Man löscht den Browserverlauf, leert den Cache, entfernt alle Cookies und glaubt, wieder unsichtbar zu surfen. Doch beim nächsten Besuch einer bekannten Webseite tauchen plötzlich personalisierte Inhalte oder gezielte Werbeanzeigen auf, als wäre nie etwas gelöscht worden. Hinter diesem Effekt steckt kein Zufall, sondern einige ausgefeilte Tracking-Methoden, wobei Zombie-Cookies eine besondere Herausforderung darstellen: Diese speziellen Cookies speichern Nutzerdaten nicht nur an einer, sondern gleich an mehreren Stellen auf dem Computer des Nutzers.
Selbst wenn eine Kopie entfernt wird, rekonstruieren andere Speicherorte die Datei automatisch. So ‚erwacht‘ das Cookie wieder zum Leben, ohne Zustimmung, oft unbemerkt und mit gravierenden Folgen für den Datenschutz.
Die Technik hinter dem Trick
Während klassische Cookies nur im dafür vorgesehenen Standardspeicher des Browsers liegen, nutzen Zombie-Cookies, auch Ever- beziehungsweise Supercookies genannt, zusätzliche Mechanismen. Besonders verbreitet sind der in HTML5 eingeführte Local Storage, der Session Storage, ETags im Cache oder Mobile Advertising IDs auf Smartphones. Auch Browserfingerprinting spielt eine Rolle: Dabei werden scheinbar harmlose Systeminformationen kombiniert, um einen eindeutigen digitalen Fingerabdruck zu erstellen. Durch die Verteilung der Daten auf mehrere Speicherorte entsteht eine Art Sicherheitsnetz für den Tracker – löscht der Nutzer nur an einer Stelle, füllt sich die Lücke sofort wieder aus einer anderen Quelle.
Warum ist das ein Problem?
Zombie-Cookies ermöglichen eine lückenlose Nachverfolgung des Surfverhaltens, selbst wenn Nutzer aktiv versuchen, das zu verhindern. Unternehmen können so:
eindeutige Nutzerprofile auch ohne klassische Cookies pflegen
das Verhalten über verschiedene Webseiten und Geräte hinweg auswerten
Einwilligungsentscheidungen technisch umgehen
Rechtlich kollidiert das in Europa klar mit der DSGVO und dem Telekommunikation-DigitaleDienste-Datenschutz-Gesetz (TDDDG), die beide eine freiwillige, informierte Zustimmung vorschreiben. In der Praxis setzen jedoch noch immer manche Anbieter auf intransparente Methoden, um die Pflicht zu umgehen, und riskieren damit nicht nur Bußgelder, sondern auch erheblichen Reputationsschaden.
Schutz für Nutzer und Unternehmen Wer sich vor Zombie-Cookies schützen möchte, braucht mehr als nur die „Cookies löschen“- Funktion. Moderne Browser bieten verbesserte Tracking-Schutzfunktionen, doch wirkungsvoll wird es erst mit einer Kombination aus privatem Surfmodus, datenschutzorientierten Browsern, aktiver Blockierung von Drittanbieter-Cookies und Add-ons wie Privacy Badger oder uBlock Origin. Für Unternehmen gilt hier: Transparente Datenerhebung und konsequentes Consent-Management sind Pflicht. Nur wenn technisch verhindert wird, dass Tracker ohne gültige Einwilligung aktiv werden, lassen sich rechtliche Risiken vermeiden. Regelmäßige Audits der eigenen Webseite und eingebundener Dienste zeigen, ob Drittskripte unbemerkt Zombie-Mechanismen einsetzen.
Fünf Kurztipps für den Alltag
Regelmäßiges Löschen von Cookies und lokalem Speicher hält gespeicherte Tracking-Daten nicht dauerhaft auf dem Gerät.
Anti-Tracking-Software installieren, blockiert verdächtige Tracker und verhindert erneutes Anlegen von Cookies.
Datenschutzorientierte Browser zu verwenden, schützt automatisch vor vielen gängigen Tracking-Methoden.
Browser und Sicherheitssoftware aktuell halten, schließt Sicherheitslücken und schützt vor neuen Tracking-Techniken.
Cookie-Richtlinien von Websites prüfen, schafft Klarheit über den Umgang mit persönlichen Daten.
Fazit
Zombie-Cookies gehören zu den hartnäckigsten Formen des Online-Trackings. Sie unterlaufen die Kontrolle der Nutzer, schaffen intransparente Datenströme und gefährden das Vertrauen in digitale Angebote. Wer heute auf Datenschutz setzt, egal ob privat oder als Unternehmen, muss diese Technik kennen, erkennen und gezielt unterbinden. Denn was einmal gelöscht ist, sollte nicht heimlich wiederkommen.“