Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Übung/Hausaufgabe Cookies – Betrachtung aus der Sicht des Datenschutzes Was geht (ist erlaubt, sollte erlaubt sein), was geht nicht (ist oder sollte nicht erlaubt sein)
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Cookies Cookies (Kekse) sind Daten, die ein Web-Server auf dem lokalen (Client-)Rechner ablegen und lesen darf –Variablen, die auf Veranlassung des Servers über den Web- Browser des Nutzers als Datei (cookies.txt oder in Cookie- Verzeichnis) auf Rechner des Nutzers gespeichert werden –Bei Folgezugriffen auf weitere Seiten auf dem Server werden die Cookies wieder an diesen übermittelt –ursprünglich für elektronisches Einkaufen, damit die Kennungen der ausgewählten Produkte in einem Warenkorb gespeichert werden und der Kunde seine Bestelladresse nur einmal eingeben muss Sie bestehen aus einem Namen und einem Wert (maximal 128 Zeichen) Zusätzlich Gültigkeitsdatum und Domäne, an die sie geschickt werden dürfen/sollen
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Domain, die den Cookie gespeichert hat und lesen kann Haben alle Computer der Domain Zugriff auf den Cookie? Pfad der Domain, in dem der Cookie gültig ist Cookie-Zugriff nur bei secure connection (SSL)? UNIX-Zeitangabe für Lebensdauer des Cookies Name des Cookies Wert des Cookies cookies.txt nike.rz.uni-konstanz.de TRUE / FALSE BEISPIELTEXT Das_ist_bei_Ihnen_gespeichert FALSE / FALSE EGSOFT_ID FALSE / FALSE RoxenUserID 0x36.microsoft.com TRUE / FALSE MC1 GUID=30853a5de5b61d08b60802b 3 / 30 Cookies
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe z.B. DENIC Domain Name Server YOU ! z.B. Double- click z.B. Amazon.de Endserver Werbefirma a)Logfileaufzeichnungen: IP-Adresse wünscht neuste Buchausgabe zu >Reisen<; bitte Infos spielen auf Netscape 5.0 b)Setzt Cookie c)Registrierung von Bestellinfos (Name, Adresse...) a)Setzt Cookie & Clear Gif b)Erkennt Cookie und weiss, dass YOU vorher schon bei Yahoo war c)Registrierung von Bestellinfos (Name, Adresse...) a)DNS look-up: Zu welcher Domain gehört die IP- Adresse? Grober Ablauf der Datenübertragung Datenspuren im Internet
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Cookies Cookies kann man verwenden um –Benutzer/Rechner zu identifizieren (Warenkörbe) –Daten permanent verfügbar zu machen (beim Wiederaufruf der Seite) aber auch –um Nutzer zu verfolgen (Surfverhalten)
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Datenschutzrechtliche Betrachtung von Cookies (1) Gefahr: in Cookie kann eine weltweit eindeutige Identifikationsnummer gespeichert werden; jedesmal, wenn der Besucher zu einer Seite zurückkommt, erkennt ihn diese und kann alle Daten, welche er bei diesem Besuch preisgibt, seinem wachsenden Profil hinzufügen. Möglichkeit Benutzer über Websites hinweg zu beobachten Personenbezogen? –Der Inhalt der Cookies ist nicht grundsätzlich personenbezogen, die Webseite, die Informationen im Cookie speichert (zum Beispiel ein bevorzugtes Seitenlayout) kennt den Benutzer ja meist nicht. –In einigen Fällen muss jedoch der Seite gegenüber die Identität preisgegeben werden, die im Cookie enthaltenen Daten sind dann also personenbezogen.
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Datenschutzrechtliche Betrachtung von Cookies (2) - Unterrichtung Eine Unterrichtung des Nutzers im Zusammenhang mit Cookies ist in zwei Situationen verpflichtend: –Erstens, bevor personenbezogene Cookiedaten an den Server des Anbieters gesendet werden. Denn dieses Senden ist als Erheben im Sinne des BDSG zu verstehen, wofür §3 Abs. 5 TDDSG fordert, dass der Nutzer [...] vor der Erhebung über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten ist. Damit soll gewährleistet werden, dass der Nutzer einen Überblick über die Verwendung und Verbreitung seiner Daten behält. –Zweitens, auch wenn der Cookie keine personenbezogenen Daten erhält, ist der Benutzer vor dessen setzen zu unterrichten, da dieser Vorgang angesehen werden kann als ein automatisiertes Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorbereitet. Aus der Gesetzesbegründung gehe hervor, dass nicht nur das Setzen, sondern auch jedes weitere Beschreiben eines Cookies dem Nutzer mitgeteilt werden muss. Die Unterrichtung muss in ihrer Form verständlich, umfassend und hinreichend auffällig sein. –Sie muss so in die Web-Seite integriert werden, dass der Nutzer sie beim normalen Surfen wahrnimmt, also nicht irgendwo unten auf einem Teil der Seite, den er nur durch Blättern erreicht. Allgemeine Aussagen wie wir verwenden Cookies oder ein Verweis auf die AGB reichen ebenfalls nicht aus, genausowenig wie die automatisch vom Browser des Nutzers (so dieser entsprechend konfiguriert ist) generierte Warnmeldung.
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Datenschutzrechtliche Betrachtung von Cookies (3) - Einwilligung In verschiedenen Situationen muss vom Benutzer sogar die Einwilligung eingeholt werden. –Zum einen, wenn der Cookie personenbezogene Daten enthält. Denn das Setzen des Kekses ist als Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung anzusehen, damit als Speichern, was wieder eine Unterkategorie des Verarbeitens darstellt (§3 Abs. 5, TDDSG). Interessant ist, dass der Diensteanbieter die Erbringung von Telediensten nicht von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig machen darf (§3 Abs. 3, TDDSG). Da personenbezogene Daten zur Durchführung des Teledienstes nicht notwendig sind (erst für die Lieferung –> Trennung möglich), bedeutet dies: Ein Diensteanbieter/Verkäufer darf einem Nutzer den Zugang zu einem Tele- oder Mediendienst also nicht deshalb verweigern, weil dieser das Setzen, Beschreiben oder Senden einer Cookie-Datei nicht akzeptiert
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe EU Datenschutzrichtlinie von 2002 Verwendung von Cookies" Cookies sind Informationen, die auf versteckte Weise zwischen dem Endgerät des Internetnutzers und einem Webserver ausgetauscht und zu diesem Zweck in einer Datei auf der Festplatte des Nutzers gespeichert werden. Diese Informationen dienten ursprünglich dazu, die Verfügbarkeit bestimmter Informationen zwischen zwei Verbindungen zu ermöglichen. Sie erweisen sich aber auch als ein oft kritisiertes Kontrollinstrument zur Überwachung der Aktivitäten des Internetnutzers. In diesem Zusammenhang schreibt die Richtlinie vor, dass die Nutzer die Möglichkeit haben müssen, die Speicherung von Cookies oder ähnlicher Instrumente in ihrem Endgerät abzulehnen. Dazu müssen den Nutzern verständliche und genaue Informationen über den Zweck und die Rolle der Cookies gegeben werden.
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe Lex Cookie Bei Cookies und ähnlichen Verfahren, die spätere Identifizierung des Nutzers ermöglichen: Unterrichtung zu Beginn des Verfahrens, falls Erhebung, Verarbeitung oder Nutzung der Daten vorbereitet wird (§ 4 Abs. 1 Satz 2 TDDSG) Bei Internet-Zugang mit dynamischer IP Tatbestands- voraussetzungen nur erfüllt, wenn identifizierende Daten vorliegen und langlebige Cookies verwendet werden Pflicht des Anbieters: Warnmöglichkeit im Browser gehört zur Sphäre des Nutzers, genügt nicht Datenschutzrechtlich unproblematisch: kurzlebige Cookies, die sich nicht auf die Festplatte speichern; diese ermöglichen keine spätere Identifizierung des Nutzers