Und was ist mit Cookies?
Jede/r kennt sog. Cookie-Banner, die beim Aufrufen einer Webseite – meistens am Fuß der Seite – erscheinen und zum Akzeptieren des Einsatzes von Cookies auffordern. Zwischenzeitlich gibt es eine schöne Bandbreite von Layouts und Formulierungen, welche auch auf die rechtlichen Unwägbarkeiten im Zusammenhang mit Cookies zurückzuführen sind.
Doch zunächst zur Erläuterung, was ein Cookie ist und wie er funktioniert: Webseiten werden heute über das „hypertext transfer protocoll“, kurz http übertragen. Das hypertext transfer protocoll ist ein sog. zustandsloses Protokoll. Das bedeutet, dass Anfragen (sog. http-Requests), die ein Webbrowser (z. B. Firefox, Chrome, Safari, etc.) bei einem Server (d. h. einem Computer, auf dem die jeweilige Webseite gespeichert ist) stellt, stets ohne Bezug zu früheren Anfragen sind. Die Aufgabe der Cookies ist es gewisser Maßen, die Zustandslosigkeit des http-Protokolls zu überwinden. Ein Beispiel: Ich möchte in einem Onlineshop Schnürsenkel für meine alten Schuhe kaufen. Dafür besuche ich die Seite eines Onlineshops. Ich wähle ein paar Schnürsenkel aus und klicke auf den Button „in den Warenkorb“. Der Internetbrowser lädt die Seite des Onlineshop neu. Es erscheint dieselbe Seite des Onlineshops, allerdings mit einem Unterschied: Über dem Symbol des Einkaufwagens steht nun eine kleine Eins. Danach sehe ich mir in demselben Onlineshop weitere Produkte wie Schuhputzzeug und Bürsten an. Dazu rufe ich mehrere unterschiedliche Seiten auf. Auf jeder Seite bleibt die kleine Eins über dem Einkaufswagensymbol stehen. Irgendwie hat sich der Browser also „gemerkt“, dass ich bereits Schnürsenkel in den Warenkorb gelegt habe. Möglich ist dies nur aufgrund der Cookie-Technik. Cookies sind kleine Textdateien, die vom Server im Webbrowser abgelegt werden und diesen fortan repräsentieren. Bei einer Anfrage eines Browsers, der einen Cookie enthält, erkennt der Server den Browser bzw. den Cookie wieder. Er weiß dann z. B., dass bereits Schnürsenkel in den Warenkorb gelegt wurden und liefert die jeweilige Seite gleich mit Warenkorb-Eins aus.
Cookies gibt es in zahlreichen Varianten. Zu unterscheiden sind nach ihrer jeweiligen Speicherdauer Session-Cookies (Speicherung nur bis zum Schließen des Browsers) von Persistent Cookies (Speicherung für eine bestimmte Zeitspanne, teilweise mehrere Jahre), nach dem Verantwortlichen für die Speicherung First-Party-Cookies (die von dem Betreiber der jeweiligen Webseite im Browser abgelegt werden) von Third-Party-Cookies (die etwa von Werbepartnern des Betreibers der Webseite stammen) und nach ihrem Zweck etwa Analyse- und Tracking-Cookies (zur Analyse des Nutzungsverhaltens) von "einfachen" Cookies (bspw. zur Identifizierung eines Nutzers im Rahmen eines Content-Management-Systems). Abhängig von der Art der Cookies weiß der Server somit schnell eine ganze Menge über den Browser bzw. über den dahinterstehenden Nutzer.
Aber was hat der beschriebene technische Vorgang mit den allgegenwärtigen Cookie-Bannern zu tun? Kurz gesagt, es steckt die Unsicherheit über die Rechtsgrundlage der Datenverarbeitung dahinter. Cookies sind personenbezogene Daten, für deren Verarbeitung eine Rechtsgrundlage erforderlich ist. Soweit so klar. Nach der sog. Datenschutzkonferenz, d. h. dem Zusammenschluss der Aufsichtsbehörden des Bundes und der Länder muss man sich ausdrücklich einverstanden erklären, wenn man bestimmte Arten von Cookies, z. B. Analyse- und Trackingcookies verwendet. Mit ihren Cookie-Bannern möchten Unternehmen also auf Nummer sicher gehen und eine Einwilligung einholen. Dass dieses Ergebnis oftmals nicht erreicht wird, etwa, weil nicht ausreichend informiert wird, weil die Cookies schon vor dem Klick gespeichert werden oder weil es z. B. im Falle des „Akzeptierens durch Weitersurfen“ an einer eindeutigen bestätigenden Handlung fehlt, steht auf einem anderen Blatt.
Die Friedrich-Schiller-Universität verwendet derzeit folgende Cookies:
Name | Zweck | Speicherdauer |
EGOTEC
|
Identifikation von Nutzern durch das Content-Management-System mit Session-ID (nur bei interner Nutzung des CMS, techisch notwendig) | Browser-Session
|
MATOMO_SESSID
|
temporäres Cookie, das erforderlich ist, um CSRF-Angriffe zu verhindern, während der Nutzer das Opt-Out durchführen möchte | Browser-Session
|
matomo_ignore
|
Identifikation von Nutzern, deren Verhalten nach Opt-Out nicht getrackt wird (technisch notwendig zur Umsetzung des Nutzerwunsches) | 2 Jahre |
intranet |
Cache-Verhalten (technisch notwendig) |
Browser-Session |
fsu-web |
Gewährleistung der Chat-Funktion (technisch notwendig) |
7 Tage |
_rspkrLoadCore |
wird gesetzt, sobald der erste Lesevorgang von ReadSpeaker gestartet wird (Button »Vorlesen« oder »Play-Icon« wird betätigt |
Browser-Session |
ReadSpeakerSettings |
wird gesetzt, sobald eine individuelle Einstellung vorgenommen wird (z. B. »Klicken und vorlesen«) |
4 Tage |
Wie Sie sehen, gibt es also ein sog. Persistent-Cookie, das zu Analysezwecken eingesetzt wird. Und hier stehen wir nun entgegen der Datenschutzkonferenz auf dem Standpunkt, dass keine Einwilligung eingeholt werden muss, sondern, wie in der Kategorie "Warum und auf welcher Grundlage werden Ihre Daten verarbeitet?" nachzulesen ist, unsere überwiegenden Interessen nach Art. 6 Abs. 1 lit. f) DSGVO die Verarbeitung rechtfertigen. Wie begründen wir diesen Standpunkt? Matomo wird nur auf FSU-Servern gehostet, eine Identifizierbarkeit ist nur bis zum Auslesen der sog. Logfiles überhaupt möglich. Außerdem geben wir Ihnen hier und an anderer Stelle die Möglichkeit, das Setzen des Cookies durch die Do-Not-Track-Option zu verhindern.