URL dieser Frage
Cookies & Datenschutz
Datenschutz beim Surfen im Netz
Der Datenschutz sollte ein zentrales Anliegen eines jeden Internetnutzers sein. Dies erfordert einige Hintergrundkenntnisse, um die Gefahren und die potenziellen Einschränkungen der Privatsphäre einschätzen zu können.
Nach folgend geben wir einige Hinweise zum Thema. Es lohnt sich, dem Thema etwas Aufmerksamkeit zu widmen!
Nach folgend geben wir einige Hinweise zum Thema. Es lohnt sich, dem Thema etwas Aufmerksamkeit zu widmen!
Unter Cookies versteht man Informationen, die von Websites auf der Festplatte des Besuchers gespeichert werden. Meistens handelt es sich dabei um eine zufällige Ziffernkombination, die einzig dazu dient, den Besucher zu einem späteren Zeitpunkt wiedererkennen zu können.
Beispiel: Ein Benutzer ruft eine Kundenservice-Seite auf und gibt dort seinen Benutzernamen und sein Passwort ein. Der Login wird anhand der Benutzerdatenbank verifiziert und auf der Festplatte wird ein Cookie mit der Zeichenkombination "ABC123" abgelegt.
Dieser Zutrittscode wird auch auf dem Server gespeichert. Klickt der Besucher nun eine Folgeseite an, wird der Inhalt des Cookies an den Server übertragen - sozusagen als Eintrittskarte, denn unter dem Code "ABC123" ist auf dem Server hinterlegt, dass dieser Benutzer sich korrekt eingeloggt hat.
Beispiel: Ein Benutzer ruft eine Kundenservice-Seite auf und gibt dort seinen Benutzernamen und sein Passwort ein. Der Login wird anhand der Benutzerdatenbank verifiziert und auf der Festplatte wird ein Cookie mit der Zeichenkombination "ABC123" abgelegt.
Dieser Zutrittscode wird auch auf dem Server gespeichert. Klickt der Besucher nun eine Folgeseite an, wird der Inhalt des Cookies an den Server übertragen - sozusagen als Eintrittskarte, denn unter dem Code "ABC123" ist auf dem Server hinterlegt, dass dieser Benutzer sich korrekt eingeloggt hat.
Die Codes in den Sitzungscookies, mit denen der Besucher einer Website wiedererkannt wird, sind in der Regel 32 Zeichen lang und bestehen aus Ziffern sowie Klein- und Großbuchstaben. Einen solchen, aktuell gültigen Code zufällig zu erraten, ist also weitgehend unmöglich.
Würde die Verbindung zwischen dem Benutzer und dem Server jedoch von einem Angreifer belauscht, könnte dieser den Code des Cookies abfangen und seinem Browser einen solchen gefälschten Cookie einrichten. Damit hätte der Angreifer sich Zugriff auf die aktuelle Sitzung des belauschten Benutzers verschafft und könnte dessen Kundenzugang frei nutzen - im Falle einer Onlinebanking-Nutzung mit fatalen Folgen.
Deshalb ist es wichtig, dass Websites, auf denen mit vertraulichen Daten wie Kontoinformationen umgegangen wird oder auf denen rechtsverbindliche Verträge abgeschlossen werden, über eine verschlüsselte Verbindung aufgerufen werden. Wenn eine Website verschlüsselt übertragen wurde, signalisieren die meisten Browser dies mit einem Vorhängeschloss.
Bei einer verschlüsselten Verbindung wird auch der Inhalt des Cookies verschlüsselt übertragen. Angreifer können den somit den 32-stelligen Zugriffscode nicht ermitteln und sich somit nicht ohne Weiteres in die Interntsitzung eines Benutzers einschleichen.
Würde die Verbindung zwischen dem Benutzer und dem Server jedoch von einem Angreifer belauscht, könnte dieser den Code des Cookies abfangen und seinem Browser einen solchen gefälschten Cookie einrichten. Damit hätte der Angreifer sich Zugriff auf die aktuelle Sitzung des belauschten Benutzers verschafft und könnte dessen Kundenzugang frei nutzen - im Falle einer Onlinebanking-Nutzung mit fatalen Folgen.
Deshalb ist es wichtig, dass Websites, auf denen mit vertraulichen Daten wie Kontoinformationen umgegangen wird oder auf denen rechtsverbindliche Verträge abgeschlossen werden, über eine verschlüsselte Verbindung aufgerufen werden. Wenn eine Website verschlüsselt übertragen wurde, signalisieren die meisten Browser dies mit einem Vorhängeschloss.
Bei einer verschlüsselten Verbindung wird auch der Inhalt des Cookies verschlüsselt übertragen. Angreifer können den somit den 32-stelligen Zugriffscode nicht ermitteln und sich somit nicht ohne Weiteres in die Interntsitzung eines Benutzers einschleichen.
Es kann zwischen folgenden Cookies und Cookieähnlichen Techniken unterschieden werden:
Wichtig: Nur die erstgenannten Standard-Cookies werden von den verbreiteten Datenschutzeinstellungen der Browser erfasst. DOM- und Flash-Cookies entziehen sich bisher weitgehend der Kontrolle des Benutzers, wenn man keine Zusatzsoftware installiert. Dadurch stellen DOM-Storage- und Flash-Cookies eine erhebliche Beeinträchtigung des Datenschutzes dar, da die hier abgelegten Daten bei den allermeisten Benutzern nie gelöscht werden.
Näheres finden Sie unter der Frage "Worin besteht die Datenschutz-Kritik bei Cookies?"
- Standard-Cookies
- DOM Storage-Cookies
- Flash-Cookies (Local Shared Objects)
Wichtig: Nur die erstgenannten Standard-Cookies werden von den verbreiteten Datenschutzeinstellungen der Browser erfasst. DOM- und Flash-Cookies entziehen sich bisher weitgehend der Kontrolle des Benutzers, wenn man keine Zusatzsoftware installiert. Dadurch stellen DOM-Storage- und Flash-Cookies eine erhebliche Beeinträchtigung des Datenschutzes dar, da die hier abgelegten Daten bei den allermeisten Benutzern nie gelöscht werden.
Näheres finden Sie unter der Frage "Worin besteht die Datenschutz-Kritik bei Cookies?"
Im Bereich der Standard-Cookies (siehe „Welche Arten von Cookies gibt es?") wird unterschieden zwischen den „Sitzungscookies" und den „permanenten Cookies". Sitzungscookies werden beim Schließen des Browserfensters gelöscht, daher das Wort „Sitzung" im Namen. „Permanente Cookies" haben dagegen ein Verfallsdatum, das beliebig weit in der Zukunft liegen kann.
In den meisten Anwendungsfällen wird das Verfallsdatum von permanenten Cookies so weit in die Zukunft gelegt, dass es sich faktisch um „ewige" Cookies handelt, sofern sie nicht explizit vom Anwender gelöscht werden.
Mit Blick auf die Datenschutzproblematik sind bleibende Cookies besonders kritisch. Eine ausführliche Erklärung dazu finden Sie unter dem Abschnitt „Worin besteht die Datenschutz-Kritik bei Cookies?".
Neben den permanenten Standard-Cookies gehören zu den bleiben Cookies auch die DOM Storage-Cookies und die Flash-Cookies, die von der Standard-Cookieverwaltung des Browsers nicht erfasst werden (siehe „Welche Arten von Cookies gibt es?").
In den meisten Anwendungsfällen wird das Verfallsdatum von permanenten Cookies so weit in die Zukunft gelegt, dass es sich faktisch um „ewige" Cookies handelt, sofern sie nicht explizit vom Anwender gelöscht werden.
Mit Blick auf die Datenschutzproblematik sind bleibende Cookies besonders kritisch. Eine ausführliche Erklärung dazu finden Sie unter dem Abschnitt „Worin besteht die Datenschutz-Kritik bei Cookies?".
Neben den permanenten Standard-Cookies gehören zu den bleiben Cookies auch die DOM Storage-Cookies und die Flash-Cookies, die von der Standard-Cookieverwaltung des Browsers nicht erfasst werden (siehe „Welche Arten von Cookies gibt es?").
Die Datenschutzkritik gegenüber Cookies begründet sich in erster Linie in der Möglichkeit, Internetnutzer wieder zu erkennen. Lesen Sie dazu die Frage "Was sind Cookies und wie werden sie genutzt?".
Zwar kann ein Cookie immer nur von derjenigen Domain wieder ausgelesen werden, von der er auch gesetzt wurde. Einschlägige Internetdienste haben jedoch eine so große Verbreitung, dass die Cookies das Erstellen von Persönlichkeitsprofilen ermöglichen.
So ist bspw. Google mit seinem Statistik-Dienst Google-Analytics und mit seinem Werbediensten wie Ad-Words sowie dem kostenlosen Angebot Google-Maps auf derart vielen Websites vertreten, dass Google die Möglichkeit hat, einen einzelnen Internetnutzer über die Grenzen zahlloser Websites hinweg wieder zu erkennen.
Die persönliche Identiät des Nutzers ist damit zunächst noch nicht geklärt. Doch es besteht technisch problemlos die Möglichkeit, das Surfverhalten und somit die Interessen dieses (noch anonymen) Benutzers zu analysieren und bspw. personalisiere Werbung anzuzeigen oder die Daten in geografische Nutzeranalysen einfließen zu lassen - also: in welchen geographischen Regionen gibt es ein verstärktes Interesse am Thema "XY".
Nun fehlt nur noch ein letzter Schritt: Loggt sich dieser Nutzer mit dem hier unterstellten Google-Cookie auf einem der Google-Dienste ein, bspw. dem zu Google gehörenden Portal YouTube oder dem Google-E-Mail-Dienst oder den Google-Webmaster-Tools, so kann auch die persönliche Identität des Benutzers den Daten zugeordnet werden.
Mit Blick auf die zahlreichen von Google angebotenen Dienste bis hin zur Erfassung von persönlichen Gesundheitsdaten und den auf den Google-Servern liegenden E-Mails beim Google-E-Mail-Dienst, sowie den Videos auf "YouTube" und den Fotos in der Fotocommunity von Google ergibt sich für Datenschützer ein apokalyptisches Bild: Ganz gleich, welche dieser Möglichkeiten Google tatsächlich nutzt: Es ist schon viel zu viel überhaupt möglich.
Zwar kann ein Cookie immer nur von derjenigen Domain wieder ausgelesen werden, von der er auch gesetzt wurde. Einschlägige Internetdienste haben jedoch eine so große Verbreitung, dass die Cookies das Erstellen von Persönlichkeitsprofilen ermöglichen.
So ist bspw. Google mit seinem Statistik-Dienst Google-Analytics und mit seinem Werbediensten wie Ad-Words sowie dem kostenlosen Angebot Google-Maps auf derart vielen Websites vertreten, dass Google die Möglichkeit hat, einen einzelnen Internetnutzer über die Grenzen zahlloser Websites hinweg wieder zu erkennen.
Die persönliche Identiät des Nutzers ist damit zunächst noch nicht geklärt. Doch es besteht technisch problemlos die Möglichkeit, das Surfverhalten und somit die Interessen dieses (noch anonymen) Benutzers zu analysieren und bspw. personalisiere Werbung anzuzeigen oder die Daten in geografische Nutzeranalysen einfließen zu lassen - also: in welchen geographischen Regionen gibt es ein verstärktes Interesse am Thema "XY".
Nun fehlt nur noch ein letzter Schritt: Loggt sich dieser Nutzer mit dem hier unterstellten Google-Cookie auf einem der Google-Dienste ein, bspw. dem zu Google gehörenden Portal YouTube oder dem Google-E-Mail-Dienst oder den Google-Webmaster-Tools, so kann auch die persönliche Identität des Benutzers den Daten zugeordnet werden.
Mit Blick auf die zahlreichen von Google angebotenen Dienste bis hin zur Erfassung von persönlichen Gesundheitsdaten und den auf den Google-Servern liegenden E-Mails beim Google-E-Mail-Dienst, sowie den Videos auf "YouTube" und den Fotos in der Fotocommunity von Google ergibt sich für Datenschützer ein apokalyptisches Bild: Ganz gleich, welche dieser Möglichkeiten Google tatsächlich nutzt: Es ist schon viel zu viel überhaupt möglich.
Externe Links:
Von den drei oben genannten Cookie-Arten (siehe "Welche Arten von Cookies gibt es?") werden nur die ersten, die herkömmlichen Browser-Cookies, von den Datenschutzfunktionen der Browser erfasst. DOM Storage- und Flash-Cookies werden von den Browsern ungeachtet der Datenschutzeinstellungen hemmungslos auf der Festplatte abgelegt und nie gelöscht.
Auch sind diese beiden Techniken deutlich weniger restriktiv, als die Standard-Cookies. Auf msdn.microsoft.com heißt es zu DOM-Storage:
Die in lokalem Speicher gespeicherten Daten sind viel öffentlicher als die in Cookies gespeicherten Daten, die auf einen bestimmten Pfad innerhalb einer Domäne beschränkt sein können. Selbst das Auswählen eines schwer zu erratenden Schlüssels bietet keinen Datenschutz, da das Storage-Objekt eine Möglichkeit bereitstellt, diesen aufzulisten.
Mehr Offenheit kann man sich von der Firma Microsoft zum Thema nicht wünschen.
Für den Firefox-Browser gibt es eine Extension (=Erweiterung) mit dem Namen BetterPrivac. Diese Erweiterung deaktivert den DOM-Storage-Dienst und bezieht die Flash-Cookies mit ein in die Standard-Datenschutzmachanismen des Browsers.
Auch sind diese beiden Techniken deutlich weniger restriktiv, als die Standard-Cookies. Auf msdn.microsoft.com heißt es zu DOM-Storage:
Die in lokalem Speicher gespeicherten Daten sind viel öffentlicher als die in Cookies gespeicherten Daten, die auf einen bestimmten Pfad innerhalb einer Domäne beschränkt sein können. Selbst das Auswählen eines schwer zu erratenden Schlüssels bietet keinen Datenschutz, da das Storage-Objekt eine Möglichkeit bereitstellt, diesen aufzulisten.
Mehr Offenheit kann man sich von der Firma Microsoft zum Thema nicht wünschen.
Für den Firefox-Browser gibt es eine Extension (=Erweiterung) mit dem Namen BetterPrivac. Diese Erweiterung deaktivert den DOM-Storage-Dienst und bezieht die Flash-Cookies mit ein in die Standard-Datenschutzmachanismen des Browsers.
Nein, ganz im Gegenteil: Cookies sind auch eine Notwendigkeit. Kein Login-Service wie Online-Kundenbereiche oder Online-Banking wären ohne Cookies möglich.
Auf allen Websites, denen Sie vertrauen und deren Dienste Sie in vollem Umfang nutzen wollen, sind Cookies unter Umständen ein unverzichtbarer Teil der Technologie, um die entsprechenden Dienste nutzen zu können.
Es wäre daher falsch, die Cookie-Technik grundsätzlich zu verteufeln oder diese Technik im Browser kategorisch und global zu sperren. Sie müssten dann auf zahlreiche Services verzichten.
Unsere Empfehlung für einen bestmöglichen Umgang mit Cookies finden Sie unter dem Abschnitt "Unsere Datenschutzempfehlung für den Umgang mit Cookies".
Auf allen Websites, denen Sie vertrauen und deren Dienste Sie in vollem Umfang nutzen wollen, sind Cookies unter Umständen ein unverzichtbarer Teil der Technologie, um die entsprechenden Dienste nutzen zu können.
Es wäre daher falsch, die Cookie-Technik grundsätzlich zu verteufeln oder diese Technik im Browser kategorisch und global zu sperren. Sie müssten dann auf zahlreiche Services verzichten.
Unsere Empfehlung für einen bestmöglichen Umgang mit Cookies finden Sie unter dem Abschnitt "Unsere Datenschutzempfehlung für den Umgang mit Cookies".
Unter dem Abschnitt „Worin besteht die Datenschutz-Kritik bei Cookies?" wird erläutert, wieso ein überlegter und strategischer Umgang mit Cookies sinnvoll ist.
Grundsätzlich sollten Sie folgende Regeln erfüllen:
Nachfolgend erfahren Sie, wie Sie diese Ziele erreichen können.
Grundsätzlich sollten Sie folgende Regeln erfüllen:
- sämtliche Cookies sollten zunächt abgelehnt werden
- in ausgesuchten Ausnahmen sollten Sie Sitzungscookies zulassen (Vertrauensstufe B, bspw. Online-Shops)
- in ausgesuchten Ausnahmen sollten Sie permanente Sitzungscookies zulassen (Vertrauensstufe A, bspw. sehr häufig genutzte Kundenportale)
- DOM-Storage-Cookies sollten regelmäßig automatisch gelöscht werden
- Flash-Cookies sollten regelmäßig automatisch gelöscht werden
Nachfolgend erfahren Sie, wie Sie diese Ziele erreichen können.
1.) Verwenden Sie Firefox als Standard-Browser.
Sie können Firefox hier herunterladen.
Beim ersten Start der Software werden Sie gefragt, ob Firefox Ihr Standard-Browser sein soll. Beantworten Sie dies mit "ja".
Falls Sie nicht gefragt werden oder Firefox bereits installiert hatten, öffnen Sie Firefox und klicken Sie auf -> Extras -> Einstellungen -> Erweitert -> Allgemein und dort auf den Button "jetzt überprüfen":
Sie können Firefox hier herunterladen.
Beim ersten Start der Software werden Sie gefragt, ob Firefox Ihr Standard-Browser sein soll. Beantworten Sie dies mit "ja".
Falls Sie nicht gefragt werden oder Firefox bereits installiert hatten, öffnen Sie Firefox und klicken Sie auf -> Extras -> Einstellungen -> Erweitert -> Allgemein und dort auf den Button "jetzt überprüfen":
2.) Installieren Sie die Firefox-Erweiterung "BetterPrivacy".
Sie können diese Erweiterung hier herunterladen. Öffnen Sie den Link mit Firefox und klicken Sie auf den Link "zu Firefox hinzufügen".
Eventuell erscheint danach eine gelbe Leiste oben im Browser, in der Sie noch einmal auf "erlauben" klicken müssen, um die Installation zu starten.
3.) Installieren Sie die Erweiterung "Extended Cookie Manager"
Sie können diese Erweiterung hier herunterladen. Öffnen Sie den Link mit Firefox und klicken Sie auf den Link "zu Firefox hinzufügen".
Eventuell erscheint danach eine gelbe Leiste oben im Browser, in der Sie noch einmal auf "erlauben" klicken müssen, um die Installation zu starten.
4.) Datenschutz-Konfiguration
Nach der Installation der Erweiterungen müssen Sie Firefox einmal schließen und neu starten. Nehmen Sie danach folgende Einstellungen vor...
a) Klicken Sie auf "Extras" -> "BetterPrivacy"
Hier sehen Sie eine Liste der gespeicherten Flash-Cookies. Vermutlich werden Sie über die Liste einigermaßen schockiert sein. Klicken direkt einmal auf "alle LSOs entfernen"
Sie können diese Erweiterung hier herunterladen. Öffnen Sie den Link mit Firefox und klicken Sie auf den Link "zu Firefox hinzufügen".
Eventuell erscheint danach eine gelbe Leiste oben im Browser, in der Sie noch einmal auf "erlauben" klicken müssen, um die Installation zu starten.
3.) Installieren Sie die Erweiterung "Extended Cookie Manager"
Sie können diese Erweiterung hier herunterladen. Öffnen Sie den Link mit Firefox und klicken Sie auf den Link "zu Firefox hinzufügen".
Eventuell erscheint danach eine gelbe Leiste oben im Browser, in der Sie noch einmal auf "erlauben" klicken müssen, um die Installation zu starten.
4.) Datenschutz-Konfiguration
Nach der Installation der Erweiterungen müssen Sie Firefox einmal schließen und neu starten. Nehmen Sie danach folgende Einstellungen vor...
a) Klicken Sie auf "Extras" -> "BetterPrivacy"
Hier sehen Sie eine Liste der gespeicherten Flash-Cookies. Vermutlich werden Sie über die Liste einigermaßen schockiert sein. Klicken direkt einmal auf "alle LSOs entfernen"
b) Konfiguration von "BetterPrivacy"
Zur Konfiguration von "BetterPrivacy" klicken Sie auf "Optionen & Hilfe" und wählen Sie die Optionen
- "LSO Eintrag bei Firefox 'Chronik löschen' hinzufügen"
- Flash-Cookies beim Anwendungstart löschen
- Flash-Cookies Zeit gesteuert löschen alle 1 Stunden, nicht wenn innerhalb des Intervalls verändert
- DOM-Storage-Datei automatisch löschen
Zur Konfiguration von "BetterPrivacy" klicken Sie auf "Optionen & Hilfe" und wählen Sie die Optionen
- "LSO Eintrag bei Firefox 'Chronik löschen' hinzufügen"
- Flash-Cookies beim Anwendungstart löschen
- Flash-Cookies Zeit gesteuert löschen alle 1 Stunden, nicht wenn innerhalb des Intervalls verändert
- DOM-Storage-Datei automatisch löschen
c) Konfiguration der Standard-Cookie-Einstellungen
Klicken Sie nun im Firefox auf -> "Extras" -> "Einstellungen" -> "Datenschutz" und entfernen Sie das Häkchen unter "Cookies akzeptieren" und setzen Sie das Häkchen bei "Die Chronik löschen, wenn Firefox geschlossen wird":
Klicken Sie nun im Firefox auf -> "Extras" -> "Einstellungen" -> "Datenschutz" und entfernen Sie das Häkchen unter "Cookies akzeptieren" und setzen Sie das Häkchen bei "Die Chronik löschen, wenn Firefox geschlossen wird":
Klicken Sie anschließend auf "Einstellungen" und entfernen Sie das Häkchen bei "Cookies" und setzen Sie das Häkchen bei "Flash Cookies".
Bestätigen Sie beide Fenster mit "ok" - und fertig!
Das Löschen von Standard-Cookies haben Sie nun ausgeschaltet, da Sie gleichzeitig defniert haben, dass Sie Cookies grundsätzlich ablehnen wollen.
Für Websites, denen Sie vertrauen, können Sie nun Ausnahmen definieren. In diesen Ausnahmen werden dann entweder Sitzungscookies oder sogar permanente Cookies zugelassen. Da Sie für diese Cookies Ihre ausdrückliche Zustimmung erteilt haben, brauchen Sie sie auch nicht zu löschen, denn Sie vertrauen ihnen ja.
Beim Besucher einer Seite, die versucht einen Cookie zu setzen, sehen Sie zukünftig einen "ausgeixten" Keks am rechten unteren Browserrand. Falls Sie diesen nicht sehen, schalten Sie unter "Ansicht" -> "Statusleiste" die Anzeige der Statusleiste ein.
Das Löschen von Standard-Cookies haben Sie nun ausgeschaltet, da Sie gleichzeitig defniert haben, dass Sie Cookies grundsätzlich ablehnen wollen.
Für Websites, denen Sie vertrauen, können Sie nun Ausnahmen definieren. In diesen Ausnahmen werden dann entweder Sitzungscookies oder sogar permanente Cookies zugelassen. Da Sie für diese Cookies Ihre ausdrückliche Zustimmung erteilt haben, brauchen Sie sie auch nicht zu löschen, denn Sie vertrauen ihnen ja.
Beim Besucher einer Seite, die versucht einen Cookie zu setzen, sehen Sie zukünftig einen "ausgeixten" Keks am rechten unteren Browserrand. Falls Sie diesen nicht sehen, schalten Sie unter "Ansicht" -> "Statusleiste" die Anzeige der Statusleiste ein.
Wenn es sich um eine Website handelt, der Sie Vertrauen, klicken Sie mit links auf den Keks und wählen Sie aus, ob Sie von dieser Website Sitzungscookies ("Erlaube Cookies für diese Sitzung") oder sogar permanente Cookies ("Erlaube Cookies") zulassen wollen. Sie können die Einstellung jederzeit wieder ändern, indem Sie die Seite erneut besuchen und wieder den Keks unten rechts anklicken.
Beispiele für sinnvolle Cookie-Ausnahmen:
Sitzungscookies erlauben:
Permanente Cookies erlauben:
Beispiele für sinnvolle Cookie-Ausnahmen:
Sitzungscookies erlauben:
- Große Onlineshops
- Online Auktionshäuser
- Onlinebanking
Permanente Cookies erlauben:
- Kundenportale, bei denen Sie die Funktion "eingeloggt bleiben" nutzen wollen
- Web-Communitys, bei denen Sie die Funktion "eingeloggt bleiben" nutzen wollen
- Browserbasierte Software , bei der Sie die Funktion "eingeloggt bleiben" nutzen wollen (beispielsweise Admin-Bereich Ihrer Homepage
- Personalisierte Websites, die bei Ihrem Besuch automatisch bestimmte Einstellungen laden sollen
