Spätestens seit Inkrafttreten der Europäischen Datenschutzgrundverordnung sind »Cookies« jedem Web-Nutzer ins tägliche Bewusstsein gerückt. Fast alle Internetseiten fragen seitdem ab, ob Cookies angelegt werden dürfen. Diese wiederkehrende Übung führt bei vielen Anwendern zur Ermüdung, so dass inzwischen fast jeder Cookies akzeptiert, ohne nachzudenken, wofür die gut sind, damit man endlich weitersurfen kann.

Die Cookie-Müdigkeit ist aber ein bedenkliches Phänomen, dem unter anderem durch eine schlechte Ausgestaltung der Datenschutzverordnung Vorschub geleistet wird. Viele Websites bieten nicht die Option »Zulassen« oder »Ablehnen« an, sondern holen lediglich das Einverständnis vom Nutzer ein. Viele Webdienste verhalten sich also wie das berühmte »Cookie-Monster« aus der Sesamstraße, das mit seinem unstillbaren Appetit alles verschlingt, was es in die Finger bekommt. Das ist leider kontraproduktiv, weil Cookies eine wichtige Web-Technologie sind, um die Web-Erfahrung effizienter und sicherer zu gestalten, sofern das Datensammeln nicht übertrieben wird. Ein aufgeklärter Umgang der Web-Nutzer mit Cookies und eine effektive Datenschutzregulierung sind daher das A und O des gesunden Web-Konsums.

Wofür braucht es im Web eigentlich Cookies? Das im Web genutzte Kommunikationsprotokoll ist das Hypertext Transfer Protokoll HTTP. HTTP ist wie schon besprochen ein sehr einfaches, »zustandsloses« Protokoll. Das bedeutet, es kann sich weder merken, welche Interaktionen zuletzt stattfanden, noch, ob der Nutzer die Seite schon einmal besucht hat. Es leitet lediglich über den Webbrowser die Anfrage eines Nutzers an einen Webserver weiter, und der liefert die gewünschte Webseite oder den gewünschten Webdienst an den Nutzer aus.

Das wird zum Problem, wenn der Nutzer inhaltlich zusammenhängende Interaktionen mit einer Webseite durchführen will und erwartet, dass der Webserver die vorhergehenden Interaktionen zuordnen kann. Das ist zum Beispiel beim Online-Shopping der Fall, wo es sehr praktisch ist, wenn die Webseite den Nutzer als Kunden erkennt, einen Warenkorb anlegt und diesen bei der nächsten Interaktion mit dem Shop wieder laden kann. Auch können Webseiten, auf denen ein Login erforderlich ist, Login-Daten speichern, so dass man sich nicht jedes Mal wieder neu einloggen muss. Schließlich kennen viele Nutzer von Suchmaschinen, Streaming-Plattformen oder Online-Zeitungen die automatischen Vorschläge, die dem Nutzer auf Basis seiner vorherigen Interaktionen mit dem Webdienst angezeigt werden. Diese sind zumeist sehr nützlich, weil sie ein »flüssigeres« Web-Erlebnis ermöglichen.

Die Session-ID verrät dem Server, wer surft

Das einfache HTTP-Protokoll bringt das dafür nötige Gedächtnis nicht mit. Um eine zusammenhängende »Session« im Web zu ermöglichen, also mehrere inhaltlich zusammenhängende Interaktionen zu einer Sitzung »zusammenzubinden«, braucht es den Cookie-Mechanismus. Der legt bei jeder Web-Kommunikation eine Datei an, in der die einzelnen Interaktionen einer Session – Passworteingabe, Warenkorbinteraktion, bevorzugte Sprache, persönliche Interessen und Präferenzen und so weiter – gespeichert werden. Um auf eine Session Bezug nehmen zu können, wird jeder Session eine Session-ID zugeordnet, die dann bei jeder HTTP-Aktion zwischen Client und Webserver mit ausgetauscht wird. Cookies wurden in den 1990er Jahren vom Webdienst Netscape entwickelt und werden bis heute von allen Anbietern im Web als Standard zum »Session-Management« genutzt.

Technisch funktioniert der Cookie-Mechanismus folgendermaßen:

1. Der Webclient stellt eine Anfrage beim Webserver. Dieser beauftragt den Client, ein Cookie mit einer bestimmten Session-ID zu setzen.
2. Der Browser speichert das Cookie in einer speziellen Datenbank.
3. Bei jeder weiteren Anfrage an den gleichen Webdienst wird das Cookie mit der Session-ID automatisch mitgesendet. Der Webdienst ist so in der Lage, den Nutzer und den letzten Stand der Interaktionen mit ihm wiederzuerkennen. Auch kann er den neuen Stand der Interaktion in seiner Nutzerdatenbank aktualisieren.

Um die Speicherkapazität im Browser beim Nutzer nicht zu überlasten, wird auf Seiten des Nutzers nur die Session-ID gespeichert. Die Informationen über den Nutzer und seine Interaktionen mit dem Webserver werden in der Nutzerdatenbank beim Webserver abgelegt. Über die vom Nutzer gesendete Session-ID kann dieser dann sofort den anfragenden Nutzer erkennen und intern alle bisherigen Interaktionen abrufen.

Mit diesem einfachen Mechanismus ermöglicht der Webdienst effizientes Websurfing. Trotzdem sollte man diese Technik, wie viele andere auch, nicht einfach bedenkenlos nutzen. Wie beim Cookie-Monster der Sesamstraße kann ein unkontrolliertes Verlangen nach Cookies zu schädlichen Konsequenzen führen: Da Cookies über den HTTP-Header ausgetauscht werden und das HTTP-Protokoll unverschlüsselt ist, können beispielsweise persönliche Information leicht von Dritten ausgelesen werden.

Aber selbst bei einer verschlüsselten Verbindung über das sichere HTTPS-Protokoll ist es möglich, dass populäre Dienste wie zum Beispiel Google, Facebook oder Amazon ihre Nutzer über das Web hinweg nachverfolgen können, weil Cookie-Informationen zwischen den Diensten ausgetauscht werden. Große Plattformen können so umfassende Verhaltensprofile ihrer Nutzer erstellen, die weit über die Nutzerinteraktion mit dieser Plattform selbst hinausreichen und diese dann für gezielte Werbung und andere Zwecke nutzen. Der Skandal um die Firma Cambridge Analytica, die Nutzer anhand ihres Surfverhaltens einer politischen Einstellung zuordnen wollte, hat eindrücklich klargemacht, dass das kein nur theoretisches Szenario ist, deshalb ist Vorsicht geboten.

Trotzdem ist es nicht zielführend, Cookies gänzlich zu verteufeln oder der Problematik gar keine Beachtung zu schenken. Wie bei jeder Technologie ist ein aufgeklärter Umgang damit empfehlenswert. Jeder Nutzer kann über die Einstellungen in seinem Webbrowser regeln, ob Cookies angelegt werden dürfen beziehungsweise wann diese gelöscht werden sollen. Wie viele Cookies jeder zulassen möchte, ist eine persönliche Entscheidung. Wer mehr Bequemlichkeit beim Websurfing wünscht, für den sind Cookies sehr sinnvoll. Auch macht es einen Unterschied, ob man einen Webdienst häufiger oder seltener nutzt. Von einer pauschalen Cookie-Nutzung ist daher abzuraten. Cookies sollten vornehmlich dort zugelassen werden, wo häufig gesurft wird. In jedem Fall aber sollten Cookies über die Browsereinstellungen in regelmäßigen Abständen gelöscht werden, um für eine digitale Grundhygiene zu sorgen. Das Web ist also nur dann ein Cookie-Monster, wenn wir es dazu machen.