Gratis
9. Januar 2016 - Online-Datenschutz

Datenschutz-Grundlagen: Der richtige Umgang mit Cookies

Drucken

Viele Internetnutzer sind verunsichert, wenn es um Cookies geht, und wollen sämtliche Cookies blockieren. Andere schenken Cookies überhaupt keine Beachtung. Doch es gibt einen goldenen Mittelweg, um Datenschutz und Cookies in Einklang zu bringen.

Vor allem alternative Cookies lassen sich schwer entfernen Cookies sind nicht zwingend unvereinbar mit dem Datenschutz (Bild: NiroDesign/iStock/Thinkstock)

Mit Cookie-Mythen aufräumen

Cookies gehören zweifellos zu den Klassikern im Datenschutz. Kaum ein anderes Thema wurde und wird so regelmäßig in den Datenschutz-Schulungen zur Internet-Nutzung behandelt.

Trotzdem zeigen Umfragen, dass es immer noch Internetnutzer gibt, die eine falsche Vorstellung von Cookies haben. Die Bandbreite der falschen Vorstellungen reicht von Cookies als einer Art Schadsoftware bis hin zur kompletten Verteufelung als Spionage-Tool.

Natürlich gibt es berechtigte Bedenken, wenn Cookies zum Einsatz kommen. Es macht allerdings keinen Sinn, Cookies komplett blockieren zu wollen, wenn es um einen rechtmäßigen und datenschutzkonformen Einsatz geht. Die Nutzer müssen deshalb genauer verstehen, wofür Cookies genutzt werden – ein wichtiges Thema für den Datenschutz und die Datenschutzschulung.

Cookies sind keine Programme

Zuerst einmal sollten Sie als Datenschutzbeauftragter deutlich machen, dass Cookies keine Schadprogramme sind, sondern im klassischen Fall Textdateien, die Webserver auf den lokalen Systemen der Webnutzer speichern, wenn der Cookie-Manager im Webbrowser der Nutzer das nicht verhindert.

Entscheidend bei den Text-Cookies ist nun,

  • welche Information darin gespeichert wird,
  • wie lange die Information gespeichert wird,
  • wer die Cookies speichert und
  • wer sie später ausliest.

Inhalt und Herkunft der Cookies für Datenschutz entscheidend

Typisches Einsatzfeld von Cookies ist die Speicherung eines bestimmten Status bei der Webnutzung. Das kann der Warenkorb in einem Online-Shop sein, zu dem mittels Cookie der aktuelle „Füllstand“ gespeichert wird.

Es kann aber auch der Anmeldestatus (Session-ID) sein, der gespeichert wird, damit ein Nutzer nicht für jede Unterseite eines Webauftritts erneut seine Zugangsdaten eingeben muss. Um dabei verschiedene Nutzer unterscheiden zu können, wird in einem Text-Cookie in aller Regel eine eindeutige Kennung gespeichert.

Kritisch für den Datenschutz wird es dann, wenn in einem Cookie personenbezogene Daten gespeichert werden oder aber die Cookie-ID mit personenbezogenen Daten des Nutzers verknüpft wird. Dies kann zum Beispiel bei einer Registrierung geschehen.

Wenn die Cookie-Daten mit Wissen des Nutzers und nur für den dem Nutzer bekannten Zweck eingesetzt werden, ist dies kein Problem. Anders sieht es aus, wenn Cookies heimlich eingesetzt werden, um Nutzer in ihren Aktivitäten auf der Webseite oder über verschiedene Webseiten hinaus nachzuverfolgen (Tracking).

Gerade bei Cookies, die nicht vom Webserver, der den besuchten Webauftritt vorhält, abgelegt oder ausgelesen werden (Cookies Dritter), kann die Gefahr bestehen, dass die Cookies für ein solches Tracking eingesetzt werden.

Wenn dann noch eine lange Speicherdauer für das Cookie vorgesehen ist (Persistent Cookies), drohen Nutzerprofile, die tiefe Einblicke in das Online-Verhalten des Nutzers geben. Verknüpft zum Beispiel mit Registrierungsdaten kann das Online-Verhalten auch einzelnen Personen zugeordnet werden.

Anzeige

Mitarbeiterschulung Datenschutz Tipp der Redaktion: Mitarbeiterschulung Grundlagen des Datenschutzes

Nie war Schulen einfacher – mit diesem E-Learning unterweisen Sie Ihre Mitarbeiter im Datenschutz schnell und effektiv, ohne selbst anwesend sein zu müssen!

Kostenlos testenJetzt kostenlos testen!


Nutzer informieren und Cookies managen

Empfehlen Sie in Ihrer Datenschutz-Schulung den Nutzern deshalb, grundsätzlich die Datenschutzerklärung der besuchten Webseiten zu prüfen, ob und wenn ja wie Cookies genutzt werden.

Zudem sollten die Einstellungen im Cookie-Manager so sein, dass nur in definierten Ausnahmefällen bestimmte Cookies länger als eine Browsersitzung überleben und nur in bestimmten, vom Nutzer freigegebenen Fällen auch Cookies Dritter akzeptiert werden.

Nutzen Sie am besten die Arbeitshilfe zum Datenschutz, um die Nutzer über den richtigen Umgang mit Cookies zu informieren.


Download:


Aber: Verlassen Sie sich nicht auf den Cookie-Manager!

Webbrowser bieten mit dem Cookie-Manager scheinbar kompletten Schutz vor unerwünschten Cookies. Doch das Internet kennt Cookie-Formen, die kein Browser wirksam blockieren kann. Hier helfen nur die richtigen Browser-Erweiterungen und Zusatzprogramme.

Der Cookie-Manager im Browser

Browser bieten ein Cookie-Management. Damit lassen sich Cookies, also kleine Textdateien, nur temporär oder nur bei bestimmten Webseiten zulassen. Oder der Nutzer kann sie komplett ablehnen.

Für die Online-Werbung und für das Online-Tracking ist die Blockade der Cookies unerfreulich.  Deshalb setzen sie andere Webtechnologien ein, die die Cookie-Verwaltung nicht berücksichtigt. So können selbst bei vollständiger Cookie-Ablehnung besuchte Websites ungehindert alternative Cookies auf den Rechnern der Internetnutzer platzieren.

Flash-Cookies

Die am stärksten verbreitete Form der alternativen Cookies, die sogenannten Flash-Cookies, stehen in Verbindung mit dem Adobe Flash Player. Das ist ein Plug-in, das Webnutzer in ihrem Browser installiert haben, um Flash-Animation zu betrachten.

Ein einfacher Cookie-Manager kann Flash-Cookies im Browser nicht erkennen. Denn sie sind den bekannten Text-Cookies sehr ähnlich.

Kritisch sind insbesondere die Flash-Cookies von Drittanbietern. Sie tauchen zum Beispiel auf, wenn die Werbebanner auf einer Website mit Flash-Animationen ausgestattet sind. Über eine User-ID, die im Flash-Cookie abgelegt ist, können Werbenetzwerke die Vorlieben der Nutzer im Internet nachvollziehen.

Gegenmaßnahme

Der Cookie-Manager im Browser reicht in diesem Fall nicht als Gegenmaßnahme. Aber der Flash-Player lässt sich so konfigurieren, dass die Flash-Cookies keinen lokalen Speicherplatz mehr zugewiesen bekommen. Das erfolgt im Dialog Einstellungen des Flash-Players.

Evercookies

Neben den Flash-Cookies gibt es weitere Cookie-Arten, die einer besonderen Behandlung bedürfen. Weder der Cookie-Manager im Browser, noch das gezielte manuelle Löschen eines Cookies helfen gegen sie.

Die sogenannten Evercookies liegen nicht nur an einem Speicherort. Sie belegen gleich mindestens 13 verschiedene Speicherformen, darunter die Speicherung

  • als Text-Cookie,
  • als Flash-Cookie,
  • als mit den Flash-Cookies verwandtes Silverlight-Cookie,
  • als Super-Cookie im Internet Explorer und in den Speicherbereichen bei Nutzung von HTML5.

Zusätzlich werden die Cookie-Inhalte als Bilddatei und als Teil des Browserverlaufs gespeichert.

Gegenmaßnahme?

Internetnutzer müssten zur Abwehr der Evercookies all diese Speicherorte kennen und die Cookie-Inhalte löschen. Evercookies haben zudem Selbstheilungskräfte: Übersehen sie auch nur einen Speicherort der Evercookies oder löschen sie ihn nicht wirklich, kann sich ein Evercookie selbst rekonstruieren.

Allein die Bordmittel eines Webbrowsers verhindern das Tracking durch Cookies und Cookie-Alternativen nicht. Hier sind Browser-Erweiterungen und Zusatzprogramme wichtig, die sich speziell darum kümmern, verschiedene Cookie-Formen zu beseitigen.

Thema für Datenschutz-Schulung

Wichtig für den Datenschutz im Betrieb ist, dass die Internetnutzer wissen, dass die einfachen Cookie-Manager im Browser nicht ausreichen und welche Zusatzmittel erforderlich und verfügbar sind.

Dazu bietet sich ein Selbsttest im Rahmen der Datenschutz-Schulung an. Wichtige Fragen, die Sie den Kollegen stellen können, sind etwa

  • Wo finde ich den Cookie-Manager im Browser?
  • Was sind die passenden Cookie-Einstellungen?
  • Wie blockiere ich Flash-Cookies?
  • Was kann ich gegen Evercookies machen?
  • Welche zusätzlichen Tools gegen Cookies brauche ich?

Oliver Schonschek
Oliver Schonschek, Diplom-Physiker, ist IT-Fachjournalist und IT-Analyst.