Der Aufschrei unter Website-Betreibern war groß, als das Gremium für Bürgerrechte, Justiz und Innenangelegenheiten des EU-Parlamentes im vergangenen Herbst seinen Vorschlag machte. Man wolle die Nutzung von Cookies künftig verbieten, hieß es damals, wenn diese vom User nicht explizit zugelassen würden.

Websites jeglicher Art hätten sich dann vorab mit Hinweisfenstern beim User melden müssen, dass sie einen Cookie ablegen möchten. Europäische E-Commerce-Anbieter sahen sich daher schon im Nachteil zu ihren US-Konkurrenten, die derlei Regelungen nach wie vor nicht kennen, aber auch ansonsten in Sachen Datenschutz hinterher hinken.

Die Aufregung kann sich jetzt legen: Das Parlamentsgremium hat sich gegen sein als «EU-Cookie-Verbot» die Runde machendes Vorhaben entschieden. Ihm reicht es nun aus, wenn eine Website in ihren Nutzungsbedingungen erwähnt, wozu die Datenpäckchen eingesetzt werden. Dazu muss ein User die rechtliche Belehrung allerdings erst lesen.

Dafür soll ihm jedoch in Europa garantiert werden, dass es möglich ist, zu erfahren, was in den Cookies konkret steckt; außerdem soll er sie ablehnen dürfen, wenn er sie nicht möchte.

Die EU-Regelung wandert in eine neue Direktive, in der geschrieben steht, was Unternehmen im Bereich der elektronischen Sammlung von Daten dürfen - und was nicht. Die neue Haltung des Parlaments kollidiert allerdings mit der des über die EU hinausgehenden Europarates. Der will die Cookies nach wie vor im Vorhinein beschrieben wissen.

Hier wie im Parlament sieht man vor allem die Gefahr, dass Persönlichkeitsprofile mit Hilfe der Infokrümel erstellt werden können. Inzwischen ist es technisch möglich, dass ein ganzes größeres Netzwerk die Informationen über eine Person über viele verschiedene Websites verfolgt. Insbesondere die Vermarkter von Internet-Werbung bedienen sich dieser Technologie und standen daher bereits bei Datenschützern im Zwielicht.

Werbetreibende waren es auch, die gegen die Anti-Cookie-Politik des EU-Parlamentsgremiums neben den großen Website-Betreibern Lobbyarbeit unternommen haben. Ursprünglich konnten die Infokrümel nur von dem Internet-Angebot gelesen werden, das sie geschrieben hat. Das ist technisch inzwischen nicht mehr der Fall, obwohl moderne Browser wie «Opera» User davor warnen, wenn ein Cookie die «Sicherheitsgrenze» überschreitet.

Hinter den Datenpäckchen, die immer wieder für Schlagzeilen wegen potenzieller Privatsphärenverletzungen sorgten, steckt eigentlich ein legitimes Vorhaben. Normalerweise können Websites einen User nicht wiedererkennen, das dessen Internet-Adresse zumeist ständig wechselt. Mit Hilfe von Cookies, die ihm auf die örtliche Festplatte geschrieben werden, wird er aber erkennbar. Das ermöglicht es etwa, dass man nicht ständig ein Passwort eingeben muss oder seinen Einkaufskorb im Online-Shop sofort wieder geöffnet sieht.

Problematisch wird es, wenn derartige Informationen im Klartext vorliegen und von anderen, unberechtigten Websites ausgelesen werden können. Sicherheitsbewusste löschen daher regelmäßig Cookies der großen Anzeigennetzwerke wie «Doubleclick», die auf vielen Seiten vertreten sind.

Für das Web ediert von Ben Schwan