17. August 2011
Posted in Internet News

Sicherheits-Guru Bruce Schneier verweist in seinem Blog auf einen Forschungsbericht der University of Berkeley (Kalifornien), der einige weiterführende Informationen zu einem schon vor Wochen veröffentlichten Wired-Bericht liefert. Es geht in beiden Berichten vereinfacht gesagt um ein bereits im kommerziellen Einsatz befindliches Verfahren, das ähnlich wie Cookies die Verfolgung des Benutzers im Web ermöglicht.

Allerdings ist es bei diesem Verfahren für den Nutzer noch schwerer, sich der Überwachung zu entziehen. Laut dem Bericht der Universität werden bei diesem Verfahren der Firma KISSmetrics die individuellen "Identifier" in Form von JavaScript und ETags (HTTP-Header) im Cache des Browsers gespeichert. Das Verfahren wurde schon von mehreren großen US-Sites eingesetzt, wobei der Bericht aus Berkeley namentlich auf die Situation bei hulu.com eingeht, einer der größten Video-Sites, auch im internationalen Vergleich.

Mit Fragen nach dem konkreten Einsatz konfrontiert, distanzierten sich die Unternehmen überwiegend. Und selbst KISSMetrics verzichtet inzwischen auf den Einsatz des Verfahrens. Doch das Beispiel macht deutlich, dass eine auf Cookies zugeschnittene Regulierung zum Schutz der Privatsphäre, wie sie zur Zeit beispielsweise in der Datenschutz-Direktive der EU besteht,. an einem wichtigen Definitionsproblem vorbeigeht. Denn wenn die entsprechenen Vorschriften sich nur auf die Vergabe von Cookies beziehen, dann bleiben Verfahren wie etwa Flash-Cookies oder das von KISSMetrics unberücksichtigt.

In den USA hat in diesem Zusammenhang schon die Diskussion begonnen, wie das Ziel aller Verfahren, das fortwährende Verfolgen und Beobachten des Nutzers, genauer zu fassen ist und welche Formen des Tracking die Privatshpäre zu sehr beeinträchtigen.

In Europa kommen die Gesetzgeber dagegen nicht recht voran. Die Datenschützer kritisieren zwar, wenn große Internet-Unternehmen wie Google auf den eigenen und auf fremden Websites Cookies an Nutzer vergeben und damit - zumindest theoretisch - eine weitreichende Verknüpfung persönlich identizierender Daten mit individuellen Bewegungsdaten möglich wird. Doch die Umsetzung der Datenschutz-Richtlinie hinsichtlich der Cookie-Vergabe lässt beispielsweise in Deutschland noch auf sich warten.

Wobei man sich angesichts der neuen Verfahren fragen muss, wie eine noch kommende gesetzliche Cookie-Regelung (Ziele: Information des Benutzers über die Cookie-Vergabe, Möglichkeit zur Ablehnung von Cookies) den Einsatz von Tracking-Verfahren behindern soll. Wenn man den Einsatz von Cookies per Gesetz erschwert, dann wird es immer wieder neue technische Möglichkeiten geben, das oben genannte Ziel zu erreichen.

Links:

• Schneier 
• Forschungsbericht