Cookies
Cookies sind kleine Textdateien, die beim Besuch von Webseiten auf dem lokalen Rechner von Usern gespeichert und beim erneuten Seitenbesuch zurück an den Server gesendet werden.
Sie werden vor allem im Online Marketing eingesetzt, um das User-Verhalten im Web besser zu verstehen. Vor dem Hintergrund einer gestiegenen Sensibilität für Datenschutz durch EU-Datenschutzgrundverordnung und der e-Privacy-Verordnung bedürfen vielen Cookies inzwischen der ausdrücklichen Einwilligung der User; zudem blockieren einige Browser inzwischen standardmäßig das Setzen von nicht notwenigen Cookies. Entsprechend stehen Cookies langfristig vor dem Aus. Alle Informationen zu Cookies hier im Conductor Glossar.
Was sind Cookies und wozu werden sie eingesetzt?
Mit Cookies werden im Online Marketing keine Kekse bezeichnet, sondern kleine Textdateien, die beim Aufruf einer Website vom Server auf das Endgerät der User übertragen werden. Diese Dateien enthalten im Regelfall ein Ablaufdatum sowie eine zufällig generierte Unique-ID aus Zahlen, mit der die User wiedererkannt werden können. Rufen User die Website erneut auf, wird die Cookie-Datei wieder an den Server übertragen.
Die Cookie-Daten können dazu dienen, Online-Kaufabwicklungen in Warenkörben zu realisieren, Passwörter oder User-Voreinstellungen für einen erneuten Seitenbesuch zu speichern oder zusätzliche Informationen über das User-Verhalten im Web zu sammeln.
Die Cookies haben dabei ein vordefiniertes Ablaufdatum, die zwischen einem Session Cookie, der nach dem Schließen der Website gelöscht wird – etwa für Warenkorb-Prozesse – bis hin zu Marketing Cookies mit Laufzeiten von mehreren Jahren variieren kann.
Welche Arten von Cookies gibt es?
Die Europäische Union hat in der Datenschutzgrundverordnung (siehe nächstes Kapitel) die Cookies in zwei Bereiche unterteilt. Seit Mai 2018 gilt die DSGVO nach einer mehrjährigen Übergangsfrist. Während für die technisch notwendigen Cookies, die für die Seitenfunktionalität unerlässlich sind, keine explizite User-Einwilligung nötig ist, müssen User dem Einsatz technisch nicht notwendiger Cookies vorab ausdrücklich zustimmen.
- Technisch notwendige Cookies: Damit werden alle Cookies bezeichnet, die für den Betrieb einer Website und die Bereitstellung spezifischer Seitenfunktionen technisch zwingend erforderlich sind. Dies können also Cookies zur Abwicklung von Kaufprozessen im Warenkorb sein oder Cookies, die Einstellungen der User für Cookies speichern. Technisch notwendige Cookies erfordern keine ausdrückliche Einwilligung der User. Der Überblick:
- Session Cookies, die User-Einstellungen speichern (z. B. den Warenkorb, Spracheinstellungen oder Login-Daten)
- Cookies, die von eingebundenen Anbietern von Zahlungsdiensten wie Paypal oder Visa gesetzt werden, sofern sie nur eine Online-Zahlung vorbereiten oder legitimieren.
- Opt-Out-Cookies und Cookie-Consent-Einstellungen, mit denen die gesetzten Cookie-Einstellungen der User für die Website gespeichert werden und ggf. angepasst werden können
- Technisch nicht notwendige Cookies: Als nicht notwendige Cookies werden alle Cookies angesehen, die nicht allein der Funktionsfähigkeit der Website dienen, sondern auch andere Daten erheben. Dazu zählen insbesondere Analyse-Cookies und Marketing Cookies, mit denen also im Regelfall ein bestimmtes Surfverhalten und damit Interessen von Seitenbesucher*innen nachvollzogen werden sollen. Daher gehen Jurist*innen davon aus, dass für diese technisch nicht notwendigen Cookies, die meist von Drittseiten eingebunden werden, die explizite Zustimmung der User vorab einzuholen ist. Zu den technisch nicht notwendigen Cookies zählen insbesondere:
- Statistik-Cookies: Web-Analysedienste wie Google Analytics oder Google Tag Manager
- Marketing Cookies: Cookies aus Affiliate-Diensten, Remarketing-Diensten oder Retargeting-Diensten
- Social Media Cookies von Facebook, Instagram, LinkedIn, Pinterest oder Twitter
- Cookies aus Video-Embedding-Anwendungen etwa von YouTube oder Vimeo
- Cookies aus skalierbaren zentralen Messverfahren (SZM)
Cookies in der Datenschutzgrundverordnung und der e-Privacy-Verordnung
Mit Cookies können einerseits Websites an die Bedürfnisse der User angepasst werden, andererseits dienen sie dem Wunsch von Webmastern, mehr Informationen über die User, ihr Surfverhalten und ihre Interessen zu sammeln. Da viele User bisher nicht über die Cookies auf ihrem Endgerät aufgeklärt wurden und dies zum Teil zu exzessiven Datensammlungen im Online Marketing geführt hat, wurde entsprechend einer gestiegenen Sensibilität für Datenschutz seitens der Gesetzgeber und Browser-Unternehmen reagiert.
Die Europäische Union hat mit der Datenschutzgrundverordnung (DSGVO) den Grundstein für mehr Datenschutz im Web gelegt. Demnach müssen User inzwischen ihre ausdrückliche Einwilligung zum Setzen aller technisch nicht notwendigen Cookies geben, bevor diese gesetzt werden. Im Einzelfall ist juristisch aber noch immer umstritten, wo die Cookie-Einwilligung vom Website User explizit einzuholen ist und bis wohin das „berechtigte Interesse“ der Website-Betreibenden laut Art. 6 Abs. 1 lit. f DSGVO reicht.
Aktuell ist seitens der Europäischen Union zudem die e-Privacy-Verordnung in Arbeit, die nicht mehr den Standort der Website zur Grundlage der Cookie-Regelungen macht, sondern den Standort der User. Demnach müssten also insbesondere US-Branchengrößen wie Google, Facebook oder Amazon ihre Cookie-Handhabe der europäischen Gesetzgebung anpassen.
Ist das Zeitalter der Cookies vorüber?
Mittelfristig gehören Cookies zum Auflaufmodell im Online Marketing. Dafür sorgen die Datenschutzbestimmungen der politischen Verantwortlichen, eine erhöhte Datenschutzsensibilität der User – und nicht zuletzt die Browser-Unternehmen selbst.
So blockieren Apple in seinem Safari Browser und Mozilla im Firefox Browser inzwischen standardmäßig alle Third Party Cookies. Damit ist ein Großteil der technisch nicht notwendigen Cookies vor allem im Online Marketing automatisch nutzlos, da diese vorrangig über Dritte beim Besuch einer Website auf dem Endgerät der User gespeichert werden.
Auch der Google-Konzern will nun nachziehen und bis 2022 alle Third Party Cookies im Chrome Browser standardmäßig blockieren. Google selbst generiert den Großteil seiner Einnahmen über (Remarketing)-Advertising und muss selbst seine Werbeplattformen dann entsprechend umstellen.