Embed Size (px)
Citation preview
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 1
Übung/Hausaufgabe
• Cookies – Betrachtung aus der Sicht des Datenschutzes• Was geht (ist erlaubt, sollte erlaubt sein), was geht nicht
(ist oder sollte nicht erlaubt sein)
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 2
Cookies
• Cookies („Kekse“) sind Daten, die ein Web-Server auf dem lokalen (Client-)Rechner ablegen und lesen darf– Variablen, die auf Veranlassung des Servers über den Web-
Browser des Nutzers als Datei (cookies.txt oder in Cookie-Verzeichnis) auf Rechner des Nutzers gespeichert werden
– Bei Folgezugriffen auf weitere Seiten auf dem Server werden die Cookies wieder an diesen übermittelt
– ursprünglich für elektronisches Einkaufen, damit die Kennungen der ausgewählten Produkte in einem “Warenkorb” gespeichert werden und der Kunde seine Bestelladresse nur einmal eingeben muss
• Sie bestehen aus einem Namen und einem Wert (maximal 128 Zeichen)
• Zusätzlich Gültigkeitsdatum und Domäne, an die sie geschickt werden dürfen/sollen
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 3
Domain, die den Cookie gespeichert hat und lesen kann
Haben alle Computer der Domain Zugriff auf den Cookie?
Pfad der Domain, in dem der Cookie gültig ist
Cookie-Zugriff nur bei “secure connection” (SSL)? UNIX-Zeitangabe
für Lebensdauer des Cookies
Name des Cookies
Wert des Cookies
cookies.txt
nike.rz.uni-konstanz.de TRUE / FALSE 915148800 BEISPIELTEXT Das_ist_bei_Ihnen_gespeichertwww.ntsecurity.com FALSE / FALSE 1293753600 EGSOFT_ID 194.231.201.50-3996917376.29www.uni-flensburg.de FALSE / FALSE 946511999 RoxenUserID 0x36.microsoft.com TRUE / FALSE 947433000 MC1 GUID=30853a5de5b61d08b60802b
3 / 30
Cookies
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 4
z.B.
DENIC
Domain Name Server
YOU !z.B.
Double-click
z.B.
Amazon.de
Endserver
Werbefirma
a) Logfileaufzeichnungen: IP-Adresse 10.5.463.2.5 wünscht neuste Buchausgabe zu >Reisen<; bitte Infos spielen auf Netscape 5.0
b) Setzt Cookie
c) Registrierung von Bestellinfos (Name, Adresse...)
a) Setzt Cookie & Clear Gif
b) Erkennt Cookie und weiss, dass YOU vorher schon bei Yahoo war
c) Registrierung von Bestellinfos (Name, Adresse...)
a) DNS look-up: Zu welcher Domain gehört die IP-Adresse?
Grober Ablauf der Datenübertragung
Datenspuren im Internet
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 5
Cookies
• Cookies kann man verwenden um– Benutzer/Rechner zu identifizieren (Warenkörbe)– Daten permanent verfügbar zu machen (beim Wiederaufruf der
Seite)
• aber auch – um Nutzer zu verfolgen (Surfverhalten)
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 6
Datenschutzrechtliche Betrachtung von Cookies (1)
• Gefahr: in Cookie kann eine weltweit eindeutige Identifikationsnummer gespeichert werden; jedesmal, wenn der Besucher zu einer Seite zurückkommt, erkennt ihn diese und kann alle Daten, welche er bei diesem Besuch preisgibt, seinem wachsenden Profil hinzufügen.
• Möglichkeit Benutzer über Websites hinweg zu beobachten
• Personenbezogen?– Der Inhalt der Cookies ist nicht grundsätzlich personenbezogen,
die Webseite, die Informationen im Cookie speichert (zum Beispiel ein bevorzugtes Seitenlayout) kennt den Benutzer ja meist nicht.
– In einigen Fällen muss jedoch der Seite gegenüber die Identität preisgegeben werden, die im Cookie enthaltenen Daten sind dann also personenbezogen.
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 7
Datenschutzrechtliche Betrachtung von Cookies (2) - Unterrichtung
• Eine Unterrichtung des Nutzers im Zusammenhang mit Cookies ist in zwei Situationen verpflichtend:
– Erstens, bevor personenbezogene Cookiedaten an den Server des Anbieters gesendet werden. Denn dieses Senden ist als Erheben im Sinne des BDSG zu verstehen, wofür §3 Abs. 5 TDDSG fordert, dass “der Nutzer [...] vor der Erhebung über Art, Umfang, Ort und Zwecke der Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu unterrichten“ ist. Damit soll gewährleistet werden, dass der Nutzer einen Überblick über die Verwendung und Verbreitung seiner Daten behält.
– Zweitens, auch wenn der Cookie keine personenbezogenen Daten erhält, ist der Benutzer vor dessen setzen zu unterrichten, da dieser Vorgang angesehen werden kann als ein automatisiertes Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorbereitet. Aus der Gesetzesbegründung gehe hervor, dass „nicht nur das Setzen, sondern auch jedes weitere Beschreiben eines Cookies“ dem Nutzer mitgeteilt werden muss.
• Die Unterrichtung muss in ihrer Form „verständlich, umfassend und hinreichend auffällig sein“. – Sie muss so in die Web-Seite integriert werden, dass der Nutzer sie
beim normalen Surfen wahrnimmt, also nicht irgendwo unten auf einem Teil der Seite, den er nur durch Blättern erreicht. Allgemeine Aussagen wie „wir verwenden Cookies“ oder ein Verweis auf die AGB reichen ebenfalls nicht aus, genausowenig wie die automatisch vom Browser des Nutzers (so dieser entsprechend konfiguriert ist) generierte Warnmeldung.
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 8
Datenschutzrechtliche Betrachtung von Cookies (3) - Einwilligung
• In verschiedenen Situationen muss vom Benutzer sogar die Einwilligung eingeholt werden. – Zum einen, wenn der Cookie personenbezogene Daten enthält. Denn
das Setzen des Kekses ist als „Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung“ anzusehen, damit als Speichern, was wieder eine Unterkategorie des Verarbeitens darstellt (§3 Abs. 5, TDDSG).
• Interessant ist, dass der Diensteanbieter „die Erbringung von Telediensten nicht von einer Einwilligung des Nutzers in eine Verarbeitung oder Nutzung seiner Daten für andere Zwecke abhängig machen“ darf (§3 Abs. 3, TDDSG). Da personenbezogene Daten zur Durchführung des Teledienstes nicht notwendig sind (erst für die Lieferung –> Trennung möglich), bedeutet dies: Ein Diensteanbieter/Verkäufer darf „einem Nutzer den Zugang zu einem Tele- oder Mediendienst also nicht deshalb verweigern, weil dieser das Setzen, Beschreiben oder Senden einer Cookie-Datei nicht akzeptiert“
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 9
EU Datenschutzrichtlinie von 2002
• Verwendung von „Cookies"• Cookies sind Informationen, die auf versteckte Weise zwischen dem
Endgerät des Internetnutzers und einem Webserver ausgetauscht und zu diesem Zweck in einer Datei auf der Festplatte des Nutzers gespeichert werden. Diese Informationen dienten ursprünglich dazu, die Verfügbarkeit bestimmter Informationen zwischen zwei Verbindungen zu ermöglichen. Sie erweisen sich aber auch als ein oft kritisiertes Kontrollinstrument zur Überwachung der Aktivitäten des Internetnutzers.
• In diesem Zusammenhang schreibt die Richtlinie vor, dass die Nutzer die Möglichkeit haben müssen, die Speicherung von Cookies oder ähnlicher Instrumente in ihrem Endgerät abzulehnen. Dazu müssen den Nutzern verständliche und genaue Informationen über den Zweck und die Rolle der Cookies gegeben werden.
Vorlesung Datenschutz, FB Informatik, Universität Dortmund, SoSe 2004 10
Lex Cookie
• Bei Cookies und ähnlichen Verfahren, die spätere Identifizierung des Nutzers ermöglichen: Unterrichtung zu Beginn des Verfahrens, falls Erhebung, Verarbeitung oder Nutzung der Daten vorbereitet wird (§ 4 Abs. 1 Satz 2 TDDSG)
• Bei Internet-Zugang mit dynamischer IP Tatbestands-voraussetzungen nur erfüllt, wenn identifizierende Daten vorliegen und langlebige Cookies verwendet werden
• Pflicht des Anbieters: Warnmöglichkeit im Browser gehört zur Sphäre des Nutzers, genügt nicht
• Datenschutzrechtlich unproblematisch: kurzlebige Cookies, die sich nicht auf die Festplatte speichern; diese ermöglichen keine spätere Identifizierung des Nutzers
