Zombie-Cookies: Wenn Daten trotz Löschung weitergetrackt werden

Die Cookie-Thematik begleitet Internetuser schon seit Jahren. Lange drehte sich alles um Cookie-Banner, Einwilligungen und die Frage, wie sich das ständige Klicken reduzieren lässt. Zuletzt rückten Personal-Information-Management-Systeme (PIMS) in den Fokus, die das ständige Klicken von Einwilligungsbannern vereinfachen sollten. Immer häufiger tauchen jetzt Tracking-Technologien auf, die das Löschen personenbezogener Daten gezielt umgehen.

Was sind Zombie-Cookies?

Zombie-Cookies sind Tracking-Informationen, die nach dem Löschen erneut erscheinen. Nutzerinnen und Nutzer entfernen Cookies im Browser – kurz darauf tauchen sie wieder auf. Möglich macht das eine redundante Speicherung an mehreren Stellen, etwa über Local Storage, Flash-Cookies, ETags oder serverseitige Wiederherstellungsmechanismen. Das Ergebnis: Ein Tracking lebt weiter, obwohl Betroffene es aktiv beenden wollten.

Warum sind diese Cookies datenschutzrechtlich problematisch?

Wer Daten löscht oder eine Einwilligung widerruft, erwartet ein klares Ende der Verarbeitung. Zombie-Cookies unterlaufen genau diesen Grundsatz und damit auch das Recht auf Widerruf nach Art. 7 Abs. 3 DSGVO. Wenn Tracking aber trotz aktiver Löschung fortbesteht, fehlt es regelmäßig an einer wirksamen Rechtsgrundlage. Denn eine zuvor erteilte Einwilligung verliert spätestens mit dem Widerruf ihre Wirkung. Erfolgt die weitere Verarbeitung dennoch, liegt ein Verstoß gegen die Grundsätze der Rechtmäßigkeit vor (Art. 6 Abs. 1 DSGVO).

Schließlich stehen technische Konstruktionen, die Löschvorgänge gezielt behindern oder gar umgehen, im Widerspruch zu „Privacy by Design“ und „Privacy by Default“ (Art. 25 DSGVO).

Zusätzliche mögliche Rechtsverstöße: TTDSG und ePrivacy

Unabhängig von der DSGVO greifen bei Zombie-Cookies auch die Vorgaben des § 25 Abs. 1 TTDSG. Das Speichern und Auslesen von Informationen auf Endgeräten ist nur mit informierter Einwilligung zulässig – selbst dann, wenn kein klassisches personenbezogenes Datum vorliegt. Tracking-Mechanismen, die sich nach einer Löschung automatisch wiederherstellen, umgehen diese Einwilligung faktisch und stehen damit auch im Widerspruch zur ePrivacy-Richtlinie.

Zombie-Cookies sind Compliance-Risiko

Diese Cookie-Art ist ein Compliance-Risiko, da die Cookies wiederbelebt werden können. In den meisten Fällen wissen User leider nicht, dass überhaupt Daten gespeichert wurden. Daher haben wir eine Checkliste zusammengestellt, wie Sie das überprüfen können:

• Cookies löschen: Alle Cookies und Website-Daten im Browser entfernen.
• Website erneut aufrufen: Werden Sie sofort wiedererkannt oder bleibt das Cookie-Banner aus?
• Local Storage prüfen: In den Browser-Entwicklertools (F12) nach IDs in Local Storage, Session Storage oder IndexedDB suchen.
• Inkognito-Test machen: Website im Inkognito-Modus oder mit neuem Browser-Profil öffnen.
• Fingerprinting testen: Prüfen, ob dein Browser auch ohne Cookies eindeutig identifizierbar bleibt.
• Tracker analysieren: Privacy-Tools nutzen und prüfen, ob Tracking-Skripte trotz Löschung aktiv bleiben.

Faustregel: Bleibt das Tracking nach dem Löschen bestehen, liegt der Verdacht auf Zombie-Cookies nahe.

Uns als Datenschutzexpertinnen und -experten erreichen häufig Fragen dazu. Kontaktieren Sie uns, wir beraten Sie gern.