Und was ist mit Cookies?
Jede/r kennt sog. Cookie-Banner, die beim Aufrufen einer Webseite – meistens am Fu? der Seite – erscheinen und zum Akzeptieren des Einsatzes von Cookies auffordern. Zwischenzeitlich gibt es eine sch?ne Bandbreite von Layouts und Formulierungen, welche auch auf die rechtlichen Unw?gbarkeiten im Zusammenhang mit Cookies zurückzuführen sind.?
Doch zun?chst zur Erl?uterung, was ein Cookie ist und wie er funktioniert: Webseiten werden heute über das ?hypertext transfer protocoll“, kurz http übertragen. Das hypertext transfer protocoll ist ein sog. zustandsloses Protokoll. Das bedeutet, dass Anfragen (sog. http-Requests), die ein Webbrowser (z. B. Firefox, Chrome, Safari, etc.) bei einem Server (d. h. einem Computer, auf dem die jeweilige Webseite gespeichert ist) stellt, stets ohne Bezug zu früheren Anfragen sind. Die Aufgabe der Cookies ist es gewisser Ma?en, die Zustandslosigkeit des http-Protokolls zu überwinden. Ein Beispiel: Ich m?chte in einem Onlineshop Schnürsenkel für meine alten Schuhe kaufen. Dafür besuche ich die Seite eines Onlineshops. Ich w?hle ein paar Schnürsenkel aus und klicke auf den Button ?in den Warenkorb“. Der Internetbrowser l?dt die Seite des Onlineshop neu. Es erscheint dieselbe Seite des Onlineshops, allerdings mit einem Unterschied: ?ber dem Symbol des Einkaufwagens steht nun eine kleine Eins. Danach sehe ich mir in demselben Onlineshop weitere Produkte wie Schuhputzzeug und Bürsten an. Dazu rufe ich mehrere unterschiedliche Seiten auf. Auf jeder Seite bleibt die kleine Eins über dem Einkaufswagensymbol stehen. Irgendwie hat sich der Browser also ?gemerkt“, dass ich bereits Schnürsenkel in den Warenkorb gelegt habe. M?glich ist dies nur aufgrund der Cookie-Technik. Cookies sind kleine Textdateien, die vom Server im Webbrowser abgelegt werden und diesen fortan repr?sentieren. Bei einer Anfrage eines Browsers, der einen Cookie enth?lt, erkennt der Server den Browser bzw. den Cookie wieder. Er wei? dann z. B., dass bereits Schnürsenkel in den Warenkorb gelegt wurden und liefert die jeweilige Seite gleich mit Warenkorb-Eins aus.
Cookies gibt es in zahlreichen Varianten. Zu unterscheiden sind nach ihrer jeweiligen Speicherdauer Session-Cookies (Speicherung nur bis zum Schlie?en des Browsers) von Persistent Cookies (Speicherung für eine bestimmte Zeitspanne, teilweise mehrere Jahre), nach dem Verantwortlichen für die Speicherung First-Party-Cookies (die von dem Betreiber der jeweiligen Webseite im Browser abgelegt werden) von Third-Party-Cookies (die etwa von Werbepartnern des Betreibers der Webseite stammen) und nach ihrem Zweck etwa Analyse- und Tracking-Cookies (zur Analyse des Nutzungsverhaltens) von "einfachen" Cookies (bspw. zur Identifizierung eines Nutzers im Rahmen eines Content-Management-Systems). Abh?ngig von der Art der Cookies wei? der Server somit schnell eine ganze Menge über den Browser bzw. über den dahinterstehenden Nutzer.
Aber was hat der beschriebene technische Vorgang mit den allgegenw?rtigen Cookie-Bannern zu tun? ?Kurz gesagt, es steckt die Unsicherheit über die Rechtsgrundlage der Datenverarbeitung dahinter. Cookies sind personenbezogene Daten, für deren Verarbeitung eine Rechtsgrundlage erforderlich ist. Soweit so klar. Nach der sog. Datenschutzkonferenz, d. h. dem Zusammenschluss der Aufsichtsbeh?rden des Bundes und der L?nder muss man sich ausdrücklich einverstanden erkl?ren, wenn man bestimmte Arten von Cookies, z. B. Analyse- und Trackingcookies verwendet. Mit ihren Cookie-Bannern m?chten Unternehmen also auf Nummer sicher gehen und eine Einwilligung einholen. Dass dieses Ergebnis oftmals nicht erreicht wird, etwa, weil nicht ausreichend informiert wird, weil die Cookies schon vor dem Klick gespeichert werden oder weil es z. B. im Falle des ?Akzeptierens durch Weitersurfen“ an einer eindeutigen best?tigenden Handlung fehlt, steht auf einem anderen Blatt.
Die Friedrich-Schiller-Universit?t verwendet derzeit folgende Cookies:
| Name | Zweck | Speicherdauer |
| EGOTEC
? |
Identifikation von Nutzern durch das Content-Management-System mit Session-ID (nur bei interner Nutzung des CMS, techisch notwendig) | Browser-Session ? |
| MATOMO_SESSID
? |
tempor?res Cookie, das erforderlich ist, um CSRF-Angriffe zu verhindern, w?hrend der Nutzer das Opt-Out durchführen m?chte | Browser-Session ? |
| matomo_ignore
? |
Identifikation von Nutzern, deren Verhalten nach Opt-Out nicht getrackt wird (technisch notwendig zur Umsetzung des Nutzerwunsches) | 2 Jahre |
|
intranet |
Cache-Verhalten (technisch notwendig) |
Browser-Session |
|
fsu-web |
Gew?hrleistung der Chat-Funktion (technisch notwendig) |
7 Tage |
|
_rspkrLoadCore |
wird gesetzt, sobald der erste Lesevorgang von ReadSpeaker gestartet wird (Button ?Vorlesen? oder ?Play-Icon? wird bet?tigt |
Browser-Session |
|
ReadSpeakerSettings |
wird gesetzt, sobald eine individuelle Einstellung vorgenommen wird (z. B. ?Klicken und vorlesen?) |
4 Tage? |
?Wie Sie sehen, gibt es also ein sog. Persistent-Cookie, das zu Analysezwecken eingesetzt wird. Und hier stehen wir nun entgegen der Datenschutzkonferenz auf dem Standpunkt, dass keine Einwilligung eingeholt werden muss, sondern, wie in der Kategorie "Warum und auf welcher Grundlage werden Ihre Daten verarbeitet?" nachzulesen ist, unsere überwiegenden Interessen nach Art. 6 Abs. 1 lit. f) DSGVO die Verarbeitung rechtfertigen. Wie begründen wir diesen Standpunkt? Matomo wird nur auf FSU-Servern gehostet, eine Identifizierbarkeit ist nur bis zum Auslesen der sog. Logfiles überhaupt m?glich. Au?erdem geben wir Ihnen hier und an anderer Stelle die M?glichkeit, das Setzen des Cookies durch die Do-Not-Track-Option zu verhindern.