Flash-Cookies: Zombies im Datenschutzrecht?

Diverse Blogs im Internet haben letzte Woche über den Start eines höchst interessanten Prozesses in den USA berichtet. Am 23. Juli 2010 wurden die Internetseiten MTV, ESPN, MySpace, Hulu, ABC, NBC und Scribd vor dem United States District Court (Central District of California) verklagt (Klageschrift hier abrufbar).

Die Beklagten hatten – so lautet die Klageschrift – Flash Cookies gesetzt, welche die von den Nutzern gelöschten Cookies wiederherstellten. Daraufhin wurde das Verhalten der Nutzer auf den Webseiten getrackt.

Dieser Artikel soll die technischen Hintergründe der Flash Cookies vor dem Hintergrund des deutschen Datenschutzrechts erläutern.

Hintergrund

Diverse Online-Studien haben herausgefunden, dass insgesamt etwa 30% der Internetbenutzer nach etwa einem Monat ihre Cookies löschen. Das in der Marktanalyse sehr beliebte Webtracking verliert damit an Aussagegehalt. Da Webtracking Programme oftmals auf Cookies aufbauen, können diejenigen User, welche die Cookies löschen, nicht über einen längeren Zeitraum beobachtet werden. Eine technische Neuerung war aus Sicht der Online-Marketing-Provider damit nötig. Ein Feature für den Adobe Flash Player wurde entwickelt, der sog. Flash Cookie. Die Wissenschaftler der Universität Berkeley haben herausgefunden, dass mehr als 50 der dort untersuchten Top-Webseiten Flash Cookies verwenden.

Was sind Flash Cookies?

Flash Cookies werden auch Local Shared Objects (LSO), Super-Cookies oder teilweise einfach “Zombie-Cookies” genannt. Die Cookies werden via Flash Plug-in auf zentralen Ordnern des Computers gespeichert und sind nicht über das zentrale Browsermenü zu erreichen.

Was ist das Besondere an Flash Cookies?

Grundsätzlich hat ein Flash Cookie die gleichen Eigenschaften wie ein gewöhnlicher Cookie, hat aber weitergehende Vorteile für den Webseiten-Betreiber: Ein Flash Cookie kann insgesamt 100 kb Informationen speichern, während gewöhnliche Cookies nur bis zu 4 kb speichern können. Über diese erhöhte Komplexität können sie insgesamt stabiler gesetzt werden. Flash Cookies werden nicht in dem gleichen Ordner wie gewöhnliche Cookies abgelegt. Internetbenutzer, die noch nicht über die Existenz der Flash Cookies Bescheid wissen, werden diese dementsprechend kaum löschen, da sich diese nicht einfach über den Browser löschen lassen.

Vorteil der Flash Cookies für Webseiten-Betreiber

Flash Cookies können unter anderem so programmiert werden, dass Cookies, die vom Nutzer im Browser gelöscht wurden, beim nächsten Besuch der Webseite wieder aktiviert werden. Diese Praxis wird im Englischen als “re-spawning” (zu Deutsch „wieder erzeugen“) bezeichnet. Die Nutzerverfolgung kann anschließend aufgrund der wieder erzeugten Cookies weitergehen, obwohl der Nutzer diese zuvor ausdrücklich in seinem Browser gelöscht hat.

Cookies: personenbezogene Daten?