Erst wenn Sie zufrieden sind, ist unsere Aufgabe erfüllt!
Serverzeit:
Cookie oder auch Keekse

Zum Thema Cookies

gibt es sehr verschiedene Meinungen.Die einen halten sie schlicht für ungefährlich, die anderen sehen in ihnen eine massive Bedrohung der Privatsphäre. Richtig ist beides: Cookies bedrohen die Privatsphäre, aber sie können keinen Schaden auf dem eigenen Computer anrichten. Insofern ist ein Cookie keine Bedrohung für die Daten auf dem eigenen Computer, wohl aber für die Information, was der Nutzer damit tut.
Profilbildung durch Cookies

Durch Cookies wird eine übergreifende Verfolgung des Nutzerverhaltens möglich. Von ihrer ursprünglichen Intention her sind Cookies recht harmloser Natur: Es handelt sich um kleine Textdateien, die eine Webseite auf dem Computer des Besuchers ablegen kann. Mit Hilfe dieser Datei kann der Webserver auf dem Rechner des Nutzers zum Beispiel Präferenzen und Einstellungen abspeichern, die beim nächsten Besuch automatisch wiederhergestellt werden. Ebenso ist es einem Server dadurch möglich, für die Dauer der Sitzung den Anwender wiederzuerkennen, ohne dass dieser ständig Benutzernamen und Kennwort neu eingeben muss. Ein Onlineshop kann durch einen Cookie erkennen, dass da ein alter Kunde zu Besuch kommt und ihm passende Angebote (und eventuell beim letzten Besuch vorgemerkte Artikel) präsentieren. Der Buchhändler Amazon.de zum Beispiel begrüßt Kunden, die per Cookie identifiziert werden können, namentlich und präsentiert Angebote in der Rubrik "Für Sie ausgewählt...". Dabei ist diese Rubrikbezeichnung durchaus wörtlich zu nehmen. Anhand der bisherigen Bestellungen stellt Amazon Artikel zusammen, die zum Bestellprofil des jeweiligen Kunden passen.

Die Daten, aus denen diese Angebote generiert werden, liegen auf einem Server bei Amazon. Das bedeutet, dass der Cookie auf der lokalen Festplatte nichts weiter enthält als eine ID-Nummer, anhand derer ein Server einen Datensatz mit einem Surfer verknüpfen kann. Im oben gezeigten Screenshot sieht man, dass der "Inhalt" des Cookies nur aus einer Zahlenreihe besteht. Die Gültigkeit weist darauf hin, wie lange der Buchhändelr den Benutzer dieses Computers wiedererkennen kann - nämlich bis zum Jahr 2035.
Für den Nutzer ist dabei nicht nachvollziehbar, welche Daten der Anbieter über ihn wirklich sammelt. Sicher ist allerdings, dass die Datensammlung bei jedem Besuch größer wird. Da der Nutzer bereits beim Aufruf des Online-Shops identifiziert wird, kann jede einzelne Aktion innerhalb der Webseite aufgezeichnet und zu einem bestehenden Profil hinzugefügt werden.

Und hier fängt das Dilemma an. Nicht jeder Kunde mag es, dass ein Verkäufer permanent ein Auge darauf hat, wann und wo er sich im Laden umsieht. Ob man nun etwas bestellt oder nicht, allein der Aufruf einer Seite, die bei einem früheren Besuch einen Cookie auf dem Computer hinterlassen hat, verrät dem Server, welcher seiner Kunden da gerade wieder vorbeischaut. Das bloße Stöbern im Shop ist somit bereits alles andere als anonym, unabhängig davon, ob man eine Bestellung tätigt oder nicht.

Cookies von Drittanbietern

Ein weit größeres Problem stellen jedoch Cookies dar, die gar nicht von der Seite stammen, die man gerade betrachtet. Die Spielregel für den Umgang mit Cookies lautet: Nur wer ihn gesetzt hat, darf ihn auch später wieder auslesen. Das ist sinnvoll, weil es eine Bank beispielsweise nichts angeht, welche Daten ein Online-Buchhändler über den Kunden ablegt. Allerdings können nicht nur Webseiten solche Cookies anlegen, auch die kleinen Werbebanner, die auf vielen Seiten zu finden sind, sind dazu in der Lage. Das liegt daran, dass diese Banner eigentlich "Seiten in der Seite“ darstellen. Und als eigenständige Webseite dürfen sie natürlich auch Cookies setzen.
Banner werden meist über große Agenturen geschaltet, die auf diese Weise auf vielen verschiedenen Webseiten präsent sind. Wenn ein Surfer nun also auf seinem Ausflug ins Web drei verschiedene Seiten aufruft, auf denen jeweils – als "Seite in der Seite“ – ein Werbebanner erscheint, so kann die dahinterstehende Agentur nachvollziehen, welche drei Seiten dieser Surfer abgerufen hat. Die aufgerufenen Webseiten wissen jeweils nur, dass Nutzer X zum Zeitpunkt Y bei ihnen war. Die Banneragentur jedoch kann alle drei Stationen nachvollziehen und verknüpfen, denn ihr Werbebanner hat jedes Mal denselben Cookie vorgefunden.

Zwei Formen von Cookies

Grundsätzlich müssen zwei Arten von Cookies unterschieden werden. Das sind zum einen die Session Cookies, die gelöscht werden, wenn der Browser geschlossen wird. Zum anderen sind es die dauerhaften Cookies (auch: persistente Cookies), die über einen Zeitraum von mehreren Monaten oder gar Jahren auf der Festplatte schlummern können. Session Cookies stellen kaum eine Gefahr für die Privatsphäre dar, da sie nur für eine Sitzung gelten. Um eine Löschung der Session Cookies zu erzwingen, genügt es bereits, alle Instanzen des Browsers zu schließen. "Session“ bedeutet hier also nicht die Zeit bis zum Abmelden oder Runterfahren des Rechners, sondern nur bis zum Schließen des Browsers.
Ein weit größeres Problem stellen Cookies mit langer Lebenszeit dar. Diese sind explizit darauf ausgelegt, den Benutzer für einen Server über einen längeren Zeitraum identifizierbar zu machen. Doch was auf der einen Seite unter Umständen erwünschten Komfort bietet, ermöglicht es jedem Server, der solch einen Cookie setzen kann, Besuche auf seinen Seiten dauerhaft zu protokollieren. Und vor allem Werbefirmen, die über eingeblendete Banner Cookies setzen, haben Interesse an deren dauerhafter Speicherung. Wie dauerhaft das sein kann, zeigt ein Blick auf die Cookieanforderung eines DoubleClick Banners auf altavista.de:

Set-Cookie: id=800e4b7446; path=/; domain=.doubleclick.net; expires=Tue, 31 Dec 2030 23:59:59 GMT

Umgang mit den Keksen

In allen aktuellen Browsern lässt sich der Umgang mit Cookies ausdrücklich regeln. Session-Cookies sollten hier zugelassen werden, sofern sie vom Server der Webseite kommen. Sie sind für viele Webseiten notwendig, beispielsweise für Warenkorbfunktionen. Wer Session-Cookies komplett deaktiviert, kann viele Webseiten nicht mehr nutzen.

Persistente Cookies sollten idealerweise abgelehnt werden. Allerdings gibt es auch einige Annehmlichkeiten, die auf dauerhaft gespeicherten Cookies beruhen. So müssen in einigen Webforen Einstellungen zur Threadanzeige bei jedem Besuch neu eingestellt werden. Kann man mit diesen Einschränkungen leben, ist man mit abgeschalteten "Dauercookies" jedoch auf der sicheren Seite: Das User-Tracking kann nur für die Dauer einer Sitzung erfolgen, was anhand der IP-Adresse ohnehin möglich wäre. Nach Beenden des Browsers werden die Session-Cookies gelöscht und der Spuk ist vorüber.

Sogenannte Third-Party Cookies, zumeist über Bannerwerbung gesetzt, sollten immer komplett abgelehnt werden. Die Firma DoubleClick bietet zudem das Setzen eines sogenannten „OptOut-Cookies“ an. Dieser enthält neben einem Ablaufdatum den Wert „OPT_OUT“. Die Banner-Server der Firma speichern keine eigenen Cookies mehr, wenn sie diesen OptOut-Cookie vorfinden.
P3P: Cookie Deluxe

Wie bereits erwähnt ist das generelle Abschalten dauerhaft gespeicherter Cookies mit kleinen Unannehmlichkeiten verbunden. Es wäre daher schön, wenn man persistente Cookies nicht generell annahmen oder ablehnen müsste. Mit Hilfe der P3P-Technologie, die in aktuellen Versionen von Mozilla, Netscape und Internet Explorer integriert ist, wird dies möglich. P3P ermöglicht es, eine auf der Webseite enthaltene maschinenlesbare Datenschutzerklärung automatisch auszuwerten und auf Basis dieser Erklärung über die Annahme von Cookies automatisch zu entscheiden. Der Nutzer stellt einmalig ein, welcher Verarbeitung seiner Daten er zustimmt, das P3P-Modul im Browser übernimmt dann den Rest: Seiten mit datenschutzfreundlicher Verarbeitungspraxis dürfen auch dauerhafte Cookies setzen, Seiten, die nicht mit den Nutzervorstellungen übereinstimmen, wird dies hingegen untersagt.