Oje, es steht wieder einmal gröberes Ungemach für alle Webmaster an. Diesmal geht es um eine Stellungnahme der sogenannten Artikel-29-Datenschutzgruppe – einem unabhängigen Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, dem die österreichische Datenschutzbehörde üblicherweise große Aufmerksamkeit schenkt.

Was ist passiert? Nach Meinung der Datenschutzgruppe müssen Webseitenbetreiber ihre Nutzer künftig explizit um ihre Zustimmung bitten bevor ihnen Cookies serviert werden.

Cookies: kleine Kekse, große Brösel

Cookies? Die Rede ist natürlich nicht von Keksen oder süßen amerikanischen Plätzchen, sondern von kurzen Texteinträgen zum Zwecke des Informationsaustausches zwischen Computerprogrammen. Kennen Sie nicht, haben Sie noch nie gehört? Oh, welch Irrtum, denn ohne Cookies, namentlich HTTP-Cookies [Hypertext Transfer Protocol (HTTP)], ist surfen im Internet praktisch denkunmöglich.

Cookies werden also zum Surfen benötigt? Ein klares Jein, denn sie werden nicht wirklich zum fehlerfreien Surfen im Internet benötigt, machen selbiges aber erst so komfortabel, wie wir Nutzer es kennen.

Ein Cookie ist kein Programm oder eine Anwendung, es handelt sich vielmehr um eine Textinformation, die die besuchte Website (in diesem Fall „Server“) über den Browser (also Firefox, Chrome, Safari usw.) im Rechner des Betrachters („Client“) platziert.

Dabei kann ein Cookie entweder vom Webserver an den Browser gesendet oder von einem Skript (etwa JavaScript) in der Website erzeugt werden. Der Client sendet die Cookie-Information bei späteren, neuen Besuchen dieser Seite mit jeder Anforderung wieder an den Server.

Dies ist deshalb notwendig, da HTTP ist ein zustandsloses Protokoll ist, wodurch für den Webserver die Seitenaufrufe unabhängig voneinander und nicht zuordenbar sind. Eine Webanwendung, deren Interaktion mit dem Benutzer über mehrere Seitenaufrufe andauert, muss also mit Tricks arbeiten, um den Teilnehmer über mehrere Zugriffe hinweg identifizieren zu können.

Cookies sind also für Onlinenutzer vor allem im Bereich Online-Banking, Webshops aber auch beim Besuch ganz normaler Websites sehr hilfreich, denn mit Ihnen können bei Webanwendungen Benutzereingaben sicher verwaltet werden. Cookies können nämlich zur Zwischenspeicherung eingesetzt werden wodurch diese bei Abbrüchen der Verbindung zum Server (zum Beispiel in Mobilfunknetzen) nicht verlorengehen.

Aber natürlich können sie auch eine Menge anderer Daten protokollieren, etwa welche Webseiten besucht wurden, wie lange diese Seiten angesehen wurden und wie oft diese Seiten besucht wurden usw. Damit keine Missverständnisse aufkommen: Personendaten (Namen, Adresse) werden dafür nicht verarbeitet oder verwendet, Informationen über den Rechner (PC), das verwendete Betriebssystem, die Bildschirmauflösung usw. allerdings sehr wohl, auch die sogenannte IP-Adresse von der eine „Abfrage“ startet, wird durchaus er- und übermittelt.

Für Cookies muss der User erst gefragt werden

Beinahe jede Website verwendet Cookies um das Surfverhalten seiner Besucher besser kennenzulernen – dies dient nicht nur statistischen Zwecken (schließlich will man ja wissen, wieviele besucher eine Seite hat, woher diese kommen usw.), sondern auch der Verbesserung der Nutzerfreundlichkeit. Denn aus denn Cookies kann auch abgeleitet werden auf welche Links auf der besuchten Seite geklickt wird, welches die Einstiegs- und welches die Ausstiegspunkte sind.

Bisher werden die Vorgaben der Cookie-Richtlinie in Österreich so umgesetzt, dass in den Nutzungsbedingungen oder im Impressum auf den Einsatz von Cookies hingewiesen wird – geht es nach den Empfehlungen der Artikel-29-Datenschutzgruppe, so soll das künftig nicht mehr ausreichen. Demnach müssten die Besucher auf der Startseite (und damit vermutlich auf jeder Seite) um Zustimmung zum Einsatz von Cookies gefragt werden, und zwar bevor diese genutzt werden.

Das bedeutet, dass dem User eine sogenannte Opt-In Möglichkeit geboten werden muss:

• er muss vorab im Detail informiert werden
• vor dem Einsatz von Cookies zustimmen
• die Zustimmung muss durch eine aktive Handlung, nicht durch bloße Kenntnisnahme erfolgen.

D.h. die bisherige Sichtweise, dass der bloße Hinweis auf einer Website genügt, ist nach der aktuellen Stellungnahme der Datenschutzgruppe nicht mehr ausreichend.

Müssen wir uns künftig auf aufpoppende Hinweise und unansehnliche, störende Aufforderungen zur aktiven Zustimmung gewöhnen?

Wahrscheinlich sicher, vielleicht aber auch nicht unbedingt zwingend ;o)

Denn die Stellungnahme hat keine rechtsverbindliche Wirkung, allerdings durchaus hohe praktische Relevanz, denn bisher ist die österreichische Datenschutzbehörde den Empfehlungen regelmäßig gefolgt.

Hilfreicher Datenschutz oder bürokratische Augenauswischerei

Nun, die Regelung erinnert an amerikanische Zustände nach dem Motto: „Achtung, das Leben ist lebensgefährlich“. Und Praxisnähe schaut sicher anders aus, denn in der Regel werden Besuche hauptsächlich über Suchmaschinen generiert. Diese wiederum würden jeglichen Nutzen verlieren, würde man ihnen die Verwendung von Cookies untersagen bzw. diese vom User deaktiviert werden würden. Dann nämlich würden sämtliche Erkenntnisse über das Nutzerverhalten nicht zum Tragen kommen – dies sind aber eine Notwendigkeit, die für gute und hilfreiche Suchergebnisse aber unerlässlich sind …

Einen schlechten Vergleich gefällig? Gut, Sie beschließen also ein Auto zu kaufen, betreten ein Autohaus und vereinbaren mit dem Verkäufer die Details. Das Herzchen pocht, sie wollen das Auto gerne von innen sehen, dafür brauchen sie aber den Schlüssel. *POPP*

„Wollen Sie den Autoschlüssel haben? Bitte stecken Sie ihre Einverständniserklärung in die Kontaktbox an der Rezeption!“

Ach ja, und inzwischen lachen sich NSA, CIA, MI5 usw. fürchterlich ins Fäustchen und genehmigen sich zum Kaffee ein leckeres Cookie ;o)

Linktipp:

– Artikel-29-Datenschutzgruppe
– Für Cookies muss der User erst gefragt werden (Der Standard)
– Bereits 26% blockieren Onlinewerbung in Österreich
– Google, die eierlegende Wollmilchsau