Aussernet.

Stell dir vor, du betrittst ein Kaufhaus. Noch bevor du den ersten Schritt machst, eilt ein freundlich lächelnder Mitarbeiter herbei und klebt dir einen bunten Aufkleber auf die Jacke. „Nur damit wir Sie beim nächsten Besuch wiedererkennen können!“ Du bist irritiert, aber zu höflich zum Protestieren. Kaum hast du dich umgedreht, kommt schon der Nächste: „Ich bin von der Buchabteilung!“ Sticker drauf. „Ich vom Parfümverkauf!“ Sticker drauf. „Ich bin Partner eines Partners, der hier gelegentlich Messungen durchführt!“ Sticker drauf.

Nach wenigen Minuten ist deine Jacke vollständig mit Stickern übersät, bunt wie ein schlecht durchdachter Messeanzug – jeder Sticker mit anderer Form, anderem Zweck, und alle wollen dich „nur besser kennenlernen“.

Du fragst vorsichtig, ob du das ablehnen kannst.

„Aber natürlich! Völlig freiwillig!“ – man drückt dir ein Tablet in die Hand, auf dem du für jeden einzelnen Sticker eine separate Datenschutzerklärung lesen und unterzeichnen musst. „Nur 43 Seiten pro Stück, individuell angepasst auf Ihren Standort, Ihre Route, Ihre vermutete Schuhgröße und Ihre Aufenthaltsdauer bei uns.“ Und weil jeder Partner eigene Partner hat, die wiederum eigene Partner haben, geht das Spiel ewig weiter. Sticker auf Sticker, Einwilligung auf Einwilligung. Ein wahrer Stickerschwarm auf zwei Beinen – mit dir mittendrin, als laufende Werbezielscheibe mit freiwillig-unfreiwilliger Zustimmung.

Du versuchst abzulehnen – aufrichtig.

Aber dann sagt man dir: „Kein Problem, aber dann dürfen Sie manche Abteilungen nicht betreten.“ Oder: „Einige Sticker bleiben trotzdem – aus technischen Gründen.“
Oder der Klassiker: „Wir haben ein berechtigtes Interesse, Ihnen diesen Aufkleber aufzudrücken.“

Und jetzt stell dir vor, das wäre kein Kaufhaus, sondern das Internet. Willkommen in der Realität.

Cookies sind keine kleinen Helferlein, keine netten Krümel, sondern technische Aufkleber zur Wiedererkennung, Wiederverwertung und Wiedervermarktung. Sie verfolgen dich nicht direkt – aber sie ermöglichen und stabilisieren genau die Strukturen, die das tun. Sie koppeln Verhalten an Identitäten, schaffen die Grundlage für Tracking, Targeting, Profilbildung und personalisierte Werbung. Sie machen aus Nutzern messbare, handelbare Entitäten. Und aus Webseiten – Datenstaubsauger mit hübscher Oberfläche.

Cookies sind in der Webtechnologie – entgegen aller Mythen – kein notwendiges Fundament, sondern eine bequeme Krücke aus einer Zeit, als Sessions noch mit Bindfäden zusammenhielten. Moderne Webarchitekturen benötigen sie nicht mehr für Funktionalität, sondern lediglich, wenn man eine dauerhafte, cross-seitige Wiedererkennung der Nutzer beabsichtigt – also: Tracking.

Und genau dafür wurden sie auch entwicklungshistorisch „weitergedacht“: Session-ID war gestern, heute heißt es User-ID, Segment, Lookalike-Audience und Real-Time-Bidding. Cookies machen diese Mechanismen nicht nur möglich, sie sind ihr billiger, massentauglicher Trägerstoff – quasi das Backpapier der Überwachung.

Technisch betrachtet ist nahezu jede Funktionalität, die heute über Cookies umgesetzt wird, auch anders realisierbar – meist sogar robuster, datensparsamer und performanter:

– Logins und Nutzerzustände? Session-Handling serverseitig, idealerweise per Token (z. B. JWT).
– Sprach- und UI-Einstellungen? Local Storage oder serverseitiges Profil.
– Formularstatus und temporäre Daten? Session Memory, Local Storage, URL-Parameter.
– Analytics? Anonymisierte, pseudonymisierte oder serverseitige Verfahren ohne persistente Identifier.

Die einzig hartnäckige Anwendung von Cookies liegt im Cross-Site-Tracking – also in der Verbindung von Nutzungsverhalten über mehrere Domains hinweg, um Profile zu erstellen, Nutzer zu bewerten, zu segmentieren und in datenbasierte Werbeauktionen einzuspeisen. Hier wird es nicht nur technisch fragwürdig, sondern rechtlich brandgefährlich.

Denn: DSGVO, ePrivacy-Richtlinie und jüngere Urteile des EuGH stellen unmissverständlich klar, dass jede Form von Verarbeitung personenbezogener oder personenbeziehbarer Daten – wozu Cookies zweifellos gehören können – eine freiwillige, informierte, spezifische und eindeutige Einwilligung erfordert. Für hunderte Partner jeweils eine Checkbox zu hinter mindestens zwei Klicks zu verstecken oder „berechtigtes Interesse“ für eine flächendeckende Profilbildung zu reklamieren, ist kein legaler Shortcut – es ist ein Compliance-Roulette mit rotierenden Risikozonen.

Und nein, es gibt keinen Paragraphen im europäischen Datenschutzrecht, der sagt:
„Tracking ist erlaubt, wenn der Nutzer zu faul ist, alle Häkchen abzuwählen.“

Das Einwilligungskonzept scheitert aber nicht nur juristisch, sondern auch praktisch – weil es unter realen Bedingungen schlicht nicht mehr umsetzbar ist. Studien zeigen: Die durchschnittliche Zahl der „Vendoren“, also eingebundener externer Datenverarbeiter auf großen Nachrichtenseiten, liegt zwischen 100 und 500. Diese „Partner“ operieren in globalen Netzwerken, mit eigenen Partnern, eigenen Zwecken, eigenen Löschfristen. Für eine informierte Entscheidung bräuchte ein durchschnittlicher Nutzer pro Website etwa 4 bis 6 Stunden Lesezeit – pro Besuch.

Wer das für umsetzbar hält, sollte sich fragen, ob er schon einmal ernsthaft versucht hat, 300 Zweckbindungen mit jeweils mehreren Rechtsgrundlagen, Löschkonzepten und Übermittlungszielen zu vergleichen – bevor er den Wetterbericht aufrufen darf.

Das ist kein Datenschutz – das ist Bürokratie als Abschreckungswaffe.

Und währenddessen läuft im Hintergrund das, was euphemistisch als „Programmatic Advertising“ bezeichnet wird, in Wahrheit aber ein datengestütztes Echtzeit-Stalking ist: Beim Besuch einer Seite wird dein Verhalten (inkl. Geolocation, Systemdaten, Gerätetyp, möglicherweise sogar Mausbewegung) an Dutzende bis Hunderte Werbenetzwerke geschickt, die dann binnen Millisekunden entscheiden, ob du als „lukratives Ziel“ giltst – und falls ja, zu welchem Preis man deine Aufmerksamkeit ersteigert. In der Werbebranche nennt man das Fortschritt. In der IT-Sicherheit nennt man das ein massives Risiko durch Datenexfiltration in Echtzeit.

Das IAB Europe – der Lobbyverband hinter dem TCF (Transparency & Consent Framework) – hat bereits mehrfach von Aufsichtsbehörden auf die Unvereinbarkeit dieses Modells mit der DSGVO hingewiesen bekommen. Das hindert niemanden daran, es weiter zu betreiben – immerhin wurde die Einwilligung ja irgendwann mal irgendwo irgendwie gegeben.

Kurz gesagt:
Cookies – genauer: das Tracking, das sie ermöglichen – sind ein toxischer Nebel, der sich wie ein Standard über das Web gelegt hat, ohne je Standard gewesen zu sein.
Sie sind nicht notwendig, sondern bequem, nicht nutzerfreundlich, sondern nutzerverwertend. Und sie bleiben am Leben, weil sich ein ganzer Wirtschaftszweig darauf spezialisiert hat, Privatsphäre in ROI umzuwandeln.

Es wäre an der Zeit, das zu beenden – nicht kosmetisch, sondern systemisch.
Nicht mit neuen Einwilligungsdiensten, sondern mit einem klaren: Wenn du nicht willst, dass dein Nutzer getrackt wird – dann tu es nicht. Punkt.
Datenschutzfreundliche Technik ist keine Frage des Aufwands, sondern des Wollens.
Und wer sie nicht will, hat meistens andere Gründe, die mit Funktionalität wenig zu tun haben – aber viel mit Profitinteressen.

Deshalb nochmal, ernsthaft und bewusst spitz formuliert:
Wer 2025 noch Cookies einsetzt, obwohl er es nicht muss,
verfolgt entweder ein übergriffiges Geschäftsmodell –
oder hat technisch den Anschluss verpasst.
Und manchmal sogar beides.