Du klickst auf „Akzeptieren". In den nächsten 200 Millisekunden setzt Deine Webseite Cookies, befüllt LocalStorage, lädt Pixel-Tracker und feuert Requests an Drittanbieter. Das passiert leise, im Hintergrund, ohne dass Du oder Deine Besucher es bewusst wahrnehmen.
Du musst das nicht im Detail verstehen, um Deine Seite zu betreiben. Aber Du solltest wissen, was dort läuft, weil Du als Betreiber dafür haftest. In den nächsten zehn Minuten bekommst Du den Überblick, lernst die wichtigsten Speicher-Mechanismen kennen, weißt, was DSGVO und TDDDG verlangen, und kannst mit zwei Klicks selbst nachsehen, was Deine eigene Seite wirklich tut.
Was Cookies wirklich sind
Ein Cookie ist eine kleine Textdatei, die der Browser auf Anweisung der Webseite speichert. Die Größe liegt bei rund vier Kilobyte, den Inhalt bestimmt der Betreiber — eine Sitzungs-ID, eine Sprachpräferenz, ein Warenkorb-Hash. Bei jedem Folge-Request schickt der Browser den Cookie automatisch mit. Daraus entsteht der Eindruck, die Seite würde Dich „wiedererkennen".
Wichtig ist die Unterscheidung in zwei Achsen. Erst- gegen Drittanbieter: setzt Deine eigene Domain den Cookie, ist er Erstanbieter. Lädt Deine Seite ein Script von einem fremden Server (Google, Facebook, ein Werbenetzwerk), das dort einen Cookie setzt, ist es Drittanbieter. Session gegen permanent: ein Session-Cookie endet, wenn der Browser-Tab schließt. Ein permanenter Cookie überlebt den Neustart und kann Tage, Monate, Jahre liegen bleiben.
Cookies sind das bekannteste Werkzeug, aber längst nicht das einzige. Wer nur den Cookie-Banner pflegt, übersieht den Rest.
LocalStorage, sessionStorage und IndexedDB — die stillen Geschwister
Mit dem Browser kamen weitere Speicherorte dazu, deutlich größer als Cookies und meist ohne automatisches Verfallsdatum. Wenn die Unterscheidung neu ist, lohnt vorab der Grundlagen-Beitrag Cookies und Local Storage im Browser, der die Mechanik der drei Speicher in Ruhe aufschlüsselt. LocalStorage hält bis zu fünf Megabyte pro Domain und bleibt liegen, bis JavaScript es löscht oder der Nutzer den Browserspeicher räumt. SessionStorage verhält sich ähnlich, endet aber mit dem Tab. IndexedDB ist eine vollwertige Datenbank im Browser, gigabyteweise Platz für strukturierte Daten.
Was liegt typischerweise dort? Login-Tokens, damit Du nach einem Reload eingeloggt bleibst. Warenkorb-Daten, die der Server nicht jedes Mal nachfragen muss. Tracking-IDs, die ein Analytics-Anbieter dort ablegt, weil Cookies in manchen Browsern strenger behandelt werden als der Web-Storage. Das Tückische: anders als bei Cookies fragen viele Banner gar nicht erst nach diesen Speichern. Sie laufen unter dem Radar.
Pixel-Tracker und Browser-Fingerprinting
Selbst wenn Du Cookies und LocalStorage konsequent ablehnst, hinterlässt jeder Aufruf Spuren. Ein Pixel-Tracker ist ein 1×1 Pixel großes Bild, das beim Laden einer fremden URL einen Server-Request auslöst. Der Server sieht IP-Adresse, User-Agent, Referrer, Zeitstempel — genug, um Reichweite zu zählen oder Profile anzulegen. Ein Cookie ist dafür nicht nötig.
Browser-Fingerprinting geht noch weiter. Bildschirmauflösung, Zeitzone, installierte Schriftarten, Sprache, Grafikkarten-Eigenheiten — die Kombination ergibt eine Quasi-ID, die Dich auch ohne Cookie über Sessions hinweg wiedererkennt. Das ist technisch raffiniert und datenschutzrechtlich heikel, weil der Nutzer den Vorgang nicht bemerken kann. Wer auf seiner Seite Drittanbieter-Scripte einbindet, lässt diese Möglichkeiten potenziell mitlaufen.
DSGVO und TDDDG — die kurze Einordnung
Zwei Regelwerke greifen ineinander. Die DSGVO regelt allgemein die Verarbeitung personenbezogener Daten, also auch dann, wenn aus IP, Cookie-ID und Browser-Fingerprint ein Personenbezug entsteht. Das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) regelt seit Ende 2024 den Zugriff auf Endgeräte konkreter. Cookies, LocalStorage und vergleichbare Speicher dürfen nur mit Einwilligung gesetzt werden, außer sie sind technisch zwingend nötig.
Für Dich heißt das praktisch drei Dinge. Erstens: vor dem Setzen technisch nicht notwendiger Speicher braucht es eine aktive Zustimmung. Vorausgewählte Häkchen sind nicht zulässig. Zweitens: Deine Datenschutzerklärung muss nennen, was gespeichert wird, von wem, wie lange, mit welchem Zweck. Drittens: Widerruf muss so einfach sein wie die Zustimmung. Wer den Banner ehrlich aufsetzt, kann sich an dieser Stelle viel Ärger ersparen. Wie das aussieht, zeigt der Beitrag Cookie-Banner ehrlich konfigurieren in der Praxis.
Schau selbst nach — Chrome DevTools in zwei Minuten
Du musst keine Tools installieren, um Deine eigene Seite zu prüfen. Öffne sie in Chrome, drück F12 oder Rechtsklick → „Untersuchen". Wechsle in den Tab Application. Links siehst Du den Bereich Storage mit den Unterpunkten Cookies, Local Storage, Session Storage und IndexedDB. Klick Dich durch, jeder Eintrag zeigt Name, Wert und Quelldomain. Wenn die DevTools für Dich neu sind, hilft der Beitrag Browser Basics beim Einstieg.
Im Tab Network setzt Du oben den Filter auf „Doc" oder „Img" und lädst die Seite neu. Nun siehst Du jede einzelne Anfrage, die Dein Browser geladen hat, auch die unsichtbaren 1×1-Pixel von Drittanbietern. Sortiere nach Spalte „Domain", und Du erkennst auf einen Blick, wie viele fremde Server an einem einzigen Seitenaufruf beteiligt sind.
Browser-Erweiterungen für den schnellen Check
Wenn Du regelmäßig Seiten aus Nutzersicht prüfen willst, helfen kleine Erweiterungen mehr als die DevTools-Klickerei. uBlock Origin blockiert Tracker und zeigt im Logger, wer was geladen hätte. Privacy Badger der Electronic Frontier Foundation erkennt Tracker dynamisch und meldet sie pro Seite. Beide sind frei, quelloffen und seit Jahren stabil gepflegt.
Der Charme dieser Werkzeuge liegt in der Außensicht. Du siehst Deine eigene Seite so, wie sie ein datenschutzbewusster Besucher sehen würde. Dabei merkst Du, ob Dein Banner hält, was er verspricht, oder ob im Hintergrund trotzdem Skripte feuern.
Was Du als Betreiber konkret tun solltest
Drei Hebel haben den größten Effekt. Erstens: Drittanbieter-Scripte hinterfragen. Jedes externe Script ist eine Verbindung, die Datenschutz-Risiko und Performance kostet (Stichwort Drittanbieter-Scripte als Performance-Killer). Brauchst Du das eingebettete YouTube-Video wirklich, oder reicht ein Vorschaubild mit Klick-zum-Laden? Brauchst Du Google Fonts vom Google-Server, oder kannst Du die Schrift selbst hosten?
Zweitens: ehrlicher Banner statt Dark-Pattern. „Akzeptieren" und „Ablehnen" gleich groß, gleich prominent, gleicher Klickaufwand. Vorausgewählte Häkchen sind nicht zulässig. Wer den Nutzer mit Tricks zur Zustimmung drängt, riskiert Vertrauen und Abmahnungen.
Drittens: lokale Alternativen. Selbst gehostete Schriften statt Google Fonts, datensparsame Statistik-Tools wie Plausible oder Matomo statt Google Analytics, eingebettete Karten optional statt automatisch. Dieselbe Datensparsamkeit gilt auch bei KI-Werkzeugen: was die eigene Webseite nicht weitergibt, kann auch nicht abgegriffen werden. Solche Entscheidungen entlasten gleichzeitig den Datenschutz und die Ladezeit, und sie passen gut zu einem sicheren Hosting-Setup, das Daten erst gar nicht weitergibt.
Fazit — Datenhygiene ist Vertrauen
Datenhygiene ist kein Aktivismus und kein Verzicht. Sie ist Respekt vor den Menschen, die Deine Seite besuchen — und Schutz für Dich als Betreiber, der weiß, was er ausliefert.
Wer einmal selbst in den DevTools nachgesehen hat, was die eigene Seite tatsächlich speichert, kann der Datenschutzbehörde, den Besuchern und sich selbst gegenüber konsistent auftreten. Auf dieser Seite läuft kein Tracker, keine externen Schriften, kein Analytics — und Du siehst, dass das funktioniert.
Drei kleine Schritte für den Anfang: ein DevTools-Audit Deiner Startseite, eine ehrliche Liste aller Drittanbieter-Scripte, ein Banner, der wirklich fragt statt strategisch zu drängen. Mehr braucht es nicht, um zurück in die Kontrolle zu kommen.