Bis zum EuGH sind sie gekommen: Cookies und deren datenschutzrechtlichen Implikationen wurden hier behandelt. In kurzen Worten: Der Nutzer muss über die Nutzung von Cookies informiert werden und soweit diese nicht technisch notwendig sind, zu deren Nutzung auf einer Webseite auch aktiv einwilligen.
Dazu wird viel geschrieben, aber die technischen Grundlagen kommen oft zu kurz. Was das heißt, und wie das alles funktioniert, wird daher nachfolgend einmal dargestellt.
Was sind eigentlich Cookies?
Um es kurz zu machen: Cookies sind kleine Dateien. Diese kann eine Webseite an den Browser eines Webseitenbesuchers senden und darin eine kleine Datenmenge (wenige Kilobyte) ablegen. Damit können Webseitenbetreiber im Browser des Nutzers Daten ablegen und ihn entweder während einer Session oder auch nach einem erneuten Besuch der Webseite eindeutig wiedererkennen. Diese Wiedererkennung ermöglicht eine Verknüpfung zwischen dem Nutzer und den beim Webseitenbetreiber hinterlegten, möglicherweise umfangreichen Daten.
Beispiele:
Ein Nutzer ist an einer Webseite angemeldet. Er verlässt diese Seite und kommt am nächsten Tag mit demselben Browser wieder auf die Seite. Je nachdem, wie die Seite die Cookies eingestellt hat, ist der Nutzer immer noch angemeldet und kann die Seite sofort weiter nutzen.
Ein Nutzer kauft auf einer Webseite ein und füllt den Warenkorb. Er ist nicht angemeldet. Dennoch kann die Webseite sich merken, was im Warenkorb enthalten ist. Hier wird der Warenkorb in der Datenbank des Webseitenbetreibers gespeichert und kann über das Cookie dem Nutzer eindeutig zugeordnet werden.
Cookies haben Eigenschaften, wie beispielsweise eine Gültigkeit und eine zugeordnete Domain. Die Gültigkeit bestimmt, wie lange das Cookie erhalten bleibt. Das kann so lange sein, bis der Besuch der Webseite endet oder mehrere Jahre. Das legt die Webseite fest.
Die zugeordnete Domain entscheidet darüber welche Webseite auf das Cookie überhaupt zugreifen darf. So kann "webseite123.de" normalerweise nicht auf die Cookies von "webseite456.de" zugreifen.
Cookies sind keine Programme. Es sind kleine Textdateien, die vom Browser in einem speziellen Verzeichnis auf dem Rechner gespeichert werden. Sie können den Rechner nicht „ausspionieren“ oder auf dem Rechner Schaden anrichten. Sie wurden entwickelt, damit sich ein Webseitenbetreiber etwas zu seinen Nutzern merken kann (in seiner Datenbank) und diese beim nächsten Besuch wiedererkennt. Außerdem werden sie genutzt, im während eines Besuchs Dinge zu speichern, die für die Bedienung wichtig sein können. Das kann den Komfort für den Nutzer deutlich steigern. Dies kann aber unerwünschte Nebeneffekte haben, wenn der Nutzer nicht wiedererkannt werden möchte. So wurden und werden Cookies auch verwendet, um Nutzer ohne deren Wissen wiederzuerkennen, um ihnen beispielsweise gezielt Werbung anzuzeigen.
Beispiel: Da surft man bei einem Internethändler nach Sportschuhen und dann werden einem auf allen Webseiten, die man besucht im Werbeblock Sportschuhe angezeigt. Cookies machen es möglich.
Was sind Third-Party Cookies und wie funktioniert das Tracking?
Wenn der Nutzer auf eine Seite surft, kann nicht nur die Webseite selbst Cookies setzen. Viele Webseiten nutzen Tracker (um das Nutzerverhalten zu analysieren) oder haben Werbeflächen eingebunden. Auch (aktive) Social-Media Plug-ins sind häufig enthalten. Diese in den Code der Webseite eingebundenen Funktionen können eigenständig Cookies setzen. Und weil diese nicht vom Webseitenbetreiber, sondern von einem „Dritten“ stammen, spricht man von „Third-Party“ Cookies.
Der Webseitenbetreiber selbst hat auf diese keinen Zugriff und kann sie auch nicht löschen. Später sehen wir, was das bedeutet.
Wenn nun der Drittanbieter auf mehreren Seiten eingebunden wird, wie dies bei Analysetools (z.B. Google Analytics) und Anbietern von Werbeanzeigen (z.B. Google oder Amazon) der Fall ist, kann dieser den Nutzer wiedererkennen, denn er kann das von ihm auf einer anderen Seite gesetzte Cookie abfragen und so den Weg des Nutzers verfolgen. Wer einmal bei Amazon nach einem Produkt gesucht hat und dann auf allen möglichen Internetseiten Werbung fast nur noch dieses oder ähnliche Produkte angeboten bekam, hat genau das erlebt.
Im Browser Cookies löschen, und der Spuk ist vorbei. Man wird nicht mehr wiedererkannt.
Und darauf zielen inzwischen einige Browser ab: Die Funktion „Third Party Cookies blockieren“ verhindert die Speicherung dieser Cookies von vornherein. Aber Achtung: Bei (beispielsweise) Google oder Amazon können diese Cookies beim Besuch von deren Suchmaschine oder dem Onlineshop gesetzt werden. Der Logik folgend, sind dies dann keine Third-Party Cookies, denn der Nutzer befindet sich ja genau auf deren Webseite.
Kann ich anzeigen, welche Cookies auf meinem Rechner gespeichert sind?
Das geht. In jedem Browser funktioniert es etwas anders. Hier findet sich eine Beschreibung für einige Browser.
Kann ich Cookies selbst löschen?
In jedem Browser gibt es Einstellungen und Funktionen, um Cookies zu verwalten und zu löschen. Unabhängig davon, wie die Gültigkeit von der Webseite eingestellt ist, kann man Cookies löschen. Schließlich sind sie auf dem Rechner gespeichert und der Browser (die Software des Nutzers) verwaltet diese. Manche Browser kann man so einstellen, dass sie beim Beenden automatisch alle Cookies löschen. Hier finden sich einige Hinweise. Im Zweifel kann die Hilfe-Funktion des Browsers den exakten Weg zeigen.
Zu den Optionen gehört in manchen Browsern auch die Möglichkeit, „Third-Party“ Cookies zu unterdrücken. Damit wird die besuchte Webseite autorisiert, Cookies zu setzen. Cookies von anderen Webseiten, die auf der besuchten Seite angezeigt werden (wie z.B. externe Tracker oder Werbenetzwerke), sind dann aber nicht erlaubt und werden vom Browser nicht angenommen.
Datenschutzaspekte
Grundsätzlich können Cookies zur Identifikation einer natürlichen Person verwendet werden. Hierzu legt der Webseitenbetreiber bei sich Daten ab (er verarbeitet) und kann über die in einem Cookie gespeicherten Daten (ein eindeutiger Schlüssel) eine Person, über die er bereits Daten gespeichert hat, wiedererkennen. Insofern können die in einem Cookie gespeicherten Daten personenbezogen sein (genau so, wie es die in der Datenbank sein können).
Die Datenschutzgrundverordnung (DSGVO) verlangt bei der Verarbeitung personenbezogener Daten immer eine Rechtsgrundlage. Da in den allermeisten Fällen andere Rechtsgrundlagen nicht anwendbar sind, muss eine „Einwilligung“ von der betroffenen Person gegeben werden. Wen es interessiert: Art. 6, Abs.1, lit. a der DSGVO.
Gemeint sind hier nicht Cookies, die für den ordnungsgemäßen Betrieb der Webseite erforderlich sind. Hier hat der Webseitenbetreiber ein berechtigtes Interesse. Aber auch dann muss er darüber informieren und vor allen Dingen eine Löschfrist definieren, die nicht länger ist als unbedingt notwendig. Cookies können ja eine Gültigkeitsdauer erhalten. Die Pflicht zur Löschung gilt übrigens für alle personenbezogenen Daten.
Jetzt muss also der Webseitenbenutzer der Nutzung von Cookies zustimmen. Dazu verwenden Webseitenbetreiber zumeist (bisher) einfache Cookie-Banner, auf denen steht etwas wie „Durch Nutzung der Webseite erklären Sie sich mit der Nutzung von Cookies auf unserer Webseite einverstanden“. Oder „klicken Sie ‚Weiter‘“, um der Nutzung von Cookies auf unserer Webseite zuzustimmen.
Das alles reicht nicht. Der Nutzer muss unmissverständlich aufgeklärt werden, was, wozu, wie lange und auf welcher Rechtsgrundlage gespeichert und weitergegeben („verarbeitet“) wird. Die weiteren Transparenzpflichten lassen wir an dieser Stelle einmal unbeachtet. Und bei nicht durch berechtigte Interessen abgedeckter Verarbeitung (also z.B. Tracking Cookies) muss eine Einwilligung vorliegen.
Hierzu werden nun vermehrt Konfiguratoren für Cookies eingesetzt, in denen der Nutzer auswählen kann, welche Cookies die Webseite bei ihm speichern darf. Lediglich die für den Betrieb wirklich notwendigen Cookies kann man nicht konfigurieren. Die dürfen auch bleiben.
Aber: Cookies alleine sind nicht die ganze Wahrheit, auch wenn dies immer wieder und fälschlicherweise so dargestellt wird.
Denn es liegen ja Daten auf dem Server der Webseitenbetreiber. Und die sind sehr viel umfangreicher als das kleine Cookie auf dem Rechner des Nutzers. Aber damit erkennt die Webseite ihn eben eindeutig wieder. Und die in den Datenbanken gespeicherten Daten über die Nutzer sind personenbezogen und müssen ebenfalls durch die Datenschutzerklärung abgedeckt werden (und natürlich braucht es dafür auch eine Rechtsgrundlage).
Übrigens: Die Einwilligung zu Cookies (egal welcher Art) ist nicht zugleich die Einwilligung zur Speicherung beliebiger Daten auf dem Server des Seitenbetreibers. Hier muss deutlich erklärt werden, was passiert. Ein häufiger Mangel auf vielen Webseiten!
Cookiebanner und Konfiguratoren
Jeder kennt sie. Lästig und störend werden sie empfunden: Cookiebanner.
Sie werden genutzt, um dem Webseitenbesucher zu erklären, dass die Seite Cookies nutzt. Und dann kommt ein mehr oder weniger klarer Hinweis, dass die weitere Nutzung der Seite als Einverständnis interpretiert wird. Das geht aber nur, wenn die Seite ausschließlich technisch notwendige Cookies nutzt, für die das „berechtigte Interesse“ als Rechtsgrundlage dienen kann. Natürlich muss das klar und deutlich erklärt werden.
Webseiten, die Marketing- und Tracking Cookies nutzen, müssen sich das explizite Einverständnis der Nutzer einholen (und dabei die Voreinstellung auf maximalen Datenschutz festlegen). Dies wird mit Bannern gemacht, die eine Konfigurationsmöglichkeit bieten. Hier kann der Nutzer einstellen, welche Art Cookies er zulassen und welche er nicht zulassen möchte. Die Webseite folgt dann diesen Vorgaben und der Nutzer wird auf seinen Wunsch nicht „getracked“. Später sehen wir, warum das nicht ganz so funktioniert.
Wie funktioniert das? Am Beispiel von cookiebot soll dies hier aufgezeigt werden.
Zunächst muss der Webseitenbetreiber eine Nutzungslizenz des Services erwerben. Dann kann er bei Cookiebot seine eigene Webseite scannen lassen. Dabei stellt Cookiebot fest, welche Cookies die Webseite tatsächlich setzt. Diese müssen dann einzeln klassifiziert und der richtigen Kategorie zugeordnet werden (Marketing, Statistik etc.). Diese Kategorien kann der Benutzer später auswählen.
In die Webseite muss der Webseitenbetreiber dann einen Code einbinden.
Ruft nun ein Nutzer die Webseite auf, erhält er die Möglichkeit, die Cookies nach Kategorien ein- oder auszuschalten.
Das eingebundene Programm kommuniziert mit der auf dem cookiebot-Server gespeicherten Datenbank und unterdrückt nun Anbieter von Cookies, von denen mindestens eine Kategorie vom Nutzer abgewählt wurde. Die Kategorisierung ist hierbei vom Webseitenbetreiber zuvor durchgeführt worden.
Das funktioniert natürlich nur, wenn der Webseitenbetreiber einerseits alle Cookies kennt, die Drittanbieter, nutzen deren Code er auf seiner Seite eingebunden hat (z.B. Werbenetzwerke, Statistikanbieter). Und wenn diese etwas ändern, muss er dies bei Cookiebot bekannt geben. Hier kann zwar ein regelmäßiger Scan auf Änderungen hinweisen, jedoch kann es immer Phasen geben, in denen der Webseitenbetreiber keine exakte Kenntnis darüber hat, welche Cookies genutzt werden. Sicher ist dies zum Bestandteil der abzuschließenden Verträge zu machen, jedoch ist die Praxis davon bisher weit entfernt.
Wenn der Nutzer hier Tracking Cookies abwählt, werden diese, wenn sie schon auf dem Rechner gespeichert sind, nicht gelöscht. Die Konfiguratoren können hier nur die Speicherung neuer Cookies verhindern. Dies ist vielen Nutzern nicht deutlich.
Fingerprinting
Unter Fingerprinting versteht man Vorgehensweisen zum Nutzertracking, jedoch typischerweise ohne den Einsatz von Cookies. Bei Fingerprinting wird durch das Auslesen von bestimmten Parametern, die der Browser auf Anfrage an die Webseite liefert, ein Profil erstellt. Hierbei werden beispielsweise herangezogen:
Betriebssystem, Bildschirmauflösung, Browserversion, Installierte Schriftarten, verarbeitbare Dateikennungen etc. Überraschenderweise ist die Kombination auf nahezu jedem Rechner einmalig, so dass eine hohe Sicherheit bei der Wiedererkennung des Webseitenbesuchers erreicht werden kann. Hierzu legt der Webseitenbetreiber keine Daten auf dem Rechner des Nutzers ab, sondern nutzt ausschließlich seine eigene Datenbank.
Daher kann der Nutzer dies nicht beeinflussen. Während der Nutzer Cookies löschen kann, ist ein Fingerprint außerhalb der Kontrolle des Benutzers. Er kann lediglich seine Konfiguration ändern, so dass das Profil, das der Browser liefert, sich verändert.
Das kann man testen: Panopticlick und amiunique zeigen anschaulich die Details auf.
Cookies auf Mobilgeräten/Handys
Auf Mobilgeräten wird die Lage noch komplexer: Hier können auch Apps Cookies setzen. Das ist kaum bekannt, erzeugt aber mindestens genauso schwerwiegende, wenn nicht noch schwerwiegendere Risiken für die Privatsphäre. Mit Apps gehen die meisten Nutzer eher offen um und vertrauen diesen. Über Cookies kann eine Beziehung zwischen Internetnutzung und dem App-Nutzer hergestellt werden. Dieser Umstand findet bislang kaum Beachtung.
Zusammenfassung und Kommentierung
Die aktuelle Rechtsprechung ist keine Revolution, sie hat bestätigt, was auch zuvor bei konservativer Betrachtung schon klar war: nicht notwendige Cookies müssen konfigurierbar sein.
Allerdings kann dies nur dann Sicherheit bieten, wenn ausnahmslos alle Webseiten, die ein Benutzer besucht, sich daran halten und dies auch lückenlos technisch gewährleisten. Eine Vielzahl von Nutzern besucht gelegentlich oder häufig Google zum Auffinden von Webseiten. Und bereits bei Aufruf der Suchseite, ist es passiert: Googles Cookies werden im Browser gespeichert. Und wer ab und an noch bei Amazon einkauft, hat die nächsten Tracking Cookies auf dem Rechner, die er später nicht mehr los wird.
Es ist eine Illusion dass die Benutzer hiermit wirksam zu schützen sind. Vielmehr müssen die Benutzer das selbst in die Hand nehmen: Sie müssen den Browser beherrschen und einfach ab und an Cookies löschen und die Grundeinstellungen sinnvoll treffen.
Der Benutzer hat die Hoheit-er weiß es oft nur nicht.
Die Browser könnten den Nutzer hier sehr wirksam unterstützen. Wenn die Browser „Privacy by Design“ und „Privacy by Default“ konsequent umsetzen würden (übrigens auch eine Anforderung der DSGVO!), wären Cookie Konfiguratoren, Cookie Banner etc. einfach unnötig.
Manche Browser besitzen bereits einzelne der folgenden Funktionen, jedoch ist dies weder vollständig umgesetzt noch besonders nutzerfreundlich implementiert. Folgende Funktionen wären hilfreich (alle einfach konfigurierbar):
- WhiteList/Blacklist für Third-Party-Cookies, die der User akzeptieren bzw. nicht akzeptieren möchte
- Whitelist/Blacklist für Seiten, deren Cookies der User akzeptieren bzw. nicht akzeptieren möchte
- Generelle Akzeptanz von Third-Party-Cookies
- Löschung von Cookies bei Wechsel der Internetseite (damit wäre vieles erledigt)
- Button zum schnellen Löschen aller Cookies im Menü (nicht in einer tiefen Menüebene unter den Einstellungen)
- Möglichkeit, gespeicherte Cookies mit wichtigen Angaben (Webseite, Lebensdauer) einzusehen und einzeln zu löschen
Webseitenbetreiber sollten sich zeitnah damit befassen, welche datenschutzrelevanten Aktionen auf ihrer Webseite passieren und entsprechende Konfiguratoren implementieren sowie die Datenschutzerklärung zutreffend anpassen. Hinweis aus der Praxis: Webseiten nutzen oft datenschutzrelevante Funktionen, von denen der Betreiber nichts weiß und von denen nichts in der Datenschutzerklärung steht. Hier sollte von versiertem Personal oder Beratern die Technik daraufhin untersucht werden, was sie tatsächlich macht. Da gibt es oft Überraschungen.
Bild: chocolat01 / pixelio