In Großbritannien gilt seit dem 26. Mai 2011 ein Gesetz, nach dem britische Websites ihre Besucher informieren müssen, wenn sie einen Cookie auf dem PC des Nutzers hinterlassen wollen. (Quelle: Heise). Damit wagen sich die Briten als erste an eine Umsetzung der EU-Privacy-Richtlinie.
Aber wenn man diesem Gesetz und dieser Richtlinie bereits genügt, wenn man sich so verhält wie Radio Times, dann ist beides nicht nur schlecht durchdacht sondern wird überhaupt nicht dem eigentlichen Problem für die informationelle Selbstbestimmung gerecht. Besucher von Radio Times bekommen beim ersten Besuch folgendes kleines Fenster angezeigt:
Notice to Visitors
The law relating to website cookies changes on 26th May and requires that cookies only be used with your consent. Radio Times is currently working on the best way to obtain your consent without spoiling your enjoyment of the website and we will notify you of these changes in due course. You can find out more about this here.
Close
Aber was ist eigentlich das Problem mit Cookies? Und warum geht die EU-Richtlinie in die falsche Richtung? Dazu erst mal ein paar technische Hintergründe.
Was ist ein Cookie?
Wenn ich in meinem Browser eine Adresse aufrufe (z.B. www.google.de), dann passiert im Prinzip folgendes:
1. Mein Browser öffnet eine Verbindung zum Server www.google.com. Nachdem die Verbindung hergestellt ist, sendet der Browser (unter Anderem):
GET / HTTP/1.1
Host: www.google.de
...
2. Auf diese Anfrage antwortet der Google-Server mit:
HTTP/1.1 200 OK
Date: Tue, 31 May 2011 15:33:16 GMT
Expires: -1
Cache-Control: private, max-age=0
Content-Type: text/html; charset=ISO-8859-1
Set-Cookie: PREF=ID=c74be649ef9763b7:FF=0:TM=1306855996:LM=1306855996:S=cTXJgOVRXnrogsvq; expires=Thu, 30-May-2013 15:33:16 GMT; path=/; domain=.google.de
...
<html>
... HTML-Code für die Google-Seite ...
</html>
3. Der Browser schließt die Verbindung. Die empfangenen Daten können jetzt verarbeitet werden.
Für die nächste Betrachtung ist die Zeile wichtig, die bei der Antwort des Servers mit „Set-Cookie:“ beginnt. Wenn ich meinem Browser erlaubt habe, Cookies zu akzeptieren (was in den meisten Fällen die Standardeinstellung ist), so sendet der Browser bei einer Suche nach dem Stichwort „Piraten“:
GET /search?q=Piraten HTTP/1.1
Host: www.google.de
Cookie: PREF=ID=1cacf8fc575e2246:FF=0:TM=1306827519:LM=1306827519:S=OdbtXtLcg-upSk2g
...
Akzeptiert mein Browser keine Cookies, so wird die Zeile, die mit „Cookie“ beginnt, weggelassen. Google hat dann keine Möglichkeit, mich mehr wiederzuerkennen.
Wo ist jetzt das Problem bei Cookies?
Wie ich schon im letzten Satz geschrieben habe: Google kann mich wiedererkennen. Die Zeile, die mit „Set-Cookie“ beginnt, enthält ja auch noch die Zeichen „expires=Thu, 30-May-2013 15:33:16 GMT“.
Das heißt, erst heute in 2 Jahren läuft dieser Cookie ab. Solange ich keinen anderen Rechner benutze und nie die Cookies im Browser lösche, kann mich also Google die nächsten zwei Jahre problemlos wiedererkennen. Und damit jede Anfrage protokollieren. So „weiß“ Google z.B., dass ich nach Piraten gesucht habe. Wenn ich später wieder nach etwas anderes suche (z.B. Wandertouren Alpen), dann kann Google eine Verknüpfung herstellen, dass ich mich sowohl für die Piraten interessiere als auch für Wandertouren.
Und wenn man nicht nur die Google-Suche sondern auch noch andere Dienste von Google (z.B. Maps) nutzt und auch noch auf anderen Websites unterwegs ist, die sich mit Google Ads finanzieren, dann kann einen Google jedesmal wiedererkennen. Und jedes Mal protokollieren, was ich so treibe. Damit kann sich Google ein immer besseres Bild über mich machen.
Jetzt kommt hier ein wichtiger Punkt ins Spiel. Es gibt noch eine Sache, die Google nicht weiß: Und zwar wer ich bin. Aber dazu später mehr.
Und was ist der Nutzen?
Würden die Cookies nur zum „Ausspionieren“ genutzt werden, dann könnte man sie ja auch einfach abschalten und gut ist. Aber leider ist das nicht so einfach. Cookies haben nämlich noch einen anderen Zweck: Sie dienen häufig dazu, einen Benutzer temporär wiederzuerkennen. Wenn ich z.B. in einem Onlineshop einkaufe, dann bin ich es gewohnt, erst mal ein paar Produkte in den Warenkorb legen zu können, bevor ich mich irgendwie anmelden muss.
HTTP ist ein zustandsloses Protokoll. Das heißt, dass jede Anfrage des Browsers nach dem Schema läuft: Verbindung herstellen; Anfrage senden; Verbindung trennen. Um damit eine komplette „Sitzung“ d.h. einen kompletten Einkaufsvorgang mit Waren aussuchen, in den Warenkorb legen, Daten ausfüllen, Bezahlvorgang, etc. abzuwickeln, bedient man sich gern sogenannter „Session-IDs“, die im Cookie gespeichert sind. Ein sogenannter „Session-Cookie“ ist auch meist nur solange gültig, bis der Nutzer das Browserfenster schließt.
Also sind nur „langlebige“ Cookies problematisch?
Nein, so einfach ist es auch wieder nicht. Es gibt durchaus auch Gründe, dass ein Cookie auch länger bestehen kann. So kann man sich z.B. auf manchen Websites Einstellungen dauerhaft speichern. Das ist z.B. die Sprache (bei einer mehrsprachigen Seite), diverse Farbeinstellungen, oder ob ich ein Forum lieber in Threaddarstellung lese oder ohne Threads.
Wer hier einen Kommentar hinterlässt, der hat die Möglichkeit, Namen und Email-Adresse zu speichern, so dass man diese beim nächsten Kommentar nicht mehr eingeben muss. Auch diese Funktionalität wird mit Hilfe von Cookies bereitgestellt.
Und was ist mit Tracking?
Jetzt könnte man also kommen und Cookies dann für „böse“ erklären, wenn sie dazu benutzt werden, um den User zu „tracken“. Genau das ist auch in der EU-Richtlinie gefordert. Nach dieser muss ein Seitenbetreiber einen Besucher Fall darauf hinweisen, dass Cookies zum Tracking verwendet werden. Der Besucher hat dann die Möglichkeit, eben Cookies bei der entsprechenden Seite anzunehmen oder abzulehnen. Im letzteren Fall wird es dann vermutlich vorkommen, dass die Seite nicht mehr funktioniert.
Tracking von Nutzern ist ja auch nicht per se „böse“; ein Webmaster kann anhand von Tracking-Daten erkennen, welche „Klickpfade“ die Nutzer zurücklegen und so eventuell seine Seite optimieren. Es gibt auch andere Analysemethoden, die auf IP-Adressen basieren, aber erstens ist diese Methode recht unzuverlässig und kann nicht mehrere Nutzer hinter einem NAT-Router trennen. Und zweitenes besteht hier die Gefahr, dass IP-Adressen automatisch zu personenbeziehbaren Daten werden, wenn mal die Vorratsdatenspeicherung eingeführt wird.
Auch muss noch einmal ganz klar angemerkt werden, dass ein Cookie bei der ersten Verwendung keinerlei personenbezogene Daten enthält. Ein Webseitenbetreiber kann einen Benutzer anhand des Cookies erst mal nur wiedererkennen aber nicht identifizieren. Er kann sagen „Der Nutzer war gestern schon mal hier“; er kann aber nicht sagen „Das ist Torsten Fehre aus Dresden; der war gestern auch schon mal hier“. Wie ich schon früher geschrieben habe: Google kennt zwar meine Vorlieben, weiß aber nicht unbedingt, wer ich bin.
Aber je länger ein Cookie benutzt wird, desto mehr Informationen können dazu gespeichert werden. Und nach und nach ergibt sich ein eindeutiges Profil des Nutzers. Auch ist es für manche Dienste im Web (z.B. Google Mail) auch notwendig, dass man sich anmelden und personenbezogene Informationen über sich preisgeben muss. Bei Amazon.com muss man eben auch tatsächlich seine richtige Adresse angeben, sonst hat es der Paketdienst mit der Lieferung schwer. Und dann werden die mit dem Cookie verknüpften Daten, die bisher noch keinen Personenbezug hatten, plötzlich auf einen Schlag zu personenbeziehbaren Daten.
Deswegen ist die Richtlinie alles andere als ausgereift. Die EU-Mitgliedsstaaten sollen irgendwie regeln, dass der Nutzer explizit darauf hingewiesen wird, wenn die Website Tracking-Cookies einsetzt. Der Nutzer muss nicht informiert werden, was getrackt wird und wie lange diese Daten gespeichert werden. Auch Radio Times zeigt nur dieses Hinweisbildchen an.
Wie ließe sich das datenschutzfreundlich lösen?
Der britische Datenschutzbeauftragte kommt in einem Paper zu dem Schluss, dass man z.B. auch das Einverständnis vom Benutzer benötigt, wenn man solche Sachen anbieten möchte wie „Sprache einstellen“ oder auch „Die letzten von Dir gesehenen Videos“. Und dass man als Webseiten-Betreiber sich nicht unbedingt darauf verlassen kann, was die Benutzer in ihrem Browser eingestellt haben.
Nach meinen Vorstellungen sollte das so geregelt sein, dass jeder Nutzer die Möglichkeit hat, bei dauerhaft gespeicherten Cookies beim Seitenbetreiber anzufragen, welche Informationen mit diesem Cookie verknüpft sind. Zum Recht auf informationelle Selbstbestimmung gehört es auch, dass man jederzeit nachfragen kann, was ein Seitenbetreiber so alles über einen gespeichert hat. Ein Datenbrief, wie ihn der CCC fordert, ist hier auch nicht möglich. Schließlich enthält so ein Cookie ja gar keine personenbezogenen oder personenbeziehbaren Informationen.
Hat das auch Nachteile?
Einen großen Nachteil hat das Ganze: Wenn ein Webserver viele Informationen mit einem Cookie verknüpft (z.B. ganze Click-Pfade), dann kann jeder, der unbefugt Zugriff zu den Cookie-Daten auf dem Rechner des Nutzers hat, besser dem betreffenden Nutzer nachschnüffeln. Aber hier hilft auch die bisherige „Paranoia-Option“: Beim Schließen des Browsers einfach alle Cookies löschen. Oder eben nur die, zu denen zuviel „Tracking-Foo“ gespeichert wird.
0 Kommentare zu “Europäische Keksrichtlinien und die englische Küche”