Ein Cookie ist eine kleine Textdatei, die eine Webseite in deinem Browser ablegt, damit der Server dich beim nächsten Klick wiedererkennt. Mehr nicht. Ein Cookie ist kein Programm, führt keinen Code aus und ist auch kein Virus. Die meisten verstehen das genau falsch herum: Sie halten den Cookie-Banner für eine Schutzmaßnahme gegen etwas Gefährliches. Tatsächlich ist der Banner nur die Einwilligung fürs Tracking. Die wirklich nützlichen Cookies, die deinen Login halten, den Warenkorb füllen und die Sprache merken, laufen unsichtbar im Hintergrund und brauchen gar keine Zustimmung.
Was ein Cookie technisch wirklich ist
Das Web funktioniert über das HTTP-Protokoll, und das ist zustandslos. Heißt: Jede Anfrage deines Browsers an einen Server steht für sich allein. Der Server vergisst dich nach jedem Klick wieder. Ohne Hilfsmittel wüsste eine Webseite bei der zweiten Seite nicht mehr, dass du dich gerade eingeloggt hast.
Genau dieses Gedächtnisproblem lösen Cookies. Beim ersten Besuch schickt der Server eine kleine Textdatei mit, der Browser speichert sie auf deinem Gerät. Bei jeder weiteren Anfrage an dieselbe Seite hängt der Browser dieses Cookie automatisch an. So weiß der Server: gleicher Nutzer, eingeloggt, Warenkorb mit drei Artikeln. In dem Cookie steht meist nur eine Zeichenkette, etwa eine Sitzungs-ID. Ausführen kann diese Textdatei nichts.
Warum ein Cookie kein Sicherheitsrisiko ist
Hier liegt das große Missverständnis. Laut BSI stellen Cookies "kein direktes Sicherheitsrisiko dar", weil sie keine ausführbaren Programme sind und selbst keinen Code starten. Eine Textdatei kann deinen Rechner nicht infizieren. Das gefährliche Element auf Webseiten ist nicht das Cookie, sondern aktiver Code wie JavaScript. Das BSI behandelt beides bewusst getrennt.
Das Problem mit Cookies ist also kein Sicherheits-, sondern ein Datenschutzproblem. Aus dem mitgeloggten Surfverhalten können laut BSI "detaillierte Nutzerprofile entstehen, die sowohl für Marketingzwecke genutzt werden, als auch für Internet-Kriminelle attraktiv sind". Ein Cookie ist also kein Spion, der etwas auf deinem Gerät anrichtet. Es ist eher ein Wiedererkennungszeichen, mit dem Firmen ein Profil von dir aufbauen können. Genau dieses Wiedererkennen über viele Seiten hinweg macht Tracking-Cookies heikel, nicht ihre Technik.
Notwendig, funktional, Tracking: die drei Cookie-Aufgaben
Nicht jedes Cookie macht dasselbe. Für die Frage, ob du gefragt werden musst, zählt der Zweck. Grob gibt es drei Gruppen.
| Cookie-Art | Aufgabe | Beispiel | Einwilligung nötig |
|---|---|---|---|
| Technisch notwendig | Grundfunktion der Seite | Login, Warenkorb, Sprachwahl | Nein |
| Funktional / Komfort | Bequemlichkeit, Einstellungen | Schriftgröße, zuletzt gesehen | Teils |
| Tracking / Marketing | Verhalten messen, Werbung | Analyse, personalisierte Anzeigen | Ja |
Technisch notwendige Cookies sind die harmlosen. Ohne sie würde der Login bei jedem Klick herausfallen. Tracking-Cookies dagegen brauchst du als Nutzer nie, sie dienen dem Werbegeschäft. Genau diese Trennung entscheidet rechtlich darüber, was hinter dem Banner passiert.
Was der Cookie-Banner wirklich bedeutet
Der Banner ist keine Sicherheitswarnung, sondern eine Einwilligungsabfrage. Geregelt wird das in Deutschland durch §25 TDDDG (bis Mai 2024 hieß das Gesetz TTDSG, der Cookie-Paragraf blieb inhaltlich gleich). Nach §25 TDDDG darf eine Seite Informationen nur dann in deinem Browser speichern oder auslesen, wenn du vorher zugestimmt hast.
Es gibt eine wichtige Ausnahme: Cookies, die für den Betrieb der Seite "unbedingt erforderlich" sind, dürfen ohne deine Einwilligung gesetzt werden. Deshalb funktioniert Login und Warenkorb auch dann, wenn du im Banner alles ablehnst. Für Tracking-, Analyse- und Werbe-Cookies dagegen ist eine aktive Zustimmung Pflicht. Wer dagegen verstößt, riskiert nach TDDDG ein Bußgeld von bis zu 300.000 Euro. Vom §25 zu trennen ist die DSGVO: Sie regelt mit Art. 6 die Rechtsgrundlage für die spätere Verarbeitung der so erhobenen Daten, während §25 nur das Setzen und Auslesen selbst betrifft.
Das ist die eigentliche Pointe für dich: Wenn ein Banner aufpoppt, geht es fast nie um den nützlichen Login-Cookie. Es geht um die Tracking-Cookies, die du mit einem Klick auf "Alle akzeptieren" freischaltest. "Nur notwendige" reicht für die volle Funktion der Seite völlig aus.
First-Party, Third-Party, Session, persistent
Cookies lassen sich nach zwei Achsen sortieren: Wer setzt sie, und wie lange bleiben sie. Diese vier Begriffe tauchen in jeder Datenschutzerklärung auf.
| Typ | Bedeutung | Typische Lebensdauer |
|---|---|---|
| First-Party | Von der Seite selbst gesetzt, die du besuchst | Kurz bis lang |
| Third-Party | Von fremden Diensten (Werbenetze, Tracker) | Oft lang |
| Session | Nur für den aktuellen Besuch | Weg beim Schließen des Browsers |
| Persistent | Bleibt über Tage, Monate, Jahre | Bis zum Ablaufdatum oder Löschen |
Die kritischen sind die Third-Party-Cookies. Sie stammen nicht von der Seite, die du gerade liest, sondern von eingebundenen Werbe- oder Analysediensten. Über sie erkennt dich derselbe Anbieter auf vielen verschiedenen Webseiten wieder und setzt dein Surfverhalten zu einem Profil zusammen. First-Party-Cookies bleiben bei der Seite, die du ohnehin nutzt. Session-Cookies wiederum sind besonders harmlos, weil sie sich beim Schließen des Browsers von selbst löschen. Banken nutzen sie fürs Online-Banking.
Cookies löschen und Tracking blockieren
Du musst Cookies nicht komplett verbieten, das würde Logins und Warenkörbe lahmlegen. Sinnvoller ist es, gezielt die Tracking-Cookies auszubremsen und den Rest regelmäßig aufzuräumen. Die Verbraucherzentrale empfiehlt dafür, Drittanbieter-Cookies im Browser generell zu blockieren. Das kostet keine Funktion, killt aber den Großteil des seitenübergreifenden Trackings.
So gehst du vor:
- Drittanbieter-Cookies blockieren: In Chrome unter "Einstellungen → Datenschutz und Sicherheit → Drittanbieter-Cookies" sperren. In Firefox greift der "Verbesserte Schutz vor Aktivitätenverfolgung" und blockt seitenübergreifende Cookies bereits standardmäßig.
- Cookies beim Schließen löschen: Beide Browser können alle Cookies automatisch entfernen, sobald du sie beendest. Logins fallen dann zwar raus, aber Tracker auch.
- Im Banner "Nur notwendige" wählen: Statt "Alle akzeptieren" reicht die notwendige Auswahl für die volle Funktion. Beim Tracking sagst du damit Nein.
- Regelmäßig aufräumen: Bestehende Cookies löschst du in den Browser-Einstellungen unter "Browserdaten löschen".
Wenn dir Tracking grundsätzlich wichtig ist, lohnt ein Blick auf weitere Schutzmechanismen. Sichere Anmeldeverfahren wie Passkeys kommen ganz ohne Passwort aus und verringern, wie viel ein Dienst von dir speichern muss. Ein Cookie selbst bleibt am Ende, was es ist: eine kleine Textdatei, die deine Sitzung am Laufen hält. Gefährlich wird nicht die Datei, sondern wem du erlaubst, dich damit über das halbe Netz zu verfolgen.
