Das Cookie-Syndrom

Das Thema wird nie aussterben: Ich weiß noch genau, wie ich bewusst zum ersten Mal 1999 in der InternetWorld oder Internet-Professionell einen Artikel über die “bösen Cookies” gelesen habe. Seitdem hat sich viel getan, – abgesehen von doch erheblich verbesserten Browser-Optionen – nämlich den Niedergang des damals so hoffnungsvollen P3P-Projektes, der Möglichkeit “anonymer” Sitzungen in Browsern in denen auf Cache & Cookies verzichtet wird sowie der Entwicklung kostenloser Tools wie CCleaner.

Dennoch steht das Thema nun bei der EU auf der Tagesordnung und die Befürchtung macht schon die Runde, dass Cookies gar nicht mehr möglich sind. Zu dem Thema sind mir zwei Artikel besonders ins Auge gefallen: Die Darstellung bei Heise und die bei RA Stadler.

Stein des Anstosses ist diese Formulierung, die grundsätzlich eine Einwilligung vor dem Nutzen von Cookies vorsieht:

Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat .

Ob man nun keine Cookies in Zukunft mehr setzen kann, ohne den User zu “belästigen” mag ich zur Zeit nicht beurteilen. Die Frage ist, ob man den Bogen bekommt, dass Cookies möglich sind, wenn es nicht anders geht oder sogar eine Erlaubnis des Users in dessen Browser-Konfiguration sieht, die Cookies ggfs. zulässt.

Jedenfalls fällt mir schon auf, dass RA Stadler ein schlagkräftiges Argument hat, wenn er darauf verweist, dass eben im früheren Entwurf eine ausdrückliche Regelung mit Blick auf Browser-Einstellungen vorhanden war, und diese nun entfernt wurde. Das nimmt den Befürwortern doch Wind aus den Segeln.

Dennoch gibt es nun mal diesen ominösen Satz, der wohl eine Erleichterung sein soll:

Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann .

Nun bin ich angeschlagen und übermüdet, es mag daran liegen, aber ich verstehe ihn einfach nicht. Heise-Online verweist auf die Richtlinie samt Anmerkungen, hier dann Rn.66 mit Bemerkungen zu diesem Satz, wo zu lesen ist:

Es ist denkbar, dass Dritte aus einer Reihe von Gründen Informationen auf der Endeinrichtung eines Nutzers speichern oder auf bereits gespeicherte Informationen zugreifen wollen, die von legitimen Gründen (wie manchen Arten von Cookies) bis hin zum unberechtigten Eindringen in die Privatsphäre (z.B. über Spähsoftware oder Viren) reichen.

Daher ist es von größter Wichtigkeit, dass den Nutzern eine klare und verständliche Information bereitgestellt wird, wenn sie irgendeine Tätigkeit ausführen, die zu einer solchen Speicherung oder einem solchen Zugriff führen könnte.

Die Methoden der Information und die Einräumung des Rechts, diese abzulehnen, sollten so benutzerfreundlich wie möglich gestaltet werden. Ausnahmen von der Informationspflicht und der Einräumung des Rechts auf Ablehnung sollten auf jene Situationen beschränkt sein, in denen die technische Speicherung oder der Zugriff unverzichtbar sind, um die Nutzung eines vom Teilnehmer oder Nutzer ausdrücklich angeforderten Dienstes zu ermöglichen.

Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden. Die Umsetzung dieser Voraussetzungen sollte durch die Stärkung der Befugnisse der zuständigen nationalen Behörden wirksamer gestaltet werden.

Für mich (wie gesagt: übermüdet und angeschlagen) ergeben sich beim Lesen dieser Anmerkungen aber Fragen:

1. Wie soll eine “technische Notwendigkeit” (In der Anmerkung: “Unverzichtbar”) denn nun aussehen? Ein praktisches Beispiel: In den Kommentaren bei RA Stadler weist jemand darauf hin, dass Cookies in denen Session-IDs gespeichert werden, ja nunmal notwendig sind. Aber jedenfalls in PHP ist es durchaus möglich, auf diese Cookies zu verzichten. Also: Notwendig oder nicht? Und wie wirkt es sich aus, wenn der Verzicht zwar theoretisch denkbar ist, in der Praxis aber nur mit technischen Fehlern funktioniert?
2. In der Anmerkung wird geschrieben, dass die Einwilligung auch in der Einstellung des Browser gesehen werden kann, dabei wird auf die Richtlinie 95/46/EG verwiesen. Ohne jetzt das Argument von RA Stadler zu beachten ergibt sich die Frage bei mir, wie das gehen soll: Das Datenschutzrecht ist von der ausdrücklichen Einwilligung gekennzeichnet. Die Richtlinie 95/46/EG macht da keine Ausnahme, schon am Anfang bei Rn.33 wird die “ausdrückliche Einwilligung” gefordert, im Artikel 2 Abschnitt h wird die Einwilligung dann definiert als “jede Willensbekundung, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, daß personenbezogene Daten, die sie betreffen, verarbeitet werden.”. Wie man eine allgemeine Browser-Einstellung auf den konkreten Fall bezieht ist dabei nur die erste Frage, die mir einfällt.

Leider geht RA Stadler noch nicht auf den von Heise aufgeworfenen Hinweis ein, der nach dem Artikel bei Internet-Law erschienen ist. Ich hoffe, das geschieht noch, so dass sich die ersten Fragen vielleicht auf Anhieb klären.

Letztlich ist es schade, dass man nicht die Chance nutzt, an vorderster Front Techniken zum Schutz und zur datenschutzrechtlich-relevanten Kommunikation zwischen benutzer und Anbieter zu verbessern. So finde ich bis heute im Firefox nicht die Möglichkeit, hinterlegte P3P-Informationen abzurufen (interessanterweise klappt das im IE bis heute ganz gut). Ich sah und sehe im P3P-System einen guten Ansatz, um Benutzerfreundlich und Datenschutzkonform zu arbeiten. Diese Technik, gepaart mit einem vertrauensvollen Zertifizierungsdienst für P3P-Lizenzen wäre für mich ein echter Durchbruch.

Links zum Thema:

• Artikel bei Heise
• Entwurf der Richtlinie mit Anmerkungen
• Beitrag von RA-Stadler bei Internet-Law
• Kurzer Bericht bei SPON im Netzwelt-Ticker
• Einführung: Datenschutz mit P3P
• Passend zum Thema: Studie, nur jeder 2. Internetuser liest Datenschutzbestimmungen
• Alter Artikel, aus dem Jahr 2008, von mir zum Thema (allerdings heute überholt, da der alte Entwurf nun keine Privilegierung der Browser-Einstellungen vorsieht und man die Flash-Cookie-Problematik kennt).