicht die Technologie selbst. Ein Cookie, das sich Ihre Spracheinstellung merkt, ist harmlos. Das Problem entsteht durch drei konkrete Verwendungszwecke:

  1. Website-übergreifendes Tracking. Drittanbieter-Cookies ermöglichen es Werbenetzwerken, Nutzer im gesamten Web zu verfolgen und detaillierte Profile ihres Surfverhaltens zu erstellen. Ein Nutzer, der eine medizinische Informationsseite, die Website einer politischen Organisation und eine Dating-Seite besucht, hat sensible Informationen preisgegeben – und all dies lässt sich über Cookies miteinander verknüpfen.
  2. Mangelnde Transparenz. Die meisten Nutzer haben keine Ahnung, wie viele Cookies beim Besuch einer typischen Website gesetzt werden. Eine einzige Nachrichtenseite kann 50–100 Cookies von Dutzenden verschiedener Domains setzen. Der Nutzer sieht eine Website; im Hintergrund beobachten Dutzende von Unternehmen seinen Besuch.
  3. Beständigkeit. Cookies können jahrelang bestehen. Ein 2024 gesetztes Tracking-Cookie kann denselben Nutzer noch 2026 identifizieren. Diese Fähigkeit zur langfristigen Nachverfolgung, kombiniert mit website-übergreifender Reichweite, schafft eine Überwachungsinfrastruktur, die ohne Wissen oder wirksame Einwilligung der meisten Nutzer arbeitet.

Aufgrund dieser Bedenken verlangt die ePrivacy-Richtlinie (Artikel 5 Absatz 3) eine informierte Einwilligung, bevor nicht notwendige Cookies gesetzt werden, und die GDPR (Artikel 4 Absatz 11 und Artikel 7) stellt strenge Anforderungen daran, wie eine gültige Einwilligung aussehen muss.

Über Cookies hinaus: Weitere Tracking-Technologien

Die moderne Datenschutzregulierung erfasst nicht nur Cookies. Die ePrivacy-Richtlinie bezieht sich auf „die Speicherung von Informationen oder den Zugriff auf bereits gespeicherte Informationen im Endgerät eines Teilnehmers oder Nutzers“. Diese Formulierung deckt bewusst jeden clientseitigen Speichermechanismus ab, darunter:

  • localStorage und sessionStorage – Web-Storage-APIs, die es Websites ermöglichen, größere Datenmengen im Browser zu speichern. Anders als Cookies werden diese Daten nicht automatisch an den Server gesendet, können aber dennoch zum Tracking verwendet werden und erfordern nach denselben Regeln eine Einwilligung.
  • IndexedDB – Eine leistungsfähigere clientseitige Datenbank. Es gelten dieselben Einwilligungsregeln.
  • Browser-Fingerprinting – Das Erfassen von Geräteeigenschaften (Bildschirmauflösung, installierte Schriftarten, Browser-Plugins, Zeitzone), um eine eindeutige Kennung zu erstellen, ohne etwas auf dem Gerät zu speichern. Obwohl Fingerprinting keine Cookies verwendet, wird es zunehmend als Tracking-Technologie anerkannt, die eine Einwilligung erfordert. Die französische CNIL und mehrere andere Datenschutzbehörden haben Leitlinien veröffentlicht, die dies bestätigen.
  • Tracking-Pixel – Winzige unsichtbare Bilder, die von einem Drittanbieter-Server geladen werden. Die Anfrage selbst offenbart die IP-Adresse des Nutzers, den Browser und die Seite, auf der er sich befindet. Tracking-Pixel arbeiten oft in Verbindung mit Cookies, können aber auch eigenständig funktionieren.
  • ETags und cachebasiertes Tracking – Techniken, die das Browser-Caching ausnutzen, um Kennungen zu speichern und abzurufen. Diese sind weniger verbreitet, zeigen aber, warum sich die Regulierung auf das Ergebnis (Tracking) und nicht auf die konkrete Technologie konzentriert.

Die praktische Erkenntnis: Wenn Ihre Website Informationen auf dem Gerät eines Nutzers zu nicht notwendigen Zwecken speichert oder darauf zugreift, oder wenn sie Techniken einsetzt, um Nutzer über Sitzungen hinweg zu verfolgen, ist eine Einwilligung nahezu sicher erforderlich – unabhängig davon, ob der Mechanismus technisch gesehen ein „Cookie“ ist.

Der Cookie-Scanner von Passiro erkennt alle Cookies und Tracking-Technologien auf Ihrer Website, einschließlich der Nutzung von localStorage, Drittanbieter-Skripten und Tracking-Pixeln – und verschafft Ihnen so einen vollständigen Überblick darüber, was Ihre Website erfasst.

Die wichtigsten Erkenntnisse

  • Cookies sind kleine Textdateien, die vom Browser gespeichert und bei jeder Anfrage an den Server zurückgesendet werden.
  • Sie dienen legitimen Zwecken (Authentifizierung, Einstellungen) und datenschutzsensiblen Zwecken (Analyse, Werbung).
  • Drittanbieter-Tracking-Cookies stehen im Mittelpunkt der Datenschutzregulierung.
  • Andere Technologien (localStorage, Fingerprinting, Pixel) unterliegen denselben Einwilligungsanforderungen.
  • Zu verstehen, welche Cookies Ihre Website verwendet, ist der erste Schritt zur Compliance.

Als Nächstes werfen wir einen detaillierten Blick auf die verschiedenen Arten von Cookies – denn die Art bestimmt die Einwilligungsanforderungen.

Erfüllt Ihre Website die Cookie-Vorschriften?

Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.

Cookies kostenlos scannen