Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

New Relic: Tracking auf Webseiten mit Cookies – Eine Untersuchung

2

New Relic ist ein Tool, mit dem Besucher auf Webseiten nachverfolgt werden können. Dafür werden explizit nur Sitzungs-Cookies verwendet. So weit, so harmlos. Oder ist hierfür doch eine Einwilligung erforderlich?

Einleitung

Bei meinem Besuch in einem bekannten Web Shop konnte ich beobachten, dass dort New Relic eingesetzt wird. Beim Laden des Dienstes wird ein Sitzungs-Cookie transferiert. Ebenso werden diverse weitere Drittpartei-Cookies an New Relic übertragen. In vielen Datenschutzerklärungen werden nur Angaben zu Sitzungs-Cookies gemacht und die kritischen Cookies nicht genannt.

Cookies, die zu Marketing-Zwecken oder zur Bildung von Nutzerprofilen verwendet werden, dürfen erst nach Einwilligung durch den Nutzer verwendet werden. Erlaubt wären die Cookies nur dann, wenn sie technisch notwendig sind.

Für das Nachverfolgen von Nutzern sind Cookies offensichtlich technisch nicht notwendig. Zahlreiche Tools belegen dies. Beispiele sind Matomo in cookie-loser Konfiguration oder Trackboxx. Selbst Google Anatyics kann so konfiguriert werden, dass Cookies vermieden werden.

Cookies, die nur innerhalb einer Sitzung existieren, sind an sich datenschutzrechtlich zunächst unkritisch. Eine Sitzung beginnt, wenn ein Nutzer eine Webseite aufruft und endet, wenn der Nutzer die Webseite verlässt oder den Browser schließt. Aber auch hier gilt: Das Cookie muss technisch notwendig sein, damit es als unkritisch angesehen werden kann.

Kritische Sitzungs-Cookies

New Relic verwendet in bestmmten Konfigurationen ein Sitzungs-Cookie namens JSESSIONID. Dieser Cookie-Name ist Technikern bekannt als Teil einer Sitzungsverwaltung durch eine Java-Anwendung, insbesondere bei Verwendung von Java Server Pages (JSP). So weit so gut.

Das von New Relic verwendete Cookie wird zwar nach Verlassen der Webseite gelöscht. Jedoch wird es in der nächsten Sitzung mit den gleichem Wert neu erzeugt, wie in der vorigen Sitzung.

Dies kann man als Sitzungsverlängerung ansehen. Ein nur in einer einzigen Sitzung lebendes Cookie wird also quasi in der nächsten Sitzung so aufgefrischt, dass es denselben Wert wie zuvor aufweist. Somit liegt fachlich kein Sitzungs-Cookie mehr vor. Vielmehr handelt es sich beim New Relic Cookie um einen sitzungsübergreifenden Informationsspeicher.

Der Wert im Cookie wird anscheinend über ein sogenanntes Fingerprinting erzeugt, dachte ich zuerst. Mit seinem digitalen Fingerabdruck kann ein Nutzer nachverfolgt werden, ohne dass langlebigere Cookies im Spiel sind. Meine Experimente ergaben, dass unter anderem die Fenstergröße des Browsers für den Cookie verwendet wird. Sicher bin ich mir hier aber nicht.

Mittlerweile habe ich herausgefunden, dass Sitzungs-Cookies im Firefox Browser nicht immer ordentlich abgeräumt werden, wenn eine Sitzung beendet wird. Verantwortlich dafür ist eine Firefox-Einstellung namens browser.sessionstore.privacy_level. Hat diese den Wert 0, wird ein Sitzungs-Cookie anscheinend nicht richtig gelöscht, wenn eine Sitzung beendet oder der Browser geschlossen wird. Hat die Einstellung den Wert 2, werden Sitzungs-Cookies nach Schließen des Browser, nicht aber nach Schließen der Webseite korrekt gelöscht.

Im Endeffekt spielt es auch keine wesentliche Rolle: verantwortlich für das Cookie ist der Webseitenbetreiber und nicht der Nutzer und sein Browser. Dies gilt vor allem dann, wenn es sich um einen weit verbreiteten Browser wie Firefox handelt. Der Tor-Browser basiert technisch übrigens auf Firefox. Im Tor-Browser ist die eben genannte Einstellung direkt mit dem Wert 2 versehen, was sicherer ist.

Kritische persistente Cookies

Ein Cookie nenne ich persistent, wenn es länger als eine Sitzung bestehen soll. Anscheinend gibt es eine ganze Reihe solcher Cookies, die beim Laden von New Relic ins Spiel kommen. Bei meinem Test waren dies folgende Cookies der Domäne newrelic.com:

Bei meinem Abruf von New Relic übertragene Cookies (Werte sind im Screenshot verfremdet)

Neben dem weiter oben genannten Sitzungs-Cookie JSESSIONID der Domäne nr-data.com gibt es also diese weiteren sieben Cookies der Domäne newrelic.com. Wie man sehen kann, enthalten diese Cookies sehr konkrete Informationen zum Surf-Verhalten eines Nutzers. Beispielsweise sieht man so den Namen einer AdWords-Kampagne.

Diese Cookies sind technisch nicht notwendig, was auch dadurch bewiesen werden kann, dass sie in meinem Tor-Browser gar nicht anzutreffen sind, weil dort keine Browser-Historie gehalten wird. Der Grund für die Existenz der Cookies ist also eine zuvor besuchte Webseite, die ich im Firefox besucht hatte, im Tor-Browser aber nicht. Dafür dass diese Informationen zu New Relic transferiert werden, ist der Betreiber der einbindenden Webseite verantwortlich. Auf der New Relic Webseite https://newrelic.com/termsandconditions/cookie-policy/cookie-table wird zudem zum Cookie ei_client_id selbst zugegeben, dass es sich um ein technisch nicht notwendiges Cookie der Kategorie Analytics/Performance handelt. In der Cookie-Tabelle von New Relic fehlen andererseits einwilligungspflichtige Cookies wie etwa campaign_f.

Für die technisch nicht notwendigen Cookies, die zudem an Dritt-Domänen übertragen werden, bedürfte es also in jedem Fall einer Einwilligung gemäß § 15 Abs. 3 TMG (gemäß BGH-Urteil zu Planet 49).

Fazit

New Relic ist aufgrund des festgestellten Cookie-Transfers einwilligungspflichtig. Mir fällt kein Grund ein, warum dieses Tool gegenüber anderen genutzt werden soll. Möglicherweise ist es etwas datenschutzfreundlicher als Google Analytics, leistet dafür aber auch weniger. Anmerkung: In einem Kommentar (s.u.) wurde ich darauf aufmerksam gemacht, dass New Relic eine andere Ausrichtung als Google Analytics hat. Das gebe ich hiermit gerne weiter.

Zudem ist der Anbieter von New Relic eine Firma aus den USA. Dies alleine reicht schon, um eine Einwilligungspflicht wegen des Cloud Act gemäß Art. 44 DSGVO abzuleiten.

Auf der Webseite von New Relic sind weiterhin mehrere Datenschutzverstöße feststellbar. Offensichlich nimmt es dieser Tool-Anbieter nicht so ernst mit dem Datenschutz, wie man sich das wünschen würde.

Mein Eindruck ist, dass New Relic für Datenschutzbewusste nicht relevant ist und dass immer eine Einwilligung vor Nutzung dieses Tools erforderlich ist. Weil New Relic bisher nicht für ausgesprochen gute Funktionalität bekannt geworden ist, wüsste ich nicht, warum es den Vorzug vor anderen Trackern erhalten sollte.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/new-relic-tracking-auf-webseiten-mit-cookies
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Anonymous

    “Möglicherweise ist es etwas datenschutzfreundlicher als Google Analytics, leistet dafür aber auch weniger.”

    Der Autor vergleicht Löffel mit Gabeln und wundert sich, dass die Gabel in der Suppe nicht funktioniert. Google Analytics ist ein Markting Tool, New Relic ist ein Performance Monitor um Fehler und Probleme in Anwendungen zu finden.

    Die erwähnten Cookies lassen sich übrigens beim Einrichten ausschalten (Cookie collection).

    Natürlich sind die genannten Punkte trotzdem richtig. Es muss in der Datenschutzerklärung genannt werden und sollte auch vom Nutzer ausdrücklich erlaubt werden.

  2. Dr. DSGVO

    Danke für Ihre Rückmeldung. Was den Vergleich mit Google Analytics angeht, will ich Ihnen gar nicht widersprechen, sondern gebe zu, dass New Relic durchaus eine andere Ausrichtung hat. Insofern ist Ihre Kritik sicher berechtigt.

    Wenn die Cookies ausgeschaltet sind, was ich leider in den untersuchten Fällen nicht feststellen konnte, dann ist es ja immer noch so, wie wir beide es sehen. Nämlich, dass eine Einwilligung erforderlich ist. Diese wird aber gar nicht oder meist nicht (nie?) rechtskonform abgefragt. Gerne schaue ich mir eine Webseite an, wo angeblich alles richtig gemacht wurde (vielleicht geht das bei New Relic sogar, bei Google Analytics m.E. aber nicht).

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cookiebot: Webseitenbetreiber haften, weil Cookiebot oft nicht DSGVO-konform ist und keinen AVV anbietet