In der digitalen Welt sind Cookies keine leckeren Kekse, sondern steht für Daten, die im Browser abgelegt werden. Das Wort Cookie erschien erstmals im Jahre 1979 in Zusammenhang mit der Programmiersprache C. Dort wurde das „Magic Cookie“ für einen Zeiger verwendet, bei dem die abgelegten Daten eindeutig zuzuordnen sind, und ist vergleichbar mit einem Schlüssel zu einem Schließfach. Die Bezeichnung „Cookie“ ist in unterschiedlichen Kontexten in der Programmierung zu finden. Am gängigsten ist die Bezeichnung jedoch bei der Webentwicklung.
Was sind Cookies?
Cookies für den Browser sind kurze Textinformationen, die entweder vom Server an den Browser des Nutzers gesendet werden oder es handelt sich um ein kleines Script, dass beim Ausführen eine Webseite erzeugt wird. Cookies werden vor allem dann eingesetzt, wenn eine Seite eine Interaktion mit dem Nutzer zur Absicht hat. Mithilfe eines Cookies kann dann ein Nutzer nach mehren Zugriffen identifiziert werden. Jeder Besuch einer Seite ist vergleichbar mit kleinen Kekskrümeln, die ein Nutzer hinterlässt. Diese Krümel werden nach und nach gesammelt, bis es ein großer Keks wird, der genau diesem einen Nutzer aufgrund seines Surfverhaltens auf der Seite zugeordnet werden kann. Cookies können auch dazu verwendet werden, um Daten einer Sitzung temporär zu speichern. Vor allem bei Webshops werden Cookies zu diesem Zweck eingesetzt, damit ein Warenkorb auch über eine längere Zeit gespeichert bleibt.
Wie funktionieren die Cookies?
Es gibt grundsätzlich zwei Möglichkeiten wie Cookies übertragen, gesetzt und verarbeitet werden können. Im ersten Fall erfolgt eine Übertragung des Cookies über den Header einer HTTP-Anfrage. Beim Aufrufen einer Seite wird vom Server ein Cookie übertragen und anschließend beim Nutzer gesetzt. Die zweite Variante ist ein lokales Cookie, dass durch das Aufrufen eines Scripts einer Seite erzeugt wird. Lokale Cookies haben den Vorteil, dass sie ausgelesen und verarbeitet werden können. Dazu gehört auch deren Manipulation. Lokale Cookies können auch Informationen über das Nutzerverhalten sammeln, wenn gerade keine Informationen vom Server übermittelt werden. Beim nächsten Kontakt mit dem Server werden die Informationen des lokalen Cookies an den Server übermittelt. Grundsätzlich können in einem Cookie alle beliebigen Informationen in Form von Text abgelegt werden. Ein Cookie sollte jedoch niemals größer sein als vier Kilobyte. Anderenfalls kann es passieren, dass es mit dem Browser nicht mehr kompatibel ist. Cookies werden ausschließlich auf der Clientseite verwaltet und kann dort im Browser abgelegt oder etwa auch wieder nach einer bestimmten Zeit automatisch vom Server gelöscht werden. Dies bedeutet, nach einer Übermittlung der Daten an den Server, kann das Cookie wieder aus dem Browser verschwinden.
Wofür braucht man Cookies?
In der Praxis werden jedoch nur selten Cookies wieder aus dem Browser entfernt. Will ein Nutzer ein Cookie loswerden, dann muss er es in der Regel manuell löschen. Allerdings beim nächsten Aufruf einer Seite wird das Cookie erneut gesetzt. Ein Cookie hat grundsätzlich einen Namen, einen bestimmten Wert, ein Ablaufdatum, einen Pfad, eine Domain und Informationen zur Verbindungsart. Damit ist die Grundstruktur geschaffen, die es braucht, um Daten vom Nutzer zu sammeln. Grundsätzlich ist im Hinblick auf die Menge an Daten kaum eine Grenze gesetzt. Name, E-Mail-Adresse, Telefonnummer, Kreditkarteninformationen und vieles mehr können in einem Cookie abgelegt werden. Das gesamte Nutzerverhalten auf einer Seite, angefangen von der Dauer des Besuchs bis hin zu den Links, die er angeklickt hat, kann gespeichert werden. Solche Cookies bieten für Webseitenbetreiber viele Vorteile. Sie können nicht nur viele wertvolle Informationen sammeln, um Ihre Kunden beispielsweise gezielt zu bewerben, sie können auch ihre eigenen Server entlasten. Durch die Zwischenspeicherung von Cookies ist kein ständiger Kontakt zum Server erforderlich, wodurch die Auslastung geringer ist. Wird anschließend eine Aktion getätigt, bei der eine Kommunikation mit dem Server erforderlich ist, wird das Cookie übertragen. Für den Nutzer haben Cookies ebenfalls Vorteile, denn sie ersparen sich beispielsweise das neuerliche Eingeben von Daten. Sind diese einmal abgelegt, dann können sie auch zukünftig einem Nutzer zugeordnet und bei Bedarf aufgerufen werden.
Was ist gesetzlich erlaubt bei der Cookienutzung und was nicht?
Cookies sorgten immer in den letzten Jahren immer wieder für große Diskussionen vor allem im Zusammenhang mit dem Datenschutz. Über Cookies ist auch das Tracking von Nutzer möglich. Im konkreten Falle werden etwa auf Basis des Sucherverhaltens von einem bestimmten Nutzer konkret Vorschläge gemacht, die seinem Profil entsprechen. Dies hat den Nachteil, dass die Ergebnisse nicht mehr breit gestreut sind und dem Nutzer immer wieder ähnliche oder gleiche Ergebnisse präsentiert werden. Online-Shops nutzen solche Tracking Cookies schon lange, um gezielt Kunden mit Produkten zu bewerben, die sie etwa in den vergangen Sitzungen aufgerufen und länger betrachtet haben. Problematisch sind Cookies vor allem bei öffentlichen Rechnern, da diese auch missbräuchlich von nächsten Nutzer verwendet werden können. Aus Sicherheitsgründen werden die Cookies von Nutzern gänzlich deaktiviert, was allerdings bedeuten kann, dass eine Seite nicht oder nur eingeschränkt funktioniert oder sie werden gelöscht. Obwohl es Cookies sehr lange gibt, gibt es erst seit dem Jahr 2009 die erste gesetzliche Regelung. Verwenden Webseiten Cookies, dann muss der Nutzer davon unterrichtet werden und der Verwendung auch explizit zustimmen. Seit die neue Datenschutzgrundverordnung (DSVGO) gilt, gibt es dort auch einen eigenen Abschnitt für Cookies. Der Nachteil ist jedoch, dass dieser Bereich eher vernachlässigt wurde und noch viele Graubereiche offen lässt. Grundsätzlich bleibt damit alles wie bisher. Die Nutzer müssen der Verwendung der Cookies zustimmen, mit der Ausnahme einer ergänzenden Datenschutzrichtlinie. Durch das Sammeln von Daten – egal, in welcher Form das passiert – greift automatisch die DSVGO und damit muss dem Nutzer auf Basis der Verordnung auch bekannt gegeben werden, was mit seinen Informationen geschieht. Die Cookies selbst sind bisher aber noch nicht genau geregelt und werden maximal von den einzelnen Ländern selbst wie in Deutschland durch das Telemediengesetz behandelt.