Woher kommen die kleinen "Kekse" im Browser und warum hat das solchen Einfluss auf den Datenschutz?
Die Geschichte der Cookies
Wer das Internet schon in den 90er-Jahren des vorigen Jahrhunderts genutzt hat, kennt Cookies bereits seit damals. Um genau zu sein geht die Einführung von Cookies auf das Jahr 1994 zurück. Damals war der Netscape Navigator der "neueste Schrei" unter den Web-Browsern. Von einem Chrome oder Firefox war man noch weit entfernt und auch Microsoft hatte mit seinem Internet Explorer noch nicht den Platz erobert.
Warum wurden Cookies erfunden?
Die Entstehung der Cookies geht auf einen Bedarf für ein Web-Projekt zurück. Der Software-Entwickler Louis J. Montulli II fing im Jahr 1994 bei Netscape Communications zu Arbeiten an. Er war zuvor schon einer der Co-Entwickler des Webbrowsers "LYNX" tätig. Lynx war ein textbasierender Browser, der Web-Dokumente (Text) aufrufen konnte und anzeigen konnte. Außerdem konnte Lynx auch Verlinkungen interpretieren und so von einem Text-Dokument zu einem anderen Text-Dokument weiterleiten. Diese Arbeit machte Loui J. Montulli (besser bekannt als "Lou Montulli") damals als der noch an der Unversität von Kansas in den USA tätig war.
Die Bezeichnung "Cookie" stammt aus "C"
Ein Paket von Daten, ein sogenanntes "Magic Cookie" wurde schon im Jahr 1979 in der Programmiersprache C eingesetzt. Dabei geht es darum, dass ein Programm an den Nutzer eine kleine Datei mit Textdaten schickt, die es dann selbst in weiterer Folge wieder entgegen nimmt. Beispielsweise diente das schon damals dazu um nach einem Login mit Benutzername und Passwort auch in anderen Programmteilen feststellen zu können, wer die eingeloggte Person ist. So etwas benötigte man auch schon vor dem Web in lokalen Computerprogrammen - beispielsweise um eine Buchhaltungssoftware zu programmieren, die auch beim Buchen selbst noch weiß, wer der Buchhalter ist, der die Buchung gerade durchführt.
Diese Bezeichnung "Magic Cookie" inspirierte schließlich Lou Montulli, als er bei Netscape Communications aufgefordert wurde sich eine Lösung für ein Webseitenproblem einfallen zu lassen. Er sollte eine Webanwedung für MCI entwicklen. MCI ist eine frühere Telekommunikations-Firma, die auch unter MCI Worldcom bekannt wurde, später wurde sie von Verizon übernommen. Dabei war es notwendig Daten von einer Webseite aus an den Nutzer zu schicken, ohne, dass der Nutzer etwas damit tun mußte, sondern lediglich zu dem Zweck, dass die Webanwendung zu einem anderen Zeitpunkt diese Daten wieder auslesen und nutzen konnte. Das "Login-Thema" wie oben beschrieben ist dabei die üblichste Form, warum Cookies nötig sind. Nach einem Klick auf eine Link zu einer andere Seite, kann die Webseite (HTML) schließlich nicht mehr herausfinden, mit welchen Daten die Person auf der vorigen Seite agiert hat. Dies würde technisch ohne Cookies nur wirklich funktioniert haben, wenn jede Webseite mit einem "Formular" abgeschlossen worden wäre, sodass man Daten an die folgende Webseite weitergebe kann. Dies funktioniert aber beispielsweise in eiem Online-Shop nicht, wenn der Nutzer die Möglichkeit hat jederzeit auf die Produktauswahl zurück zu gehen und weitere Produkte in den Warenkorb zu legen um schließlich alles gemeisam in einem Zahlungsprozesss zu kaufen.
Cookies und der Datenschutz...
Danach dauerte es nicht lange, bis die Werbewirtschaft diese Cookies für sich entdeckte. Um beispielsweise festzustellen, wer einen bestimmten Werbebanner gesehen hat oder sogar angeklickt hat und darauf auch mit anderen Bannern oder anderen Werbeschaltungen reagieren zu können. Die in Online-Medien eingebundenen Werbeflächen kamen von einem zentralen System der Werbefirma. So konnte man ein Cookie setzen und dieses Cookie auch auf einer anderen Webseite wieder auslesen und so erfahren, was auf der vorigen Webseite geschehen war und welche Webseite der Nutzer angesehen hatte.
Daraus entstand schließlich das Problem im Datenschutz, weil diese Nutzungsdaten in immer größerer Menge von den Werbefirmen angehäuft wurden und die Nutzer quasi quer durch das Internet von diesen Firmen schließlich in einer Art und Weise verfolgt wurden, dass Datenschützer auf das Problem aufmerksam wurden.
Warum benötigt man einen Cookie-Banner bzw. "Cookie Consent"?
Rechtlich ist die aktuelle Situation (Stand September 2020) noch nicht ganz einfach, denn die meisten Regeln rund um das Thema Cookies und Tracking werden erst in der kommenden e-Privacy Verordnung der Europäischen Union sein. Grundsätzlich gibt es drei verschiedene Varianten, wie man Nutzer über den Einsatz von Cookies informieren kann. Dabei grundsätzlich gilt, dass der Webseitenbetreiber sehr wohl für "Sessions-Cookies" ein begründbares Recht hat, diese einzusetzen. Session-Cookies sind für unterschiedliche technische Verfahren nötig, wie etwa einen Warenkorb in einem Online-Shop oder ein User-Login.
Variante 1: Stärkste Sicherheit mit Cookie-Consent
Mit einem echten "Cookie-Consent"-Banner wie cookie.life werden die Scripts, die von externen Systemanbietern wie etwa Google Analytics oder Doubleclick oder Facebook vorab blockiert und erst korrekt generiert, wenn die entsprechende Zustimmung aktiv durch den Nutzer erteilt wurde. Damit bewegt man sich rechtlich dann auf der sicheren Seite. Dass Session-Cookies gesetzt werden um überhaupt die Funktion der Webseite zu ermöglichen, ist damit nicht betroffen. Grundsätzlich sollte man aber auch über diese Cookies entsprechend aufklären. Diese Cookies fallen üblicherweise in die Kategorie "Technisch Notwendig" oder "Notwendige Cookies".
Dagegen ist es nicht technisch notwendig, damit die Webseite bedient werden kann, dass ein Tracking im Hintergrund läuft. Bei Werbeschaltungen war man sich darüber schnell im Klaren, bei Statistik-Tracking ist das nicht ganz eindeutig gewesen. So könnte man durchaus argumentieren, dass der Einsatz von Matomo / Piwik-Statistik-Software hier nicht zwingend betroffen sein muß, weil dabei die Daten nicht einer allgemeinen Vernetzung zugespielt werden, sondern tatsächlich auf einem eigenen Server des Webseiten-Anbieters liegen (sofern das so ist). Bei Google Analtytics beispielsweise ist das nicht so, hier sind Trackings quer über Webseiten möglich, daher ist dafür jedenfalls eine aktive Einwilligung notwendig.
- Rechtliches Risiko: Sehr gering.
- Kosten: Üblicherweise kosten solche Cookie-Consent-Systeme eine monatliche Gebühr je nach Anbieter und Funktionsumfang.
Variante 2: Cookie-Ok-Banner ohne Blockierung
Was ebenfalls viele Webseitenbetreiber in den letzten Jahren gemacht haben, scheint rechtlich nicht mehr in dieser Form gedeckt zu sein. Der Cookie-Banner mit "Akzeptieren" oder "Ok", der am unteren oder oberen Seitenende eingebunden ist und lediglich darüber aufklärt, dass tatsächlich einfach Cookies gesetzt wurden. Dieser Banner hat eigentlich nur eine Hinweisfunktion, weil die Webseite auch ohne Zustimmung weiter bedient werden kann. Lediglich die benötigte Bannerfläche kann - bei kleineren Geräten insbesondere - an der Bedienung stören, aber tatsächlich funktoiniert die Webseite weiterhin und setzt auch Cookies.
- Rechtliches Risiko: Eher hoch.
- Kosten: Solche "Cookie-Ok-Banner" verursachen gewöhnlich nur Einrichtungsgebühren, sie verlangen keine laufende "Intelligenz".
Variante 3: Aufklärung in den Datenschutzbestimmungen
Auch diese Form der Cookie-Information gibt es immer noch. Oftmals in den Datenschutzbestimmungen noch ein wenig "verbessert" nicht nur mit Aufklärung darüber, dass Cookies gesetzt sind und welche es sind, sondern noch mit der optionalen Möglichkeit des Opt-Out, also der Möglichkeit mit einem Button in der Datenschutzerklärung dem weiteren Verwenden von einzelen Tracking-Cookies zu widersprechen.
- Rechtliches Risiko: Sehr hoch.
- Kosten: Das machen viele Webseitenbetreiber einfach selbst in ihrer Datenschutzerklärung, selten gröbere externe Kosten.
Entscheidungsgrundlage für Cookies?
Wer einfach einen Cookie-Banner nicht verwenden will und auch keine Cookie-Consent-Systematik einbauen möchte, kann natürlich theoretisch auch einfach auf Cookies verzichten, zumindest auf jene, die nicht ohnehin technisch notwendig und daher eher unproblematisch sind. Wer aber eines der folgenden Kriterien erfüllt, sollte jedenfalls eine echte Cookie-Consent-Lösung wie cookie.life (oder andere auf dem Markt) verwenden:
- Werbeschaltungen auf der Webseite / Externe Werbung wird eingebunden (Google AdSense, Doubleclick, div. Adserver...)
- Trackinglösungen werden benutzt wie etwa ein eingebautes Facebook-Pixel um die Wirkung der Werbung auf Facebook auf der Seite nachvollziehen zu können oder auch Werbeschaltungen in Google letztlich mit den tatsächlichen Umsätzen zusammenschalten zu können.
- Externe Statistik-Systeme wie Google Analytics (Verursacht genau deshalb keine Kosten, weil Google die Daten kommerziell für sich auswertet und das Geld auf diese Weise verdient.)
Wer andere Cookies wie ein eigenes Statistik-System wie Piwik bzw. Matomo benutzt, sollte die Cookie-Zustimmung ebenfalls per Consent-Banner einholen, ist aber möglicherweise im Streitfall doch etwas weniger hart angreifbar, wie beim vergleichbaren Einsatz von vollständig externen Systemen wie Hotjar oder Google Analytics.