Der Inhalt des Kapitels Richtline ist wortgleich im Blog veröffentlicht. Änderungen müssen parallel geschehen.

Cookies

Dieser Artikel beschreibt Cookies, ihren Einsatz bei Do-FOSS sowie den Hintergrund für die detaillierte Auseinandersetzung mit dem Thema.

Richtlinie

Diese Richtlinie ist Teil der Datenschutzerklärung und klärt Nutzer über den Einsatz von Cookies auf. Es wird zunächst eine einleitende Erklärung gegeben bevor die vom Anbieter verwendeten Cookies beschrieben werden.

Cookies im Allgemeinen

Was sind Cookies?

Cookies sind kleine Textdateien, die es einer Website ermöglichen, auf dem Zugriffsgerät der Nutzer (PC, Smartphone o.ä.) Informationen zu speichern und bei späteren Anfragen auszulesen. Der Verwendungszweck ist vielfältig und reicht von notwendigen Statusinformationen (z.B. ob der Nutzer eingeloggt ist) über die Implementierung benutzerfreundlicher Features (z.B. Warenkörben) hin zur Erhebung von Zugriffsstatistiken und auch Tracking der Nutzer über verschiedene Seiten hinweg.

In jedem Fall weist die besuchte Seite den Browser an, Cookies zu erstellen, zu editieren oder zu löschen. Außerdem schickt der Browser die seitenspezifischen Cookies bei jeder Anfrage an den Anbieter, damit dieser die darin enthaltenen Informationen auswerten kann. Dabei können Seiten nur die Cookies ihrer eigenen Domain verarbeiten, d.h. keine Seite ist in der Lage, die Informationen anderer Seiten auszulesen.

Allerdings besteht eine Seite oft aus den Inhalten mehrere Anbieter (aus mehreren Domains) - so werden häufig neben den Cookies der eigentlich besuchten Seite (sog. First-Party-Cookies) auch die fremder Anbieter (sog. Third-Party-Cookies) gesetzt. Letztere ermöglichen Tracking über verschiedene Seiten hinweg, wenn ein fremder Anbieter auf all diesen Seiten vertreten ist. Ein Beispiel dafür ist Google Analytics - ein Dienst zur Erfassung von Benutzerverhalten, der von vielen Seiten eingebunden wird.

Grundlegend zu unterscheiden sind außerdem Cookies, die potentiell unendlich lange aufbewahrt werden (persistente Cookies), und solche, die nur bis zum Schließen des Browsers gespeichert bleiben (Session-Cookies). Persistente Cookies haben eine Lebensdauer, die angibt wie lange der Browser sie aufbewahrt, wenn die Seite in der Zwischenzeit nicht besucht wird - bei jedem erneuten Besuch der Seite beginnt der Zeitraum von vorne. Weil sie viele Seitenbesuche überdauern und der Seite so erlauben den Nutzer auch bei wechselnden IP-Adressen eindeutig zu identifizieren, sind persistente Cookies aus Sicht des Datenschutzes problematischer als Session-Cookies.

Gleichzeitig sind persistente Cookies nötig, um bei Zugriffsstatistiken zwischen verschiedenen Seitenaufrufen durch verschiedene Nutzer und wiederholten Aufrufen des gleichen Nutzers zu unterscheiden.

Welche Möglichkeiten hat der Nutzer?

Nutzer können auf den Einsatz von Cookies Einfluss nehmen. Die meisten Browser verfügen über eine Option, mit der das Speichern von Cookies eingeschränkt oder komplett verhindert wird (ohne Gewähr auf Korrektheit oder Aktualität der verlinkten Inhalte):

Während First-Party-Session-Cookies aus Datenschutzsicht meist unproblematisch und zur Funktion der Seite notwendig sind, sollte in Erwägung gezogen werden persistente, aber insbesondere Third-Party-Cookies nach Ende des Seitenbesuchs zu löschen oder gleich grundsätzlich abzulehnen.

Cookies des Anbieters

Die vom Anbieter gesetzten Cookies lassen sich in zwei Kategorien einteilen: die technisch notwendigen und die zur Erstellung von Zugriffsstatistiken. Beide Bereiche sind hier möglichst vollständig aufgeführt. Da der Anbieter jedoch den Quellcode der involvierten Werkzeuge nicht geprüft hat, kann nicht garantieren werden, dass es nicht noch weitere Cookies gibt, die bis jetzt nicht beobachtet wurden. Falls das auftritt und ein Cookie gesetzt wird, der hier nicht erwähnt wird, bittet der Anbieter um eine Mail an die Administration unter .

Die unten aufgeführten Cookies speichern teilweise pseudonyme Daten wie eine eindeutige ID oder einen eindeutigen Benutzernamen. Sie enthalten aber niemals persönliche Informationen wie Name (außer er gleicht dem Benutzernamen) oder Adresse (weder postalisch noch IP noch E-Mail). Während diese Cookies also dazu geeignet sind, einen Nutzer abstrakt zu identifizieren, lassen sie keine Rückschlüsse auf die konkrete Person zu. Näheres zum Umgang mit den Daten findet sich in der Datenschutzerklärung.

Technisch Notwendig

  • wordpress_test_cookie (First-Party von blog.do-foss.de, Session):
    Wird von WordPress beim Besuch des Blogs gesetzt, um zu prüfen, ob Cookies erlaubt sind. Es speichert keine Informationen.
  • wordpress_... und wp-settings-... (First-Party von blog.do-foss.de, Session):
    Mitglieder der Redaktion können sich im Blog anmelden. Dabei werden diese Cookies abgelegt, die den Nutzer als eingeloggt identifizieren sowie einige Einstellungen enthalten. (Das gilt also nicht für normale Besucher und auch nicht für Kommentatoren.)
  • _redmine_session (First-Party von orga.do-foss.de, Session):
    Wird von Redmine gesetzt, um Session-Informationen (insbesondere wann sie begonnen hat) abzuspeichern.

Es sei darauf hingewiesen, dass WordPress üblicherweise Cookies bei Kommentatoren ablegt, welche die in der Maske angegebenen Informationen enthalten (Name und E-Mail-Adresse), um sie in Zukunft vorauszufüllen. Im Interesse der Datensparsamkeit hat der Anbieter dieses Feature abgestellt.

Zugriffsstatistiken

Der Anbieter verwendet Piwik, um Zugriffsstatistiken zu erheben. Näheres zu den Gründen dafür und zum Umgang mit den Daten findet sich im dazugehörigen Artikel - hier werden nur die Cookies erläutert.

Piwik erstellt folgende Cookies:

  • _pk_id_... (First Party von blog.do-foss.de, persistent für eine Woche):
    Der sogenannte Tracking-Cookie. Enthält einen Wert, der zur eindeutigen, pseudonymen Identifikation des Besuchers geeignet ist.
  • _pk_ses_... (First Party von blog.do-foss.de, Session):
    Enthält Informationen zum aktuellen Besuch des Nutzers.
  • piwik_ignore (First Party von piwik.do-foss.de, persistent für zwei Jahre)
    Wird gesetzt, falls der Besucher der Datenerhebung widerspricht.
  • PIWIK_SESSID (First Party von piwik.do-foss.de, Session)
    Wird bei Interaktion mit piwik.do-foss.de gesetzt und enthält eine Session ID.

Wie bei der Erläuterung zum Widerspruch gegen die Erhebung von Nutzungsstatistiken erläutert, werden die Cookies _pk_id_... und _pk_ses_... selbst dann gesetzt, wenn der Erfassung widersprochen wurde. Allerdings verhindert die zusätzliche Existenz von piwik_ignore die Auswertung durch Piwik.

Hintergrund

Der Umgang mit Cookies ist juristisch nicht eindeutig. Hier wird kurz die rechtliche Situation dargestellt und dann wie Do-FOSS damit umgeht.

Rechtliche Situation

Die rechtliche Lage ist etwas vertrackt. Eigentlich müsste in Deutschland schon seit 2011 die E-Privacy-Richtlinie der EU umgesetzt worden sein. Die besagt, dass technisch nicht absolut notwendige Cookies nur nach Zustimmung des Nutzers (also per Opt-In) gesetzt werden dürfen. Im Gegensatz dazu beschreibt §15 Absatz 3 des Telemediengesetzes ein Opt-Out-Verfahren:

Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.

Dass aus unerfindlichen Gründen die EU und das Wirtschaftsministerium dennoch der Meinung zu sein scheinen, die Umsetzung der Richtlinie habe in Deutschland stattgefunden, sowie eine ausführlichere Darstellung der Faktenlage gibt es z.B. bei Telemedicus. WBS-Law erläutert außerdem die Position der Datenschützer.

Herangehensweise bei Do-FOSS

Wir sind der Meinung, dass Cookies tatsächlich eine Gefährdung für die informationelle Selbstbestimmung darstellen. Ob Opt-In ein für den Nutzer praktikabler Weg ist, damit umzugehen, sei dahingestellt. Wir orientieren uns stattdessen an Datensparsamkeit und Transparenz.

Sparsamkeit

Abgesehen von den zum technischen Betrieb notwendigen Cookies verwenden wir nur solche zur Erhebung von Zugriffsstatistiken mit Piwik und dem kann widersprochen werden.

Transparenz

Der obige Abschnitt Cookies bei Do-FOSS beschreibt genau welche Cookies eingesetzt werden.

Disclaimer

Es handelt sich hierbei auch um ein juristisches Thema, aber keiner der Autoren hat auf diesem Gebiet irgendeine Ausbildung oder auch nur über eine oberflächliche Internetrecherche hinausgehende Kenntnisse. Deswegen handelt es sich bei allen Artikeln mit juristischen Inhalten (wie dem vorliegenden) um keine Rechtsberatung! Das trauen sich schon wesentlich kompetentere Personen nicht.

Auch abrufbar als: PDF HTML TXT

Bild aus Zwischenablage einfügen (Maximale Größe: 300 MB)