2ndredBlog

EU-Richtline für Cookies tritt in Kraft

Nein, hier geht es nicht um die neuesten Rezepte der Bäcker-Innung und auch nicht um eine europaweite Standardisierung von Pizzadurchmessern,
sondern vielmehr um "Nutzerrechte bei elektronischen Kommunikationsnetzen" und hierbei speziel um die Vorstellungen des Parlaments wie in Zukunft mit HTTP-Cookies (engl. für "Keks") umgegangen werden soll.

Am letzten Samstag (26.05) trat dafür eine neue Regel der EU in Kraft. Dank dieser wird nun von Webseitenbetreibern verlangt dass vor dem Setzen eines Cookies explizit die Zustimmung des Nutzers eingeholt werden muss. Abgesehen davon soll auch der jeweilige Verwendungszweck klar vermittelt werden. Leider geht aus dem Gesetz nicht hervor ob damit alle oder nur bestimmte datenschutzrechtlich bedenkliche Cookies gemeint sind. Lediglich die Begründung laesst darauf schliessen, dass sogenannte Tracking-Cookies die Ursache für diese Regelung sind.

Mit Hilfe von Tracking-Cookies kann ein Anbieter die Nutzer über verschiedene Seiten hinweg verfolgen um diesen z.B. möglichst passende Werbung präsentieren zu koennen. Neben Diesen gibt es aber auch noch Cookies, welche notwendig sind um einen Benutzer eindeutig zu identifizieren. Diese Möglichkeit wird beispielsweise in den meisten Online-Shops genutzt um den Inhalt des Warenkorbs einer bestimmten Person zuzuordnen oder auch bei nahezu allen anderen Anwendungsbeispielen bei welchen es über mehrere Seiten hinweg nötig ist, dass der Nutzer mit Hilfe einer sogn. Session angemeldet bleibt.

Eine Alternative wäre es eine solche Session, mit Hilfe einer in der Adresse uebertragen ID (Session-ID), zu verwirklichen. Viele Nutzer neigen allerdings dazu Adressen zu spezifischen Seiten an Freunde zu schicken oder sogar im Netz zu publizieren. Dadurch waere es anderen Personen möglich diese Sessions zu übernehmen und sich damit vor der entsprechenden Seite als die urspruengliche Person auszugeben (z.B. um Bestellungen in deren Namen auszulösen oder auch schlimmeres).

Besonders spannend ist im Übrigen auch die Überlegung wie man reagiert, wenn der Nutzer das setzen des Cookies verweigert. Entweder wird er nach jedem weiteren Klick auf meiner Seite mit nervtötender Beharrlichkeit immer wieder und wieder gefragt ob er den "Keks" denn nun endlich doch akzeptieren möchte oder man setzt schon nach der ersten Ablehnung einen Cookie, mit dessen Hilfe man sich für den Nutzer merken kann, dass dieser ihn gar nicht haben möchte.

Die entsprechende Umsetzung für Deutschland lässt dank des Gesetzgebungsverfahrens noch auf sich warten - zum Glück! Bleibt nur zu hoffen, dass sich dort endlich mal jemand mit Ahnung zum Thema findet und das ganze entsprechend umsetzbar formuliert. Und dann bitte möglichst so, dass man durch die Einhaltung der Regeln, Nutzer nicht vergrault oder in den Wahnsinn treibt oder gar weniger Internet-affine Menschen völlig verunsichert.

Wer vorab schon einmal testen möchte was im schlimmsten Fall auf uns zukommen könnte, sollte seinen Browser so einstellen, dass vor dem Setzen jedes Cookies gefragt wird ob man das erlauben möchte ... oder einfach mal hier unseren Simulator testen.