§ 4 Rechtsgrundlagen der Verarbeitung / a) Begrifflichkeit und Funktion

Rz. 74

Ein Cookie (engl. für Keks) bezeichnet einen kurzen Eintrag in einer meist kleinen Datenbank oder in einem speziellen Dateiverzeichnis auf einem Computer und dient dem Austausch von Informationen zwischen Computerprogrammen oder der zeitlich beschränkten Archivierung von Informationen. Bezogen auf die Internetnutzung sind Cookies Informationen, die der Betreiber einer Webseite auf dem Rechner seines Besuchers dauerhaft ablegen möchte. Die meisten Browser sind so konfiguriert, dass sie Cookies automatisch und damit unbemerkt akzeptieren. Inzwischen versucht fast jede kommerzielle Website, dem Besucher schon bei dem Betreten der Seite einen solchen Cookie unterzuschieben. Doch so harmlos, wie der Begriff des Cookie auf den ersten Blick erscheint, sind diese auf dem Rechner des Nutzers abgelegten Informationen aus datenschutzrechtlicher Sicht nicht. Denn Cookies werden – je nach verwendetem Browser – in unterschiedlicher Weise auf der Festplatte des Nutzers abgelegt und sind aus diesem Grunde für den Nutzer oftmals auch nur schwer wiederzufinden. Während der Internet-Explorer die Cookies als einzelne Dateien in einem Verzeichnis namens "Cookies" anlegt, speichert bspw. der Internet Browser Mozilla Firefox die Cookies in einer "cookies.sqlite".^[117] Dieser Dateityp lässt sich – unabhängig davon, dass er nur schwer zu finden ist – mit den in einem Windows-Betriebssystem vorinstallierten Einstellungen und Programmen schon gar nicht öffnen, sodass der "normale Nutzer" bereits Schwierigkeiten haben wird, den Inhalt dieser Dateien überhaupt zur Kenntnis zu nehmen.^[118] Selbst wenn es der Nutzer schafft, die auf seinem Rechner abgelegten Cookies lesbar zu machen, werden ihm die angezeigten Informationen in aller Regel nicht weiterhelfen. Auf den ersten Blick muten diese nämlich meist eher kryptisch an und sind für den "Otto-Normalverbraucher" kaum zu entschlüsseln.

Rz. 75

Was befindet sich in der Cookie-Datei?

Neben der IP-Adresse des Internetteilnehmers wird in aller Regel auch die Adresse, von welcher Website der Cookie stammt, abgespeichert, damit der Browser und der Websitebetreiber wissen, wem die darin enthaltenen Informationen zugänglich sein dürfen und sollen. Denn diese werden nicht nur auf der Festplatte des Nutzers abgelegt, sondern sollen bei dem nächsten Besuch der ablegenden Website vom Betreiber auch wieder abgefragt werden können. Der Inhalt eines Cookies wird also wieder an den Betreiber der Website zurück gesendet, damit dieser den Nutzer seines Internetangebotes "wiedererkennen" kann.

Rz. 76

Wie lange diese Wiedererkennung möglich ist, entscheidet grundsätzlich der Verwender des jeweiligen Cookies. Der Suchmaschinenriese Google bspw. hatte noch bis in das Jahr 2007 hinein seine Cookies so programmiert, dass diese für einen Zeitraum von 30 (!) Jahren auf den lokalen Rechnern seiner Nutzer gespeichert werden. Erst im Jahre 2007 kündigte Google an, diese Praxis zu relativieren, nachdem sie auf heftige Kritik von Datenschützern gestoßen war. Seitdem hat Google die Lebensdauer seiner Cookies auf zwei Jahre reduziert; ebenfalls ein nicht unerheblicher Speicherungszeitraum.

Rz. 77

Auch IP-Adressen werden nicht mehr, wie anfänglich unbegrenzt bzw. später 18 Monate lang, sondern nur noch über einen Zeitraum von neun Monaten gespeichert. Die aktuellen Zeitspannen sind jedoch, in Internetzeit gerechnet, nach wie vor eine bedeutende Größe.

Rz. 78

Andere Cookies, so genannte Session-Cookies, haben lediglich ein begrenztes Haltbarkeitsdatum und werden nach Beenden einer Surfsession automatisch gelöscht. Diese Session-Cookies (oder auch Session-IDs) dienen dazu, mehrere zusammengehörige Anfragen eines Benutzers zu erkennen und einer Sitzung zuzuordnen. Um z.B. in einem Web-Shop etwas einzukaufen, durchstöbert der Nutzer zuerst den Katalog, lässt sich einige Artikel im Warenkorb vormerken und führt dann die Bestellung aus. Ein derartiger Vorgang ist nicht unkompliziert, denn er wird durch "http" nicht direkt unterstützt. Eine http-Anfrage liefert nur eine einzige Website zurück und merkt sich nicht, welcher Benutzer dazugehört. Um mehrere solcher Anfragen zusammenzufassen und dem Benutzer zuzuordnen, wird daher bei jeder Anfrage eine Session-ID mitgeschickt. Diese Session-ID kann sich die Webanwendung merken und so einzelne Anfragen zu einer gemeinsamen Sitzung zuordnen. In der Regel wird die Sitzung nach einer gewissen Zeit automatisch (so genanntes Time-Out) oder durch das Verlassen der Internetseite beendet und die Session-ID (der Session-Cookie) gelöscht. Die Session-ID bzw. der Session-Cookie wird vom Server zu Beginn einer Sitzung (Session) erzeugt. Sie muss mit der Antwort des Servers zum Client übertragen und von diesem bei jedem weiteren Zugriff auf den Server mitgeliefert werden. Mit Hilfe der eindeutigen Session-ID des Session-Cookies können die serverseitig gespeicherten Daten (Bsp.: der Warenkorb) bei jedem Zugriff eindeutig einem Benutzer zugeordnet werden. Session-IDs können dabei im http nicht nur...