Cookie – Was sind Cookies und wie funktionieren sie?

Ein Cookie (englisch für „Plätzchen“ oder „Keks“) ist eine kleine Textdatei, die eine Website über deinen Browser auf deinem Gerät speichert, um Informationen über deine Nutzung und Präferenzen zu hinterlegen und bei späteren Besuchen wieder abzurufen.

Cookies sind ein fundamentaler Bestandteil des modernen Webs und ermöglichen es Websites, Nutzer wiederzuerkennen, Sitzungen aufrechtzuerhalten und personalisierte Erfahrungen zu bieten. Gleichzeitig sind sie seit Einführung der DSGVO in den Fokus der Datenschutzdebatte gerückt und erfordern eine bewusste, rechtskonforme Implementierung.

Wie funktionieren Cookies technisch?

Cookies werden über den HTTP-Header zwischen Webserver und Browser ausgetauscht. Wenn du eine Website besuchst, sendet der Server bei Bedarf eine Set-Cookie-Anweisung an deinen Browser. Dieser speichert die Information lokal und sendet sie bei nachfolgenden Anfragen an denselben Server automatisch mit.

Der technische Ablauf:

1. Du rufst eine Website auf (z.B. https://example.com)
2. Der Server antwortet mit HTTP-Headern, darunter: Set-Cookie: session_id=abc123; Path=/; Secure; HttpOnly
3. Dein Browser speichert dieses Cookie lokal
4. Bei jedem weiteren Aufruf von example.com sendet der Browser das Cookie automatisch mit: Cookie: session_id=abc123
5. Der Server kann dich anhand der session_id wiedererkennen

Ein Cookie besteht aus mehreren Komponenten:

• Name und Wert: z.B. username=max_mueller
• Domain: Definiert, für welche Domain das Cookie gilt
• Pfad: Legt fest, für welche URL-Pfade das Cookie gesendet wird
• Ablaufdatum (Expires/Max-Age): Bestimmt die Lebensdauer
• Sicherheitsattribute: Secure (nur HTTPS), HttpOnly (kein JavaScript-Zugriff), SameSite (CSRF-Schutz)

Die wichtigsten Cookie-Typen im Überblick

Session-Cookies (Sitzungs-Cookies)

Session-Cookies existieren nur während deiner aktuellen Browser-Sitzung. Sobald du den Browser schließt, werden sie gelöscht. Sie enthalten kein Ablaufdatum (Expires oder Max-Age).

Typische Anwendungsfälle:

• Login-Status während einer Sitzung
• Warenkorb in Online-Shops
• Formulardaten über mehrere Seiten hinweg
• Temporäre Spracheinstellungen

Session-Cookies sind technisch notwendig und in der Regel DSGVO-konform ohne Einwilligung nutzbar, sofern sie ausschließlich für die Bereitstellung eines vom Nutzer gewünschten Dienstes erforderlich sind.

Persistente Cookies (dauerhafte Cookies)

Persistente Cookies bleiben auch nach dem Schließen des Browsers auf deinem Gerät gespeichert – bis sie ablaufen oder manuell gelöscht werden. Sie haben ein definiertes Ablaufdatum.

Beispiel:

Set-Cookie: remember_me=true; Expires=Wed, 31 Dec 2025 23:59:59 GMT; Secure; HttpOnly

Typische Anwendungsfälle:

• „Angemeldet bleiben“-Funktion
• Dauerhaftes Speichern von Nutzereinstellungen (Dark Mode, Cookie-Präferenzen)
• Tracking über längere Zeiträume
• Analytics-Daten

Persistente Cookies erfordern in der Regel eine Einwilligung nach DSGVO, es sei denn, sie dienen ausschließlich technischen Zwecken ohne Tracking-Funktion.

First-Party-Cookies vs. Third-Party-Cookies

First-Party-Cookies werden von der Domain gesetzt, die du gerade besuchst. Wenn du auf example.com bist und ein Cookie von example.com erhältst, ist das ein First-Party-Cookie.

Third-Party-Cookies stammen von anderen Domains, typischerweise durch eingebettete Inhalte:

• Werbenetzwerke (Google Ads, Facebook Pixel)
• Analytics-Tools (Google Analytics)
• Social-Media-Widgets
• Eingebettete Videos oder Karten

Beispiel: Du besuchst blog.de, aber ein Cookie wird von analytics-tracker.com gesetzt – das ist ein Third-Party-Cookie.

Wichtig: Third-Party-Cookies werden zunehmend von Browsern blockiert:

• Safari blockiert sie standardmäßig seit 2020
• Firefox blockiert sie im Standard-Modus
• Google Chrome plant die vollständige Abschaffung (mehrfach verschoben, aktuell 2025/2026)

Das macht Third-Party-Cookies unzuverlässig für Tracking und fördert alternative Technologien wie Server-Side-Tracking.

Secure- und HttpOnly-Cookies

Moderne Cookies sollten immer mit Sicherheitsattributen versehen sein:

Secure-Flag:

• Cookie wird nur über verschlüsselte HTTPS-Verbindungen übertragen
• Schützt vor Man-in-the-Middle-Angriffen
• Pflicht für sensible Daten (Login, Zahlungen)

HttpOnly-Flag:

• Cookie ist nicht per JavaScript (document.cookie) auslesbar
• Schützt vor Cross-Site-Scripting (XSS)-Angriffen
• Empfohlen für alle Session-Cookies

SameSite-Attribut:

• SameSite=Strict: Cookie wird nur bei Anfragen von derselben Website gesendet
• SameSite=Lax: Cookie bei Top-Level-Navigation (Link-Klicks) erlaubt
• SameSite=None: Cookie wird immer gesendet (erfordert Secure-Flag)
• Schützt vor Cross-Site Request Forgery (CSRF)

Optimales Sicherheitsprofil:

Set-Cookie: session_id=xyz789; Secure; HttpOnly; SameSite=Strict; Path=/; Max-Age=3600

Cookie-Klassifizierung nach Funktion

Die DSGVO und ePrivacy-Richtlinie unterscheiden Cookies nach ihrer Funktion – mit direkten Auswirkungen auf die Einwilligungspflicht:

1. Technisch notwendige Cookies (Strictly Necessary)

Diese Cookies sind essenziell für die Funktionsfähigkeit der Website und benötigen keine Einwilligung.

Beispiele:

• Session-Verwaltung für Login-Bereiche
• Warenkorb in Online-Shops
• Lastverteilung (Load Balancing)
• CSRF-Token für Formularsicherheit
• Cookie-Präferenz selbst (ironischerweise)

Wichtig: Nur weil ein Cookie „hilfreich“ ist, ist es nicht automatisch „notwendig“. Technisch notwendig bedeutet: Ohne dieses Cookie kann die vom Nutzer angeforderte Funktion nicht bereitgestellt werden.

2. Funktionale Cookies (Functional)

Diese Cookies verbessern die Nutzererfahrung, sind aber nicht zwingend erforderlich. Sie benötigen eine Einwilligung.

Beispiele:

• Spracheinstellungen
• Schriftgrößen-Präferenzen
• Regionale Inhaltsanpassung
• „Diesen Hinweis nicht mehr anzeigen“
• Video-Player-Einstellungen

3. Leistungs-/Analyse-Cookies (Performance/Analytics)

Diese Cookies sammeln Daten über die Website-Nutzung zur Optimierung. Sie erfordern immer eine Einwilligung.

Beispiele:

• Google Analytics, Matomo
• Heatmap-Tools (Hotjar, Microsoft Clarity)
• A/B-Testing-Tools
• Performance-Monitoring

Ausnahme: Wenn Analytics vollständig anonymisiert erfolgt (IP-Maskierung, keine Personenbezug, keine Cross-Site-Verfolgung), argumentieren manche, dass keine Einwilligung nötig ist – rechtlich aber umstritten.

4. Marketing-/Tracking-Cookies (Advertising)

Diese Cookies dienen der personalisierten Werbung und Cross-Site-Verfolgung. Sie benötigen zwingend eine Einwilligung.

Beispiele:

• Google Ads, Facebook Pixel
• Retargeting-Cookies
• Affiliate-Tracking
• Personalisierte Werbung

Cookies und DSGVO: Was du beachten musst

Seit Inkrafttreten der DSGVO (25.05.2018) und verschärften Urteilen (EuGH „Planet49“, 2019) gelten strenge Regeln für Cookies:

Einwilligungspflicht (Opt-In)

Grundregel: Alle nicht technisch notwendigen Cookies erfordern eine aktive, informierte Einwilligung vor dem Setzen.

Das bedeutet:

• ❌ Keine vorausgewählten Häkchen in Cookie-Bannern
• ❌ Kein „impliziertes Einverständnis“ durch Weitersurfen
• ❌ Keine Cookie-Walls, die den Zugang zur Website komplett blockieren (seit EuGH-Urteil 2024 geklärt)
• ✅ Opt-In erforderlich: Nutzer muss aktiv „Akzeptieren“ klicken
• ✅ Ablehnen genauso einfach wie Akzeptieren
• ✅ Granulare Auswahl: Nutzer kann Kategorien einzeln auswählen

Transparenzpflicht

Du musst Nutzer vor der Einwilligung informieren über:

• Welche Cookies gesetzt werden
• Zu welchem Zweck (detailliert, nicht „zur Verbesserung“)
• Wer die Daten erhält (auch Drittanbieter)
• Wie lange Cookies gespeichert werden
• Widerrufsrecht der Einwilligung

Diese Informationen gehören in deine Datenschutzerklärung und sollten aus dem Cookie-Banner heraus verlinkt sein.

Technische Umsetzung: Consent Management Platform (CMP)

Professionelle Cookie-Banner nutzen Consent Management Platforms wie:

• Usercentrics
• Cookiebot
• OneTrust
• Real Cookie Banner (WordPress-Plugin)
• Borlabs Cookie (WordPress-Plugin)

Diese Tools:

• Blockieren Cookies vor Einwilligung (Cookie-Blocker)
• Dokumentieren die Einwilligung rechtssicher
• Ermöglichen granulare Kontrolle
• Bieten Widerrufsmöglichkeit
• Werden regelmäßig an neue Rechtsprechung angepasst

Wichtig: Nur ein Cookie-Banner einblenden reicht nicht. Das Tool muss auch technisch verhindern, dass Tracking-Skripte Cookies setzen, bevor der Nutzer eingewilligt hat.

Cookies in WordPress verwalten

WordPress selbst setzt standardmäßig wenige Cookies – aber Plugins und Themes können viele hinzufügen:

WordPress-Standard-Cookies

Ohne Login:

• wordpress_test_cookie: Prüft, ob der Browser Cookies akzeptiert (wird sofort gelöscht)

Nach Login:

• wordpress_logged_in_[hash]: Erhält den Login-Status
• wp-settings-{user_id}: Speichert Admin-Interface-Einstellungen
• wp-settings-time-{user_id}: Zeitstempel für Settings

Bei Kommentaren:

• comment_author_[hash], comment_author_email_[hash], comment_author_url_[hash]: Speichern Name, E-Mail, URL für erneute Kommentare

Diese Cookies sind funktional bzw. technisch notwendig im jeweiligen Kontext.

Cookie-intensive Plugins

Achte auf Plugins, die automatisch Cookies setzen:

• Caching-Plugins (WP Rocket, W3 Total Cache): Performance-Cookies
• Analytics-Plugins (MonsterInsights, ExactMetrics): Tracking-Cookies
• Social-Media-Plugins: Third-Party-Cookies von Facebook, Twitter etc.
• Kommentar-Systeme (Disqus): Tracking
• E-Commerce (WooCommerce): Session- und Warenkorb-Cookies (meist notwendig)

Best Practice:

1. Prüfe mit Browser-DevTools (Application → Cookies), welche Cookies gesetzt werden
2. Kategorisiere sie nach Funktion (notwendig/funktional/Analytics/Marketing)
3. Implementiere Cookie-Banner, das nur notwendige Cookies vor Einwilligung zulässt
4. Dokumentiere alle Cookies in der Datenschutzerklärung

Cookies debuggen und analysieren

Als Entwickler oder Website-Betreiber solltest du regelmäßig prüfen, welche Cookies deine Seite setzt:

Browser DevTools (Chrome/Firefox)

1. F12 drücken → Application/Speicher → Cookies
2. Domain auswählen
3. Alle Cookies mit Name, Wert, Domain, Pfad, Ablauf, Größe, Flags anzeigen

Nützliche Spalten:

• HttpOnly/Secure: Prüfen, ob Sicherheitsflags gesetzt sind
• SameSite: CSRF-Schutz aktiv?
• Size: Cookies sind auf 4 KB limitiert
• Expires: Laufzeit prüfen (Session vs. persistent)

Cookie-Scanner-Tools

Für umfassende Audits:

• Cookiebot: Scannt Website und kategorisiert Cookies automatisch
• OneTrust Cookie Compliance: Enterprise-Lösung
• Browser-Extensions: „EditThisCookie“, „Cookie-Editor“

Testen der Cookie-Banner-Implementierung

Wichtige Tests:

1. Ohne Einwilligung: Dürfen nur technisch notwendige Cookies gesetzt werden?
2. Nach Ablehnung: Werden Tracking-Cookies blockiert?
3. Nach Auswahl: Werden nur gewählte Kategorien aktiviert?
4. Widerruf: Funktioniert das Löschen der Einwilligung?
5. Mobile: Banner auch mobil nutzbar?

Cookie-Alternativen und die Zukunft

Mit dem Ende der Third-Party-Cookies entwickeln sich Alternativen:

Server-Side Tracking

Statt Cookies im Browser setzt der Server Tracking-Daten:

• Google Analytics 4 (GA4) mit Server-Side-Tagging (via Google Tag Manager)
• Matomo mit Server-Side-Tracking
• Segment, Rudderstack: Customer Data Platforms

Vorteile:

• Unabhängig von Browser-Cookie-Blockern
• Bessere Datenkontrolle
• Privacy-freundlicher (mit richtiger Konfiguration)

Nachteile:

• Komplexere Einrichtung
• Serverseitige Infrastruktur nötig
• Nutzer-Einwilligung bleibt erforderlich

Local Storage und Session Storage

JavaScript-Speicher im Browser, keine Cookies im technischen Sinne:

• localStorage: Persistent, kein Ablaufdatum, ~5-10 MB
• sessionStorage: Nur während Browser-Tab-Sitzung

Achtung: Aus DSGVO-Sicht gelten dieselben Regeln – nur weil es kein Cookie ist, heißt das nicht, dass keine Einwilligung nötig ist!

Privacy-First-Analytics

Zunehmende Nachfrage nach datenschutzfreundlichen Lösungen:

• Plausible Analytics: Kein Cookie, EU-Server, DSGVO-konform
• Fathom Analytics: Cookieless, Privacy-First
• Matomo (selbstgehostet): Volle Kontrolle, kann cookieless betrieben werden

Checkliste: Cookie-konforme Website

✅ Inventar erstellen: Alle Cookies dokumentieren (Name, Zweck, Laufzeit, Anbieter)

✅ Kategorisieren: Notwendig/Funktional/Analytics/Marketing

✅ Cookie-Banner implementieren: Mit echtem Opt-In (keine vorangekreuzten Boxen)

✅ Cookie-Blocker aktiv: Verhindert Setzen von Cookies vor Einwilligung

✅ Datenschutzerklärung aktualisieren: Alle Cookies transparent auflisten

✅ Widerrufsmöglichkeit: Nutzer kann Einwilligung jederzeit zurückziehen

✅ Dokumentation: Einwilligungen nachweisbar speichern (Consent-Log)

✅ Sicherheitsflags: Secure, HttpOnly, SameSite nutzen

✅ Regelmäßige Audits: Prüfen, ob neue Plugins Cookies hinzufügen

Häufige Fehler vermeiden

❌ Cookie-Banner nur „schmückendes Beiwerk“ Viele Websites zeigen einen Banner, setzen aber Tracking-Cookies trotzdem sofort – das ist illegal.

❌ „Fortgesetzte Nutzung = Einwilligung“ Seit EuGH-Urteil 2019 eindeutig unzulässig. Passives Verhalten ist keine Einwilligung.

❌ Keine Ablehnen-Option „Akzeptieren oder verlassen“ ist rechtlich problematisch (Cookie-Walls).

❌ Versteckte Ablehnen-Funktion Ablehnen muss genauso einfach sein wie Akzeptieren – kein 5-Klick-Prozess.

❌ Fehlende technische Blockierung Banner zeigen reicht nicht – Cookies müssen technisch verhindert werden.

❌ Unvollständige Datenschutzerklärung Alle Cookies, auch von Drittanbietern, müssen aufgelistet sein.

FAQ: Häufig gestellte Fragen zu Cookies

Was ist der Unterschied zwischen Cookies und Cache?

Cookies speichern Nutzer-spezifische Daten (Login, Präferenzen), während der Cache Website-Ressourcen (Bilder, CSS, JS) speichert, um Ladezeiten zu verkürzen. Cookies werden vom Server kontrolliert und mit jeder Anfrage gesendet, der Cache wird lokal vom Browser verwaltet.

Sind alle Cookies schlecht für den Datenschutz?

Nein. Technisch notwendige Cookies (z.B. Session-Verwaltung) sind essenziell und datenschutzkonform. Problematisch sind primär Tracking- und Marketing-Cookies, die Nutzer über Websites hinweg verfolgen. Mit korrekter Einwilligung sind aber auch diese legal nutzbar.

Wie lange dürfen Cookies gespeichert werden?

Es gibt keine pauschale Obergrenze, aber die DSGVO fordert Datensparsamkeit. Gängige Praxis:

• Session-Cookies: Bis Browser geschlossen wird
• Login-Cookies: 30 Tage bis 1 Jahr
• Analytics: 13-26 Monate (Google Analytics Standard)
• Einwilligungen: 6-12 Monate

Exzessiv lange Cookies (z.B. 10 Jahre) sind schwer zu rechtfertigen.

Muss ich für Google Analytics eine Einwilligung einholen?

Ja. Seit dem EuGH-Urteil „Planet49“ (2019) ist klar: Google Analytics setzt nicht technisch notwendige Cookies und erfordert eine aktive Einwilligung vor dem Tracking. Auch mit IP-Anonymisierung.

Was passiert, wenn ich ohne Einwilligung Cookies setze?

Das kann zu Abmahnungen und Bußgeldern führen. Die DSGVO ermöglicht Strafen bis zu 20 Mio. € oder 4% des weltweiten Jahresumsatzes. In der Praxis: Bußgelder zwischen 5.000 € und 50.000 € für KMU sind realistisch, Abmahnungen durch Wettbewerber häufig.

Wie kann ich Cookies manuell löschen?

Chrome/Edge: Einstellungen → Datenschutz und Sicherheit → Cookies und andere Websitedaten → Alle Websitedaten anzeigen → Einzeln oder alle löschen

Firefox: Einstellungen → Datenschutz & Sicherheit → Cookies und Website-Daten → Daten entfernen

Safari: Einstellungen → Datenschutz → Website-Daten verwalten

Alternativ: Browser-Extension wie „Cookie AutoDelete“ für automatisches Löschen beim Schließen von Tabs.

Können Websites ohne Cookies funktionieren?

Teilweise. Viele Funktionen erfordern Zustandsverwaltung:

• Login ohne Session-Cookie: Schwierig (Alternativen: URL-Parameter, aber unsicher)
• Warenkörbe: Möglich mit localStorage oder serverseitiger Verwaltung
• Personalisierung: Eingeschränkt

Moderne Ansätze wie cookieless Tracking (Fingerprinting, serverseitiges Tracking) zeigen aber: Es geht auch anders – mit datenschutzrechtlichen Fragezeichen.

Was sind Zombie-Cookies?

Zombie-Cookies (auch „Evercookies“) sind manipulative Tracking-Mechanismen, die sich selbst wiederherstellen, wenn der Nutzer sie löscht. Sie speichern Daten redundant in:

• Standard-Cookies
• Flash-Cookies (LSOs)
• LocalStorage
• IndexedDB
• ETags

Wenn ein Speicher gelöscht wird, rekonstruieren sie sich aus den anderen. Das ist illegal nach DSGVO und wird von seriösen Websites nicht eingesetzt.

Du brauchst Unterstützung bei der DSGVO-konformen Implementierung von Cookies oder einem Website-Relaunch mit datenschutzfreundlichen Lösungen? Wir helfen dir mit technischem Know-how und rechtssicheren Cookie-Banner-Lösungen. Kontaktiere uns für eine unverbindliche Beratung.