Die meisten Internetnutzenden haben schon von Cookies gehört. Nicht jeder weiß aber, was diese genau bewirken und inwieweit sie eine Bedeutung für den Datenschutz haben. Daher gibt der HBDI im Folgenden Antworten auf die wichtigsten Fragen rund um Cookies:
Was sind Cookies?
Cookies (engl. für „Kekse“) sind kleine Textdateien, die beim Aufruf einer Website auf den Endgeräten der Nutzenden (z.B. Smartphone oder PC) gespeichert werden. Mit ihrer Hilfe kann die Website die einzelnen Nutzerinnen und Nutzer beim nächsten Besuch wiedererkennen. So kann etwa ein Online-Shop Login-Daten oder den Inhalt eines Warenkorbs speichern. Mit Cookies lässt sich jedoch auch das Verhalten der Nutzenden – teilweise webseitenübergreifend – verfolgen.
Sind Cookies personenbezogene Daten?
Ob Cookies personenbezogene Daten sind, hängt vom Einzelfall ab. Soweit ein Cookie lediglich zu rein technischen Zwecken benutzt wird, also z.B. um die Einstellung der Sprache einer Website zu verwalten, besteht nicht zwangsläufig ein Bezug zur nutzenden Person. Dagegen kann die Einstellung der Sprache zusammen mit den Login-Informationen eines Webshops vom Betreiber mit dem Nutzer oder der Nutzerin in Verbindung gebracht werden. In diesem Fall handelt es sich um personenbezogene Daten. Wenn Cookies zu Werbezwecken verwendet werden, also insbesondere um Nutzende über eine oder mehrere Websites zu verfolgen – auch Tracking genannt, gibt es in aller Regel einen Personenbezug.
Sind Cookies notwendig?
Cookies sind technisch notwendig, wenn sie grundlegende Funktionen einer Website umsetzen. Dies betrifft etwa die Fälle der notwendigen Sitzungsverwaltung. Damit sind Cookies gemeint, die etwa das Speichern eines Warenkorbs beim Besuch eines Online-Shops oder einer Nutzer-Einwilligung im Rahmen von Cookie-Bannern ermöglichen.
Technisch nicht notwendig sind dagegen solche Cookies, die das Verhalten der Nutzenden auf der Website oder über mehrere Websites hinweg verfolgen. Dies geschieht insbesondere zur Auswertung des Nutzerverhaltens um Werbung zielgruppengerecht adressieren zu können. Solche Cookies benötigen eine ausdrückliche Einwilligung der Nutzenden. Diese kann über ein Cookie-Banner eingeholt werden.
Was ist ein Cookie-Banner?
Über ein Cookie-Banner soll eine Einwilligung der Nutzenden für technisch nicht notwendige Cookies vom Betreiber der Website eingeholt werden. Denn ohne eine solche Einwilligung ist der Einsatz technisch nicht notwendiger Cookies unzulässig. Das Banner dient also dem Datenschutz der Besucher einer Website. Die Gestaltung eines Cookie-Banners unterliegt daher datenschutzrechtlichen Anforderungen. So darf ein Cookie-Banner zum Beispiel nicht so gestaltet sein, dass es die Nutzenden zur bedenkenlosen Einwilligung in die Verfolgung und Auswertung ihres Verhalten verführt.
Was sind First-Party-Cookies?
First-Party-Cookies werden vom Betreiber einer Website selbst gesetzt. Sie können dazu benutzt werden, um Funktionen wie einen Warenkorb zu verwalten aber auch um den Nutzenden personalisierte Werbung anzuzeigen.
Was sind Drittanbietercookies?
Drittanbietercookies, auch Third-Party-Cookies genannt, werden nicht vom Betreiber der Website, sondern von Dritten gesetzt (beispielsweise von großen Internetunternehmen, die Werbenetzwerke betreiben). Sie dienen dazu, die Nutzenden Website-übergreifend zu verfolgen und deren Nutzungsverhalten auszuwerten. Dadurch können umfassende Nutzerprofile angelegt werden, die mitunter detaillierte Informationen über die einzelnen Personen enthalten. Mittels dieser Informationen wird den Nutzenden zielgerichtet möglichst zu ihren Interessen passende Werbung angezeigt.
Dürfen Cookies ausschließlich mit meiner Einwilligung verwendet werden?
Nein. Die Betreiber von Websites dürfen technisch notwendige Cookies (s.o.) unter bestimmten Umständen auch einsetzen, ohne dafür die Zustimmung der Nutzer einholen zu müssen. Daher kann auch eine Website ohne Cookie-Banner datenschutzrechtlich zulässig sein. Will ein Anbieter jedoch Cookies zu anderen, nicht technisch erforderlichen Zwecken nutzen (insbesondere für Werbung oder Webanalyse), muss er dafür die Nutzer vorher um deren ausdrückliche Zustimmung bitten. Wird diese abgelehnt, dürfen die entsprechenden Cookies nicht verwendet werden.
Was kann ich selbst gegen das Tracking mittels Cookies tun?
Wer nicht möchte, dass sein Surfverhalten mittels Cookies verfolgt und zu Werbezwecken ausgewertet wird, kann dies auf verschiedene Weise selbst verhindern:
- Bei Cookie-Bannern das Setzen von (nicht technisch notwendigen) Cookies ablehnen bzw. individuelle Einstellungen für die jeweilige Website treffen.
- In den Einstellungen des Webbrowsers die gespeicherten Cookies bewusst verwalten bzw. regelmäßig löschen.
- Den privaten Modus des Browsers verwenden. Dabei werden bei jedem Schließen des Browsers u.a. die gespeicherten Cookies wieder gelöscht.
- In den Browsereinstellungen die Funktion „Do Not Track“ aktivieren. Dann wird den Betreibern von Websites automatisch der Wunsch des Nutzers übermittelt, nicht verfolgt zu werden. Die Websitebetreiber sind jedoch nicht dazu verpflichtet, diesem Wunsch zu entsprechen.
- Browser-Erweiterungen installieren, die Webtracking technisch unterbinden.