Google und die Umgehung von Cookie-Einstellungen
Vor einiger Zeit wurde bekannt, dass Google die Sicherheitsbestimmungen des Apple-Browsers Safari umgehen soll. Nun kommt erneut Kritik aus Microsofts Reihen an dem Suchmaschinengiganten. Diesmal geht es um die datenschutzrechtlichen Einstellungen des Internet Explorers, wie Spiegel Netzwelt berichtet. Aber Google wehrt sich: Microsoft verwende ein veraltetes Protokoll, das mit den Anforderungen an moderne Webdienste nicht vereinbar sei.
Google soll Internet Explorer austricksen
Opfer von Googles Vorgehen sind die Nutzer des Browsers Internet-Explorer. Denn Cookies – die kleinen Textdateien, die beim Surfen im Web abgelegt werden und unter Umständen auch zum Tracking genutzt werden können – können vom Browser blockiert werden. So wie beim Safari-Browser, der Cookies von Drittanbietern komplett blockiert. Der Internet Explorer geht hier einen ähnlichen, aber etwas komplizierteren Weg: Bei diesem sind Cookies von Drittanbietern ebenfalls gesperrt – es sei denn, es gibt eine P3P Policy.
Das Projekt P3P ist eine Technik zum Austausch von Datenschutzinformationen. In maschinenlesbarer Form können Webseiten dem Browser mitteilen, welche Daten zu welchem Zweck vom Nutzer erhoben werden sollen. Das geschieht mit Hilfe verschiedener Kürzel, die an den Browser gesendet werden können. Zum Beispiel bezeichnet das Kürzel „UNI” einen Cookie mit einem eindeutigen (unique) Identifikations-Code. Wenn P3P unterstützt wird, kann der Browser Cookies entweder erlauben oder blockieren – und dies ist wiederum abhängig davon, welche Intention die Website bzw. der Betreiber verfolgt.
Im Windows Internet Explorer Engineering Team Blog schreibt Dean Hachamovitz, Corporate Vice President von Microsoft: „We’ve found that Google bypasses the P3P Privacy Protection feature in IE.“
Der Internet Explorer enthält die Standard-Einstellung, dass Cookies von Dritten geblockt werden – es sei denn, die Webseite enthält ein P3P Compact Privacy Statement, welches besagt, wie die Cookies genutzt werden. Das heißt im Umkehrschluss: Wenn es keine P3P policy gibt, werden Cookies Dritter vom Internet Explorer blockiert. Eigentlich ganz einfach und hilfreich, da ja häufig auch Werbebanner Cookies setzen können.
Microsoft: P3P wird umgangen
Was Microsoft nun heftig kritisiert: Google trickst den P3P Standard aus. Denn da die Suchmaschine auch Cookies von Drittanbietern setzt, würde der Internet Explorer diese im Normalfall nicht akzeptieren. Deshalb ist Google dazu übergegangen, ein falsches Kürzel auszugeben:
CP = This is not a P3P-policy!
Dem Internet Explorer wird also vorgegaukelt, dass eine P3P-Klassifizierung vorliegt und kein Tracking vorgenommen wird. Der Cookie wird demzufolge gespeichert, obwohl gar kein P3P-taugliches Kürzel vorliegt.
Ist P3P überhaupt noch praxistauglich?
Das Problem ist aber wohl ein Grundsätzliches: P3P ist eine Selbstregulierung, die einen Weg für Transparenz beim Einsatz von Cookies und Tracking-Techniken darstellen sollte.
Das Problem beim Einsatz von Drittanbieter-Cookies wird schnell sichtbar: Bei diesen ist die Angabe von Datenschutzmaßnahmen in P3P-Kürzeln nicht möglich. Insofern ist Google wohl kaum der einzige Anbieter, der zu dem oben beschriebenen Trick gegriffen hat.
P3P stammt aus dem Jahr 2002 und sei, so Google, nicht mehr mit modernen Web-Funktionen vereinbar. Hinzu kommt, dass Microsoft das Problem wohl schon länger kennt und wissentlich ignoriert hat. So soll eine Studie ergeben haben, dass 21 von den 100 meistbesuchten Seiten des Internets Probleme mit dem P3P-Protokoll haben und Microsoft sogar selbst auf seinen Support-Seiten riet, ungültige Kürzel zu verwenden, wenn es Probleme mit dem P3P gebe.
Die Informatikerin Lorrie Cranor hält deshalb die Selbstregulierung nicht für den richtigen Weg. Spiegel Netzwelt zitiert sie:
„Sobald ein Standard aus dem öffentlichen Bewusstsein verschwindet und Firmen damit leben müssen, was sie vereinbart haben und merken, dass es sie behindert, erklären sie die Regelung für tot und fühlen sich im Recht, sie zu umgehen.”
Fraglich ist aber, wie mit dem beschriebenen Problem sonst umgegangen werden soll: Wenn eine Selbstregulierung nicht zu dem gewünschten Ergebnis führt, wie es augenscheinlich der Fall ist, bleibt nur die staatliche Regulierung. Dass sich aber die Umsetzung von Vorgaben über den Einsatz von Cookies sehr schwierig gestalten kann, wissen wir spätestens seit der Cookie-Richtlinie. Und dass datenschutzrechtliche Vorgaben immer häufiger trotzdem umgangen werden können, ist auch kein neues Phänomen.
Zu den Vorwürfen im Internet Explorer Engineering Team Blog.
