Ich hatte bei Teltarif von einer digitalen Agenda eines CDU-Abgeordneten gelesen, der gegen die Cookie-Banner vorgehen will. Mich verwunderte daran, warum es einer neuen Technik bedarf und nicht der Do-Not-Track-Header genutzt wird. Daher hatte ich den Abgeordneten Tankred Schipanski über Abgeordnetenwatch angeschrieben und erhielt eine Antwort, die mich daran zweifeln lässt, dass ihm wirklich klar ist, um was es bei Do-Not-Track geht und wie das Internet funktioniert.

Do-Not-Track ist aus seiner Sicht eine »Initiative« (und kein Standard) und Browserhersteller sind »Diensteanbieter« (und keine Software-Entwickler). Gefühlt zimmert die CDU da schon wieder irgendwelchen Murks zusammen, der völlig an den Strukturen der Technik und des Internets vorbeigeht und am Ende quer im Datenstrom liegt und mehr behindert als nützt. Womöglich schreibt ein Gesetz dann einen Deutschland-Browser vor, der rechtskonformes surfen im deutschen Internet ermöglicht.

Da über Abgeordnetenwatch keine Rückfragen möglich sind, habe ich den Abgeordneten direkt per E‑Mail kontaktiert und bekam – wider meiner Erwartung – eine Antwort; in der Vergangenheit erhielt ich bei anderen Anfragen von den Parteien oder Personen keine Reaktion, daher bin ich hier über Herrn Schipanski positiv überrascht.

Herr Schipanski verwies mich auf das laufende Gesetzgebungsverfahren:

• BMWi - Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien
• Gesetzesentwurf beim BMWi oder beim Bundestag
• Deutscher Bundestag - Datenschutz und Schutz der Privatsphäre in der Telekommunikation

Die Cookie-Regelungen sind Teil eines größeren Pakets, das die Umsetzung einer EU-Richtlinie ist, deren Stichtag wohl naht: Der Gesetzentwurf ist dem Bundesrat am 12. Februar 2021 als besonders eilbedürftig zugeleitet worden.

Leider spricht aus dem Entwurf nicht gerade ein solides technisches Verständnis davon, was Cookies sind und wie die Client-Server-Kommunikation abläuft:

• Grundsätzlich soll gelten, dass Dritte auf Endeinrichtungen nur dann Informationen wie Cookies speichern dürfen, wenn der betroffene Endnutzer seine Einwilligung erteilt hat.
• § 24 TTDSG stellt klar, dass der Endnutzer davor geschützt ist, dass Dritte unbefugt auf seiner Endeinrichtung Informationen speichern oder auslesen und dadurch seine Privatsphäre verletzen.

Aber damit sind die Politiker in bester Gesellschaft derer, die Cookies immer wieder als »kleine Dateien« bezeichnen. Das ist schlicht und ergreifend falsch und in der Schule sollte es auf eine solche Antwort eine Sechs geben.

Client-Server-Kommunikation

Wenn sich ein Server und ein Client (Browser) unterhalten, dann passiert dies völlig gleichberechtigt: Weder der Client kann beim Server irgendwelche Daten auf die Festplatte schreiben, noch kann der Server beim Nutzer auf die Festplatte schreiben. Die Vorstellung, dass eine Partei freien Zugriff auf die Ressourcen der anderen Partei hätte, ist eine Fehlvorstellung, die in die Irre leitet.

Client und Server sind viel mehr wie ein Käufer und ein Verkäufer in einem Krämerladen: Der Kunde kann nicht einfach hinter die Theke greifen, sondern muss seinen Wunsch an den Verkäufer richten und dieser ist frei im Handeln, dem Wunsch nachzukommen. Konkret heißt das, ein Browser senden einen HTTP-Request an einen Server, in den er diverse Informationen über die Ressource packt, auf die er sich bezieht; unter anderem ist dies der Servername (Host-Feld), die Form der Aktion (GET, POST, DELETE u. s. w.) der Pfad zur Ressource, der Name des Benutzerprogramms und zum Beispiel das gewünschte Datenformat (Content-Type über das Accept-Feld). Einige Angaben davon sind optional, andere, wie der Pfad und die Aktion, sind zwingend erforderlich.

Der Server ist nun frei in seiner Reaktion auf diese Anfrage:

• er kann pauschal sagen »ich bin kaputt« (Statuscodes 5xx) oder
• auch »ich verstehe nicht, was Du von mir willst« (Statuscodes 4xx) oder
• er kann den Kunden auch an einen anderen Ort schicken (Redirect, Statuscode 302) oder
• er bearbeitet die Anfrage (Statuscodes 2xx)

Nach welchen Kriterien der Verkäufer seine Entscheidung trifft und ob er vielleicht drei Minuten zuvor etwas ganz anderes gesagt hätte, ist nicht gesichert. Fast immer verläuft alles gut und sinnvoll, aber es gibt auch die Fälle, dass Server bei einem bestimmten Client-Programm immer mit einer Fehlermeldung antworten, obwohl alles in Ordnung ist, oder sie senden bei der ersten Anfrage immer falsche Daten (Werbung) und erst auf Nachfrage (Reload) das Richtige – so viel zur Entscheidungsfreiheit des Servers.

Bei der Antwort des Servers ist der Client wiederum frei in seinem Handeln, was er mit den Daten tut. Der Internet-Explorer hatte zum Beispiel die hässliche Angewohnheit und hat nicht den Angaben des Servers vertraut, sondern in den Daten herumgeschnüffelt und das Richtige™ getan; wer also ein Bild wollte, bekam plötzlich Schadcode ausgeführt. Aber genauso wie ein Server als kaputt gilt, wenn er sich nicht sinnvoll verhält, gilt dies auch für die Client-Programme, weshalb diese (bis auf Fehler eben), das tun, was man von ihnen erwartet. So viel zum Handlungsspielraum, den die beteiligten Parteien nutzen können.

Was sind Cookies?

Im Miteinander ergeben sich dann einige Abläufe, die dem Benutzer oft verborgen bleiben, aber dennoch erforderlich sind. Um eine Folge von Anfragen miteinander zu verknüpfen, kann der Server dem Client eine Art Parole (Cookie) zur Wiedererkennung mitgeben. Der Client ist frei darin, sich diese Parole zu merken (speichern) oder sie zu ignorieren. Bei einigen Anfragen, die aufeinander aufbauen – wie einem Einkauf bei Starbucks –, muss sich der Client allerdings aus strukturellen Gründen die Parole merken, weil er sonst nicht zum zweiten oder dritten Schritt kommt.

Cookies sind also die Bitte des Servers an den Client, bei der nächsten Anfrage einen bestimmten Datensatz mitzusenden. Technisch gesehen, sind Clients frei darin, dieser Bitte nachzukommen. Sie können aber zum Beispiel auch den Datensatz verändern, was manchmal zu einigem Spaß mit dem Server führt (z. B. unberechtigtes Auslesen von fremden Daten) oder sie können die Daten auch nur bei den nächsten drei Anfragen verwenden und danach wieder so tun als seien sie neu – für Browser geht dies mit der Erweiterung Cookie AutoDelete. Fakt ist: Der Server speichert keine Daten auf dem Client, sondern er bittet ihn darum. Allein strukturell ist der Client in einigen Fällen gezwungen, dieser Bitte Folge zu leisten.

Daher ist der Nutzer auch jetzt schon nicht so ohnmächtig. Es mangelt nur leider viel zu oft am Wissen, was möglich ist und wie. Daher brauchen wir keine schrägen Gesetze, die technische Abläufe überregulieren, sondern wir brauchen eine Emanzipation der Nutzer. Den Nutzern muss eine Vielfalt an mächtigen und freien Werkzeugen zur Verfügung stehen und ihnen muss das Wissen zur Nutzung um diese Werkzeuge zu teil werden.

Browser sind Programme und tun nur das, was der Benutzer ihnen sagt. Da früher sich alle lieb hatten, sind die Regeln in Browsern auch nicht sehr streng gefasst. Weil für die Entwickler bei einer Verschärfung immer die Gefahr droht, dass alte Webseiten nicht mehr funktionieren und dann alle über die Browser und nicht die Webseiten schimpfen (»gestern bzw. mit $Konkurrenz-Browser ging es ja«), erzwingen die Browser keine Einschränkungen. Somit existieren oft die Mittel, die Browser zu »emanzipieren«, aber es nutzt sie kaum jemand, weil das Wissen darum recht rar ist.

So zeigt sich in diesem Spiel von Client und Server viel mehr eine Asymmetrie des Wissens und Könnens der Beteiligten: Ein Webserver-Entwickler oder -Betreiber kennt in der Regel seine Werkzeuge besser als der Client-Nutzer die seinigen. Genauso wie der Web-Browser einen gewissen Handlungsspielraum hat, haben ihn auch die Web-Server – und genau das nutzen die Betreiber aus. Ein Webserver kann nämlich bei jeder Anfrage einen Cookie-Wunsch mitschicken, egal ob es für den Vorgang notwendig ist oder nicht. Der gutgläubige Browser(-Benutzer) gehorcht dem Server auch brav und schickt immer fleißig all die Informationen zur Wiedererkennung bei den Folgeanfragen mit.

Wenn man dann bedenkt, dass das Web ein Geflecht aus vielen Servern ist und sich einige Anbieter eine zentrale Position aufgebaut haben[^](Absurd ist, dass sich gerade durch die DSGVO ein neuer Platzhirsch CookieLaw etabliert hat, der auf vielen Webseiten eingebunden wird.), sodass man nur mit viel Aufwand um sie herum kommt, dann erklärt das auch, weshalb dieses Tracking so zum Problem geworden ist. Weil zum Beispiel sehr viele Webseiten Inhalte von Google einbinden, kann man sich zwar abseits von Google bewegen, aber teilt unterschwellig Google ständig mit, wo man ist.

Aufklärung und Emanzipation statt Regulierung

Das Tracking-Problem geht noch weit über die Cookies hinaus und nur weil vielleicht ein Gesetz die Cookie-Banner untersagt, bleiben noch genug Möglichkeiten, die Benutzer zu verfolgen. Die Cookie-Banner wären erst mal weg und ein Tracking-Problem, das man nicht sieht, »ist« auch nicht da. Ein solches Gesetz zur Cookie-Regulierung ist also viel mehr wie ein Stein, den man nach einem Flugzeug wirft: Im besten Fall erreicht er nicht das gewünschte Ziel und bleibt wirkungslos, im ungünstigen Fall bekommt man ihn wieder auf den Kopf.

Statt solcher Regulierungen sollte die Regierung viel lieber Geld in die Hand nehmen und die Entwicklung von Browsern und Erweiterungen fördern, die Dinge gut machen – Vielfalt statt Regulierung. Weiterhin muss es entsprechende Bildung in den Schulen geben, damit die Kinder dieses Wissen in die Elternhäuser und in die Zukunft mitnehmen, um auch außerhalb der behüteten Welt souverän handeln zu können.

Und zu guter Letzt könnte ein Gesetz bestimmen, dass eine Übermittlung des Willens des Benutzers in Form des Do-Not-Track-Headers verbindlich ist

Was ist daraus geworden

• »Was sich mit den neuen Cookie-Regelungen ändert«
• Advanced Data Protection Control