Internet-Law

Onlinerecht und Bürgerrechte 2.0

8.7.11

Das Ende der Cookies

Bereits vor einigen Wochen hatte ich auf die geplante Vorschrift des § 13 Abs. 8 TMG hingewiesen, die sich derzeit im Gesetzgebungsverfahren befindet und vom Bundesrat bereits beschlossen wurde. Obwohl die Vorschrift äußerst brisant ist, blieb eine größere Resonanz damals aus, was an der Überschrift meines Beitrags gelegen haben mag. Jens Ferner befasst sich in seinem Blog nunmehr ebenfalls mit dem Thema.

Die Vorschrift, die in einem Entwurf zur Änderung von Vorschriften des Telemediengesetzes enthalten ist, bedeutet für Deutschland nichts weniger als das Ende von Cookies, wenn man den User nicht alternativ mit einem Pop-Up-Gewitter behelligen will. Die geplante Vorschrift lautet:

Die Speicherung von Daten im Endgerät des Nutzers und der Zugriff auf Daten, die im Endgerät des Nutzers gespeichert sind, sind nur zulässig, wenn der Nutzer darüber entsprechend Absatz 1 unterrichtet worden ist und er hierin eingewilligt hat. Dies gilt nicht, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten elektronischen Informations- oder Kommunikationsdienst zur Verfügung stellen zu können.

Diese Vorschrift reicht nach ihrem Wortlaut freilich weit über Cookies hinaus und erfasst alles, was auf dem Endgerät des Nutzers (also PC, Notebook, Smartphone, iPad etc.) gespeichert wird. Für mich klingt das wieder einmal nach einer Vorschrift, die in der Praxis auf breite Missachtung stoßen wird, weil sonst verschiedenste Dinge nicht mehr wie gehabt funktionieren werden.

posted by Stadler at 10:13  

41 Comments

  1. So richtig nachgedacht wurde bei dem Entwurf aber nicht, oder? Selbst beim betrachten einer Seite, bzw. beim Lesen z.B. einer Popupinformation ist diese doch längst in Kopie auf meinem Rechner.
    Alles was ich im Internet sehen, hören oder lesen kann wird auf einem Endgerät gespeichert und wenn es nur im Cache ist.
    Großer Fehlentwurf!

    Comment by Daniel — 8.07, 2011 @ 10:32

  2. Das ist doch wirklich lächerlich. Denkt irgendeiner bei den Gesetzgebern an die Durchführbarkeit. Selbst wenn sich in Deutschland jede Webseite dran halten würde, ist das deutsche Recht dem Rest der Welt doch ziemlich ****egal.

    Sollte jeder Webentwickler weltweit die Gesetze aller Länder kennen?

    Comment by ein.kommentar — 8.07, 2011 @ 10:43

  3. Jegliche Portale/Shops/sonstige Webanwendungen werden den letzten Teil ..

    “ .. oder wenn dies unbedingt erforderlich ist,
    um einen vom Nutzer ausdrücklich gewünschten
    elektronischen Informations- oder
    Kommunikationsdienst zur Verfügung stellen zu
    können.“

    .. sicher so interpretieren, dass ich beim Aufruf der entsprechenden Seite natürlich das Cookie will, weil sonst „nichts mehr tut“ (etwas verkürzt dargestellt :).

    Comment by Daniel — 8.07, 2011 @ 10:53

  4. Haben die in Berlin nichts anderes zu tun, als sich mit Dingen zu beschäftigen von denen sie keine Ahnung haben?

    Comment by Alex E. — 8.07, 2011 @ 11:30

  5. @1: Das was du ansprichst wird denke ich vom zweiten Teil des Textes („…oder wenn dies unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschte…“) abgedeckt und erlaubt. Ich kann nur hoffen das sich schnell zeigt das Cookies weiter bestehen können sonst wird es ziemlich schnell ziemlich lästig mit Session IDs in der URL. Das will nun wirklich niemand!

    Comment by MaSch — 8.07, 2011 @ 11:36

  6. Um Gottes Willen!

    Ich möchte denjenigen IT-Praktiker sehen, der diese Gesetzesänderung nicht mit einem verständlislosem Kopfschütteln zur Kenntnis nimmt!

    Das TMG ist schon kompliziert genug. Nun noch so etwas völlig praxisfremdes da einzubauen und durchzuwinken, grenzt an Debilität des Bundesrates und des Gesetzgebungsverfahrens im Allgemeinen.

    Comment by Enrico Lefass — 8.07, 2011 @ 11:42

  7. Weltfremde Gesetzgebung. Wie soll denn dieses Gesetz durchgesetzt werden für einen Anbieter in Tonga oder Taiwan, Wuhan oder San Franzisko?
    Oder sollen einfach nur die deutschen Anbieter aus Deutschland vertrieben werden?

    Die Gesetzgebung ist so skurril und weltfremd wie die Geschäftsordnungsdebatten in der sogenannten Enquete.

    Da machen unprofessionelle Hobbyisten Gesetze, die wie beim Zugangserschwerungsgesetz erst wieder durch Petitionen auf den Biden der Realität zurück geholt werden müssen. Wer soll den solche Spinner noch ernst nehmen?

    Comment by Jan Dark — 8.07, 2011 @ 11:58

  8. Es gibt wenige Gesetzentwürfe, die schärfer Realitätsverweigerung und Aktionismus widerspiegeln. Es fällt sehr schwer, sich hier in sachlicher Kritik zu üben.

    Comment by Peter Hense — 8.07, 2011 @ 13:09

  9. Wenn Rechtsanwälte und Juristen über die Nutzung des Web entscheiden, ohne es selbst (in großen Teilen auf jeden Fall) umfassend zu nutzen, kommen solche Innovationshemnisse heraus.

    Interessant auch, dass die Öffentlichkeit so wenig darüber weiß. Auch ich las nur zufällig darüber, da ich Deinen Tweet gerade reinbekam.

    Deutschland scheint sich zu einem echten Bremser der Zukunft zu machen. Warum nicht! Lassen wir doch einfach die anderen uns in Supersonic Speed überholen und uns wie damals schon die Römer, Ägypter, Inka und all die anderen Hochkulturen, auf das Abstellgleis fahren. In 100 Jahren wird man dann andernorts nur noch schmunzeln über soviel Blindheit.

    Demokratie im 21. Jahrhundert bedeutet Bürgerintegration, doch wie soll dies geschehen? Sicher nicht in kleinen Workshops, sondern über das World Wide Web!

    Comment by RalfLippold — 8.07, 2011 @ 13:19

  10. Ich meinte natürlich Christian Hellers Tweet ;-)

    Comment by RalfLippold — 8.07, 2011 @ 13:20

  11. Abgesehen, dass ich Ihnen und den Vorrednern zustimme: Gibt es eigentlich irgendwo Hinweise (Dokumentation im Rahmen des Gesetzgebungsverfahren ?), was diese Regelung eigentlich bezwecken soll ?

    Comment by Oliver — 8.07, 2011 @ 13:30

  12. Die Gesetzesbegründung sagt:

    „Absatz 8 setzt Artikel 5 Absatz 3 der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation; ABl.-15 – Drucksache 156/11 (Beschluss) L 201/37 vom 31. Juli 2002, S. 37, in der konsolidierten Fassung vom 19. Dezember 2009) um. Mit der Regelung werden Nutzer davor geschützt, dass ohne ihre Einwilligung Daten auf ihrem Endgerät gespeichert werden oder auf dort gespeicherte Daten zugegriffen wird.“

    Viele Gedanken über die mögliche Tragweite der Regelung hat man sich offenbar nicht gemacht

    Comment by Stadler — 8.07, 2011 @ 14:24

  13. Hallo,

    man kann das ganze aber auch so interpretieren: Ich als Anbieter einer Website speichere überhaupt keine Daten auf dem Computer des Nutzers und ich rufe auch keine Daten ab.

    Der Nutzer selbst sorgt über den von ihm installierten Browser dafür dass dort Cookies gespeichert werden. Und auch der Nutzer sorgt mit dem „ansurfen“ der entsprechenden Seite für das Auslesen von Daten, die auf seinem Rechner sind, die er dort gespeichert hat.

    Selbst wenn man sich dieser technischen Betrachtung nicht anschließt, müsste alles unter die Regelung „es muss gespeichert werden, weil es sonst nicht funktioniert“ oder „Nutzer will es, weil Nutzer die Seite doch aufgerufen hat“ fallen.

    Comment by Andreas — 8.07, 2011 @ 14:44

  14. „Mit der Regelung werden Nutzer davor geschützt, dass ohne ihre Einwilligung Daten auf ihrem Endgerät gespeichert werden oder auf dort gespeicherte Daten zugegriffen wird.“

    Bedeutet das kleine Wort „oder“ im obigen Satz nicht tatsächlich das Ende des Internets in Deutschland? Wie wir alle wissen wird alles was im Browser zu sehen ist auf dem Rechner des Nutzers gespeichert. D.h., der Nutzer müsste selbst für die Anzeige der Einwilligungserklärung vorab seine Einwilligung geben.

    Aber gut, das ließe sich natürlich problemlos lösen, indem der Nutzer telefonisch vom Seitenbetreiber ein Formular anfordert und dasselbe unterschrieben per Post zurücksendet. Nach wenigen Tagen stände dann dem Surfvergnügen nichts mehr im Wege. Zumindest auf dieser einen Seite.

    Comment by Wolfgang — 8.07, 2011 @ 14:57

  15. Wieder mal so eine geplante Verschlimmbesserung, der man ohnehin erst dann glauben schenken kann, wenn es soweit ist.

    Comment by Martin — 8.07, 2011 @ 15:30

  16. Ich bin gespannt, wie fix die Behörden das umsetzen würden. Die Webseite vom Bundesrat scheint ja auch nicht ohne Cookie auszukommen…

    Comment by Jan-Philipp Buck — 8.07, 2011 @ 15:56

  17. Wie das in der Praxis aussieht, kann man schonmal bei der EU sehen: http://www.ico.gov.uk/ (Einwilligungsabfrage im oberen Teil). Der Untergang des Abendlandes ist das jetzt auch nicht…

    Comment by Henry Krasemann — 8.07, 2011 @ 16:08

  18. [quote]Wie das in der Praxis aussieht, kann man schonmal bei der EU sehen: http://www.ico.gov.uk/ (Einwilligungsabfrage im oberen Teil). Der Untergang des Abendlandes ist das jetzt auch nicht…[/quote]

    Das dürfte nicht reichen.
    Wenn dort Cookies erlaube und später meine Frau die Seite aufruft, wird sie nicht gefragt.

    Comment by Gerhard Torges — 8.07, 2011 @ 16:32

  19. @14: Der Browser ist doch aber auf dem Client, also dem Nutzerrechner. Damit greift ja kein Diensteanbieter auf auf dem Nutzerendgerät gespeichert Daten zu.

    Es fragt sich sowieso, ob der klassische Cookie nicht dadurch von so einer Regelung ausgenommen ist, da ja in jedem (?) Browser die Verwendung von Cookies deaktiviert werden kann. Kann man im Einschalten / Nichtabschalten dieser Funktion nicht eine implizite Zustimmung zur Speicherung genau dieser Cookies sehen ?
    Das würde dann nicht die sog. Flash-Cookies betreffen, die man üblicherweise nicht abschalten kann – den Effekt würde ich mal gar nicht so übel finden.

    @12: Danke für die schnelle Antwort. Also ist da womöglich bereits bei der EU schon was schiefgelaufen, und in Berlin wird man auf die Vorgabe aus Brüssel hinweisen.

    Comment by Oliver — 8.07, 2011 @ 16:36

  20. Könnten Sie mir die Quelle/Link geben, woraus ersichtlich wird, dass auch diese Empfehlung des Ausschusses für Verbraucherschutz zum Gesetzesentwurf des Bundesrates zur Änderung des Telemediengesetzes (BR-Drs. 156/11) mit einem neu einzufügenden § 13 Abs. 8 TMG-E Zusatz nunmehr in den Gesetzentwurf aufgegangen ist und vom BR beschlossen wurde?

    Der Link im Text geht nämlich nicht.

    Comment by Christoph — 8.07, 2011 @ 17:00

  21. Dieser „Entwurf zur Änderung von Vorschriften des Telemediengesetzes“ ist tatsächlich unglaublich (dumm oder dreist).

    Cookies sind im RFC 2109 definiert. Ein request for comment macht natürlich nur dann Sinn, wenn man nicht vor hat in mittelalterliche Kleinstaaterei zu verfallen.

    Anders gesagt: RFCs ermöglichen es, dass Dein Notebook auch im Urlaub mit dem Internet umgehen kann.

    Die Notwendigkeit von Cookies ergibt daraus, dass HTTP stateless ist. Für Statefull Sessions sind Cookies „unbedingt erforderlich“. Alle Alternativen reißen Sicherheitslücken auf, sind vollkommen intransparent und schwieriger zu implementieren. Cookies wurden geschaffen um dem Wildwuchs Einhalt zu gebieten. Sie sind legitim, weil sich der Effekt sowieso nicht vermeiden lässt. Und sie sind in jedem Browser unter Benutzerkontrolle. Die möglichen Alternativen sind es nicht.

    Darüber hinaus ist die Regelung gegen tracking cookies unwirksam. Zum Einen kann ein AD-Anbieter, Facebook, Google den Nutzer nicht wirklich fragen, ohne massiv in fremde Webseiten einzugreifen. Alternativ würde die Erlaubnis mit einem Google-Konto, youtube oder gar mit anderen, potentiell gefährlichen Webangeboten verknüpft. Statt Cookies würden also Methoden verwendet werden, gegen die ich mich als Nutzer gar nicht mehr wehren kann. Ein kriminalisierter Anbieter, schon gar aus dem Ausland, dürfte hier sowieso keine „Gewissensbisse“ mehr haben.

    In der Folge ist das Gesetz weder verhältnismäßig noch nützlich. Reglungen, die eine Verwendung von Cookies stark erschweren, gar kriminalisieren, die sind hier aus Sicherheits- und Wirtschaftlichkeitsaspekten abzulehnen. Das Gesetz ist überflüssig, weil Datenerfassung sowieso geregelt ist. Dazu kommt, dass dieser Gesetzesvorschlag es an Normenklarheit missen lässt. Die Ausnahmen sind undefiniert und aus technischer Sicht widersprüchlich.

    Ich schlage ein Gesetz vor, das bei technischen Eingriffen in das Internet zwingend einen RFC vorschreibt. Ansonsten droht das Internet durch willkürliche staatliche Eingriffe tatsächlich zum rechtsfreien Raum zu verkommen.

    Comment by Joachim — 8.07, 2011 @ 17:30

  22. Auch wenn es viele (interessengeleitet) nicht glauben wollen: Man braucht keine Cookies! Wenn überhaupt, dann für Login-In-Bereiche, für die man bei der Registrierung problemlos auch noch ein Cookie-Opt-In setzen kann:
    http://vdsetal.wordpress.com/2011/06/23/leben-ohne-cookies/
    Die Einzigen, die Cookies brauchen, sind die zahlreichen Online-Tracker, die mit den Daten der User Geld verdienen wollen. Und die sollen sich bitteschön eine Erlaubnis einholen, bevor sie ihre (meist 3rd-Party-) Cookies setzen.
    Ich sehe nicht, wo das Problem sein soll. Im Gegenteil: Das ist glaubwürdiger Datenschutz, hier könnte sich die EU durchaus positiv von den USA mit ihrem Do-Not-Track-Opt-Out absetzen. Opt-Outs gehen schlicht an der Realität vorbei – und die EU hat nun mal den Opt-In per Richtlinie beschlossen. Nun muss der Opt-In auch umgesetzt werden.

    Comment by Berta Heinrich — 8.07, 2011 @ 17:39

  23. @Berta Heinrich@22
    In der Tat weist Du sehr schön nach, wie überflüssig die Regulierungsversuche sind. Doch den glaubwürdigen Ansatz zum Datenschutz, den sehe ich nicht. Welchen Vorteil hat OptIn außer der Gefahr von undurchsichtigen AGBs, aufgeschwatzten Konten, Abmahnungen oder gar Abo-Verträgen? Von der Unwirksamkeit eines Cookieverbots – wegen der viel problematischeren Alternativen – ganz zu schweigen. RFC 2109 hat einen positiven Sinn.

    Ich halte es für extrem fahrlässig und undemokratisch, wenn sich Regierungen oder die Kommission über die technische Normierung des Internet, die bewährten und grundlegenden Regelungen seit dem 7. April 1969, hinwegsetzen.

    Comment by Joachim — 8.07, 2011 @ 18:55

  24. Wie ich auch schon bei Berta (22) im Blog geschrieben habe. Der „Quasiverbot“ von Cookies kann sicherheitstechnisch massive Folgen nach sich ziehen. In idiotischem Aktionismus werden hier Probleme a) nicht gelöst und b) neu geschaffen. Man erkennt also hier waren wieder mal Profis am Werk.

    Comment by Oliver — 8.07, 2011 @ 21:41

  25. Ein solches Gesetz würde mich arbeitslos machen. Als Berater für Google Analytics hätte ich niemanden mehr zu beraten. Jedoch verstehe ich das Geschimpfe auf die Politik rein garnicht. Im Gegensatz zu z.B. England, hat sich Deutschland mit der Umsetzung der EU-Richtlinie Zeit gelassen um eine Selbstreguliereung durch die Branche möglich zu machen. Wieso schimpft also niemand über Bitkom oder den BVDW? Kann ja nicht sein, dass es nichtmal den Hauch einens Konsenses gegeben hat. Dann darf sich nun niemand beschweren, dass die Politik zu einem solchen Entwurf ausholt.

    Cookies generell zu verbieten, bzw. bei fast jedem Cookie eine Einverständnis des Nutzers einzuholen, ist völlig sinnfrei. Nur ist es mir inzwischen lieber, als nach einem Tag surfen zu sehen, was da alles gespeichert und durch die Welt geschickt wird.

    Comment by Jason — 8.07, 2011 @ 22:20

  26. Was bedeutet denn „unbedingt erforderlich ist, um einen vom Nutzer ausdrücklich gewünschten …dienst zur Verfügung stellen zu können.“?

    Nehmen wir an, ich betreibe einen Shop, der einen Warenkorb per Cookie speichert…

    Ist die Art, wie ich meinen Warenkorb realisiert habe schon Teil des Dienstes, den der potentielle Kunde will? Ich könnte meinen Warenkorb natürlich anders machen, oder auch darauf verzichten, oder mir einen anderen Job suchen. Aber zunächst mal ist genau dieser Shop mit diesem Warenkorb eben der Dienst, den der Besucher ausdrücklich zur Verfügung gestellt haben will.

    Comment by maxbe — 8.07, 2011 @ 23:43

  27. Ein Cookie zur Speicherung von Warenkörben wäre meinem Verständnis nach „vom Nutzer gewünscht“. Dieser muss die Website ja aktiv nutzen, bevor das Cookie zum Einsatz kommt.

    Zahlreiche Tracking-Cookies, die bereits beim Aufruf der Seite gesetzt werden, halte ich jedoch für kritisch.

    Comment by Jason — 9.07, 2011 @ 08:54

  28. Ich fürchte, die Politiker, die solche Gesetze verbrechen, verzweifeln auch schon an der Bedienungsanleitung einer analogen Eieruhr.

    1. Ein Cookie enthält normalerweise keine Daten sondern ist der Schlüssel zu eben diesen Daten, die auf einem Server gespeichert sind.

    2. Dieser Schlüssel ist für viele Vorgänge im Internet aufgrund der Statuslosigkeit des HTTP-Protokolls sowie dynamischer IP-Adressen und Proxies sehr wichtig. Nicht nur, um sich nicht regelmässig bei Webseiten anmelden zu müssen, wenn man sie wieder besucht – nein auch wenn Third-Party-Anwendungen zum Einsatz kommen (Payment Provider für Kreditkartenanahme, Giropay etc.) um den Kunden bei der Rückkehr auf die eigene Seite wieder (mehr oder minder) zweifelsfrei identifizieren zu können. Ohne Cookies ist dieses Erkennen eigentlich nicht durchzuführen.

    3. Tracking-Cookies sind allerdings in meinen Augen schon immer unnötig, zum einen kann der Server, auf dem die Anfragen auflaufen, die gleichen Daten liefern, zum Anderen geht es die Trackinganbieter schlicht nichts an, was ich im Internet tue. Die kann man aber einfach blocken (Adblock, hosts-Datei). Aber die Dienste der Trackinganbieter sind heiß begehrt – vor allem in Chefetagen – weil diese so schöne Powerpoint-Präsentationen und Excel-Sheets bereitstellen.

    4. Dieses Gesetzt lässt sich nicht durchsetzen. Wer will das alles kontrollieren? Bei 200 Millionen Domains und mehr? Ich sehe da nur einen neuen Hebel für Abmahnungen und sind nicht eh 30% der Bundestagsabgeordneten Anwälte? Wenn auch nur ein Gericht ein Urteil nach diesem Gesetz fällt und jemanden Verurteilt, wird dies eine Klagewelle auslösen, die GvGs Prozessierei oder die, namhafter Abmahnkanzleien wie ein Provinzgeplänkel erscheinen lassen wird.

    Dieses Gesetz ist schlicht Nonsense und sollte umgehend entsorgt werden.

    Comment by Frank Schenk — 9.07, 2011 @ 10:16

  29. Gut gemeint, aber nicht zuende gedacht. Dass Dienste nicht mehr „wie gehabt“ funktionieren, ist natürlich genau die Intention des Gesetzes.
    Es scheint mir auch durchaus beabsichtigt, nicht nur Cookies zu erfassen, sondern alle Daten, die vielleicht irgendwo heimlich beim Nutzer hinterlegt werden.

    Damit will man aber nicht die Funktionalität einschränken, sondern das für Dienst nicht zwingend erforderliche Beiwerk, wie Tracking, dessen Nutzen ausschliesslich beim Shopbetreiber und nicht beim Nutzer liegt.

    Diese Beurteilung in Gut und Böse ist aber genau das schwierige. Vielleicht findet es ja jemand nützlich, wenn der Buchladen anzeigt, was andere gekauft haben, oder wenn das Schuhgeschäft „weiss“, dass man gerade ein Buch über Plattfüsse erworben hat. Facebook Nutzer finden anscheinend einiges nützlich, was mir dagegen graue Haare bereiten würde.

    Mit dem letzten Satz im obigen Zitat will man also den Anbieter verpflichten die Gedanken des Nutzers zu lesen, was der wohl „wünscht“. Das kann der Anbieter aber nur wissen, wenn der Nutzer es ihm vorher mitteilt. Dazu wäre also eine Art Profil nötig, das bei jedem http-request an den Anbieter übermittelt würde (weil stateless). Das Profil könnte man z.B. in einem cookie hinterlegen. ;-)

    Der andere Weg ist die Kommunikation ohne Mitwirkung des Anbieters nachträglich durch den Browser anhand des Profils zu formen. Das birgt aber die Gefahr, dass die Seite des Anbieters nicht mehr so ankommt (so funktioniert), wie der Anbieter es beabsichtigt, weil er nicht alle Browser kennt, bzw., und das wäre tragisch, dass man den Nutzer zwingt sein Profil „aufzumachen“, wenn er bestimmte Seiten nutzen will.

    Der Weg kann also nur sein, dass es einen Datenschutzcodex oder einen Code of Good Practice gibt, an den sich alle seriösen (deutschen) Anbieter mehr oder weniger halten, und weiterhin eine Auswahl an Browsern oder Proxies (auf dem deutschen Markt), die die Anforderungen der meisten Nutzer darüberhinaus irgendwie einstellbar macht.

    Erschwert wird das natürlich dadurch, dass es keine nennenswerten deutschen Browserhersteller (im klassischen Sinn) gibt, und die anderen keinen Anlass haben hier aktiv zu werden. Auch die Open Source Nerds sind hier oft viel zu sehr Techniker und zu wenig vorausschauende Denker und Gesellschaftsformer.

    Das eigentliche Problem hier: Strukturen des Gesetzgebers entwickeln sich extrem langsam und sind relativ starr. Auch wenn die grundsätzliche Regulierung im Gesetz löblich ist, scheinen mir die Wünsche der Nutzer einfach zu unterschiedlich und zu flexibel, um sie derart im Gesetz zu regeln.

    Comment by Ein Mensch — 9.07, 2011 @ 10:45

  30. Was mich allerdings wirklich wundert, dass keinerlei Unterscheidung des Cookie vorgesehen ist. Schaut man mal nach England, so sieht deren Umsetzung eine Unterscheidung nach 1st und 3rd – Party Cookies vor. Was der Sache dann schon mehr Sinn verleiht. Auch wenn „Tracking“ zu meinem Beruf gehört, möchte ich als Verbraucher sicher nicht, dass meine Daten durch die ganze Welt geschickt werden.

    Man braucht sich nur mal „gängige“ Blogs anschauen. Facebook Plugin, Twitter Plugin, Google AdSense, WordPress.com Stats, Akismet, usw. Überall dort wo ich einen entsprechenden Account habe, ist die Zusammenführung personenbezogener Daten ohne weiteres möglich!

    Selbst die statistische Erfassung von Daten wie Wohnort, Geschlecht, Alter, usw. Bedarf außerhalb des Internets meiner vorherigen Zustimmung. Warum sollten also für das Internet andere Regeln gelten?

    Comment by Jason — 9.07, 2011 @ 11:35

  31. @Jason: Wenn ich das richtig lese, dann hat der Gesetzgeber hier versucht einen technikneutralen Ansatz zu wählen. Statt 1st oder 3rd Party Cookies (die vielleicht morgen schon durch eine ganz andere Technik ersetzt worden sind) explizit zu regulieren, hat man versucht, es so zu formulieren, dass es für den Dienst notwendige und nicht notwendige Datenspeicherungen oder -übertragungen gäbe. Nur solche, die nicht notwendig sind, sollen einwilligungspflichtig sein.

    Wenn ich in ein Reformhaus gehe, und den Verkäufer frage, ob er vegane Produkte hat, dann ist es notwendig, dass der Verkäufer sich während meines Aufenthalts im Laden merkt, dass ich diese suche, sonst kann er mir kaum, die entsprechenden Produkte zeigen.

    Es ist sicherlich für diesen Einkauf nicht notwendig, dass er mir einen „Veganer“ Kleber an die Jacke pappt, der auch im Edeka nebenan, oder beim Besuch der Sauna zu sehen ist.

    Ob er sich dieses Merkmal aber über diesen konkreten Besuch hinaus merken soll, das ist Ansichtssache. Der eine Kunde möchte, dass der Händler so aufmerksam ist, und ihm vielleicht sogar auf Verdacht weitere vegane Produkte bestellt und beim nächsten Besuch anbietet, der andere möchte nicht so eingeordnet werden und geht deshalb vielleicht lieber garnicht zum Einzelhändler, sondern in den anonymen Supermarkt.

    Der Ansatz des Gesetzgebers ist – wie gesagt – löblich.

    Comment by Ein Mensch — 9.07, 2011 @ 12:19

  32. Um es nochmal anders zu sagen: Die politische Überzeugung ist ein besonderes personenbezogenes Datum und darum datenschutzrechtlich besonders geschützt. Trotzdem gibt es Leute, die im Piraten-T-Shirt herumlaufen.

    Diese Dualität will man durch eine Einwilligung explizit regulieren.

    Eine andere Lösung könnte sein, dass man eine Pflicht für Anbieter einführt, Inhalte von Cookies (oder Entsprechungen) transparent lesbar (und änderbar) zu halten bzw. sämtliche hinter einem Cookie beim Anbieter hinterlegten Daten einsehbar und änderbar zu gestalten. Das müsste natürlich noch durch ein Passwort abgesichert werden, damit jemand der in den Besitz meines Cookies gelangt, meine Vorlieben nicht einfach bei dem Anbieter abfragen kann, die ich dort sicher wähnte. Aber auch da sehe ich schon wieder die interessantesten Probleme auftauchen.

    Comment by Ein Mensch — 9.07, 2011 @ 12:37

  33. Wann wird endlich ein Gesetz erlassen, das bestimmt, dass Vorschriften im IT-Bereich ausschließlich von Personen ausgearbeitet werden dürften, die mit der Materie professionell vertraut sind?

    Comment by Hannes — 11.07, 2011 @ 10:18

  34. @33.
    Nicht nur das, die professionell Vertrauten müssen auch praktische Erfahrung haben, denn vieles was technisch machbar ist, ist zu umständlich, zu teuer, zu fehleranfällig und zu benutzerfeindlich.

    Comment by Frank — 11.07, 2011 @ 12:01

  35. @29.
    >> Dass Dienste nicht mehr “wie gehabt” funktionieren, ist natürlich genau die Intention des Gesetzes.

    Nur Dumme und Barbaren zerstören etwas was funktioniert, weil sie es nicht verstehen und nicht zu nutzen wissen. Man darf sich über die Zukunftsfähigkeit durchaus ernste Gedanken machen, wenn man solche Gesetzgeber sein Eigen nennt. Die Geschichte zeigt, was passiert, wenn man (wir, das Volk) marode Herrscher hat. Völker und Länder versanken in der Bedeutungslosigkeit oder aber gingen ganz unter.

    >> Es scheint mir auch durchaus beabsichtigt, nicht nur Cookies zu erfassen, sondern alle Daten, die vielleicht irgendwo heimlich beim Nutzer hinterlegt werden.

    Also die Dummen wollen das Internet-Protokoll neu erfinden? :-)))
    Hat sich noch nie jemand gewundert, woher die Internetseite „weiß“, welchen Link man besucht hat? Oder warum werden (üblicherweise) besuchte Links in einer anderen Farbe (für Profis: a:visited {color:gray;}) dargestellt?

    Vielleicht aber ahnen ganz Schlaue, dass vielleicht der Browser von sich aus irgendwie ein Protokoll über die besuchten Seiten führt?
    Wer weiß aus den Stehgreif, wo diese Daten gespeichert sind?

    Und was sehr viele als Fortschritt bezeichnen und wegen des Comforts lieben, das Ajax, da funktioniert eben dieser Verlauf der im Browser gespeichert ist, nicht mehr. Einfach „Zurück“ klicken geht nicht mehr, aber man kann als Entwickler die Daten in ein Cookie speichern, wo der User sich vorher „befand“ (Ajax durchkreuzt ja das Vorher und Nachher) und einen Zurück-Button anlegen, der genau diese Cookie-Daten ausliest und den Wunsch des Users ermöglicht, „eine Seite zurück“ zu blättern. Man kann es auch mit POST und GET mitschleppen, oder in der Datenbank mistamt IP abspeichern, oder aber manche User einfach vom Fortschritt ausblenden.

    Nun kommt die EU und will per Vorschrift alle EU-Bürger vom Fortschritt ausblenden.

    >> das für Dienst nicht zwingend erforderliche Beiwerk, wie Tracking, dessen Nutzen ausschliesslich beim Shopbetreiber und nicht beim Nutzer liegt.

    Das ist eine Unterstellung und basiert lediglich auf Vermutungen eines Laien, der einen Shop bisher nur von aussen betrachtet hat. Profis sehen das anders. Würde man alle Entscheidung über den Einsatz von Entwicklungen nur ängstlichen Laien überlassen, gäbe es z.B. heute noch keine Eisenbahn, weil die wahnsinnige Geschwindigkeit kein Mensch ertragen könne.

    Ich wäre in der Lage, denn Sinn des Trackings zu erklären, nur fehlt mir die Zeit dazu. Aber es gibt Bücher zu kaufen und viel Information im Netz dazu.
    Alleine schon wenn in einem Offline-Shop für zubereitete Lebensmittel ( auch genannt Restaurant) der Kellner fragt, ob es geschmeckt hat, ist das Tracking.

    Man hat tatsächlich versucht, es im Internet gleich zu machen und die Seitenbesucher zu befragen, ob sie mit der Seite zufrieden waren oder ob sie Verbesserungsvorschläge hätten oder gar Beschwerden.
    Nur leider tickt die Psychologie des Menschen im Internet anders, hier ist eine anonyme Seite und dort ein real existierender Kellner der direkt fragt. Im Internet bequemt sich kaum einer dazu, auf solche Anfragen zu antworten.

    Also erfand man das e-Tracking.
    Um mit technischen Mitteln irgendwie herauszufinden, was die Besucher wirklich wollten.

    Bürokraten in Amtsstuben und manche Politiker verstehen das aber nicht, schon vielleicht deshalb, weil sie sich nie um die Meinung des Volkes über ihre Arbeit geschert hatten. Davon ausgehend interpretieren sie, dass auch Webseiten- und Webshop-Besitzer sich nicht um die Meinung der Besucher zu kümmern hätten.

    Comment by Frank — 11.07, 2011 @ 12:40

  36. Wenn ich von „wie gehabt“ spreche, dann meinte ich natürlich den Missbrauch der teilweise hier eingerissen ist. Die Funktionalität für den Nutzer darf gerne im Komfort erhalten bleiben.

    Ansonsten wird im Beitrag 35 Tracking mit (anonymer) Statistik vermischt. Sicher darf der Kellner fragen, ob es geschmeckt hat. Das darf er auch mitzählen. Nr. 47 schmeckt oft, Nr. 45 eher nicht. Er darf vielleicht sogar Statistiken auf Benutzerklassen machen (Nr. 72 kommt gut bei Familien an), wenn diese nicht zu kleinräumig sind.

    Für rein statistische Zwecke muss er das aber nicht an der Person festmachen, und das darf er auch nicht. Welcher Kellner klebt dem Gast ein „Ratskeller: mag Rindfleisch“ an die Jacke? Oder gar ein „Vorsicht: Spart am Trinkgeld“, das in einem anderen Restaurant dann ebenfalls zu einer schlechten Behandlung führt?

    Im realen Leben passiert es nicht, weil der Gast sich dagegen wehren würde. Im Web wird einem das einfach untergeschoben, weil man es nicht sieht.

    Die Cookies sind in der Regel halt für den Nutzer nicht lesbar. Man weiss nicht, was drin steht, man weiss nicht an welche Dritten sie übermittelt werden. Ja, das ist ein Manko in den Browsern. Erst deshalb konnte es zum weitverbreiteten Missbrauch durch die Webanbieter kommen.

    Comment by Ein Mensch — 13.07, 2011 @ 00:43

  37. @17: „17.Wie das in der Praxis aussieht, kann man schonmal bei der EU sehen: http://www.ico.gov.uk/ (Einwilligungsabfrage im oberen Teil). Der Untergang des Abendlandes ist das jetzt auch nicht…“

    Aber bereits bevor ich diese Einwilligungsabfrage angezeigt bekomme, wird versucht, ein Session-Cookie zu speichern. Insofern ist es – neben den anderen genannten Gründen – ebenfalls nicht korrekt.

    Comment by R. — 13.07, 2011 @ 11:24

  38. @35:“Man kann es auch mit POST und GET mitschleppen, oder in der Datenbank mistamt IP abspeichern, oder aber manche User einfach vom Fortschritt ausblenden.“ Eben NICHT! Wie willst Du sicher sein, wer hinter dem Request, dessen IP einem Unternehmen/Wohngemeinschaft hinter einem Router steckt? Die IP (von mir aus auch Browsereinstellungen, die im Header übermittelt werden) ist bei allen gleich. Session-„Klau“ wird mit dieser Methode (GET) eher Vorschub geleistet. Das auf dem Client abgelegte Session-Cookie ist schon die bessere Methode.

    Comment by R. — 13.07, 2011 @ 11:40

  39. Ich finde das nen guten Ansatz. Natürlich ist der Wortlaut so nicht durchführbar, aber eine rechtliche Handhabe zu haben gegen unerwünschte Tracking Cookies oder sensible Daten auf dem Client über die der Anwender nicht aufgeklärt wurde wird die Software und Servicequalität deutlich verbessern.

    Webseiten mit Logins können ja problemlos auf die Cookies hinweisen, und vorher sind sie wirklich zu vermeiden.

    Comment by Bernd Eckenfels — 6.08, 2011 @ 09:10

  40. @38: Bisher sind die meisten Browser anhand einer eindeutigen Signatur recht gut einem Besucher zuordenbar: https://panopticlick.eff.org/

    Comment by Bernd Eckenfels — 6.08, 2011 @ 10:22

  41. Laienfrage: Würde dies auc „Session Cookies“ betreffen? Also Cookie wird gesetzt und sobald die Seite(n) verlassen werden wird gelöscht?

    Comment by KV — 30.09, 2011 @ 13:02

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.