Web-Kekse: Die EU und das angebliche Cookie-Verbot

"EU will Cookies verbieten" -- diese Nachricht geisterte in den letzten Tagen durch das Web. Doch von einem Verbot ist bei näherem Hinschauen nicht die Rede.

In Pocket speichern vorlesen Druckansicht 99 Kommentare lesen
Lesezeit: 6 Min.
Von
  • Holger Bleich

"EU will Cookies verbieten" -- diese Nachricht geisterte in den letzten Tagen durch das Web. Das Gerücht geht auf einen Bericht von Nachrichtenagenturen zurück: Darin hieß es, der aktuelle Vorschlag einer neuen EU-Datenschutzrichtlinie enthalte ein generelles Verbot des Einsatzes von Cookies. Die Meldung ist jedoch eine klassische Ente, von einem Cookie-Verbot ist im Entwurf nichts zu finden.

Im so genannten "Cappato-Bericht", auf den sich die Meldung bezieht, wird lediglich empfohlen, Artikel 5.3 der zu verabschiedenden Datenschutzrichtlinie anders zu formulieren. Dort heißt es nun: "Mitgliedsstaaten sollen verbieten, den Einsatz von elektronischen Netzwerken zur Speicherung von Informationen von Kunden zu nutzen oder Einblick in die am Terminal des Kunden gespeicherten Daten zu gewinnen, es sei denn, der Nutzer gibt sein ausdrückliches Einverständnis dazu." Zu gut deutsch: Nach diesem Vorschlag gilt wie gehabt die Opt-In-Regelung.

Der Cappato-Bericht ergänzt einen Kommissions-Entwurf zur Neufassung der Datenschutzrichtlinie [KOM(2000)385] außerdem um einige weitere Punkte. Er wird voraussichtlich am 13. November dem Europäischen Parlament zum Beschluss vorgelegt und dann an den Ministerrat weitergereicht.

Ohne sich weiter mit den eigentlichen Vorschlägen der EU-Kommission zu beschäftigen, lief das Interactive Advertising Bureau (IAB), ein Branchenverband der Online-Vermarkter, Sturm gegen die EU. Über eine halbe Milliarde Mark an Umsatzeinbußen würden jährlich mit der neuen Cookie-Richtlinie einhergehen, rechnete die britische Niederlassung des IAB vor. Daher habe man sich zu einer Lobby- und Marketingkampagne namens "Rettet unsere Cookies" entschlossen.

"Die vorgeschlagenen Änderungen würden den Gebrauch der Cookie-Technik durch Web-Publisher stark einschränken", sagte Danny Meadows-Klue, Chef des britischen IAB, gegenüber heise online. Die EU ignoriere, dass mittlerweile jeder Websurfer umfassende Instrumente in der Hand hält, um zu entscheiden, welches Cookie er akzeptieren wolle und welches nicht. "Wir wollen doch alle die Privatsphäre schützen", versicherte Meadows-Klue, denn sie sei "der Schlüssel für einen E-Commerce, mit dem die Kunden zufrieden sind."

Hintergrund: die Cookies

Das Cookie-Konzept wurde von Netscape erdacht und war bereits in der Version 1.0 des Navigators implementiert. Die Spezifikation der Technik kann man im RFC 2109 nachlesen. Cookies ermöglichen zusammen mit dem eigentlich "zustandslosen" Hypertext Transfer Protokoll (HTTP), eine dauerhafte Verbindung zwischen dem Server und dem die Web-Seiten abrufenden Browser zu etablieren. Viele, vor allem größere Sites nutzen diese Technik intensiv, um ihren Nutzern das Navigieren zu erleichtern. Indem die Site ihrem Besucher quasi einen Stempel aufdrückt, kann sie ihn jederzeit wiedererkennen und ihm eventuell beim letzten Besuch getätigte Voreinstellungen erneut anbieten.

Auch während eines Besuchs auf der Site können Cookies viel Nutzen stiften: So greifen etwa nahezu sämtliche Einkaufskörbe in Online-Shops auf die Technik zurück -- der Kunde spaziert über verschiedene Seiten, und via Cookie merkt sich die Shop-Site, welche Artikel bisher bestellt wurden. Nicht zuletzt dienen Cookies, so paradox das angesichts der gegenwärtigen Diskussion um diese Technik auch klingen mag, der Datensicherheit: Dienste wie etwa Webmailer müssen ihren Kunden während eines Besuchs viele Websites mit persönlichen Informationen ausliefern, ohne jedesmal die erneute Eingabe des Nutzer-Passworts zu verlangen. Die Methode, dazu einen Schlüssel-Code zu generieren, diesen von einer Seite an die Nächste weiterzugeben und erst beim regelgemäßen Logout durch den Nutzer zu löschen, hat sich als unsicher herausgestellt. Eine Identifizierung des Browsers durch Cookies stellt hier die bessere und überdies einfacher einzusetzende Technik dar.

Aber die Medaille hat auch eine Kehrseite: Datensammelwütige Firmen können es sich zunutze machen, einzelne Rechner wiederzuerkennen. Sie legen auf der lokalen Festplatte ein persistentes, also ein über einen Besuch hinaus gültiges Cookie ab. Jedes Mal, wenn der Besucher wiederkehrt, kann sein Rundgang durch die Site genau mitgeschnitten werden. Mit der Zeit kann man also durch Cookies ein genaues Surfprofil des Nutzers erstellen. Online-Shops ist es ein Leichtes, die so gewonnenen Daten mit dem bei jedem Kauf eingegebenen Namen des Kunden zu verknüpfen. Werbenetzwerke wie das von DoubleClick beliefern eine sehr große Anzahl von kommerziellen Websites mit Werbebannern und setzen ebenfalls Cookies auf die Rechner der Kunden. So gelingt ihnen das, was die Erfinder dieser Technik eigentlich verhindern wollten, nämlich das Verfolgen ("tracken") von Surfern über Website-Grenzen hinweg.

Eigentlich kein Problem, sollte man meinen. Jeder Browser bietet doch mittlerweile die Möglichkeit, Cookies generell abzulehnen. Wer das tut, wird aber auf jede Menge der oben beschriebenen, sinnvollen Funktionen, die erst durch Cookies möglich werden, verzichten müssen und von so mancher Site gleich wieder herausgeworfen. Seit einiger Zeit lassen die Browser es auch zu, Cookies selektiv nur von bestimmten Domains zu akzeptieren. Microsofts Internet Explorer bis Version 5.5 verfügt hierfür über ein Zonenmodell. Ab Version 6.0 muss man wie im Netscape-Browser die Sites einzeln benennen. Cookies für einzelne Zonen, also etwa Intranets, zuzulassen oder abzulehnen, ist leider nicht mehr möglich. Eine Menge Handarbeit und Know How ist also nötig, um möglichst unverfolgt Surfen zu können -- zuviel für die meisten Nutzer, die meist an der Voreinstellung "Alle Cookies akzeptieren" lieber nicht drehen.

Hier ist der Ansatzpunkt, um Cookies zu einer vorbehaltlos sinnvollen Sache werden zu lassen. Ein Schritt dahin ist das P3P-Protokoll, auf das neuerdings auch Microsoft setzt. Es soll dem Nutzer die Auswahl abnehmen.

Fest steht jedenfalls, dass die oben zitierte Behauptung des Online-Werbers Danny Meadows-Klue, nach der die Nutzer über ein reichhaltiges Instrumentarium verfügten, nur die halbe Lösung darstellt. Was nützten die stärksten Abwehrgeschütze, wenn sie mangels Fachkenntnis nur ein Bruchteil der Surfer sinnvoll einsetzen können? (hob)