Das Wichtigste zur "Cookie-Richtlinie"

Das EU-Parlament hat Ende letzten Jahres in Richtlinie 2009/136/EG eine Änderung der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG beschlossen, die auch die Nutzung von Cookies betrifft. Ziel der Änderung der Richtlinie ist die Schaffung von mehr Transparenz und Sicherheit für die Verbraucher. In diesem Artikel sollen die Änderungen untersucht werden, die das EU-Parlament hinsichtlich der Verwendung von Cookies getroffen hat.

Bedeutung von Cookies

Cookies sind heutzutage vor allem für die Werbewelt relevant. Sie sind nützlich, um Daten über die Nutzung einzelner Webseiten und das Nutzverhalten im Allgemeinen zu sammeln. Insbesondere das Kaufverhalten der Nutzer kann basierend auf einer geschickten Cookie-Setzung analysiert werden. Gerade deswegen sind auch diverse Verbraucherschutzgruppen sowie öffentliche Institutionen auf den Gebrauch von Cookies aufmerksam geworden.

aborange Crypter
Das Programm von Aborange arbeitet nach dem AES-Verfahren, um Ihre Dateien, Texte und Mails sicher zu verschlüsseln. Mit dem integrierten Passwortgenerator haben Sie auch immer gleich sichere Passwörter zur Hand. Und damit keiner Ihre Datenreste auslesen kann, löscht das Tool auch Dateien durch mehrmaliges Überschreiben sehr sicher. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/76722/aborange_crypter/"> aborange Crypter </a>

AxCrypt
Wenn Sie sensible Dateien - zum Beispiel Office-Dokumente - auf einem freigegebenen Laufwerk im Netz speichern, bietet sich der Einsatz eines Verschlüsselungs-Tools an, das Ihre Daten mit einem Passwort schützt. Ax Crypt erfüllt diese Aufgabe besonders einfach, aber dennoch wirkungsvoll. Bei der Installation integriert sich das Tool in das Kontextmenü des Windows-Explorers. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/69136/axcrypt/"> AxCrypt </a>

Blowfish Advanced
Das Sicherheitsprogramm verschlüsselt sensible Dateien mit den Algorithmen Blowfish, PC1, Triple-Des und Twofish. Zusätzlich lassen sich die Dateien komprimieren. Das Tool integriert sich in den Explorer und kann im Batch-Verfahren arbeiten. Wer möchte, löscht außerdem Dateien so, dass sie sich nicht wieder herstellen lassen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/6347/blowfish_advanced_cs/index.html"> Blowfish Advanced CS </a>

Capivara
Capivara hält Ihre Dateien auf dem aktuellen und gleichen Stand, indem es Verzeichnisse auf den lokalen Laufwerken, dem Netzwerk und auch auf FTP- und SSH-Servern synchronisiert. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/backup_brennen/backup/137163/capivara/"> Capivara </a>

Challenger
Die kostenlose Verschlüsselungssoftware verschlüsselt Dateien, Ordner oder ganze Laufwerke und passt dabei sogar auf einen USB-Stick. Das Tool klinkt sich im Windows-Explorer beziehungsweise im Datei-Manager in das Kontextmenü ein. Per Popup-Menü wählen Sie die Verschlüsselungs-Methode und vergeben ein Passwort. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/55187/challenger/index.html"> Challenger </a>

ClickCrypt
Das Programm integriert sich direkt in das Senden-an-Menü von Dateien. Um eine Datei beispielsweise vor dem Versand per Mail oder FTP zu verschlüsseln, markieren Sie die Datei, rufen das Kontextmenü auf, schicken die Datei über die „Senden-an“-Funktion von Windows an Clickcrypt und lassen sie chiffrieren. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/28063/clickcrypt_26/index.html"> ClickCrypt </a>

Crosscrypt
Mit Crosscrypt können Sie Image-Dateien als verschlüsselte, virtuelle Laufwerke einbinden. Ein Image kann beispielsweise auf der lokalen Festplatte, einer Wechselfestplatte oder auf einem Server im Netz liegen. Entpacken sie das Programm in ein beliebiges Verzeichnis und starten Sie Install.BAT. Damit installieren Sie den Treiber und das Kommandozeilen-Tool Filedisk.EXE. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/115016/crosscrypt_043/index.html"> Crosscrypt </a>

Cryptool
Wer schon immer mal wissen wollte, wie die unterschiedlichen Verschlüsselungsverfahren wie RSA oder DES arbeiten, sollte sich Cryptool einmal näher ansehen. Nach dem Start kann man eine Datei laden oder neu anlegen, die man verschlüsseln oder analysieren möchte. Für die Verschlüsselung stehen klassische Verfahren wie etwa Caesar zur Verfügung, bei dem lediglich die zu verschlüsselnden Zeichen im Alphabet um eine Position nach hinten verschoben werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/tools_utilities/sonstiges/23884/cryptool_1305/"> Cryptool </a>

Fire Encrypter
Wenn Sie schnell einen Text verschlüsseln möchten, dann können Sie dies ohne Aufrufen einer externen Applikation und direkt mit Fire Encrypter innerhalb von Firefox tun. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/browser_netz/browser-tools/61622/fire_encrypter_firefox_erweiterung/index.html"> Fire Encrypter </a>

GnuPT
GnuPT ist eine grafische Benutzeroberfläche für das kostenlose Verschlüsselungsprogramm GnuPG, mit dem Sie Ihre Daten und E-Mails sicher verschlüsselt übertragen und speichern können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/159460/gnupt/index.html"> GnuPT </a>

Gpg4win
Gpg4win ist eine recht komplexe Open-Source-Software zum Verschlüsseln von Dateien und Mails. Das Programm ist die Weiterentwicklung von GnuPG. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/136989/gpg4win/"> Gpg4win </a>

Guardian of Data
Die Freeware Guardian of Data verschlüsselt einzelne Dateien und komplette Ordner nach dem AES-Algorithmus mit 256 Bit. Eine übersichtliche Bedienerführung und ein Programm-Assistent macht die Handhabung des Tools sehr einfach. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/36894/guardian_of_data/"> Guardian of Data </a>

KeePass
Mit dem KeePass Passwort-Safe speichern Sie alle Ihre Passwörter, Zugangsdaten und TAN-Listen in einer verschlüsselten Datenbank, sodass Sie sich nur noch ein einiges Passwort merken müssen. Das Open-Source-Tool Keepass speichert Ihre Passwörter, Zugangsdaten und TAN-Listen in einer Datenbank, die mit dem Advanced Encryption Standard (AES) und dem Twofish Algorithmus verschlüsselt wird. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/112115/keepass/index.html"> KeePass </a>

KeePass Portable
Das Open-Source-Tool Keepass generiert und speichert sichere Passwörter in einer Datenbank. Die Passwörter lassen sich in Gruppen zusammenfassen. Auch TANs können verwaltet werden. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/118251/keepass_portable/index.html"> KeePass Portable </a>

MD5 Algorithmus
MD5 (Message Digest 5) ist ein Einweg-Algorithmus, um aus einer beliebig langen Zeichenkette eine eindeutige Checksumme mit fester Länge zu berechnen. In diesem Archiv finden Sie eine Implementation von MD5 für Windows-Systeme (MD5.EXE). Ebenfalls enthalten sind C++-Quellen und die Spezifikationen nach RFC1321. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/34481/md5_algorithmus/index.html"> MD5 Algorithmus </a>

Opheus
Mit Opheus verschlüsseln Sie Ihre Dateien, so dass diese vor unbefugtem Zugriff gesichert sind. Sie erstellen vor der Verschlüsselung der Daten eine eigene Benutzermatrix und geben ein Passwort an. Daraus errechnet das Programm jeweils eine 1024-Bit-Matrix zur Verschlüsselung, so dass jeder Angreifer den vollständigen Schlüsselsatz haben muss, Dateien wieder entschlüsseln zu können. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/sicherheit/66510/opheus/"> Opheus </a>

Steganos LockNote
Das kostenlose Programm Steganos LockNote verschlüsselt für Sie wichtigen Daten und verhindert so den Datenmissbrauch. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/132112/steganos_locknote/index.html"> Steganos LockNote </a>

TrueCrypt
Sichern Sie vertrauliche Daten mit dem Open-Source-Tool TrueCrypt in einem verschlüsselten virtuellen Laufwerk. Den Datencontainer lassen sich mit einem sicheren Kennwort vor dem unbefugten Zugriff schützen. <br /><br />Download:<br /> <a href="http://www.pcwelt.de/downloads/datenschutz/datensicherheit/105893/truecrypt/index.html"> TrueCrypt </a>

Rechtliche Bewertung

Es wird durch den Änderungsbeschluss unter anderem ein neuer Art. 5 Absatz 3 in die bestehende Datenschutzrichtlinie für elektronische Kommunikation eingefügt:

"Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet wird, wenn der betreffende Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann."

Was bedeutet "Speicherung von Informationen oder der Zugriff auf Informationen"?

Die neue oben zitierte Richtlinie spricht von "Speicherung von Informationen oder der Zugriff auf Informationen". Damit ist maßgeblich, wie der deutsche Gesetzgeber den Begriff "Information" auslegen wird. Denn die Speicherung personenbezogener Daten in Cookies bedarf bereits nach derzeit geltender Rechtlage einer datenschutzrechtlichen Erlaubnis (also beispielsweise einer Einwilligung oder einer datenschutzrechtlichen Gestattungsnorm). Setzt der deutsche Gesetzgeber die Begriffe "Information" und "personenbezogene Daten" gleich, wird sich daher nicht viel ändern. Folgt er aber der Intention der Richtlinie und fasst den Begriff "Information" weiter, wird die Abspeicherung sämtlicher Cookie-Inhalte künftig grundsätzlich einwilligungsbedürftig.

Was kritisieren Datenschützer an der momentanen Cookie-Handhabung?

Kritisiert wird vor allem, dass der Nutzer keinerlei Einfluss auf den Inhalt der Cookie-Daten hat. Inhalt, Umfang, Sendezeit und Speicherungsdauer entziehen sich in der Regel seinem Wissen. Daneben kann der Webserver, der den Cookie setzen lässt, bestimmen, wer den Cookie später empfangen soll. Dies ist damit wiederum dem Einflussbereich des Nutzers entzogen.

Welche Gestaltungsmöglichkeiten würden künftig verbleiben?

Es bestünden verschiedene Möglichkeiten, wie den Forderungen der Richtlinie nach einer gesetzeskonformen Verwendung von Cookies entsprochen werden könnte. Exemplarisch seien drei Möglichkeiten genannt:

• Einwilligung direkt bei Aufruf der Website: Beim Aufruf der Webseite erhält der Nutzer einen Link, der ihn direkt auf die Datenschutzerklärung der Seite verweist. In dieser Erklärung wird die Nutzung und Setzung der Cookies genau erläutert. Daneben wird erläutert werden, welche Browsereinstellungen der Nutzer vornehmen muss, damit keine Cookies gesetzt werden. Kehrt der Nutzer dennoch auf die Webseite zurück, so zeigt er sich als mit der Cookie-Setzung einverstanden.

• Einwilligung in Pop-up-Fenster: Beim Aufruf der Webseite erscheint ein Popup Fenster, in diesem Fenster wird über die Setzung der Cookies informiert. In diesem Pop-up-Fenster befindet sich eine Opt-out-Box (bereits gesetztes Häkchen, das der Nutzer entfernen kann), nach welcher der Nutzer die Setzung von Cookies ablehnen kann, indem er das bereits gesetzte Häkchen entfernt. Entfernt der Nutzer das Häkchen nicht und kehrt zur Webseite zurück, kann der Webseitenbetreiber seine Cookies setzen. Auch so wird im Sinne der Richtlinie die Einwilligung konkludent ausgedrückt.

• Nach der Richtline soll es auch möglich sein, anhand der Browser-Einstellungen eine generelle Einwilligung zu erteilen: "Wenn es technisch durchführbar und wirksam ist, kann die Einwilligung des Nutzers zur Verarbeitung im Einklang mit den entsprechenden Bestimmungen der Richtlinie 95/46/EG über die Handhabung der entsprechenden Einstellungen eines Browsers oder einer anderen Anwendung ausgedrückt werden." Damit ist zwar eine generalisierende Einwilligung über eine Browser-Einstellung denkbar. Allerdings genügen die Browser mit ihren derzeitigen Standardeinstellungen zur Cookie-Verwendung noch nicht diesen Anforderungen.

Ausnahme: Session-Cookies

Gemäß Satz 2 der neuen Vorschrift ist eine Einwilligung auch in Zukunft bei solchen Cookies entbehrlich, die technisch erforderlich sind, um den jeweiligen Dienst zu erbringen. Dies heißt, dass für das Setzen von Session-Cookies normalerweise auch in Zukunft keine spezifische Einwilligung eingeholt werden muss.

Fazit

Die Verwendung von Cookies zu Werbezwecken ist ein in der Internetwirtschaft nahezu unverzichtbares Hilfsmittel geworden. Sollten hier künftig grundsätzlich Einwilligungen der Nutzer oder Anpassungen der Browsereinstellungen erforderlich sein, um Cookies datenschutzkonform zu verarbeiten, werden zahlreiche Anpassungen an Webseiten erforderlich sein. (oe)

Kontakt:

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de