Pünktlich zum Jahresende ist unser neuer Cookies-Report da. Erhalte Einblicke in die First-Party- und Third-Party-Cookies auf Deiner Website und alle wichtigen Informationen, die damit verbunden sind.
Vor ein paar Wochen war Black Friday. Bist Du auch auf Schnäppchenjagd gegangen und hast nach den besten Deals Ausschau gehalten? Beim entspannten Stöbern hast Du sicher auch den einen oder anderen Artikel in den Einkaufswagen gelegt oder mehrere Tabs geöffnet, um Angebote zu vergleichen.
Ist Dir dabei aufgefallen, dass die Artikel in Deinem Einkaufswagen in jedem von Dir neu geöffneten Tab dieser Website sichtbar waren? Wurden Dir auf der Website andere Artikel vorgeschlagen, die Dir ebenfalls gefallen könnten, da Du sie Dir zuvor angesehen oder etwas Ähnliches oder dazu Passendes bereits in Deinen Einkaufswagen gelegt hast? Dies alles ist möglich aufgrund von Cookies, die Websites verwenden, um Deine Online-Aktivitäten zu verfolgen.
Cookies sind kleine Dateneinheiten, die von Webservern verwendet werden, um Browsing-Informationen auf Deinem Gerät zu speichern. Diese Browsing-Informationen ermöglichen es Websites und Drittanbietern, Deine Benutzerpräferenzen zu speichern (z. B. wenn Du die Währung in einem Webshop änderst) oder Dein Online-Verhalten zu verfolgen.
Cookies können in First-Party- und Third-Party-Cookies (Drittanbieter), sowie in temporäre (Session Cookie) und permanente Cookies unterteilt werden.
First-Party-Cookies werden in der Regel von der von Dir besuchten Website gesetzt, um die Benutzerfreundlichkeit zu verbessern. Dazu gehört auch das Beispiel von oben: Der Warenkorb, der automatisch aktualisiert wird, wenn Du einen neuen Tab der Website öffnest.
Third-Party-Cookies stammen hingegen von einer anderen Domain als der Domain der Website, die Du gerade besuchst. Diese Cookies werden am häufigsten für Marketing- oder Werbezwecke sowie für Website-Dienste wie Live Chats, Pop-ups oder Buttons, die zu Social Media Plattformen verlinken, verwendet.
Temporäre Cookies, sogenannte Session Cookies, "vergessen" alle Deine Daten und werden sofort von Deinem Gerät entfernt, wenn Du Deinen Browser schließt oder wenn die Session abgelaufen ist. Einer der häufigsten Anwendungsfälle für temporäre Cookies ist der Online-Warenkorb. Alle Deine Einkäufe werden während einer Session gespeichert, auch wenn Du einen neuen Tab öffnest.
Permanente Cookies hingegen werden "physisch" auf Deinem Gerät in einer lokalen Datenbank für einen längeren Zeitraum gespeichert, auch nachdem Du Deinen Browser geschlossen hast. Diese Cookies helfen Websites, Deinen Browser bei Deinem nächsten Besuch zu identifizieren, um Anmeldeinformationen bereitzustellen, sich an Benutzereinstellungen (z. B. Sprache oder Währung) zu erinnern oder Werbung auf verschiedenen Websites anzuzeigen (Retargeting).
Das ist der Punkt, an dem die Einhaltung der Compliance-Vorschriften ins Spiel kommt. Nach den Rechtsvorschriften der meisten europäischen Länder, wie z. B. § 25 TTDSG in Deutschland ("Schutz der Privatsphäre bei Endeinrichtungen"), ist die Speicherung von Informationen auf dem Endgerät eines Endnutzers (Deinem Computer oder Smartphone) oder der Zugriff auf zuvor im Endgerät gespeicherte Informationen nur zulässig, wenn der Endnutzer auf der Grundlage klarer und umfassender Informationen zugestimmt hat. Dies gilt jedoch nicht, wenn das Cookie technisch erforderlich ist, um den Dienst bereitzustellen. Außerdem sollten Cookies, die auf einem Gerät gespeichert werden, ein Ablaufdatum haben - andernfalls könnten sie gegen Compliance-Gesetze verstoßen, da sie nicht den Grundsätzen der Datenverarbeitung - wie Datenminimierung und Speicherbegrenzung - genügen.
Wie jedes Thema im Zusammenhang mit der Einhaltung von Compliance-Vorschriften kann auch das Thema Cookies ziemlich überwältigend sein. Aber keine Sorge, auch hier sind wir natürlich an Deiner Seite und unterstützen Dich mit unserem neuen Cookies-Report.
Mit dem Ryte Cookies-Report gewinnst Du mehr Transparenz, indem Du alle erkannten Cookies, die möglicherweise gegen die DSGVO oder Bundesgesetze verstoßen, in einem zentralen Report einsehen kannst.
Um Ergebnisse im neuen Cookies-Report zu erhalten, musst Du zunächst einen neuen Crawl starten. Ryte analysiert dann Deine gesamte Website (inklusive aller Unterseiten) und zeigt alle gefundenen Cookies und alle wichtigen Informationen (z.B. Cookie Domain, Gültigkeit des Cookies, etc.) transparent in einem zentralen Report an.
Unser neuer Cookies-Report ermöglicht es Dir, nach Cookie Domains zu filtern und hebt Cookies von Drittanbietern besonders hervor. Da bei diesen Cookies das Risiko eines Verstoßes gegen die Compliance-Vorschriften am größten ist, solltest Du diese zuerst überprüfen.
Erfasse auf einen Blick den Cookie Name, die Cookie Domain, Path, SameSite, HttpOnly, Secure, Gültigkeit und Seiten.
Schauen wir uns einige der Cookie-Attribute im Folgenden genauer an:
Cookie Domain: Die Cookie Domain beschränkt, an welche Domain der Inhalt eines Cookies gesendet werden kann. Wenn Du beispielsweise auf einer Produktseite unterwegs bist und ein Produkt in den Warenkorb legst, wird ein First-Party-Cookie für diesen bestimmten Shop gespeichert, so dass die Cookie Domain die Website ist, die Du gerade besuchst. Wenn auf dieser Website ein Symbol für soziale Medien wie ein Daumen-hoch-Button von Facebook eingebettet ist, könnte diese Integration einen Third-Party-Cookie setzen. In diesem Fall wäre die Cookie-Domain dann Facebook.
Gültigkeit: Die Gültigkeits-Spalte zeigt die Zeitspanne an, nach der das Cookie automatisch von Deinem lokalen Gerät gelöscht wird, z. B. nach 30 Tagen.
Cookie Path: Der Cookie Path beschränkt, dass ein Cookie nur an URLs unter diesem Pfad (z.B. Verzeichnis) gesendet werden kann.
HttpOnly: Das HttpOnly-Attribut eines Cookies macht Cookies für clientseitige Skripte, z. B. JavaScript, unzugänglich. Dieses Sicherheitsattribut wird in der Regel an Cookies angehängt, die sensible Benutzerinformationen enthalten oder an Dritte gesendet werden.
SameSite: Das SameSite-Attribut verhindert, dass Cookies bei seitenübergreifenden Anfragen (von einer Website zu einer anderen) automatisch vom Browser gesendet werden und somit vertrauliche Daten (z.B. die Anmeldung bei einem Bankkonto) ausspioniert werden könnten. Ein Beispiel ist die Cross-Site-Request-Forgery, bei der sensible Daten wie die Anmeldedaten für Dein Bankkonto gestohlen werden, während man Dir vorgaukelt, Du würdest Dich tatsächlich auf der Website Deiner Bank anmelden. In diesem Fall macht sich der Angreifer die Tatsache zunutze, dass Webbrowser in der Regel die für eine Domain gespeicherten Cookies bei jeder Anfrage an die Domain mitschicken.
Das Attribut SameSite kann drei verschiedene Werte haben:
Strict: Bei einem “strict” SameSite-Attribut werden bei einer seitenübergreifenden Anfrage keine Cookies gesendet. Cookies werden nur gesendet, wenn Du Dich auf derselben Domain befindest, z.B. wenn Du Dich auf einer Produktseite einer Website befindest und zu einer anderen Produktseite derselben Website wechselst. Oder, wenn Du von einer anderen Website auf der ursprünglichen Website landest. Ein Beispiel: Du bist auf Twitter und siehst Dir dort einen geteilten Blog-Artikel an. Ein "strict" SameSite-Attribut würde Cookies nur von Blog zu Blog, aber nicht von Twitter zum Blog senden.
Lax: Bei einem “lax” SameSite-Attribut werden Cookies nur bei Anfragen von Deiner eigenen Website (First-Party-Anfragen) oder beim Navigieren von einer anderen Website zu Deiner Website gesendet. Das Beispiel ist dasselbe wie oben: Du bist auf Twitter und siehst Dir dort einen geteilten Blog-Artikel an. Anders als zuvor werden im Fall des "lax" Attributs bereits, wenn Du auf den Link klickst, Cookies gesendet.
None: Im Falle eines gesetzten “none” SameSite-Attribut, werden Cookies bei seitenübergreifenden Anfragen immer gesendet, unabhängig davon, welche Website Du besuchen möchtest und von welcher Seite Du kommst.
Gut zu wissen: Wenn das SameSite-Attribut nicht vorhanden (not set) ist, wird jede seitenübergreifende Anfrage von Deinem Browser so behandelt, als ob ein “lax” Attribut gesetzt wäre. Dies ist auf Sicherheitsgründe zurückzuführen. Dies hat sich jedoch in den letzten Jahren geändert; ursprünglich verhielt sich ein fehlendes SameSite-Attribut so, als wäre das Attribut "none" gesetzt.
Secure: Das Secure-Attribut eines Cookies verhindert, dass Cookies von Unbefugten eingesehen werden können. Zu diesem Zweck wird ein Cookie mit dem Attribut "Secure" nur an einen Server mit einer sicheren verschlüsselten Anfrage (z.B. HTTPS) gesendet. Ein Beispiel wäre ein klassischer Man-in-the-Middle-Angriff wie ein manipuliertes Wlan. In der Offline-Welt wäre eine passende Analogie ein Postbote, der Deine Briefe an einen Freund liest und sie manipuliert. Später macht er dasselbe mit dem Antwortbrief Deines Freundes.
Seiten: Die Spalte "Seiten" gibt an, auf wie vielen Seiten dieses Cookie entdeckt wurde.
Wenn Du das Dropdown-Menü öffnest (in diesem Fall ein Sprachen Cookie), siehst Du die URL und den Cookie Value (hier: Sprachenkennung). Dieser soll Dir dabei helfen, festzustellen, wo das Cookie gesetzt ist, um - falls erforderlich - Deine Consent Management Plattform zu konfigurieren, damit das Cookie nicht vor der Zustimmung der Nutzer gesetzt wird.
Beim Crawlen Deiner Website klickt unser Crawler nicht auf Dein Cookie-Banner und gibt somit keine aktive Zustimmung zu irgendeiner Form der Informationsspeicherung. Da unser Crawler nicht erkennen kann, ob ein Cookie technisch notwendig ist oder nicht, sollten insbesondere First-Party-Cookies, die von unserem Crawler gefunden werden, von einem Rechtsexperten auf ihre Rechtmäßigkeit im Sinne der Compliance-Gesetze (wie §25 TTDSG in Deutschland) überprüft werden. Cookies von Drittanbietern, die vor der Zustimmung der Nutzer gesetzt werden, verstoßen immer gegen die Compliance-Gesetze. Nachdem Du die erkannten Cookies überprüft hast, solltest Du sie in Deine Consent Management Plattform integrieren und sicherstellen, dass sie nur dann gesetzt werden, wenn Deine Nutzer auch ihre Zustimmung gegeben haben. Vergewissere Dich außerdem, dass Deine Website-Besucher transparent und gesetzeskonform über die Speicherung von Informationen in Kenntnis gesetzt werden.
Cookies gehören zu unseren ständigen Begleitern, wenn wir in der virtuellen Welt unterwegs sind. Manche machen uns das Leben (und Shopping) leichter, andere folgen uns selbst nach dem Schließen des Browsers. Als Website-Besitzer ist es für Dich unerlässlich zu wissen, welche Cookies sich auf Deiner Website befinden und dafür zu sorgen, dass diese erst mit dem Tracking starten, wenn Deine Besucher ihre Zustimmung gegeben haben.
Veröffentlicht am Dec 15, 2022 von Stefanie Kirschner