Ebenso wie es zahlreiche Rezepte für knusprige Kekse zum Backen gibt, gibt es mindestens genauso viele (leider weniger schmackhafte) Kekse im Internet – die berühmt-berüchtigten "Cookies". Vielen Internet-Nutzern liegen sie schwer im Magen. Der Grund dafür ist das Thema Datenschutz. In erster Linie werden Cookies dazu verwendet, um das Surfen im World Wide Web komfortabler zu gestalten. Es gibt aber auch Website-Betreiber, die es mit dem Schutz der gespeicherten Nutzerdaten nicht sehr ernst nehmen und mitunter Cookies dazu nutzen Daten an Dritte weiterzugeben (Third Party Cookies).
Damit das Keks-Wirrwarr in deinem Kopf ein Ende hat und du weißt, wie du Cookies rechtskonform in deine Website einbindest, gehen wir in diesem Artikel auf die unterschiedlichen funktionalen und technischen Arten von Cookies und deren Anforderungen ein.
Prinzipiell wird von Rechtswegen nicht vorgeschrieben, in welche Gruppen Cookies unterteilt werden müssen. Viel mehr ist die Frage noch nicht endgültig geklärt, ob Cookie Gruppen rechtlich in Deutschland zulässig sind. Aktuell (zum Zeitpunkt des Entstehens des Artikels) kann aber davon ausgegangen werden, dass sie zulässig sein werden oder sogar zu empfehlen sind.
Einzig zwischen essenziellen Cookies und allen anderen Cookies ist aus rechtlichen Gründen zu unterscheiden.
Entsprechend unterteilen die meisten z.B. WordPress Cookie Plugins die Cookies in verschiedene Gruppen auf Basis von Funktion bzw. Nutzen. Die meisten WordPress Plugins erlauben es aber auch, zusätzlich eigene Gruppen einzuführen. Welche Cookies welcher Gruppe zugehörig sind, ist eine Frage, die jeder Website-Betreiber für sich beantworten muss. Je nach Nutzung eines Dienstes, Plugins oder Einbindung externer Medien kann die Einschätzung verschieden sein.
In der Regel werden Cookies in vier Cookie Gruppen aufgeteilt: essenzielle Cookies, funktionale Cookies, Statistik Cookies und Marketing Cookies.
Seit dem Urteil des EuGH am 01.10.2019 (C-673/17) dürfen nur noch technisch notwendige Cookies – auch als “notwendige Cookies” oder “essenzielle Cookies” bekannt – ohne die aktive und informierte Einwilligung des Website-Besuchers eingeholt werden.
Welche Cookies sind notwendig? Essenzielle Cookies sind für die grundlegende Funktionalität der Website erforderlich. Sie enthalten nur technisch notwendige Services. Diesen Services kann nicht widersprochen werden.
✊ Faustregel: Wird die Grundfunktionalität deiner Website durch das Fehlen des Cookies gestört, handelt es sich um ein notwendiges Cookie.
☝️Wichtig: Du musst dessen Funktion dennoch in deiner Datenschutzerklärung erklären.
Im Folgenden zeigen wir Beispiele für technisch notwendige Cookies, strittige Fälle und wann ein Cookie definitiv nicht essenziell ist.
Das Cookie für den Login-Bereich kann als essenziell angesehen werden. Ohne dieses Cookie wäre die Nützlichkeit der Website grundlegend beeinträchtigt, da der Besucher nicht in der Lage wäre, auf den Mitgliederbereich zuzugreifen.
Google Fonts ist ein Dienst, mit dem ästhetisch ansprechende Schriftarten auf Websites angezeigt werden können, auch wenn sie nicht auf dem Computer oder mobilen Endgerät des Nutzers installiert sind. Dabei werden an Google Daten übermittelt und teils Cookies gesetzt oder gelesen.
Praktisch würde vermutlich jeder zustimmen, dass diese Cookies essenziell sind, da eine Website mit einer Standardschriftart komplett anders aussieht, als mit einer schönen und passenden Schriftart. Rechtlich betrachtet hat der Nutzer deiner Website jedoch keine funktionalen Einschränkungen, wenn die Website weniger hübsch aussieht. Zudem hast du als Betreiber der Website technisch die Möglichkeit, Schriftarten von deinem eigenen Server aus auszuliefern und entsprechend keine Daten an Google zu übermitteln.
In Folge dieser Argumente ist rechtlich umstritten, ob Dienste wie Google Fonts als essenziell angesehen werden können. Zum Zeitpunkt als dieser Artikel verfasst wurde, gibt es dazu noch keine höchstrichterliche Entscheidung.
Wenn du auf Nummer Sicher gehen möchtest, solltest du solche Cookies eher als nicht essenziell einstufen!
Du möchtest Google Analytics auf deiner Website einbinden, um Nutzer zu tracken und damit die Qualität und/oder den Umsatz deiner Website zu steigern. Deine Website würde ohne diesen Dienst und seine Cookies genauso wie mit diesem funktionieren. Ob du damit z.B. deine Website auf lange Sicht verbessern könntest, spielt bei der rechtlichen Betrachtung keine Rolle.
Funktionale Cookies sind notwendig, um über die wesentliche Funktionalität hinausgehende Features wie hübschere Schriftarten, Videowiedergabe oder interaktive Web 2.0-Features bereitzustellen. Inhalte von z.B. Videoplattformen und Social Media Plattformen sollten standardmäßig erst nach der Einwilligung des Website-Besuchers geladen werden. Wenn dem Service einmalig zugestimmt wurde, werden diese Inhalte automatisch ohne weitere manuelle Einwilligung geladen.
Die Einwilligung kann typischerweise direkt im Cookie Banner gegeben werden. Alternativ kann der Website-Besucher seine Einwilligung auch nachträglich in einem Content Blocker geben. Wie dieser aussehen kann, siehst du in folgendem Screenshot.
Beispiele für funktionale Services, die Cookie setzen, sind:
- YouTube
- Google Fonts
- Tidio (Live-Chat)
Statistik Cookies (auch bekannt als “Leistungs-Cookies” oder “Performance Cookies”) helfen dabei, das Verhalten eines Nutzers auf der Website zu beobachten. Diese Cookies werden benötigt, um pseudonymisierte Daten über die Besucher der Website aggregiert zu sammeln. Die Daten ermöglichen es, einzelne Nutzer, eine Gruppe von Nutzern oder die Gesamtheit aller Nutzer besser zu verstehen und die Website zu optimieren.
Beispielsweise wird hier erfasst, wie oft auf welche Links oder Unterseiten geklickt wird und ob dir Fehlermeldungen angezeigt werden, wie lang die Ladezeit ist und wie sich die Website in unterschiedlichen Browsern verhält. Auf Basis dieser Erkenntnisse soll das Nutzererlebnis auf der Website verbessert werden.
Beispiele für Statistik Services, die Cookies setzen, sind:
- Google Analytics
- Matomo
- Clicky
Marketing Cookies (auch “Werbe-Cookies” oder “Targeting Cookies” genannt) werden von dem Website-Betreiber und Dritten genutzt, um das Verhalten einzelner Nutzer aufzuzeichnen, die gesammelten Daten zu analysieren und z.B. personalisierte Werbung anzuzeigen. Diese Services ermöglichen es, den Nutzer domainübergreifend zu verfolgen. Stöberst du beispielsweise in einem Mode Online-Shop, wird dir mit Sicherheit einige Zeit später beim Besuch anderer Websites Werbung des Online-Shops angezeigt. Diese sogenannte Retargeting Werbung kann nur ausgespielt werden, da z.B. Google über die Marketing Cookies zusammenführen kann, auf welchen Websites du gesurft hast.
Beispiele für Marketing Services, die Cookies setzen, sind:
- Google Ads
- Sendinblue (Newsletter Opt-in)
- Hotjar
Was sind denn jetzt Cookie-ähnliche Informationen? Und warum gibt es neben einer funktionalen Unterscheidung von Cookie Arten auch eine technische? Keine Panik, wir erklären es dir leicht verständlich!
Wie bereits in unserem Artikel über Cookies erwähnt, werden “Cookies” rechtlich gesehen als “HTTP Cookies” bezeichnet. Grob zusammengefasst versteht man unter “HTTP” ein Netzwerkprotokoll, mithilfe dessen Webbrowser und Server durch den Austausch von Daten miteinander kommunizieren können.
Jedoch könnten Informationen, die du in einem HTTP Cookie speichern könntest, auch in anderen technischen Strukturen gespeichert werden:
- HTTP Cookie: Ein HTTP Cookie ist ein klassisches Cookie, das bei jeder Verbindung an den Server übertragen wird.
- Local Storage: Der Local Storage ist eine moderne, lokale Speicherung von Informationen (ähnlich wie bei Cookies) für deinen Browser, die allerdings nur von JavaScript-Anwendungen gelesen werden kann.
- Session Storage: Genauso wie Local Storage, aber technisch auf den jeweiligen Tab im Browser beschränkt, in dem die Informationen gesetzt wurden. Schließt du also deinen Browser, wird die Session (dt. Sitzung) automatisch beendet.
- Flash Local Shared Object: Wird oftmals auch als “Flash Cookie” bezeichnet. Unter “Flash Local Shared Object” versteht man ein Objekt zum Speichern von Informationen über Benutzer in Flash-Dateien, die mit dem Adobe Flash Player ausgeführt werden (wird kaum noch verwendet).
- IndexedDB: Moderne Alternative zum Local Storage für größere Datenmengen (noch selten genutzt).
Auch hier gilt, dass du als Betreiber einer Website alle auf deiner Website verwendeten Cookie-ähnlichen Informationen (zzgl. HTTP Cookies) ausfindig machen und korrekt einbinden musst. Wie du das anstellen kannst, kannst du in unserer Wissensdatenbank in dem Artikel Wie finde ich alle Services (Cookies) auf meiner Website? nachlesen.
Glückwunsch, jetzt weißt du, welche Cookie Arten es gibt und worin sie sich unterscheiden. Du bist jetzt quasi ein waschechter Keksperte 😎
Eine Herausforderung musst du allerdings noch bewältigen: das Aufspüren der Cookies und rechtskonforme Einholen von Einwilligungen. Als Website-Betreiber liegt es in deiner Verantwortung, alle auf deiner Website verwendeten Services ausfindig zu machen und ggf. erst nach der Einwilligung deines Nutzers auszuspielen. Puhh, das klingt nach ganz schön viel Arbeit – ist es leider auch!
Da wir aus eigener Erfahrung wissen, wie mühsam und kompliziert diese Arbeit sein kann, greift dir unser WordPress Cookie Consent Plugin Real Cookie Banner mit eingebautem Scanner Feature hierbei tatkräftig unter die Arme!