Illustration: Absmeier

Sie werden zweifellos bemerkt haben, dass es heutzutage so gut wie unmöglich ist, eine Website zu besuchen, ohne von Warnhinweisen, Bannern, Walls und Pop-ups zu Cookies bombardiert zu werden. Das war nicht immer so. Was hat sich geändert und warum? Wie lassen sich Cookies am besten verwalten? Dazu sollte man sich die Zusammenhänge etwas genauer anschauen.

Mitte 2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Sie konzentriert sich zu großen Teilen auf das Recht des Einzelnen auf Privatsphäre und ein sehr genaues Wissen darüber, was mit seinen Daten passiert. Die Verordnung hat neben vielen anderen Prinzipien auch die Praxis der Einwilligung hervorgebracht, entwickelt und verbessert. Von Opt-Ins und wie man in etwas einwilligt bis hin zu dem, was passiert, wenn man seine Zustimmung verweigert.

Wenn wir uns den Begriff der Einwilligung etwas genauer ansehen, erkennen wir, dass er aus mehreren Teilen besteht. In Erwägungsgrund 32 finden wir folgende Definition: »Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.« Denkt man einen Moment darüber nach, wird einem sehr schnell klar, dass Websites rechtswidrig handeln, wenn sie dem Benutzer nicht die Möglichkeit geben, der Verwendung von Cookies zuzustimmen beziehungsweise sie abzulehnen.

Dies lässt sich nämlich nicht als »freiwillig bekundet« bezeichnen. Das European Data Protection Board (EDPB) hat das inzwischen klargestellt und Leitlinien herausgegeben – auch der Europäische Gerichtshof und der Bundesgerichtshof haben in diese Richtung entschieden.

In Deutschland hat beispielsweise die Verbraucherzentrale darauf hingewiesen: »Unsere Seite nutzt Cookies, um Ihnen ein optimales Surferlebnis zu bieten« – mit diesen oder vergleichbaren Worten weisen viele Internetseiten auf den Einsatz von sogenannten »Cookies« hin. Nach einer Entscheidung des Europäischen Gerichtshofs (Az. C-673/17) und einer im Anschluss hieran ergangenen Entscheidung des Bundesgerichtshofs (Az. I ZR 7/16 ) reicht so eine bloße Information in vielen Fällen nicht aus. Denn in den meisten Fällen möchte der Seitenbetreiber zusätzliche Cookies setzen, die für den Aufruf der Internetseite nicht zwingend notwendig sind, wie etwa Werbe- oder Tracking-Cookies. Dazu bedarf es der ausdrücklichen Einwilligung der Nutzer einer Internetseite. Werden die Cookies verweigert, dürfen auch keine gesetzt werden.« Dennoch herrschen vielfach illegale Praktiken vor, was sich dringend ändern muss.

Letztendlich dürfen Betreiber nur die, für die Funktion der Website wesentlichen Cookies setzen, ohne die vorherige, zusätzlich eingeholte Einwilligung der Benutzer. Für Website-Entwickler ist es ein Leichtes, die Cookie-Lebensdauer in der Konfiguration einzustellen. Das gilt sogar für die unbedingt notwendigen, wesentlichen Cookies. Auch die lassen sich so konfigurieren, dass sie nach jeder beendeten Internet-Sitzung automatisch gelöscht werden. Natürlich fehlen dem Marketing-Team dann wertvolle Informationen und Rückschlüsse zum Surfverhalten und den genutzten Seiten. Aus diesem Grund herrscht hier, wenig überraschend, eine gewisse Zurückhaltung.

Reicht die Cookie-Verwaltung mit der Zeit wirklich noch aus? Scheinbar nicht … Und wer bisher in dem (guten) Glauben war, dies sei die Waffe der Wahl, der wird enttäuscht sein. Denn Browser sind nur in der Lage, gute alte Text-Cookies abzulehnen und zu verwalten.

Willkommen beim Super-Cookie [1]

Browser könnten gegen den neuen Super-Keks tendenziell machtlos sein, oder? Jedenfalls bis jetzt.

Super-Cookies nutzten den lokalen Speicher. Also physische Medien auf dem betreffenden Gerät und nicht nur den Browser-Cache. In der Vergangenheit haben Browser Caches weitergegeben, so dass, wenn Sie etwa auf ein und dasselbe Bild auf zwei verschiedenen Websites stoßen, das zweite aus dem lokalen Speicher-Cache geladen wird, um schneller zugreifen zu können. Website-Administratoren erkennen problemlos, ob Sie eine lokal gespeicherte Cache-Komponente verwenden und können sich so schnell ein Bild der von Ihnen besuchten Websites machen. Also das Surf-Verhalten tracken und zwar so, als hätten sie quasi einen Spiegel des Nutzerbildschirms vor sich. Würde diese Verwendungsweise wirklich offen und transparent kommuniziert werden, wie es Artikel 5(1)(a) vorschreibt, würden Nutzer das niemals zulassen.

Die Browser-Hersteller wehren sich nun aktiv gegen Tracking-Sünder. Sie aktualisieren ihre Software-Applikationen dahingehend, auch diese neuen Cookie-Typen zu handhaben. Sowohl der Technologieriese Google als auch die Mozilla-Gruppe haben bereits angekündigt, sich mit den neuesten Versionen ihrer Browser gegen diesen Cookie-Typ zur Wehr zu setzen.

Was heißt das alles nun für unsere Privatsphäre?

Die Funktionsweise von Super-Cookies impliziert, dass der Benutzer in diese Art von Tracking nicht aktiv einwilligen kann. Selbst dann nicht, wenn er es wollte. Und genau das entspricht nicht den Anforderungen an eine freiwillig bekundete Einwilligung (oder einer bestätigenden Handlung etc.).

Da man Super-Cookies kaum als für die Funktion wesentlich betrachten kann, ist die Einwilligung der einzige Mechanismus, der übrig bleibt. Die Nutzer einer Website zu bitten, sich damit einverstanden zu erklären, über viele verschiedene Websites hinweg nachverfolgt zu werden, wird sich schwer vermitteln lassen (auch, wenn es sehr zur Freude der Website-Vermarkter wäre [2]).

Auch wenn sich die übrigen Browser-Anbieter noch nicht öffentlich geäußert haben, dürfte deren Entwicklung in eine ähnliche Richtung gehen wie jetzt bei Google und Mozilla. Was aber definitiv fehlt, ist ein entsprechendes Bewusstsein in einer breiten Öffentlichkeit. Der durchschnittliche Internetnutzer hat vermutlich noch nie von Super-Cookies gehört und im besten Falle die Funktionsweise traditioneller Cookies verstanden. Hier gibt es noch einiges an Aufklärungsbedarf.

Die allermeisten Nutzer sind von dem zuvor schon erwähnten Cookie-Bombardement frustriert. Und klicken dennoch bei der Einwilligung auf »Akzeptieren«. Weil es die Lieblings-Website ist, weil es schnell gehen soll oder warum auch immer. Das gibt Website-Administratoren wenig bis gar keinen Anreiz, ihr Verhalten zu ändern. Aufsichtsbehörden auf der ganzen Welt werden zudem von Datenschutzanliegen überschwemmt. Das verzögert die Durchsetzung mehr als es wünschenswert ist.

Letztendlich lassen sich nur die, für die Funktion einer Seite wesentlichen Cookies ohne Benutzerinteraktion setzen. Wenn Sie auf eine Website stoßen, die sich nicht an die gesetzlichen Vorgaben hält, melden Sie diese. Das unterstützt die Bestrebungen derjenigen Tech-Unternehmen, die sich mit diesem Problem vorausschauend auseinandergesetzt haben. Benutzer sollten ihre Browser auf dem neuesten Stand halten, um von den Anstrengungen der Hersteller tatsächlich zu profitieren. Sollte der Browser Ihrer Wahl keine entsprechenden Updates liefern, dann scheuen Sie sich nicht, den Anbieter zu wechseln.

Richard Hancock, Data Protection Officer, GlobalSign

[1] Ein Super-Cookie wird als eine Art Tracking-Cookie vom Internet Service Provider in den HTTP-Header eingefügt, um Daten über den Browserverlauf und das Surfverhalten des Anwenders zu sammeln. Der auch als Unique Identifier Handler bezeichnete Super-Cookie ist technisch gesehen kein traditioneller HTTP-Cookie, sondern Informationen, die in Paketen vom Endanwendergerät an den verbundenen Dienst senden. Wenn der ISP (Internet Service Provider) den HTTP-Verkehr des Nutzers erkennt, fügt er einen zusätzlichen HTTP-Header in die Pakete ein, nachdem diese den Rechner des Nutzers verlassen haben. Quelle: https://www.computerweekly.com/de/definition/Super-Cookie

[2] Und mit Super-Cookies lassen sich eine ganze Reihe von Daten sammeln, von den genutzten Websites, über die Verweildauer, aber auch Informationen aus dem traditionellen Tracking wie etwa Login-Informationen, Bilder oder Dateien aus dem Cache oder auch Plug-in-Daten. Informationen, die auch nach dem Löschen des herkömmlichen Cookies gespeichert werden.

Quelle: https://www.computerweekly.com/de/definition/Super-Cookie

122 Artikel zu „Cookie“

NEWS | E-COMMERCE | IT-SECURITY

Das Ende des Cookie-Trackings: Folgen und Alternativen für den E-Commerce

15. Juli 2020

Die Rechtslage bei Cookies war in Deutschland und Europa bis vor Kurzem noch undurchsichtig und teilweise sogar widersprüchlich. Dann fällte der EuGH eine Entscheidung zum Einsatz von Cookies – der BGH orientierte sich maßgeblich daran und urteilte im Mai 2020: Das Speichern sämtlicher Nutzerinformationen ist nur dann erlaubt, wenn der Nutzer der Webseite vorher freiwillig…