Zum Verständnis von Cookies und ihrer Rolle in Datenschutz und Technik

Spätestens seit dem jüngsten Urteil des EuGHs (sog. Planet49-Entscheidung) sind Cookies wieder in aller Munde. Wie häufig in der juristischen Aufarbeitung technisch komplexer Materie, kam es auch hier in der Berichterstattung zu teils verzerrten Darstellungen. Der folgende Beitrag bemüht sich um eine verständliche Erklärung sog. „Cookies“ und ihrer Rolle für den Datenschutz und die Technik.

Was ist ein Cookie?

Ein Cookie ist eine Textdatei, die nach einem Schlüssel-Wert-Prinzip aufgebaut ist. Sie enthält regelmäßig die folgenden Informationen:

  • Name des Cookies
  • Cookie-Domain (z.B. walther-recht.de oder *.walther-recht.de (letztere schließt alle Subdomains mit ein))
  • Pfad
  • Ablaufdatum
  • Wert
  • HttpOnly
  • SameSite
  • Secure

Allgemeine Rolle des Cookies im WWW

Wozu braucht es Cookies?

Um zu verstehen, wie ein Cookie funktioniert und wieso es notwendig sein kann, ist es zunächst erforderlich das dem Internet in wesentlichen Teilen zu Grunde liegende HTTP (Hypertext Transfer Protocol) in Grundzügen zu verstehen. Über dieses Protokoll werden Daten zwischen Server und Client ausgetauscht, wobei es nach einem „Anfrage – Antwort Prinzip“ funktioniert. Es ist wesentlich zu verstehen, dass dieses Protokoll zustandslos ist. Nach einem Zyklus von Anfrage und Antwort ist der Vorgang technisch abgeschlossen. Dem Grunde nach wird jede Anfrage eines Clients daher wie die erste und gleichzeitig letzte Anfrage behandelt.

Diese Funktionsweise stellt die Webentwicklung gleichwohl vor ein Problem: Einige Vorgänge, die der Nutzer auf einer Webseite ausführen kann, sollten in ihrem Resultat zumindest über seinen Besuch auf der Seite hinweg erhalten bleiben. So wäre es kaum schicklich, müsste der Nutzer sich bei jedem weiteren Klick auf einer Nachrichtenseite erneut anmelden, um den Artikel lesen zu können. Ein weiteres beliebtes Beispiel hierfür sind Warenkörbe in Onlineshops. Überall, wo Informationen über einen einfachen „Anfrage – Antwort – Zyklus“ erhalten bleiben müssen, bedarf es eines technischen Kniffes.

Cookies zum Zwecke der Perpetuierung des Zustandes

Abhilfe von diesem wenig nutzerfreundlichen Zustand können nun die vielbesungenen Cookies schaffen. Obige Problematik wird in alle Regel durch das Setzen eines sogenannten Session-Cookies gelöst. Nach der ersten Anfrage des Clients sendet der Server im Kopfbereich seiner Antwort eine Aufforderung zum Setzen eines Cookies, der der Browser in aller Regel nachkommt. Dieses Cookie könnte hier den Namen „sessionid“ und einen längeren alphanumerischen Wert enthalten. Bei seiner nächsten Anfrage sendet der Client die Schlüssel und Werte dieses Cookies wiederum an den Server zurück, der den Client anhand dieser Informationen identifizieren kann. Auf diese Weise kann folglich die einmal erfolgte Autorisierung eines Clients über eine Sitzung hinweg erhalten werden.

Notwendigkeit und mangelnde Alternativen

Aus den oben beschriebenen Umständen ergibt sich für die meisten Seiten die zwingende Notwendigkeit des Einsatzes eines Mittels zur Perpetuierung des Zustandes während einer Sitzung. Dies gilt für alle Seiten, deren Funktion nicht in der allgemeinen Zurverfügungstellung von Inhalten besteht.

Ironischerweise muss auch zur Speicherung der Einstellungen, die über ein Cookie-Banner vorgenommen wurden, ein Cookie gesetzt werden, da das Banner andernfalls bei jedem Aufruf erneut erscheinen würde.

Bislang mangelt es auch an technisch ähnlich wirksamen Alternativen. Für Seiten, die ausschließlich über SSL/TLS verfügbar sind, bestünde die Möglichkeit, die zwischen Client und Server ausgehandelte SSL-Verbindung bzw. die in ihr enthaltenen Session-Informationen zu verwenden, um den Client eindeutig zu identifizieren. Diese Informationen werden jedoch ausschließlich im flüchtigen Arbeitsspeicher von Client und Server gehalten, sodass jedes Schließen eines Fensters, jeder Neustart des Servers etc. zum Verlust der Session führen würde.

Wer kann auf diese Cookies zugreifen?

Cookies werden grundsätzlich immer nur derjenigen Gegenstelle offengelegt, die diese auch gesetzt hat. Dies wird durch das Setzen des Domain-Wertes im Cookie gewährleistet. Würde ein Browser einer Webseite den Zugriff auf die Cookies anderer Webseiten gestatten, wäre dies eine schwerwiegende Sicherheitslücke.

Wann werden Cookies zu einem Problem für die Privatsphäre im Netz?

Wie zu zeigen war, sind Cookies dem Grunde nach harmlose Textdateien, die der eigene Browser zur Identifizierung gegenüber dem Server nutzt. Anders als oft dargestellt, kommunizieren Cookies keinesfalls proaktiv – ein Tracking durch das Cookie selbst findet nicht statt.

Tracking-Cookies

Neben der technisch oft notwendigen Perpetuierung von Sitzungen können Cookies jedoch auch eingesetzt werden, um die Bewegungen von Nutzern über eine Webseite zu erfassen, sog. „Tracking“. Dies ist ohne weiteres einleuchtend: Dank eindeutiger Identifizierung des Clients über mehrere Seitenaufrufe hinweg, kann ein Bewegungsprofil angelegt werden und – aus datenschutzrechtlicher Sicht schlimmstenfalls - mit Informationen aus dem System, wie beispielsweise dem Benutzerkonto verknüpft werden. Auf diese Weise können Webseitenbetreiber mehr über ihre Besucher lernen und ggf. selbst passende nächste Seiten anzeigen. Hierbei ist zu beachten, dass sich die Möglichkeit der Aktivitätenverfolgung mit eigenen Cookies grds. im Rahmen der eigenen Domain erschöpft, wodurch sich auch die negative Wirkung auf die Privatsphäre des Nutzers erheblich beschränkt.

Third-Party-Cookies

Einen schwereren Eingriff in die Privatsphäre können sogenannte „Third-Party-Cookies“ verursachen – eine Differenzierung, die in der öffentlichen Debatte nicht häufig gelungen ist.

Binden Webseitenbetreiber durch Script-Elemente, Trackingpixel etc. Inhalte von Drittanbietern auf ihrer Webseite ein, verändert sich die oben geschilderte Situation grundliegend. Bleiben wir verständnishalber bei der Analyse des Verhaltens der Websitebesucher und betrachten hierzu zwei Fälle.

Webseite nutzt eigenen Analysedienst, z.B. Matomo

Nutzt die Webseite einen eigenen, selbstbetriebenen Analysedienst (z.B. Matomo), kann der Betreiber seine Benutzer in den Grenzen der eigenen Webseite verfolgen, soweit sie das Setzen von Cookies zulassen. Er kann hierbei bspw. auch die IP-Adresse kürzen, wodurch ein Rückschluss auf die Identität der Person absolut unmöglich wird. Hierdurch werden die Interessen des Betreibers und des Besuchers in einen schonenden Ausgleich gebracht.

Webseite nutzt Drittanbieter, z.B. Google Analytics

Bindet der Betreiber jedoch Trackinglösungen von Drittanbietern ein, um das Verhalten seiner Besucher zu analysieren, können diese ggf. ein weit über die einzelne Webseite hinausgehendes Verhaltensmuster des Besuchers erstellen.

Denn: Sendet beispielsweise das Script des Drittanbieters eine Anfrage an den Analysedienst, meldet sich dieses von jeder Webseite aus mit dem gleichen den Benutzer identifizierenden Cookie.

Zwischenergebnis

Die Auswirkungen von Cookies auf die Privatsphäre hängen gravierend von der Art und Weise ab, wie und wozu sie eingesetzt werden. Während viele Cookies tatsächlich schlicht keine Auswirkung auf die Privatsphäre haben, können Third-Party-Cookies erhebliche Probleme mit sich bringen, insbesondere wenn der Anbieter auf einer sehr großen Zahl von Webseiten eingebunden ist.

Die „Planet49 Entscheidung“ des EuGH

Gegenstand des Verfahrens

Der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e. V. hatte gegen die Planet49 GmbH geklagt. Der Rechtsstreit landete nach Jahren vor dem Bundesgerichtshof (BGH), der die Frage letztlich dem Europäischen Gerichtshof zur Entscheidung vorlegte.

Gegenstand der Vorlage war die Frage, welche Anforderungen an eine wirksame Zustimmung des Nutzers zum Setzen von Cookies zu stellen sind. Nach dem deutschen Telemediengesetz, das die Richtlinie 2002/58 umzusetzen hatte, reichte ein Opt-Out des Nutzers für das Setzen des Cookies bisher aus. Der Nutzer musste also widersprechen, wollte er keine Cookies erhalten. Betreiber mussten lediglich darüber informieren, dass Cookies gesetzt wurden.

Dieser bereits im Voraus als unzureichend kritisierten Umsetzung der Richtlinie durch die Bundesregierung hat der EuGH nun eine Absage erteilt – es bedürfe entsprechend dem Unionsrecht eines Opt-Ins des Nutzers auf Grundlage einer informierten Entscheidung, wie es Art. 5 Abs. 3 der RL 2002/58 vorsieht.

Auswirkungen

Folge des Urteils ist zunächst das Ende des oben beschriebenen deutschen Sonderweges. Es gilt nunmehr der Wortlaut des Art. 5 Abs. 3 der RL 2002/58. Dies hat aber – wiederrum anders als häufig berichtet – nicht zur Folge, dass überhaupt keine Cookies mehr ohne Zustimmung gesetzt werden dürften. Denn hier heißt es in Satz 2:


Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Über­tragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.


Was bleibt erlaubt, was ist verboten?

Grundsätzlich erfordert demnach jedes gesetzte Cookie eine ausdrückliche und informierte Zustimmung des Nutzers. Hiervon wird für zwingend erforderliche Cookies eine Ausnahme gemacht, wenn der Dienst vom Nutzer ausdrücklich gewünscht wurde.

Diese Formulierung lässt freilich wiederum erheblichen Spielraum für Interpretation. Was ist „unbedingt erforderlich“ und was „ausdrücklich gewünscht“.

Ausdrücklich erwünscht

Es ließe sich hier durchaus vertreten, dass ausdrücklich erwünscht nur die Inhalte derjenigen Seite sind, die der Nutzer explizit aufgerufen hat. Dies könnte bei strikter Auslegung bereits sämtliche Third-Party-Inhalte meinen, würde bei weniger strikter Auslegung jedenfalls aber alle Fenster und Inhalte ausschließen, die durch den Besuch der Seite im Hintergrund oder als sog. Pop-Up geöffnet werden.

Sendet der Browser des Nutzers weiterhin einen sog. Do-Not-Track-Header (DNT), wird das Setzen von Third-Party-Tracking kaum mehr zu rechtfertigen sein.

Unbedingt erforderlich

Welche Cookies für den Betrieb einer Webseite „unbedingt erforderlich“ sind, wird nun zu diskutieren sein. Es bietet sich jedoch eine am Wortlaut orientierte Auslegung an. Demnach wären sämtliche Cookies ohne vorige Zustimmung setzbar, ohne die ein sicherer und störungsfreier Besuch der Webseite nicht möglich ist.

Hierzu wären nach der hier vertretenen Auffassung zu zählen:

  • CSRF-Cookies (Cross-Site-Request-Forgery)
  • Andere sicherheitsrelevante Cookies wie solche die von Sicherheitsnetzwerken zum Threat-Assessment und Rate-Limiting genutzt werden
  • Cookies, die von bzw. wegen Load-Balancern gesetzt werden
  • Session-Cookies, soweit die Seite überhaupt Dienste anbietet, die einer Perpetuierung der Sitzung bedürfen
  • Cookies, die den Inhalt von Warenkörben sichern, soweit diese nicht bereits über die Session gesichert worden sind.

Sind Tracking-Cookies unbedingt erforderlich

Die Analyse von Besucherströmen ist für viele Webseitenbetreiber von großer Bedeutung für die Optimierung und Ausrichtung der Webseite und damit in letzter Instanz für deren wirtschaftlichen Erfolg. Es ist daher wenig verwunderlich, dass von entsprechender Seite argumentiert wird, dass Besucher-Tracking unbedingt erforderlich sei.

Einer solchen Auslegung begegnen jedoch Bedenken. Zur schlichten Erbringung des Dienstes ist das Tracking der Benutzer nämlich rein tatsächlich nicht erforderlich: es ist möglich die Inhalte sicher und ohne gravierende funktionale Einbußen anzuzeigen, ohne Tracking-Cookies zu setzen.

Weiterhin sind auch (spartanische) Analysen der Besucherströme über die Auswertung der HTTP-Protokolle möglich, aus denen sich jedenfalls die Zugriffszahlen pro Seite, die Herkunft der Besucher über den Referrer und der User-Agent auswerten lässt.

Dies spricht jedenfalls stark dagegen, das Setzen von Tracking-Cookies als eine den Dienst konstituierende Maßnahme anzusehen, die es rechtfertigen würde, dies ohne ausdrückliche Zustimmung des Besuchers zu tun.

Fazit

Wie so häufig, wenn es um Europarecht und Entscheidungen des EuGH geht, ist die ganz große Aufregung kaum begründet. Betreiber deutscher Webseiten werden nun zwar nachrüsten müssen. Dies sollte sie jedoch vor keine zu großen Herausforderungen stellen, da international längst entsprechende Lösungen erarbeitet wurden.

Die Durchsetzung eines relativ strikten Datenschutzes in Europa ist grundsätzlich zu begrüßen. Cookie-Banner sind zwar teilweise penetrant und nervig, es ist jedoch in Zukunft damit zu rechnen, dass auf selbigen neben der häufig ebenso einzigen wie nutzlosen Option „Ich habe verstanden“ eine sinnstiftende Option zum Ablehnen nicht-essentieller Cookies erscheinen wird.

Wünschenswert wäre jedoch ein neuer Standard, mit dem Browser der Seite direkt mitteilen, welche Cookies der Nutzer gestattet und welche nicht – dann wäre das Banner gleich gänzlich überflüssig.



Lukas Walther
Lukas Walther

Webentwickler und Ref. jur.

[email protected]

Die hier dargestellten Informationen sind keine Rechtsberatung und erheben keinen Anspruch auf Vollständigkeit und Richtigkeit!