27. Mai 2009 - Cookie-Management

Die Diskussion um die Cookie-Richtlinie

Der Versuch der EU, mit der ePrivacy-Richtlinie dem Nutzer eine stärkere Kontrolle über die Cookie-Verwendung zu geben, stieß auf heftige Kritik in der digitalen Wirtschaft. Doch die Diskussion über Einzelbestätigung von Cookies, Popup-Fenster oder generelle Browsereinstellungen geht am grundsätzlichen Problem vorbei: Die Cookie-Verwendung ist für Internetnutzer immer noch nicht transparent genug.

die-diskussion-um-die-cookie-richtlinie.jpeg
Datenschutz-Schulung: Klären Sie Ihre Kollegen über schon bestehende Möglichkeiten auf, mit Cookies umzugehen (Bild: Thinkstock)

Ein Cookie ist ein wichtiges Werkzeug für zahlreiche Anwendungen im Internet, er stellt aber auch eine mögliche Gefahr für den Datenschutz dar.

Der Bundesverband Digitale Wirtschaft (BVDW) sah Ende April in der geplanten Neufassung der EU-Richtlinie zu Privatsphäre und Elektronischer Kommunikation (ePrivacy-Richtlinie) eine massive Gefährdung des Internets.

Cookie-Richtlinie plant umfassende Information des Users und Zustimmung

Geplant war dort die Regelung, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet sein soll, dass der betreffende Teilnehmer oder Nutzer gemäß der Richtlinie 95/46/EG klare und umfassende Informationen u.a. über die Zwecke der Verarbeitung erhält und von dem für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung abzulehnen.

Internetnutzung sollte nicht erschwert werden

Dazu wäre es nach Auffassung verschiedener Kritiker notwendig, dass der Nutzer jeder Cookie-Verwendung jeweils zuvor und aktiv zustimmt. Die dazu erforderlichen Popup-Fenster würden aus Sicht des BVDW in sämtlichen Bereichen des Internets zu massiven Beschränkungen von Nutzungsszenarien und Geschäftsmodellen führen.

Browsereinstellungen statt Einzelbestätigung

Anstatt die Cookies jeweils einzeln bei jedem Besuch einer Webseite bestätigen zu müssen, sollte vielmehr die generelle Browsereinstellung des Benutzers gelten und der Zweck und Einsatz der Cookies in der Datenschutzerklärung (Privacy Policy) des Website-Betreibers erklärt werden, so der BVDW.

Einwilligung für Cookie erforderlich

Der entsprechend geänderte Text der ePrivacy-Richtlinie würde dann besagen, dass die Speicherung von Informationen oder die Erlangung des Zugriffs auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer vorher – beispielsweise durch die Verwendung entsprechender Einstellungen eines Browsers oder einer anderen Anwendung – und nachdem er gemäß der Richtlinie 95/46/EG klare und umfassende Informationen u.a. über die Zwecke der Verarbeitung erhalten hat, einwilligt.

Diese Regelung würde technisch gesehen keine Änderung an der gegenwärtigen Nutzung der Cookie-Technologie nach sich ziehen. Der Internetnutzer würde weiterhin in der Datenschutzerklärung über die Cookie-Verwendung informiert und den Einsatz der Cookies über das Cookie-Management im Browser regeln.

Ein Gewinn für den Datenschutz?

Doch ist damit etwas für die Stärkung des Datenschutzes im Internet gewonnen?


Download:


Schon bisher gibt es zahlreiche Möglichkeiten, Cookies gezielt auszuschalten

Zweifellos erlaubt die Cookie-Verwaltung der modernen Browser die Kontrolle über die sogenannten Text-Cookies oder http-Cookies. Und theoretisch könnte jeder Browsernutzer schon heute seine Cookie-Verwaltung so einstellen, dass sie oder er bei jedem einzelnen Cookie um Erlaubnis gefragt wird.

Die Brandbreite des bereits im Browser verfügbaren Cookie-Managements reicht von Cookies komplett verbieten über definierte Cookie-Erlaubnis für spezielle Websites bis hin zur Einzelbestätigung für jeden Cookie oder aber der Freigabe für alle Websites, alle möglichen Cookies auf die Festplatte des eigenen Computers ablegen zu dürfen.

Diese Cookie-Möglichkeiten sind aber zu wenig bekannt

Doch die meisten Anwender sind sich weder der Möglichkeiten und Einschränkungen des Cookie-Managements noch der Bedeutung von Cookies vollständig bewusst.

Lässt sich die Benutzerzustimmung zu Cookies ableiten?

Die Zustimmung des Benutzers zu den Cookies aus der entsprechenden Browsereinstellung abzuleiten, wird damit begründet, dass der Anwender diese Einstellung selbst vornehmen würde. Doch ist dies wirklich so? Oder belassen die Benutzer die vom Browserhersteller vordefinierten Standardwerte, ohne sich weiter um diese Einstellung zu kümmern?

Datenschutz-Schulung: Machen Sie den Test

Sie können dies bei sich im Unternehmen oder in der Behörde leicht prüfen, indem Sie bei einer Datenschutz-Schulung einmal fragen, wie denn die Cookie-Verwaltung im Microsoft Internet Explorer oder Mozilla Firefox aufgerufen wird. Das Ergebnis dürfte sehr ernüchternd ausfallen. Die aktuelle Diskussion über die sogenannte EU-Cookie-Richtlinie sollte also Anlass genug sein, nochmals intensiv über Cookies zu informieren.

Informieren Sie die Anwender umfassend über Cookies

Dabei sollten Sie die Mitarbeiterinnen und Mitarbeiter in einer Datenschutz-Schulung insbesondere aufklären über

  • die Möglichkeiten, mit Cookies Nutzerprofile zu erzeugen
  • den Unterschied von Cookies des Website-Anbieters und von Drittanbietern (wie Werbenetzwerke)
  • die verschiedenen Optionen der Cookie-Manager im Browser und die jeweiligen Konsequenzen
  • den Unterschied zwischen Sitzungs-Cookie und Tracking-Cookie
  • die Cookie-Sorten, die nicht über den herkömmlichen Cookie-Manager im Browser gesteuert werden können („Super-Cookies“ wie die Flash-Cookies)
  • Browsererweiterungen, die auch Flash-Cookies kontrollieren können (wie das Plugin BetterPrivacy für Mozilla Firefox)

Technik allein bringt’s nicht

Eine Diskussion über besseren Datenschutz im Internet sollte sich nicht allein mit technischen Fragen der Cookie-Steuerung aufhalten, sondern sie sollte gezielt die Aufklärung über den Selbstdatenschutz im Internet ankurbeln. Als Datenschutzbeauftragter können Sie dazu mit Ihren Datenschutz-Schulungen viel beitragen.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Einen Beitrag zur EG-Datenschutzrichtlinie und Google finden Sie hier: Die EG-Datenschutzrichtlinie – aktueller denn je

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln