Vor knapp zwei Wochen wurden verschiedene Internetseiten in den USA verklagt. Zu den Angeklagten  gehören der TV-Sender MTV, ABC und NBC. Grund der Anklage ist die vermeintliche Verwendung von Flash-Cookies, die dazu dienen, vom User gelöschte Cookies wiederherzustellen, um so das Verhalten der Nutzer auf den entsprechenden Webseiten zu tracken.

Ungefähr dreißig Prozent der Surfer löschen ungefähr monatlich ihre Cookies, womit das in der Marktanalyse populäre Webtracking deutlich an Aussagegehalt verliert. Umgehen kann man das mit einem Feature im Adobe Flash Player, dem so genannten Flash Cookie, auch bekannt als Local Shared Objects, Super-Cookie oder manchmal Zombie-Cookie. Sie werden vom Flash Plug-In in den Systemverzeichnissen des Computers abgespeichert und tückischerweise nicht entfernt, wenn man Cookies über die entsprechende Funktion im Browser löscht.

[adrotate group="5"]

Sie bringen aber noch mehr Haken mit und lassen sich so programmieren, dass normale Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite einfach wieder hergestellt werden. Somit lässt sich das Verhalten des Webseitenbesuchers weiter tracken, obwohl der Nutzer die Cookies vorher ausdrücklich in seinem Browser gelöscht hat. Übler Hinterzimmer-Hack? Im Gegenteil: Wissenschaftler der Universität Berkeley haben in fünfzig Top-Webseiten Flash-Cookies ausfindig machen können.

Das Datenschutzblog hat sich mit den rechtlichen Aspekten auseinander gesetzt. Flash-Cookies, die der Verfolgung des Nutzerverhaltens über einen längeren Zeit dienen, können dabei als personenbezogene Daten im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetz betrachtet werden. Eine Erhebung oder eine Verarbeitung solcher Daten ist lediglich dann erlaubt, wenn die Einwilligung des Betroffenen vorliegt oder alternativ eine Rechtsgrundlage das jeweilige Vorgehen genehmigt. Sollte ein Webseitenbetreiber also Flash-Cookies benutzen wollen, muss die Datenschutzerklärung auf seiner Webseite entsprechend anpassen und dem Nutzer den Gebrauch des Flash-Cookies näher beschreiben sowie eine Widerpruchsmöglichkeit einbauen.

Außerdem spielt das Telemediengesetz eine Rolle. § 15 Abs. 1 TMG erlaubt die Benutzung von Session-Cookies, wenn sie nur der Erleichterung des Betriebs einer Internetseite dienen, was aber mit langfristigen Cookies oder gar der heimlichen Wiederherstellung gelöschter Cookies via Flash nichts zu tun hat sondern nur Online-Shops dabei helfen soll, ihren Warenkorb umzusetzen. Für dauerhafte Cookies – also auch Flash Cookies – muss daher die Einwilligung des Nutzers vorliegen.

Mitte Mai des nächsten Jahres muss die so genannte europäische„Cookie-Richtlinie“ auch in das deutsche Recht umgesetzt worden sein. Nach der ePrivacy-Richtlinie, welche durch die Cookie-Richtlinie verändert wird, darf der Betreiber einer Webseite dann nur noch mit Einwilligung der Betroffenen Cookies setzen. Auch die momentan noch erlaubten Session Cookies werden dann nur noch mit Einwilligung zulässig sein. Webseitenbetreiber werden also ihre Datenschutzerklärungen entsprechend anpassen müssen und für wirksame Widerspruchsmöglichkeiten sorgen.

[via: Datenschutzbeauftragter; Foto: Flickr/blmurch (CC)]