gekennzeichnet.
New Relic ist ein Tool, mit dem Besucher auf Webseiten nachverfolgt werden können. Dafür werden explizit nur Sitzungs-Cookies verwendet. So weit, so harmlos. Oder ist hierfür doch eine Einwilligung erforderlich?
Einleitung
Bei meinem Besuch in einem bekannten Web Shop konnte ich beobachten, dass dort New Relic eingesetzt wird. Beim Laden des Dienstes wird ein Sitzungs-Cookie transferiert. Ebenso werden diverse weitere Drittpartei-Cookies an New Relic übertragen. In vielen Datenschutzerklärungen werden nur Angaben zu Sitzungs-Cookies gemacht und die kritischen Cookies nicht genannt.
Cookies, die zu Marketing-Zwecken oder zur Bildung von Nutzerprofilen verwendet werden, dürfen erst nach Einwilligung durch den Nutzer verwendet werden. Erlaubt wären die Cookies nur dann, wenn sie technisch notwendig sind.
Für das Nachverfolgen von Nutzern sind Cookies offensichtlich technisch nicht notwendig. Zahlreiche Tools belegen dies. Beispiele sind Matomo in cookie-loser Konfiguration oder Trackboxx. Selbst Google Anatyics kann so konfiguriert werden, dass Cookies vermieden werden.
Cookies, die nur innerhalb einer Sitzung existieren, sind an sich datenschutzrechtlich zunächst unkritisch. Eine Sitzung beginnt, wenn ein Nutzer eine Webseite aufruft und endet, wenn der Nutzer die Webseite verlässt oder den Browser schließt. Aber auch hier gilt: Das Cookie muss technisch notwendig sein, damit es als unkritisch angesehen werden kann.
Kritische Sitzungs-Cookies
New Relic verwendet in bestmmten Konfigurationen ein Sitzungs-Cookie namens JSESSIONID. Dieser Cookie-Name ist Technikern bekannt als Teil einer Sitzungsverwaltung durch eine Java-Anwendung, insbesondere bei Verwendung von Java Server Pages (JSP). So weit so gut.
Das von New Relic verwendete Cookie wird zwar nach Verlassen der Webseite gelöscht. Jedoch wird es in der nächsten Sitzung mit den gleichem Wert neu erzeugt, wie in der vorigen Sitzung.
Dies kann man als Sitzungsverlängerung ansehen. Ein nur in einer einzigen Sitzung lebendes Cookie wird also quasi in der nächsten Sitzung so aufgefrischt, dass es denselben Wert wie zuvor aufweist. Somit liegt fachlich kein Sitzungs-Cookie mehr vor. Vielmehr handelt es sich beim New Relic Cookie um einen sitzungsübergreifenden Informationsspeicher.
Der Wert im Cookie wird anscheinend über ein sogenanntes Fingerprinting erzeugt, dachte ich zuerst. Mit seinem digitalen Fingerabdruck kann ein Nutzer nachverfolgt werden, ohne dass langlebigere Cookies im Spiel sind. Meine Experimente ergaben, dass unter anderem die Fenstergröße des Browsers für den Cookie verwendet wird. Sicher bin ich mir hier aber nicht.
Mittlerweile habe ich herausgefunden, dass Sitzungs-Cookies im Firefox Browser nicht immer ordentlich abgeräumt werden, wenn eine Sitzung beendet wird. Verantwortlich dafür ist eine Firefox-Einstellung namens browser.sessionstore.privacy_level. Hat diese den Wert 0, wird ein Sitzungs-Cookie anscheinend nicht richtig gelöscht, wenn eine Sitzung beendet oder der Browser geschlossen wird. Hat die Einstellung den Wert 2, werden Sitzungs-Cookies nach Schließen des Browser, nicht aber nach Schließen der Webseite korrekt gelöscht.
Im Endeffekt spielt es auch keine wesentliche Rolle: verantwortlich für das Cookie ist der Webseitenbetreiber und nicht der Nutzer und sein Browser. Dies gilt vor allem dann, wenn es sich um einen weit verbreiteten Browser wie Firefox handelt. Der Tor-Browser basiert technisch übrigens auf Firefox. Im Tor-Browser ist die eben genannte Einstellung direkt mit dem Wert 2 versehen, was sicherer ist.
Kritische persistente Cookies
Ein Cookie nenne ich persistent, wenn es länger als eine Sitzung bestehen soll. Anscheinend gibt es eine ganze Reihe solcher Cookies, die beim Laden von New Relic ins Spiel kommen. Bei meinem Test waren dies folgende Cookies der Domäne newrelic.com:
Neben dem weiter oben genannten Sitzungs-Cookie JSESSIONID der Domäne nr-data.com gibt es also diese weiteren sieben Cookies der Domäne newrelic.com. Wie man sehen kann, enthalten diese Cookies sehr konkrete Informationen zum Surf-Verhalten eines Nutzers. Beispielsweise sieht man so den Namen einer AdWords-Kampagne.
Diese Cookies sind technisch nicht notwendig, was auch dadurch bewiesen werden kann, dass sie in meinem Tor-Browser gar nicht anzutreffen sind, weil dort keine Browser-Historie gehalten wird. Der Grund für die Existenz der Cookies ist also eine zuvor besuchte Webseite, die ich im Firefox besucht hatte, im Tor-Browser aber nicht. Dafür dass diese Informationen zu New Relic transferiert werden, ist der Betreiber der einbindenden Webseite verantwortlich. Auf der New Relic Webseite https://newrelic.com/termsandconditions/cookie-policy/cookie-table wird zudem zum Cookie ei_client_id selbst zugegeben, dass es sich um ein technisch nicht notwendiges Cookie der Kategorie Analytics/Performance handelt. In der Cookie-Tabelle von New Relic fehlen andererseits einwilligungspflichtige Cookies wie etwa campaign_f.
Für die technisch nicht notwendigen Cookies, die zudem an Dritt-Domänen übertragen werden, bedürfte es also in jedem Fall einer Einwilligung gemäß § 15 Abs. 3 TMG (gemäß BGH-Urteil zu Planet 49).
Fazit
New Relic ist aufgrund des festgestellten Cookie-Transfers einwilligungspflichtig. Mir fällt kein Grund ein, warum dieses Tool gegenüber anderen genutzt werden soll. Möglicherweise ist es etwas datenschutzfreundlicher als Google Analytics, leistet dafür aber auch weniger. Anmerkung: In einem Kommentar (s.u.) wurde ich darauf aufmerksam gemacht, dass New Relic eine andere Ausrichtung als Google Analytics hat. Das gebe ich hiermit gerne weiter.
Zudem ist der Anbieter von New Relic eine Firma aus den USA. Dies alleine reicht schon, um eine Einwilligungspflicht wegen des Cloud Act gemäß Art. 44 DSGVO abzuleiten.
Auf der Webseite von New Relic sind weiterhin mehrere Datenschutzverstöße feststellbar. Offensichlich nimmt es dieser Tool-Anbieter nicht so ernst mit dem Datenschutz, wie man sich das wünschen würde.
Mein Eindruck ist, dass New Relic für Datenschutzbewusste nicht relevant ist und dass immer eine Einwilligung vor Nutzung dieses Tools erforderlich ist. Weil New Relic bisher nicht für ausgesprochen gute Funktionalität bekannt geworden ist, wüsste ich nicht, warum es den Vorzug vor anderen Trackern erhalten sollte.
Kernaussagen dieses Beitrags
New Relic verwendet Cookies, um Nutzer über mehrere Sitzungen hinweg zu verfolgen, obwohl es als "Sitzungs-Cookie" bezeichnet wird.
New Relic verwendet Cookies, die sensible Nutzerdaten an Dritte weitergeben, ohne dass dafür eine Einwilligung des Nutzers eingeholt wird.
New Relic ignoriert Datenschutzbestimmungen und ist daher für datenschutzbewusste Nutzer ungeeignet.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
"Möglicherweise ist es etwas datenschutzfreundlicher als Google Analytics, leistet dafür aber auch weniger."
Der Autor vergleicht Löffel mit Gabeln und wundert sich, dass die Gabel in der Suppe nicht funktioniert. Google Analytics ist ein Markting Tool, New Relic ist ein Performance Monitor um Fehler und Probleme in Anwendungen zu finden.
Die erwähnten Cookies lassen sich übrigens beim Einrichten ausschalten (Cookie collection).
Natürlich sind die genannten Punkte trotzdem richtig. Es muss in der Datenschutzerklärung genannt werden und sollte auch vom Nutzer ausdrücklich erlaubt werden.
Danke für Ihre Rückmeldung. Was den Vergleich mit Google Analytics angeht, will ich Ihnen gar nicht widersprechen, sondern gebe zu, dass New Relic durchaus eine andere Ausrichtung hat. Insofern ist Ihre Kritik sicher berechtigt.
Wenn die Cookies ausgeschaltet sind, was ich leider in den untersuchten Fällen nicht feststellen konnte, dann ist es ja immer noch so, wie wir beide es sehen. Nämlich, dass eine Einwilligung erforderlich ist. Diese wird aber gar nicht oder meist nicht (nie?) rechtskonform abgefragt. Gerne schaue ich mir eine Webseite an, wo angeblich alles richtig gemacht wurde (vielleicht geht das bei New Relic sogar, bei Google Analytics m.E. aber nicht).
Aus meiner Sicht sind Cookies mit Session-IDs nicht einwilligungspflichtig, wenn sie funktional begründbar sind. Wenn ich z.B. eine Session in einer Formular-Strecke zusammen halten muss, kann ich das mit Cookies lösen. Wenn ich ein Cookie setze, um einen Warenkorb zu kennzeichnen oder ein Cookie setze, um ein Login zu verwalten, brauche ich dazu keine Einwilligung. Wenn New Relic dem Monitoring dient, ist das für mich unter Umständen ebenfalls begründbar. Das kommt darauf an, welche Art von Dienst damit überwacht werden soll. Wenn es natürlich nur dem Marketing dient, wäre es für mich ebenfalls einwilligungspflichtig.
Warenkorb-Cookies sind als erforderlich begründbar.
Marketing-Cookies sind nie als erforderlich begründbar, auch nicht die von New Relic.
Session Cookies sind etwas unkritischer als Cookies mit längerer Lebensdauer (Funktionsdauer).
Die Einwilligung ist nur dann nicht nötig, wenn ein Cookie unbedingt erforderlich ist.