Drittanbieter-Cookies – die Pest des Internetzeitalters – Teil 2


Im ersten Teil ging es darum, die Cookies allgemein zu beschreiben und darzustellen, warum sie sinnvoll und teilweise notwendig sind. In diesem Teil 2 sollen nun die Drittanbieter-Cookies näher beleuchtet werden.

Wie in Teil 1 dargestellt, kann z. B. durch ein Werbebanner, das jemand auf seiner Seite einblendet, ein sog. Drittanbieter-Cookie auf dem Rechner gespeichert werden. WordPress zum Beispiel blendet in diesem Beitrag eine Werbung ein. Diese Werbung setzt ein oder mehrere Cookies auf demjenigen Rechner, auf dem der Beitrag gelesen wird. Damit finanziert sich WordPress, und schreibt deshalb auch: „Vielen Dank, dass Du WordPress benutzt.“ Es steckt also kein altruistischer Gedanke dahinter, sondern jeder Blogger, der WordPress benutzt, verbreitet die Werbung, für die sich WordPress bezahlen lässt. Drittanbieter-Cookies und Werbung bedingen sich also gegenseitig.

Wie funktioniert das Drittanbieter-Cookie?

Zunächst sind Drittanbieter-Cookies anonym – also nicht mit einer natürlichen Person assoziierbar. D. h. der Drittanbieter kann mittels seiner Cookies nicht wissen, auf wessen Rechner er sein Cookie speichern lässt, auch weiß er nicht, um welche Person es sich handelt. Allerdings besteht die Möglichkeit, ein Benutzerprofil zu erzeugen, indem ein Drittanbieter über mehrere Seiten seine Cookies schreiben lässt. Das funktioniert so:

Drittanbieter-Cookies
Drittanbieter-Cookies sammeln die besuchten Seiten für Drittanbieter
Ein Benutzer besucht mit seinem Rechner die Seite A, auf der der Drittanbieter erstmals sein Banner eingeblendet. Das Banner verursacht, dass auf dem Rechner des Benutzers das Cookie des Drittanbieters zunächst gespeichert wird. Dieses Cookie wird vom Drittanbieter mit einer eindeutigen ID (hier 4711, was mit dem Rechner assoziiert wird) versehen. Nun besucht der Benutzer mit dem selben Rechner die Seite B. Auch dort wird ein Werbebanner des besagten Drittanbieters eingeblendet. Weil das Cookie des Drittanbieters aber schon vorhanden ist, sendet der Browser dem Drittanbieter das Cookie mit der eindeutigen ID zurück. Durch die ID weiß der Drittanbieter nun, dass der Benutzer zuvor auf der Seite A war. Je mehr Seiten der Drittanbieter mit seiner Werbung beschaltet, desto umfangreicher wird das Profil der einzelnen Nutzer / Rechner, die die Seiten besuchen. Damit lassen sich zunächst einmal nur Aussagen der Art tätigen, dass ein Benutzer eines Rechners, der sich für Seite A interessiert, auch Seite B aufsucht.

Worin genau besteht das datenschutzrechtliche Problem mit Drittanbieter-Cookies?

Die Frage ist also, ob der unbekannte Drittanbieter wissen darf, dass ich mit meinem Rechner bestimmte Seiten besucht habe. In der EU Richtlinie vom 25. November 2009 zur Änderung der Datenschutzrichtlinie für elektronische Kommunikation (sog. „Cookie-Richtlinie“) ist nun geregelt, „[…]dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat […]“ (siehe auch hier: http://www.it-recht-kanzlei.de/cookies-einwilligung-datenschutz.html).

Anders ausgedrückt, ein Cookie, das ein Drittanbieter auf meinem Rechner gespeichert hat, darf er nur wieder von meinem Rechner abrufen, wenn ich es ihm ausdrücklich gestatte (sog. Opt-In – im Gegensatz dazu Opt-Out, wo ich es ihm untersagen müsste).

Friss oder stirb

Im Falle von den eher harmlosen Erstanbieter Cookies müsste man die Opt-In-Frage eigentlich nicht stellen, weil diese Cookies in der Regel durchaus sinnvoll sind (Passwort, persönliche Einstellungen, Warenkorb, etc.). Im Falle der Drittanbieter Cookies ist die Frage aber durchaus berechtigt. Das Problem ist jedoch die Umsetzung dieser Richtlinie.

Seitenbetreiber gehen dazu über, sich vom Benutzer einen Freibrief zu holen, und zwar nicht nur für die Erstanbieter-Cookies sondern nebenbei gleich auch für Drittanbieter-Cookies. Denn man sucht beim Opt-In Verfahren vergeblich nach dem Nein-Button, denn der würde ja bedeuten, dass der Seitenbetreiber darauf verzichtet, Cookies schreiben bzw. lesen zu lassen. Dies wäre insbesondere in Bezug auf Drittanbieter-Cookies eine wichtige Option. Gleichzeitig ist dem Benutzer aber dann auch nicht klar, dass er mit dem Sperren der Cookies auch die Session-Cookies (die ja sinnvoll sind, wie wir gelernt haben) deaktiviert, und damit auf e-Commerce Seiten kaum mehr agieren kann.

Gibt es deanonymisierte Drittanbieter-Cookies?

Die Antwort lautet: im Prinzip ja. Wir erinnern uns, dass Facebook Anfang 2015 seine Richtlinien mal wieder geändert hatte. Natürlich nach dem für Facebook vorteilhafteren Opt-Out Verfahren, d. h. Benutzer stimmt automatisch zu, wenn er sich nicht ausdrücklich dagegen ausspricht. Wenn der Benutzer den neuen Richtlinien widersprechen wollte, musste er sein Facebook Konto löschen. Das hat wohl kaum einer getan. Was Facebook aber in Wirklichkeit damit erreicht hat, war eine personaliserte Werbung. Facebook darf nämlich jetzt, solange der Benutzer am Rechner bei Facebook angemeldet ist, seine Drittanbieter-Cookies direkt mit der Person verknüpfen, dessen Konto bei Facebook registriert ist. Nachdem Facebook darauf besteht, Klarnamen zu verwenden, sind die vormals anonymen Profile der Drittanbieter jetzt tatsächlich mit einer natürlichen Person verknüpft, die alles bei Facebook völlig freiwillig preisgibt. Wie Facebook gerne agiert kann man hier nachlesen: https://technically.legal/facebook-schwache-verteidigung-gegen-neue-tracking-vorwuerfe/

Die Datenkrakenhelfer von Facebook, Google und Co.

Jeder Seitenbetreiber, der Links von Facebook und Google auf seine Seite setzt (auch hier bei WordPress, macht euch da mal klar!), wird damit zum Erfüllungsgehilfen für besagte Firmen. Die Freigabe holen sich die Seitenbetreiber von den Benutzern, die Cookies nur akzeptieren können, oder eben Cookies deaktivieren müssen, mit dem Effekt, dass bestimmte Funktionen der Seiten dann nicht mehr funktionieren. Hilfreiche Tools wie Google Ads oder Google Analytics liefern ebenfalls durch deren Einsatz die Informationen der Besucher der Seite an Google aus. Das hat doch einen gewissen negativen Beigeschmack.

Aber wie ist das jetzt bei WordPress? Muss ich als Blogger auf wordpress.com, wo ja tatsächlich Cookies geschrieben werden, den Leser darauf aufmerksam machen? Nach dem oben dargestellten Link ist das Gesetz in Deutschland nicht umgesetzt worden. Deshalb würde ich sagen, nein. Auch aus einem anderen Grund sehe ich keine Veranlassung dazu: ich schreibe nämlich keine Cookies durch mein Blog – das tut WordPress selbst, ich habe darauf gar keinen Einfluss, geschweige denn könnte ich das Schreiben von Cookies deaktivieren. Deshalb bin ich der Überzeugung, dass das doch bitte WordPress selbst regeln sollte.

Zum Schluss noch eine andere interessante Frage:

Kann eine Internetseite Cookies anderer Seiten auslesen?

Die Antwort darauf lautet: nein. Prinzipiell entscheidet der Browser, wem er ein Cookie zurücksendet. Das macht der Browser an der Internetadresse der jeweiligen Seite fest. D. h. wenn ich www.heise.de aufsuche, dann sendet der Browser das Cookie nur dann zurück, wenn ich abermals http://www.heise.de aufrufe. Gehe ich auf http://www.wikipedia.de kann diese Seite nicht das Cookie von http://www.heise.de bekommen.

Allerdings lässt sich rein technisch nicht ausschließen, dass bestimmte Browser – ich sage jetzt nicht Chrome, der ja von Google hergestellt wird – die gesammelten Cookies nicht doch verwenden und mit oder ohne personalisierte Informationen auch andere Informationen verknüpfen. Die Wahrscheinlichkeit ist jedoch bei etablierten Browsern gering, weil bei Bekanntwerden ein enormer Imageverlust zu befürchten wäre.

Fortsetzung folgt

Im Teil 3 werde ich mich mit den Möglichkeiten befassen, wie man sich den Umgang mit Cookies bewusst machen kann. Es werden zwei alternative Ausspähtechniken vorgestellt, die mittlerweile ohne HTML-Cookies auskommen.

Im Teil 1 wurde erklärt, wie Cookies funktionieren, welchen Sinn und Nutzen sie haben und wie sie im Allgemeinen funktionieren.

Advertisements

Ein Kommentar zu „Drittanbieter-Cookies – die Pest des Internetzeitalters – Teil 2

  1. Danke, das ist hilfreich!
    Nachdem ich begeistert feststellen konnte, daß ich tatsächlich bereits wusste, was Du in Teil eins erklärst, war bei Teil 2 meine Unwissenheit schon wieder groß…. jetzt gehts zum 3. Teil…

    Gefällt mir

Was meinst Du dazu?

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s