Diese Seite drucken
zurück


Cookies, Web Bugs und Web Beacons – was verbirgt sich dahinter ???

Freundliche Helfer, die ziemlich böse werden können!


Was sind eigentlich Cookies?

Was kann ich tun gegen unerwünschte Cookies?

Wie sehen diese vom Datenschutzrecht bestimmten Vorschriften aus?

Was bedeutet das für den Einsatz von Cookies?

Was sind eigentlich Web Bugs oder Web Beacons?

Was kann ich tun gegen unerwünschte Web-Beacons und Web-Bugs tun?
Freundliche Helfer, die ziemlich böse werden können!

Nicht allein das Krümelmonster aus der Sesamstraße ist scharf auf Kekse. Nein, auch viele Homepage-Betreiber (das sind, wie Sie zu Recht unterstellen, eher selten Kinder!) sind geradezu versessen auf solch süße Plätzchen, im Fachjargon „Cookies“ genannt. In den Neunzigern hatte Netscape diese Cookies ins Netz der Netze eingeführt.
Die Online-Community bewertete deren Aufkommen von Anfang recht unterschiedlich. Vielen Usern waren Cookies schlicht egal, wiederum andere fanden sie nützlich. Einer größeren Zahl von Nutzern waren sie allerdings mehr als nur suspekt. Sie bezeichneten diese „Cookies“ als digitales U-Boot und lehnten diese „Spionage-Kekse“ schlicht ab. Neuerdings haben Cookies, die ja normalerweise süß schmecken sollen, zusätzlich ein paar nicht besonders herzhaft schmeckende Genossen bekommen, die Web Bugs (Netzkäfer) oder auch Web Beacons genannt.

Was sind eigentlich Cookies?
Ein Cookie ist ein Datensatz, den der User beim Aufsuchen einer Internetseite aufruft. Der so aktivierte Web-Server erzeugt dann ein kleines Programm, das durchs Internet gesendet wird und sich mit Hilfe des Browsers auf dem Rechner des Benutzers (Users) einnistet. Das alles bemerkt der User normalerweise nicht. Erst einmal implantiert, übermitteln Cookies dann Daten an den ursprünglichen Web-Server, der dann die von einem Cookie gelieferten, bzw. extern gespeicherten Informationen auswerten kann. Diese Informationen können dazu genutzt werden, alle abgerufenen Daten Users zusammenzutragen. So entstehen Nutzerprofile, die nicht allein der Werbewirtschaft höchst willkommen sind, sondern auch von kriminellen Abzockern missbraucht werden können.

Cookies können auch rein technisch eingesetzt werden. Dies entweder zur Verbindungssteuerung während einer Sitzung oder aber für die Wiedererkennung bei mehrfacher Nutzungen eines Angebots durch denselben User. Während im ersten Fall die Cookies nach Beendigung der Sitzung wieder gelöscht werden, bleiben sie im anderen Fall längere Zeit auf dem Computer des Nutzers gespeichert, um seine spätere Identifizierung zu ermöglichen.

Bei den im Cookie gespeicherten Informationen kann es sich um Daten handeln, die bei der Internetnutzung automatisch übermittelt werden (z.B. die dynamische IP-Adresse, den Browser-Typ, und anderes). Auch melden diese den Verlauf der Sitzung zur Speicherung weiter (z.B. über die aufgesuchten Web-Seiten, den angeklickten Warenkorb usw). Schlimmer noch, auch vom Nutzer selbst eingegebene Passwörter, Codes oder E-Mail-Adressen, werden übermittelt.
Von immer mehr Webseiten werden "Cookies" und andere Protokollierungsverfahren in den Computer des Nutzers (User) geschleust. Ein "Cookie" kommt in aller Regel als kleine Textdatei daher, die unter anderem zur Erfassung von Informationen bezüglich der Nutzung einer Website dient. In vielen, wenn nicht gar meisten Fällen dienen Cookies und andere Verfahren dazu, zu einem früheren Zeitpunkt von einem Internetbenutzer angegebene personenbezogene Daten erneut oder mehrfach abzurufen.

Was kann ich tun gegen unerwünschte Cookies?

Ganz schutzlos ist der Internet-Surfer diesen Cookie-Sammelprogrammen nicht ausgeliefert. Die meisten Webbrowser verfügen über Programm-Funktionen, mit denen die Annahme von Cookies wahlweise verweigert werden kann und/oder bereits vorhandene Cookies gelöscht werden können.
Bei den beiden meistgebrauchten Browsern erreicht man dieses Feature über folgende Klicks:

Internet-Explorer: Extras, Internetoptionen, Datenschutz, Erweitert. Dort kann man dann bestimmen, ob oder unter welchen Bedingungen man Cookies auf dem eigenen Rechner duldet.

Mozilla Firefox: Extras, Einstellungen, Datenschutz, Cookies…

Aber auch die meisten anderen gängigen Webbrowser können so konfiguriert werden, dass eingehende Cookies nur nach Bestätigung durch den Benutzer angenommen oder aber generell abgewiesen werden.
Diese Filter sind bei den unterschiedlichen Browsern unterschiedlich benutzerfreundlich angelegt. Der weltweit meist genutzte Browser tut sich da nicht gerade als besonders einfach zu bedienendes Werkzeug hervor. Gleichwohl, auch Microsoft, das mit seinen Windows-Programmen als besonders sammelwütig gilt, bietet diesen individuell zu konfigurierenden digitalen Schalter, an mit dem man Cookies den Zugang zum eigenen Computer versperren kann. Diese digitalen Hürden machen das Surfen aber nicht nur ungefährlicher sondern kosten den User auch ein wenig Zeit. Darum bedenken Sie bitte, dass Sie für den Zugriff auf bestimmte Bereiche einer von Ihnen aufgerufenen Website häufig Ihre Benutzerkennung und das jeweilige Kennwort neu eingeben müssen, wenn auf Ihrem Computer Cookies gelöscht oder abgewiesen wurden.
Seitdem es die moderneren Browser ermöglichen, entweder Cookies zu akzeptieren oder sie zurückzuweisen, sondern sie auch automatisch nach Ende einer jeden Internetsitzung von der Festplatte löschen zu lassen, ist die Debatte über Sinn und Unsinn dieser Plätzchen deutlich ruhiger, ja gelassener geworden. Dies gilt zumal, weil der Gesetzgeber (Berlin und Brüssel) ein paar Rechtshürden bei deren Einsatz gesetzt hat. Die wichtigste dieser Schutzbestimmungen lässt sich so beschreiben: Jeder Anbieter, unabhängig von der Frage, welche Absichten er verfolgt, muss, wenn er wie auch immer gestrickte Cookies in Ihren Computer schleusen will, ein paar Grundsätze des Datenschutzes und einschlägige Vorschriften beachten.

Wie sehen diese vom Datenschutzrecht bestimmten Vorschriften aus?

Wenn Cookies personenbezogene Daten ausbaldowern, müssen einige datenschutzrechtlichen Vorschriften eingehalten werden, wie sie etwa im Bundesdatenschutzgesetz (BDSG) beschrieben sind.
Das gilt auch für so genannte Nutzerprofile, die vom Anbieter unter Verwendung der Inhalte von Cookies gespeichert werden. Denn diese sind konstruktionsbedingt nicht anonym, sondern weisen immer einen indirekten Personenbezug auf.

  • Grundlegend ist der Datenschutz in Deutschland rechtlich durch das Bundesdatenschutzgesetz (BDSG-PDF) geregelt.
  • Für das Internet gelten ein paar "Spezialgesetze" wie das Teledienstedatenschutzgesetz (TDDSG PDF).
  • Weitere Normen finden Sie im
    Mediendienstestaatsvertrag (MDStV PDF)

Nach den §§ 3 bis 6 TDDSG gelten für Teledienste und den §§ 16 bis 21 MDStV für Mediendienste folgende datenschutzrechtlichen Grundregeln:

  • Personenbezogene Daten dürfen vom Anbieter nur erhoben, verarbeitet oder genutzt werden, wenn es das TDDSG bzw. der MDStV oder eine andere Rechtsnorm ausdrücklich erlaubt oder der Betroffene einwilligt.
  • Gleiches gilt für die anderweitige Verwendung der erhobenen Daten. Hierbei ist der Anbieter gehalten, nur für die Vertragserfüllung wirklich erforderliche Daten zu erheben.
  • Nutzer sind zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten zu unterrichten.
  • Insbesondere ist das Erstellen von nicht anonymisierten Nutzungsprofilen untersagt. Nicht mehr benötigte Daten sind zu löschen.
    Der Gesetzgeber plant derzeit, die rechtlichen Anforderungen für elektronische Informations- und Kommunikationsdienste, die bisher im Teledienstegesetz (TDG), TDDSG und im MDStV geregelt sind, in einem Telemediengesetz zusammenzuführen.
    Im April 2005 legte das Bundesjustizministerium einen ersten Entwurf eines neuen Telemediengesetzes vor. Dieser Gesetzentwurf räumte den Internetanbietern gegenüber ihren Nutzern mehr Rechte ein als die gegenwärtig gültigen Bestimmungen.
    Kein Wunder, dass dieser Entwurf heftige Gegenwehr provozierte. Die Kritiker bemängeln insbesondere die Aufweichung des Datenschutzes, der dem User relative Sicherheit garantiert und befürchten das Öffnen von Tür und Tor für einige, auf solche Ansinnen spezialisierte, „Spitzeldienste“ unter den Dienstanbietern.
    Im November 2005 legte das Ministerium einen weiteren Entwurf des geplanten Telemediengesetzes vor. Die wichtigsten Kritikpunkte des Vorentwurfs wurden darin nicht berücksichtigt. Die Kritik verstummte darum nicht, nahm im Gegenteil an Heftigkeit nur noch zu.
    Am 19. Januar 2006 wandten sich elf Bürgerrechts-Organisationen an die Öffentlichkeit, indem Sie auf gravierende Mängel hinwiesen, die der Gesetzentwurf aus ihrer Sicht noch immer beinhaltet. Die Bürgerrechtsvereinigungen, darunter die Humanistische Union und die Deutsche Vereinigung für Datenschutz, haben darin ihre Kritik in einem 60-seitigen Forderungskatalog zu Papier gebracht. Dieser wurde dem in der Sache federführenden Bundeswirtschaftsminister übergeben. Eines der Argumente, das darin angeführt wird, lautet, dass der beste Datenschutz (Diebstahl und Missbrauch) dann gegeben sei, wenn erst gar keine oder nur möglichst wenige Daten erhoben, gespeichert und weiter gegeben dürften. Das Speichern und das Sammeln von Daten im Internet müsse auf ein möglichst geringes Maß eingeschränkt werden. Der jüngste Entwurf des Telemediengesetzes sehe dagegen noch immer eine wesentliche Minderung des bestehenden Datenschutzes vor.
    Am 14. Juni 2006 hat sich die Bundesregierung auf einen endgültigen Gesetzesentwurf geeinigt. Dieser Entwurf liegt nun den parlamentarischen Gremien zur Beratung vor.
    An den datenschutzrechtlichen Bestimmungen soll darin angeblich grundsätzlich nichts geändert werden. Ob das so stimmt? Man darf daran ernsthaft zweifeln. Am besten Sie lesen selbst nach hier.
Was bedeutet das für den Einsatz von Cookies?

Die Datenschutzregelungen des TDDSG und MDStV haben direkte Auswirkungen auf den Einsatz von Cookies. Hier gilt Folgendes:

  1. Vor dem Setzen eines Cookies muss der Nutzer klare und ausführliche Informationen über die Verwendung erhalten und in die Lage versetzt werden, Cookies auch ablehnen zu können. Denn personenbezogene Daten dürfen nur erhoben, verarbeitet und genutzt werden, soweit der Nutzer wirksam eingewilligt hat oder ein gesetzlicher Erlaubnistatbestand vorliegt.

    Diese Unterrichtung muss Informationen über den Zweck, den Inhalt und das Verfallsdatum des Cookies enthalten. Nicht ausreichend ist der Verweis auf die Einstellung im Browser "Cookies akzeptieren" oder die Zustimmung zu einer Anfrage ohne Unterrichtung (Beispiel: "ebay.de“ oder „Google.com“ will einen Cookie installieren. Sind Sie damit einverstanden?).

    Die Unterrichtung kann unterbleiben, soweit Cookies ausschließlich für die Dauer der jeweiligen Sitzung zwischengespeichert und danach automatisiert gelöscht werden und ein Personenbezug nicht hergestellt wird.
  2. Werden Cookies mit personenbezogenen Nutzungsdaten implantiert, beispielsweise um die jeweilige Nutzung eines Online-Dienstes wie Yahoo, Google oder Ebay zu ermöglichen oder zu vereinfachen (individualisiertes Angebot, Warenkorbfunktion etc.), müssen die Cookie-Daten frühest möglich, spätestens unmittelbar nach Ende der jeweiligen Nutzung wieder gelöscht werden.
  3. Außerdem stellen TDDSG bzw. MDStV ausdrücklich klar, dass Nutzungsprofile nur bei der Verwendung von Pseudonymen zulässig sind. Eine Zusammenführung der pseudonymisierten Profildaten mit personenbezogenen Informationen über den Nutzer ist unzulässig.

Ein Datenabgleich zwischen dem Internet-Provider des Nutzers und dem Diensteanbieter, der lediglich die dynamische (für ihn pseudonyme) IP-Adresse in cookie-basierten Nutzungsprofilen festhält, ist damit nicht legal.
Das alles sind hehre Schutzbestimmungen, an die sich gleichwohl so gut wie niemand hält. Die meisten Browser erlauben, die auf dem Rechner implantierten Cookies einzusehen. Schauen Sie dort einmal nach und Sie werden.

Diese Datenschutzregelungen für Cookies gelten übrigens nicht nur in Deutschland. Sie basieren auf zwei EU-Richtlinien, nämlich der "Richtlinie der EU zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr" (95/46/EG) von 1995, der sog. EU-Datenschutz-Richtlinie (Download Richtlinie von http://europa.eu.int), und insbesondere der "Richtlinie der EU über die Behandlung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der elektronischen Kommunikation" (2002/58/EG) von 2002, der sog. EU-Datenschutz-Richtlinie für die elektronische Kommunikation (Download PDF-Datei von http://europa.eu.int).

Was sind eigentlich Web Bugs oder Web Beacons?

Während Cookies – vorausgesetzt Sie haben Ihren Browser entsprechend eingestellt – nachfragen, ob Sie mit dem Ausspähen Ihres Rechners, bzw. Ihrer Internetaktivi-täten einverstanden sind oder nicht, haben Sie gegen neuerdings immer häufiger eingesetzte Web Bugs oder Web Beacons kein Mittel der Wahl.

Kein digitaler Schalter in Ihrem System (Hardware und Software) versetzt Sie in die Lage, den digitalen Mini-Spähern und Tarnkappen-Spionen ihr Tun zu verbieten oder gar unmöglich zu machen. Zwar gibt es zwischenzeitlich einige Software-Tools, die Sie schützen sollen. Ob die allerdings wirklich funktionieren, wird von vielen Experten mit einigen Fragezeichen kommentiert. Die Dinger sind halt schlicht zu gut getarnt.

Doch zurück zur Ausgangesfrage, was diese Web Beacons eigentlich sind:

"Web Beacons"oder "Web Bugs" (sie werden auch "Action Tags", "Pixel Tracker" oder "Clear GIFs" genannt) sind kleine Grafikbilder, die in einer Webseite, einem webbasiertes Dokument oder eine E-Mail versteckt untergebracht werden.

Sie sind in einer Grafik schon deswegen nicht zu erkennen, weil sie nur punktgroß sind und in Farbe und Größe ihren „Nachbarpunkten“ der Grafik absolut gleichen.  Unternehmen und Organisationen, die solche „Web-Käfer“ auf Reisen schicken tun dies, damit sie selbst oder von diesen autorisierte Dritte bestimmte Informationen sammeln, das heißt u.a. im schlimmsten Fall auch den Benutzerverkehr auf ihrer Websites beobachten können.

Web Beacons sind für den Website-Nutzer selbst also unsichtbar, da diese typischerweise sehr klein sind. Ihr „Abbild“ ist nur meist nur 1x1 Pixel groß und hat – wie oben ausgeführt - die gleiche Farbe und Größe wie der Hintergrund der Webseite, das Dokument oder wie bestimmte Grafikelemente in einer E-Mail, die Sie sich herunterladen. Eine bessere Tarnung lässt sich kaum vorstellen.

Der Versender solcher Web Beacons benutzt diese in der Regel, um Informationen einzuholen, wie etwa die IP-Adresse des Computers, an den ein Web Beacon gesendet wird, die URL der Seite, von welcher der Nutzer auf eine andere Seite zugreift. Weiter wird die Zeit registriert, zu der ein Web Beacon aktiviert wird, so z. B. wenn Sie eine Website anklicken, sich eine Anzeige anschauen oder eine E-Mail lesen. All diese Internet-Inhalte könnten einen Web Beacon enthalten. Geradezu harmlos ist die Verwendung von Web Beacons, wenn sie nur dazu dienen, E-Mails im passenden HTML- oder Textformat anzuzeigen.

Was kann ich tun gegen unerwünschte Web-Beacons und Web-Bugs tun?

Um es auf den Punkt zu bringen: Web Beacons machen aus Ihrem Computer ein offenes Buch. Mehr noch, alle Randnotizen (um im Bild zu bleiben) die Sie auf den Seitenrändern  dieses Buchs anbringen, sind für diese Web-Bug auslesbar und an dessen Auftraggeber weiter zu reichen. Und das Schlimme an diesem Ungeziefer sei frank und frei benannt: Sie können so gut wie nichts dagegen tun. Einen digitalen Kammerjäger gibt es noch nicht. Sie können nur hoffen, dass sich diejenigen, die diese Käfer auf den Weg schicken, sich an Recht und Gesetz halten.

Einige, seriöse Unternehmen, die sich solcher Web-Bugs bedienen fragen derzeit (wie lange wohl noch?) nach, ob Sie mit dem Einsatz dieser Web Beacons einverstanden sind oder nicht. Vermeintlich besonders seriöse Anbieter fordern Sie sogar dazu auf, die Erlaubnis per Mausklick zu bestätigen. Liest sich gut, ist aber, wie Juristen warnen, eine besonders trickreiche Variante des Ausspähens und des Umschiffens von Datenschutznormen, die der Gesetzgeber mal zu Ihrem Schutz in verschiedene Gesetze geschrieben hat.

Es ist hier nicht der Raum, um das Thema erschöpfend auszuleuchten. Gleichwohl ist ein Blick in die AGBs vieler Anbieter manchmal sehr aufschlussreich. Datenschützer sprechen im Zusammenhang mit der geforderten Abgabe einer Einverständniserklärung vor der Implantierung von Web Beacons von eimem  „Freibrief auf einen Horrortrip“. Sorry – aber so isses wohl auch (noch).


Autor:
Matthias-Josef Zimmermann
Datum:
10.10.2006

 

Wichtiger Hinweis:

Das abc-Recht-Portal  wird derzeit in Gänze überarbeitet. Auch die Inhalte dieser Seite, wie die aller Folgeseiten, sollen in Kürze aktualisiert werden. Die hier angebotenen Informationen entsprechen möglicherweise nicht mehr dem aktuellen Stand von Gesetzgebung und Rechtsprechung. Wir bitten, dies zu berück-
sichtigen und insofern auch um Ihr Verständnis.