Rechtsstreit um "ewige" Cookies

Nachdem Wissenschaftler die Details raffinierter Tracking-Verfahren offengelegt haben, setzen sich die Gerichte damit auseinander – und das betroffene Unternehmen hat die Dauerkekse vom Markt genommen.

In Pocket speichern vorlesen Druckansicht 39 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Herbert Braun

Seit gut zwei Wochen läuft gegen die Tracking-Firma KISSmetrics eine Klage, weil sie von den Websites ihrer Kunden aus (darunter Hulu, Spotify, Etsy und GigaOm) ein praktisch unlöschbares Cookie setzt. Angestoßen wurde die Klage durch eine wissenschaftliche Untersuchung unter der Regie des Forschers und Beraters Ashkan Soltani, der bereits vor zwei Jahren Tracking-Verfahren mit Flash-Cookies offenlegte und damit ebenfalls einen Prozess auslöste. Nun hat Soltani eine Analyse der Tracking-Mechanismen vorgelegt, die bei Hulu (stellvertretend für mehr als 500 KISSmetrics-Kunden) zum Einsatz kommen.

Ähnlich wie bei der älteren Cookie-Technik, die von den Tracking-Firmen Clearspring und Quantcast eingesetzt wurde, können zusätzliche Speichertechniken den HTTP-Cookie wiederherstellen ("Respawning"). Hulus eigener Tracking-Code setzt dafür Flash-Cookies, die HTML5-Technik LocalStorage und dessen ältere Internet-Explorer-Variante userData ein. Parallel arbeitet noch das Tracking von KISSmetrics, das außer diesen drei Speichertechniken auch noch ETags nutzt. Dabei handelt es sich um per HTTP-Header weitergegebene Daten, die eigentlich effizientes Caching mit Zeitstempeln ermöglichen sollen.

In der Praxis können sich Benutzer durch Werbe- und Skriptblocker vor diesem Tracking schützen, da KISSmetrics JavaScript einsetzt. Allerdings kommen HTTP-Cookies und ETag-Header auch ohne Skripte und Plug-ins aus, sodass noch robustere Tracking-Verfahren denkbar wären.

"KISSmetrics verfolgt Benutzer nicht über unterschiedliche Websites, noch haben wir dazu die Fähigkeiten", behauptet dagegen der CEO der Firma, Hiten Shah. Er betont, dass die bei einer Kunden-Website aufgelaufenen Informationen nie an Dritte weitergegeben wurden. Seit KISSmetrics am 29. Juli verklagt wurde (PDF), verzichtet es auf das Respawning der Cookies und die ETags; außerdem unterstützt das Unternehmen nun Opt-out-Cookies und den Do-not-Track-Header. (heb)