Cookie

Technische Funktionsweise

Das HTTP-Protokoll ist zustandslos: Jede Browser-Anfrage an einen Webserver wird unabhängig von früheren Anfragen behandelt. Cookies schließen diese Lücke. Sie stellen einen persistenten Informationskanal zwischen Client und Server her.

Technisch überträgt der Server einen Cookie über den HTTP-Response-Header Set-Cookie. Dieser enthält ein Schlüssel-Wert-Paar sowie optionale Attribute: Expires (Ablaufdatum), Domain, Path, Secure (nur über HTTPS) und HttpOnly (kein JavaScript-Zugriff). Bei späteren Anfragen an dieselbe Domain sendet der Browser den Cookie automatisch im Request-Header mit.

Die maximale Größe eines einzelnen Cookies beträgt in der Regel 4 Kilobyte. Browser erlauben pro Domain typischerweise bis zu 50 Cookies.

Arten von Cookies

Cookies lassen sich nach Lebensdauer, Herkunft und Zweck unterscheiden. Diese Kategorisierung ist sowohl technisch als auch rechtlich relevant.

Cookie im Überblick: Kategorisierung nach Herkunft und Lebensdauer

Nach Lebensdauer unterscheidet man zwei Grundtypen: Session-Cookies werden nach dem Schließen des Browsers automatisch gelöscht. Persistente Cookies besitzen ein Ablaufdatum und bleiben über Sitzungen hinaus erhalten.

Nach Herkunft trennt man First-Party-Cookies von Third-Party-Cookies. Erstere stammen von der besuchten Domain selbst. Letztere – auch Drittanbieter-Cookies genannt – werden von einer anderen Domain gesetzt, etwa von einem Werbenetzwerk.

Funktional lassen sich Cookies in vier Gruppen einteilen:

• Notwendige Cookies: Sie ermöglichen grundlegende Funktionen wie Login oder Warenkorb. Ohne sie kann eine Website nicht betrieben werden.
• Präferenz-Cookies: Sie speichern Einstellungen wie Sprache oder Region.
• Statistik-Cookies: Sie erfassen Nutzerdaten zur Seitenoptimierung, meist pseudonymisiert.
• Marketing-Cookies: Sie dienen dem Aufbau von Nutzerprofilen für zielgerichtete Werbung.

Einsatzbereiche

Cookies finden sich in nahezu allen Bereichen des modernen Webs. Der bekannteste Anwendungsfall ist die Authentifizierung. Nach dem Einloggen speichert ein Session-Cookie die Sitzungskennung. So muss der Nutzer nicht bei jedem Seitenaufruf neu seine Zugangsdaten eingeben.

Im E-Commerce ermöglichen persistente Cookies dauerhafte Warenkörbe, die auch nach dem Schließen des Browsers erhalten bleiben. Im digitalen Marketing bilden sie die Grundlage für Nutzer-Tracking. Werbetreibende können so messen, ob ein Nutzer nach einem Werbeklick einen Kauf abgeschlossen hat – das ist das Kernprinzip des Cookie-basierten Attributionsmodells.

Third-Party-Cookies erlauben seitenübergreifendes Tracking. Es bildet die technische Grundlage für Search Retargeting und personalisierte Werbung. Webanalyse-Dienste nutzen Cookies außerdem, um wiederkehrende Besucher zu erkennen und den Traffic einer Website zu analysieren.

Datenschutz und Rechtslage

Cookies, die personenbezogene Daten verarbeiten, unterliegen in der EU strengen Anforderungen. Maßgeblich sind die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (2002/58/EG).

Für solche Cookies ist eine gültige Rechtsgrundlage erforderlich. In der Praxis ist das meist die ausdrückliche Einwilligung des Nutzers.^[1] Technisch notwendige Cookies sind von dieser Pflicht ausgenommen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hält fest: Sowohl First-Party- als auch Third-Party-Cookies können personenbezogene Daten enthalten. Beide müssen den Anforderungen der DSGVO genügen.^[2]

In der Praxis werden Einwilligungen über Cookie-Banner eingeholt. Studien zeigen jedoch, dass viele dieser Banner den gesetzlichen Anforderungen nicht vollständig entsprechen.^[3] Die EU-Kommission diskutiert regelmäßig Anpassungen des Rechtsrahmens – zuletzt mit dem Ziel, den Umgang mit Cookies zu vereinfachen, ohne den Datenschutz grundlegend zu schwächen.^[4] Weiterführende Aspekte behandelt der Eintrag zu E-Privacy.

Abgrenzung zu verwandten Technologien

Neben dem klassischen Cookie existieren mehrere Alternativtechnologien mit ähnlicher Funktion, aber anderen Mechanismen.

Local Storage und Session Storage (HTML5) erlauben das clientseitige Speichern größerer Datenmengen. Anders als Cookies werden sie nicht automatisch bei jedem Request mitgesendet. Der Zugriff erfolgt ausschließlich über JavaScript.

Das Flash-Cookie (Local Shared Object) war eine proprietäre Variante über das Adobe-Flash-Plugin. Es war browserübergreifend lesbar, verlor mit dem Ende von Flash aber seine Bedeutung. Das Browser-Fingerprinting kommt ganz ohne gespeicherte Datei aus. Es berechnet eine Kennung aus Browser-Merkmalen wie Schriften, Canvas-Rendering und Bildschirmauflösung. Löschen von Cookies hat darauf keinen Einfluss.

Im programmatischen Advertising spielt das Cookie-Matching eine zentrale Rolle. Damit können Plattformen ihre Cookie-Kennungen abgleichen, um Nutzer plattformübergreifend zu identifizieren. Angesichts des Rückgangs von Third-Party-Cookies gewinnen First Party Data-Strategien als Alternative an Bedeutung.

Entwicklung und Ausblick

Das Cookie-Konzept geht auf den Programmierer Lou Montulli zurück. Er entwickelte es 1994 für den Netscape-Browser. Die erste formale Spezifikation erschien 1997 als RFC 2109 der Internet Engineering Task Force (IETF). Die aktuelle Spezifikation ist RFC 6265 aus dem Jahr 2011.

Seit etwa 2020 befindet sich das Cookie-Ökosystem im Wandel. Mozilla Firefox und Apple Safari blockieren Third-Party-Cookies bereits standardmäßig. Google Chrome kündigte an, diese Unterstützung ebenfalls zu beenden – verschob den Schritt aber mehrfach. Die Branche reagiert mit Privacy-Sandbox-Technologien und kohorten­basierten Ansätzen wie dem Federated Learning of Cohorts (FLoC). Der Cookie bleibt ein zentrales Element des Webs, steht aber vor einem strukturellen Bedeutungswandel.