Rechtsstreit um "ewige" Cookies
Nachdem Wissenschaftler die Details raffinierter Tracking-Verfahren offengelegt haben, setzen sich die Gerichte damit auseinander – und das betroffene Unternehmen hat die Dauerkekse vom Markt genommen.
Seit gut zwei Wochen [1] läuft gegen die Tracking-Firma KISSmetrics [2] eine Klage, weil sie von den Websites ihrer Kunden aus (darunter Hulu, Spotify, Etsy und GigaOm) ein praktisch unlöschbares Cookie setzt. Angestoßen wurde die Klage durch eine wissenschaftliche Untersuchung [3] unter der Regie des Forschers und Beraters Ashkan Soltani [4], der bereits vor zwei Jahren Tracking-Verfahren mit Flash-Cookies offenlegte [5] und damit ebenfalls einen Prozess [6] auslöste. Nun hat Soltani eine Analyse der Tracking-Mechanismen [7] vorgelegt, die bei Hulu [8] (stellvertretend für mehr als 500 KISSmetrics-Kunden) zum Einsatz kommen.
Ähnlich wie bei der älteren Cookie-Technik, die von den Tracking-Firmen Clearspring und Quantcast eingesetzt wurde, können zusätzliche Speichertechniken den HTTP-Cookie wiederherstellen ("Respawning"). Hulus eigener Tracking-Code setzt dafür Flash-Cookies, die HTML5-Technik LocalStorage und dessen ältere Internet-Explorer-Variante userData ein. Parallel arbeitet noch das Tracking von KISSmetrics, das außer diesen drei Speichertechniken auch noch ETags nutzt. Dabei handelt es sich um per HTTP-Header weitergegebene Daten, die eigentlich effizientes Caching mit Zeitstempeln ermöglichen sollen.
In der Praxis können sich Benutzer durch Werbe- und Skriptblocker vor diesem Tracking schützen, da KISSmetrics JavaScript einsetzt. Allerdings kommen HTTP-Cookies und ETag-Header auch ohne Skripte und Plug-ins aus, sodass noch robustere Tracking-Verfahren denkbar wären.
"KISSmetrics verfolgt Benutzer nicht über unterschiedliche Websites, noch haben wir dazu die Fähigkeiten", behauptet [9] dagegen der CEO der Firma, Hiten Shah. Er betont, dass die bei einer Kunden-Website aufgelaufenen Informationen nie an Dritte weitergegeben wurden. Seit KISSmetrics am 29. Juli verklagt wurde (PDF [10]), verzichtet es auf das Respawning der Cookies und die ETags; außerdem unterstützt das Unternehmen nun Opt-out-Cookies und den Do-not-Track-Header [11]. (heb [12])
URL dieses Artikels:
https://www.heise.de/-1323580
Links in diesem Artikel:
[1] https://www.heise.de/news/Websites-hebeln-Anti-Cookie-Massnahmen-aus-1288914.html
[2] http://www.kissmetrics.com/
[3] http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1898390
[4] http://ashkansoltani.org/
[5] http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1446862
[6] https://www.heise.de/news/Datenschutz-Klage-gegen-Disney-und-Warner-1060419.html
[7] http://ashkansoltani.org/docs/respawn_redux.html
[8] http://www.hulu.com/
[9] http://blog.kissmetrics.com/official-kissmetrics-response-to-data-collection-practices/
[10] http://ashkansoltani.org/docs/km/hulu_kissmetrics_complaint.pdf
[11] https://www.heise.de/news/US-Senator-legt-Gesetzentwurf-fuer-Datenschutz-im-Web-Browser-vor-1240460.html
[12] mailto:heb@ct.de
Copyright © 2011 Heise Medien