Browser-Cookies sind überall, sie sind omnipräsent in der digitalen Welt. Wenn Ihnen der Datenschutz Ihrer Nutzer wichtig ist, dann sollten Sie nicht nur alles über diese kleinen ‘Kekse’ wissen, sondern sich auch einmal damit beschäftigt haben, wie Evercookie und andere vermeintlich nützliche Helfer wirklich arbeiten. Vielleicht ändern Sie anschließend Ihre Meinung über dauerhafte Cookies.
Tatsächlich eilt dem Cookie an sich – und erst recht dem permanenten Cookie – sein schlechter Ruf voraus. Mit zwielichtigen Praktiken wird der Datenschutz umgangen und das Recht betroffener Personen an ihren Daten missachtet. Wie Sie Ihr Tracking sicher machen und was Sie über Evercookies wissen müssen, lesen Sie in diesem Artikel.
Wofür benötige ich Cookies?
Die kleinen Textdateien, die auf dem Gerät des Internetnutzers gespeichert werden, werden zur Identifikation desselben genutzt. Wenn der Nutzer also erneut zu Ihrer Website zurückkehrt, wird er anhand des Cookies erkannt, sodass z. B. personalisierter Content angezeigt werden kann.
Neben den Cookies, die Präferenzen und Informationen zu Login-Sessions speichern, gibt es auch Tracking-Cookies. Diese werden auch Third Party-Cookies genannt und tracken Besucher zu Marketingzwecken.
Sind Cookies sicher?
Cookies sind nicht prinzipiell schlecht oder gefährlich. Sie haben keine Gemeinsamkeiten mit Malware und schränken das Endgerät nicht ein, mit dem ein Anwender online geht. Die Textdateien enthalten nur Informationen, die der Anwender selbst übermittelt, oder Daten vom Webserver. Eine potentielle Bedrohung sind Cookies nur bei fragwürdiger Verwendung.
Die Rahmenbedingungen für Cookies
Wenn ein Nutzer Ihnen Daten über sich mitteilt, ist alles gut. Komplexer und problematischer wird es, wenn diese Daten an Third Parties gelangen. Der Nutzer muss darüber informiert werden, wenn Tracking und Speicherungs-Mechanismen eingesetzt werden. Viele Browser haben zwar Optionen, die das Setzen von Third Party-Cookies unterbinden sollen und diese Cookies löschen, doch manche Websites umgehen den Mechanismus einfach und missachten die Do-Not-Track-Option.
Außerdem gibt es Technologien wie Evercookie, die Cookies wiederherstellen, nachdem sie gelöscht wurden.
Als Reaktion auf diese zwielichtigen Praktiken mit Cookies haben sich verschiedene Gesetze der Sache angenommen: Allen voran die DSGVO und die ePrivacy-Richtlinie.
Die DSGVO definiert Cookies als personenbezogene Daten und macht es damit verpflichtend, vor dem Setzen eines Cookies die Einwilligung des Anwenders einzuholen. Dasselbe gilt für ähnliche Technologien, die Daten auf dem Endgerät eines Nutzers speichern und darauf zugreifen. Die Anfrage zur Einwilligung muss darüber hinaus alle Zwecke auflisten, zu denen die Daten verwendet werden sollen. Außerdem muss der Anwender die Möglichkeit haben, der Speicherung seiner Daten zu widersprechen.
Wenn Sie mehr darüber erfahren möchten, wie Sie Einwilligungen effektiv und ohne viel Aufwand einholen können, empfehlen wir Ihnen diesen Artikel:
DSGVO Consent Management: Einwilligungen Ihrer Website-Besucher effizient einholen (inkl. Whitepaper zum Download)
Sowohl die DSGVO als auch die ePrivacy-Richtlinie erlauben die Nutzung von Cookies. Wenn ein Anwender dem Setzen von Cookies zugestimmt hat, muss er dennoch jederzeit die Möglichkeit zum Opt-Out haben und Cookies entfernen können. Leider gibt es allerdings Tools wie Evercookie, die sich über den Wunsch des Nutzers hinwegsetzen und seine Präferenzen ignorieren.
Wie funktioniert der Evercookie?
Evercookie ist im eigentlichen Sinne kein Cookie, sondern eine JavaScript-Bibliothek (API). Webentwickler können den Code so in eine Website implementieren, dass ein Cookie beim Nutzer gesetzt wird. Die Besonderheit von diesem Evercookie ist, dass es wiederhergestellt wird, nachdem der Nutzer es gelöscht hat. Nutzer werden auch dann identifiziert, wenn sie ihre Standard-Cookies und Flash Cookies (Local Shared Objects, fallen unter Super Cookies) entfernt haben.
Der Entwickler von Evercookie, Samy Kamkar, hat es mit seiner API geschafft, die Cookie-Daten beständig zu machen. Der Prozess ist nicht kompliziert. Kamkar erklärt, dass die gleichen Daten an mehreren Orten auf dem Endgerät des Nutzers gespeichert werden. So können sie ganz einfach durch Kopieren wiederhergestellt und weiter verwendet werden. Evercookie erzeugt also dauerhafte Cookies. Durch ihre geschickte Vervielfältigung sind sie schwierig zu löschen.
Die besagte API speichert Cookie-Daten an unterschiedlichen Orten, auf die der Browser Zugriff hat. Wenn Evercookie mitbekommt, dass einige Cookies vom Nutzer entfernt wurden, erzeugt es diese Cookies erneut. Die Erstellung erfolgt mit JavaScript und ohne das Wissen des Nutzers. Ob eine Einwilligung dazu vorliegt oder nicht wird vollkommen ignoriert. Aus diesem Grund werden diese Cookies umgangssprachlich auch Zombie-Cookies genannt, da sie immer wieder auferstehen.
Evercookie kann ganz unterschiedliche Speichermethoden wie z. B. die Folgenden anwenden:
- Standard HTTP-Cookies
- HTTP Strict Transport Security (HSTS) Pinning
- Local Shared Objects (Flash Cookies)
- Silverlight Isolated Storage
- Cookies im Verlauf des Browsers speichern
- Cookies in HTTP ETags speichern
- Cookies im Web Cache speichern
- Internet Explorer userData Speicher
- HTML5 Session, Local und Global Speicher
- HTML5 Database Speicher via SQLite
- Java JNLP PersistenceService
Kamkar hat Evercookie entwickelt, um ein Bewusstsein für Datenschutz-Risiken zu verbreiten und Licht ins Dunkel darüber zu bringen, wie leicht Unternehmen ihre Nutzer tracken können, ohne ihre Privatsphäre-Einstellungen zu respektieren.
Als Alternative zum Tracking mit Cookies ist das Device Fingerprint Tracking mittlerweile sehr beliebt. Warum auch diese Methode Sie nicht davon befreit, einen (automatisierten) Einwilligungsprozess zu etablieren, lesen Sie in diesem Artikel:
Device Fingerprint Tracking: Eine Alternative zu Cookies?
Wie reagieren betroffene Nutzer?
Es ist keine Überraschung, dass das Wiederherstellen von Cookies nicht gerade für Begeisterung sorgt. Explizite Entscheidungen werden umgangen. Wenn ein Nutzer sich dazu entscheidet, ein Cookie zu löschen, dann sollte diese freie Entscheidung respektiert werden. Evercookie kann sogar den Browserverlauf auslesen und versteckte Eigenschaften des Browserfensters sehen.
Solche permanenten Cookies wie die von Evercookie loswerden zu wollen ist wie ein Kampf gegen Windmühlen. Regelmäßiges Löschen des Browser-Caches kann sinnvoll sein, doch werden so mitunter nicht alle Daten entfernt. Das Browsen im Inkognito-Modus ist in einigen Szenarien ein geeignetes Mittel, allerdings zulasten des Komforts. Automatische Logins und Seiten-Präferenzen werden dadurch nämlich verhindert.
Eine weitere Maßnahme das Speichern von Evercookies zu verhindern, könnte der Einsatz von Plug-ins sein. Da Evercookies mithilfe eines Scripts gespeichert werden, kann mit Plug-ins das Ausführen von Javascript kontrolliert bzw. blockiert werden. Für Firefox gibt es da z.B. das Add-on Noscript, für Chrome ist die Entsprechung dazu ScriptSafe.
Löschen von bereits gespeicherten Evercookies
Nutzer entwickeln ein zunehmendes Bewusstsein für zwielichtige Tracking-Methoden und sind gleichermaßen besorgt darüber. Eine der Möglichkeiten, die genutzt werden, ist das Anpassen der Browser-Einstellungen.
Doch nicht alle Browser bieten gleiche Datenschutzeinstellungen und das Löschen von permanenten Cookies wird immer schwieriger. Schließlich machen die wachsenden Möglichkeiten zum Speichern von Daten es den Browser-Herstellern zunehmend schwerer, umfassende Datenschutz-Funktionen zu implementieren. Auf jeden Fall sollte der Browserimmer aktuell gehalten werden.
Um bereits vorhandene Evercookies zu löschen, kommt eine regelmäßige Reinigung des Systems zum Tragen. Nachdem bekannt ist, welche Speicherorte genutzt werden, könnten die entsprechenden Dateien manuell gelöscht werden. Allerdings ist dieses Vorgehen recht umständlich. Im Internet findet man dazu diverse Anleitungen zur Eleminierung des Zombie-Cookies.
Für diese immer wiederkehrende Aufgabe bietet es sich an ein entsprechendes Tool zu nutzen. Hier kämen Systemreiniger wie CCleaner oder BleachBit infrage, die neben temporären Daten auch browserspezifische Informationen entfernen.
Aber beide Tools sind nicht in der Lage, Evercookies für alle Browser zu löschen. Das Open-Source-Tool BleachBit beispielsweise kann den DOM-Speicher von Chrome und Firefox leeren. Allerdings entfernt es Evercookies mit Butz und Stingl nur unter Chrome, während sie unter Firefox und dem Internet Explorer auf diesem Weg nicht zu entfernen sind.
Fazit
Auch wenn Sie Ihre Nutzer ohne deren Einwilligung tracken KÖNNTEN – weil Sie z. B. durch Evercookie oder Digital Fingerprint Tracking die technischen Möglichkeiten dazu haben, bleibt die Frage offen, ob Sie das Risiko eingehen möchten, das Vertrauen Ihrer Kunden zu verlieren. Es mag auf den ersten Blick leichter erscheinen, einen komplexen Einwilligungsprozess zu umgehen und Besucher heimlich zu tracken. Doch mit einem Consent-Management-System, das Ihnen ermöglicht, den gesamten Prozess zu automatisieren, respektieren Sie die Datenschutz-Rechte und die Privatsphäre Ihrer Nutzer und tracken darüber hinaus DSGVO-konform.
Ein Consent Manager übernimmt die Verwaltung der Einwilligungen über den gesamten User-Life-Cycle , vom Einholen der Einwilligung bis zur Ausübung seiner Rechte.
