Das Problem der Privatsphäre im Web gleicht einer tickenden Zeitbombe. Dies meldeten Ende 1997 die Marktforscher von Forrester Research und kündigten für 1999 gleich den Zeitpunkt der Explosion mit an. Nehme die Industrie die Bedürfnisse der Online-Kunden nicht ausreichend ernst, werde der schöne Traum von vollen Kassen durch elektronischen Handel nicht in Erfüllung gehen.

Reichte früher für ein Geschäft oftmals der Handschlag aus, ist heute ein hoher technischer Aufwand nötig. Den Online-Marketiers geht es vor allem darum, die persönlichen Daten der Web-Surfer zu bekommen, um so deren Bedürfnisse zu ermitteln. Der Forrester-Analyse zufolge ist aber ein großer Teil der Internet-Nutzer beunruhigt darüber, daß ihre privaten Daten mißbraucht werden könnten. Sie wollen ihre Namen und E-Mail-Adressen geheimhalten - ihre Kreditkartennummern sowieso.

Die Sorge der Anwender besteht zu Recht, wie fast alle Surfer aus eigener Erfahrung wissen. Ein Indiz für den unkontrollierbaren Handel mit privaten Daten ist die morgendliche Werbe-E-Mail-Flut (Spam) im elektronischen Briefkasten. Doch das Fundament für den Vertrauensverlust wurde von der Web-Industrie schon früher gelegt - nämlich in Form von Cookies (englisch: Kekse).

Dabei erfüllen die kleinen Textdateien eigentlich einen guten Zweck. Persönliche Informationen und Vorlieben des Benutzers einer Web-Site werden auf seinem Rechner gespeichert. Steuert der Surfer diese Adresse erneut an, kann der Server die Informationen im Cookie auslesen. Kennwörter oder Seitenpräferenzen müssen nicht mehr jedesmal manuell konfiguriert werden, das Manövrieren im Netz gestaltet sich komfortabler.

Um die maximal 4 KB großen Textdateien ranken sich seit Jahren Mythen und Gerüchte (siehe Kasten "Cookies" auf Seite 18). Vom möglichen Löschen der Festplatte bis zum Entwenden kritischer Daten reichen die Ängste der User. Doch auch einige Cookie-Befürworter sehen Anlaß zur Kritik. Sie monieren, daß der Anwender nur sehr ungenügend über das Treiben der Web-Marketiers informiert wird. Offenheit sei hier Fehlanzeige, und gerade diese bildete eine Grundlage für das gegenseitige Vertrauen.

Der Hamburger Otto-Versand setzt auch aus diesem Grund keine Cookies für Online-Bestellungen ein. Beim Aufruf der Otto-Site vergibt der Server jedesmal eine mitlaufende Nummer. Wenn der Käufer den virtuellen Laden verläßt, verfällt seine Nummer und mit ihr die Daten.

Laut Tim Haase von der Abteilung Online-Dienste/Neue Medien des Versandhauses stand die Forderung im Mittelpunkt, den User nicht mit Cookies zu verprellen. Das Konzept orientiere sich an Kunden, die häufig nicht über die Funktionsweise der Datenkekse informiert sind. Otto steuert sein Web-Angebot vielmehr durch Informationen, die aus Kundenbestellungen gewonnen wurden.

Web-Werber hingegen haben einen ungestillten Appetit auf die schmackhaften Dateien. Mit den Informationen lassen sich Kunden gezielt mit Bannerwerbung eindecken. Sucht ein Shopper im Online-Buchladen beispielsweise nach Java-Schmökern, blinkt vielleicht beim nächsten Besuch Werbung von Sun oder IBM auf.

Seit Jahren suchen IT-Unternehmen nach einer Lösung, wie sich die Interessen der Kunden und Werber unter einen Hut bringen lassen. Die Hersteller scheinen inzwischen erkannt zu haben, daß der User der Preisgabe von personenbezogenen Informationen zustimmen muß. Eigentlich eine Selbstverständlichkeit, gibt es doch in Deutschland das Gesetz zur informationellen Selbstbestimmung.

Diese Regelung verbietet die Weitergabe von persönlichen Daten ohne ausdrückliche Zustimmung der Beteiligten. Otto Normalverbraucher soll seine Informationen nicht anders als freiwillig herausrücken und über die Verwendung der Daten unterrichtet werden. Würde dieses Gesetz auch auf das Web angewandt, dürfte das Vertrauen in den E-Commerce steigen.

Inzwischen sind neue technische Lösungsansätze ausgeklügelt worden. Sie verbergen sich hinter den Spezifikationen "Platform for Privacy Preferences Project" (P3P) und "Open Profiling Standard" (OPS). Auf Web-Sites installierte P3P-Applikationen teilen Besuchern automatisch mit, wie dort mit ihren Daten umgegangen wird. Der Surfer kann bestimmen, welche persönlichen Informationen er im Einzelfall preisgeben möchte. Der OPS-Schwerpunkt hingegen liegt in der sicheren Speicherung und Übertragung individueller Benutzerprofile.

Beide Systeme haben seit ihrer Ankündigung Mitte 1997 die Serienreife noch nicht erlangt. Spätestens im nächsten Jahr wollen die Softwareriesen Netscape und Microsoft fertige Lösungen in ihre neuen Browser-Versionen integrieren. Interessant ist, daß die ansonsten verfeindeten Anbieter jeweils sowohl OPS als auch P3P unterstützen. Auch schließen sich die beiden Ansätze nicht aus oder stehen im Wettbewerb zueinander, vielmehr befruchten sie sich gegenseitig.

Im Internet jedoch ist die Reifezeit von zwei Jahren für einen Standard zu lang. Zuviel hängt für die Volkswirtschaften davon ab, daß der Online-Kommerz ins Rollen kommt. Daher haben sich Regierungsstellen der Thematik angenommen. So unterbreitete die Federal Trade Commission (FTC) in den USA unlängst einen Vorschlag zur Regelung der Privatsphäre, der die beteiligten Unternehmen unter Zugzwang stellt. Die Drohung: Der US-Gesetzgeber werde sich einschalten, wenn nicht bis Ende des Jahres eine funktionierende Lösung auf dem Markt sei.

Nicht nur für amerikanische Internet-Firmen ist die staatliche Einmischung ein rotes Tuch. Sie vertrauen lieber auf den freiwilligen Konsens innerhalb der Industrie. "Objective Third Parties", also unabhängige Organisationen wie Truste oder BBB Online, sollen ihrer Meinung nach die Web-Sites begutachten und ein Siegel vergeben, wenn die Internet-Adresse den offiziellen Spezifikationen zum Schutz der Privatsphäre entspricht.

Alexander Dix, Datenschutzbeauftragter beim Land Brandenburg, begrüßt die neuen technischen Ansätze, wenngleich sie ihm nicht weit genug gehen. Ein staatliches Kontrollsystem sei unumgänglich. Seiner Meinung nach darf die Verantwortung für die Unversehrtheit der Privatsphäre nicht allein auf den Nutzer abgeschoben werden. Oft wisse er nicht genug über die Möglichkeiten von Technik und Marketing. Ferner werde der Surfer gezwungen, sich aktiv über den Markt und die damit verbundenen Gefahrenpotentiale zu informieren.

"OPS und P3P fordern eine hohe Vertrauensvorleistung vom Anwender", so Dix. Vertrauen, das nach der eingangs erwähnten Forrester-Prognose sehr leicht zu erschüttern ist. Eine einzige kriminelle Aktion - beispielsweise Kreditkartenbetrug im großen Stil - wird nach Meinung der Analysten genügen, das bislang dem Internet entgegengebrachte Vertrauen nachhaltig zu untergraben. Dies hätte zur Folge, daß die Wachstumsraten der Online-Industrie für geraume Zeit fallen würden.

Der Forrester-Report "The Privacy Bomb" empfiehlt eine Übereinkunft zwischen Kunden und Unternehmen. Anbieter sollten "ehrlich und offen um Informationen" bitten. Im Gegenzug müßten die Kunden einen Mehrwert erhalten. Unter diesen Umständen würden beide Seiten vom Internet profitieren. Gegenwärtig gleicht der Mehrwert auf interessanten Web-Seiten jedoch eher einem Köder, der zur Preisgabe persönlicher Informationen verlocken soll.

Cookies

Cookies (Kekse) sind maximal 4 KB große ASCII-Dateien, die auf dem Rechner des Internet-Nutzers abgelegt werden. Da das Hypertext Transfer Protocol (HTTP) keine permanente Verbindung zwischen Web-Server und Browser errichtet, weiß der Server bei jedem neuen Seitenaufruf des Surfers nicht mehr, mit wem er gerade kommuniziert. Einmal eingegebene Informationen wie E-Mail-Adressen oder Kundendaten lassen sich in Cookies sammeln und bei Bedarf wieder auslesen. Der daraus resultierende Surfkomfort hat allerdings Auswirkungen auf die Privatsphäre des Anwenders. Dabei sind folgende Punkte von Bedeutung:

- Der Server fragt beim Browser an, ob ein Cookie gesetzt werden darf. Moderne Browser bieten dem Nutzer die Gelegenheit, das Cookie-Verhalten seines Rechners vorab zu definieren. Die gebräuchlichsten Optionen sind erstens die generelle Annahme der Datenhäppchen, zweitens eine Bestätigungsabfrage bei jedem Cookie sowie drittens deren grundsätzliche Ablehnung.

- Der Server kann lediglich Informationen in einem Cookie ablegen, über die er bereits verfügt.

- Nur ein Server aus der gleichen Domain, der die Informationen abgelegt hat, kann sie auch wieder auslesen.

- Cookies können nicht selbständig auf der Festplatte des Anwenders nach Informationen suchen und diese weiterleiten, da sich der ASCII-Zeichenstring nicht ausführen läßt.

- Cookies können keine Festplatten löschen.

- Cookies übertragen keine Viren.

- Aber: Der Server kann Rückschlüsse auf das persönliche Surfverhalten ziehen. Er merkt sich beispielsweise in den Keksdateien, welche Bannerwerbungen der Nutzer anklickt. Gezieltes Marketing kann die Folge sein. Durch den Austausch vorhandener Daten zwischen verschiedenen Unternehmen läßt sich ein individuelles Profil des Onliners erstellen.

Fazit: Cookies sind nicht von Natur aus böse. Die meisten Informationen gibt ihnen - wenn auch unbewußt - der Anwender selber. Strittig bleibt der Umgang der Unternehmen mit diesen persönlichen Daten.