Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Sind Dateiabrufe auf Webseiten wie Cookies zu behandeln? Eine spannende Frage zum Datenschutz

8

Webseiten und Apps betten oft Scripte ein, um einwilligungspflichtige Dienste zu laden. Gelten für diese Scripte-Dateien die Anforderungen des TTDSG? Müssen also Pflichtinformationen für die abzurufenden Dateien bei der Einwilligungsabfrage gegeben werden? Immerhin bedeutet ein eingeschalteter Browser-Cache das Eindringen in das Endgerät des Nutzers.

Einleitung

Der § 25 TTDSG fordert, dass vor der Speicherung von Informationen im Endgerät des Nutzers oder vor dem Zugriff auf diese Informationen eine Einwilligung einzuholen ist. Einwilligungsfrei sind nur Vorgänge, die unbedingt notwendig sind. Dies dient zum Schutz der Privatsphäre einzelner Personen.

Insbesondere gelten diese Regeln für Cookies. Das TTDSG erfasst nun statt Endgeräten auch Endeinrichtungen. Dazu gehören beispielsweise Smart Home Geräte wie Multi Room-Lautsprecher über WLAN. Für diese gibt es bekanntlich Updates. Auch Updates, die nicht notwendig sind, sondern neue Funktionen einführen, können einwilligungspflichtig sein, genau wie Cookies.

Auch der Abruf von Dateien bzw. das Ablegen dieser auf dem Computer des Nutzers, der eine Webseite besucht, könnte womöglich unter den § 25 TTDSG fallen. Zu diesen Dateien gehören beispielsweise Scripte, Bilder, Videos oder Layout-Dateien.

Ob dieser Dateiabruf analog zu Cookies zu handhaben ist, möchte ich nachfolgend untersuchen. Zuvor weise ich darauf hin, dass der Abruf mit minimaler, technisch notwendiger Datenhaltung im Hauptspeicher mit sofortigem Vergessen für mich keine Speicherung im Sinne des TTDSG und der ePrivacy-Richtlinie darstellt. Sollte eine andere Haltung existieren, bin ich für einen Hinweis auf eine fundierte Begründung dankbar.

Abruf von Dateien

Beim Abruf von Webseiten handelt es sich aus technischer Sicht um HTTP-Anfragen, bei denen vor allem Dateien übertragen werden. Um eine Webseite anzuzeigen, müssen die dabei abgerufenen Dateien nicht im Endgerät des Nutzers gespeichert werden. Der Nutzer ist hier der Besucher der Webseite.

Speichern von Dateien auf dem Endgerät

Ist im Browser des Nutzers das Caching (Zwischenspeichern) aktiviert, dann werden abgerufene Dateien auf dem Endgerät des Nutzers gespeichert. In meinem Firefox Browser unter Windows 10 ist dieses Zwischenspeichern von Web-Inhalten standardmäßig aktiviert. Ich konnte auf die Schnelle keine Option finden, den Cache zu deaktivieren. Eine Anleitung von Chip aus dem Jahr 2018 ist jedenfalls veraltet. Damals schien es noch möglich, dieses Verhalten zu deaktivieren. Ein anderer Artikel aus dem Jahr 2019 beschrieb ebenfalls ein Vorgehen, das nun nicht mehr möglich ist. Firefox jedenfalls nennt den Cache im Browser des Nutzers den privaten Browser Cache oder lokalen Cache.

Anscheinend kann mit Firefox nur für einzelne Websites entschieden werden, ob ein Caching nicht stattfinden soll:

Mozilla Firefox: Cache-Einstellung pro Webseite festlegen.

Über Einstellungen im zentralen Konfigurationsbild von Firefox sind weitere Einstellungen möglich. Siehe unten (about:config). Diese Einstellungen konnte ich jedenfalls nicht direkt auffinden, sondern nur über diesen superunkomfortablen, fehleranfälligen, technischen Einstellungsbereich, den wohl kein normaler Anwender je sehen wird.

Das Abspeichern einer Datei durch den Browser im Endgerät des Nutzers ist eine Speicherung im Endgerät des Nutzers. Diese ist in § 25 TTDSG genannt und nur einwilligungsfrei, wenn sie notwendig ist. Ganz sicher nicht notwendig sind Speicherungen von Dateien, die zu nicht notwendigen Diensten gehören. Denn das Laden eines nicht notwendigen Dienstes führt zu einem nicht notwendigen Dateiabruf und somit zu einer nicht notwendigen Speicherung auf dem Computer des Nutzers.

Zugriff auf Dateien im Endgerät

Der Zugriff auf Dateien im Endgerät des Nutzers kann beim Laden einer Webseite nur über den oben erwähnten Cache erfolgen. Ich hoffe, hier keinen anderen Fall übersehen zu haben.

Denn wenn der Cache im Browser des Nutzers deaktiviert ist, werden von einer Webseite geladene Dateien eben (immer?) von der Quelle geladen. Die Quelle ist entweder der Server der Webseite oder ein Server eines Drittanbieters. Hierbei entsteht kein Zugriff auf das Endgerät des Nutzers, jedenfalls nicht notwendigerweise. Normalerweise sollte ein Browser Dateien im Hauptspeicher laden und dann vergessen, wen der Cache deaktiviert ist. Damit jedenfalls ist vernünftigerweise zu rechnen. Wenn es ein Browser anders macht, dann m. E. außerhalb jeder vernünftigen Erwartbarkeit (sofern dies trotz angebotener und deaktivierter Cache-Einstellungen stattfindet).

Somit, bei nur technisch notwendiger und rein temporärer Haltung einer Datei im Hauptspeicher, könnte auch ein Zugriff auf die vom Browser geladene Datei nicht über eine besuchte Webseite erfolgen. Damit wäre dieser Fall mindestens überwiegend irrelevant. Wenn man einem Browser jegliches Verhalten zugestehen würde, müsste man auch berücksichtigen, dass ein Browser gegebenenfalls Ihre Anmeldedaten Ihres Betriebssystems an besuchte Webseiten weitergibt. Irgendwo muss man das Theoretisieren einmal beenden und zur Lebenswirklichkeit zurückkehren.

Wie sieht es aber mit dem Zugriff auf gecachte Dateien aus? Zumindest kann nur der Browser selber in geplanter Weise auf diese zwischengespeicherten Dateien zugreifen. Die besuchte Webseite kann dies nicht. Dies bedeutet: Die besuchte Webseite lädt eine Datei. Die Datei steht dann der Webseite zur Verfügung. Ob die Datei auch auf dem Endgerät des Nutzers zwischengespeichert bzw. aus dem Zwischenspeicher statt von der Originalquelle abgerufen wird, ist für die Webseite unerheblich, denn für sie macht es für gewöhnlich keinen Unterschied. Ein Unterschied wäre wohl nur erheblich, wenn die Webseite niedere Absichten verfolgt. Der Browser wiederum wird vom Nutzer selber betrieben, aufgerufen und eigenverantwortlich verwendet. Ein Webseitenbetreiber ist nicht für den Browser des Nutzers mitverantwortlich.

Prüfen, ob ein Cache involviert ist

Nun könnte es sein, dass eine Webseite feststellen kann, ob eine Datei aus dem Zwischenspeicher eines Nutzerrechners abgerufen wurde oder ob sie von der Originalquelle geladen wurde. Warum ist das entscheidend? Weil dann festgestellt werden könnte, ob es sich um einen wiederkehrenden Nutzer handelt oder nicht. Durch geschicktes Nutzen von verschiedenen Dateiversionen könnte so sogar einzelne Nutzer im Idealfall perfekt voneinander unterschieden werden. Dies entspräche den Möglichkeiten, die Cookies bieten, nur technisch weniger offensichtlich und umständlicher zu bewerkstelligen.

Mit dem HTTP-Header Feld namens ETag kann der Datenexporteur kennzeichnen, ob eine Ressource noch aktuell ist. Der Datenexporteur ist hier der Bereitsteller einer Datei. Zum ETag schreibt Mozilla:

If the resource at a given URL changes, a new Etag value must be generated. A comparison of them can determine whether two representations of a resource are the same. Etags are therefore similar to fingerprints, and might also be used for tracking purposes by some servers. They might also be set to persist indefinitely by a tracking server.

Quelle: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/ETag

Dieser ETag ist, soweit ich weiß, immer nachweisbar. Er kann also nicht zum versteckten Tracking verwendet werden. Ist kein ETag feststellbar, gibt es ihn auch nicht. Er kann also nicht als Hidden Identifier verwendet werden.

Anders sieht es mit HTTP Statuscodes aus.

Wenn eine Datei bereits im Cache des Nutzers vorhanden ist und im Browser des Nutzers der Cache aktiviert ist, dann wird beim Abruf der Datei der HTTP-Code 304 zurückgeliefert:

Abruf von Dateien, einige davon im Cache.

Die links Spalte zeigt den HTTP-Statuscode. 200 steht für „OK“ und 304 für „Not Modified“. Nun kann es auch noch sein, dass der Server der Webseite ein Caching unterbindet. Das wäre aber meist kontraproduktiv. Heimliches Tracking hin oder her (sofern es denn durch einen deaktivierten Server-Cache vereinfacht werden könnte). Aber die Page Speed ist schon sehr wichtig. Eine langsame Webseite würde in der Trefferliste einer Suchmaschine nicht so weit oben stehen, hätte weniger Besucher und somit weniger zum Tracken.

Cache im Hauptspeicher oder auf Festplatte

In Firefox gibt es die folgende Option.

browser.cache.disk.enable

Ist diese Option aktiviert, werden gecachte Dateien auf Festplatte gespeichert. Ist die Option deaktiviert, findet das Zwischenspeichern im Hauptspeicher des Endgeräts statt, sofern die folgende Option aktiviert ist.

browser.cache.memory.enable

Somit ist für mich die Schlussfolgerung, dass ein Abspeichern von Dateien bei ausgeschaltetem Cache durch den Browser nicht vorgenommen wird. Außer natürlich bei einem expliziten Download durch den Nutzer.

Diese Einstellungen können durch Eingabe von about:config in der Adresszeile des Browsers eingesehen und geändert werden. Ein Cache im Hauptspeicher ist offensichtlich nach dem Herunterfahren des Computers nicht mehr vorhanden. Er würde nur eine Sitzung lang verfügbar sein.

Die eben genannten Einstellungen zum Cache gelten laut den von mir gefundene Quellen nicht nur für den Mozilla Firefox Browser, sondern auch für einige andere Browser.

Sind Dateiabrufe Pflichtinformationen?

Für Cookies hatte der EuGH im Planet49-Urteil festgestellt, dass die Pflichtangaben gemäß Art. 13 DSGVO vorzuhalten sind. Diese Informationen sind sowohl für Einwilligungsabfragen als auch für die allgemeinen Datenschutzhinweise auf der Webseite wichtig.

Müssen nun für Dateien, deren Abruf einwilligungspflichtig ist, eben diese Pflichtinformationen gegeben werden? Dies würde bedeuten, dass womöglich die Namen der Dateien bzw. deren Abrufadresse zu benennen sind. Wäre dies erforderlich oder würde im Gegenteil der Nutzer hierdurch mit zu vielen Informationen zugeschüttet?

Wie sieht es bei einem Auskunftsgesuch nach Art. 15 DSGVO aus?

Meine Tendenz ist, dass die Angaben für abgerufene Dateien nicht gemacht werden müssen. Bei einwilligungsfreien Dateiabrufen muss natürlich sowieso keine Aussage in einer Einwilligungsabfrage gemacht werden. In den Datenschutzhinweisen wäre diese Aussage aber womöglich analog zu technisch notwendigen Cookies zu machen.

Nur im Falle eines eingeschalteten Browser-Cache scheint überhaupt ein Zugriff auf das Endgerät des Nutzers stattzufinden, wenn Dateien von einer besuchten Webseite abgerufen werden. Bei deaktiviertem Cache findet dies nicht statt (und falls doch, dann jedenfalls unbemerkt und mir unbekannt).

Zunächst erscheint es mir unstrittig, dass der Nutzer alleinig selbst entscheidet, ob er den Cache in seinem Browser aktivieren oder deaktivieren möchte. Der Verantwortliche für eine Webseite hat hierauf keinen Einfluss. Der Verantwortliche könnte höchstens den Cache serverseitig deaktivieren. So kann an Browser ein Signal gesendet werden, keinen Cache zu nutzen und Dateien immer neu abzurufen.

Der Abruf von Dateien aus dem Endgerät des Nutzers (über Caching) ist nicht vergleichbar mit Cookies und ähnlichen Technologien.

Mein Fazit.

Erstens ist es jedoch abhängig vom Browser, ob er die Cache-Einstellung des Servers respektiert. Ich gehe davon aus, dass dies der Fall ist, aber garantiert ist es sicher nicht. Jeder kann selber einen Browser programmieren, der sich beliebig verhält.

Zweitens gibt es sehr gute Gründe, dass das Caching vom Server einer besuchten Webseite optimiert wird. Ich nenne in Kürze nur die Ladezeit als offensichtliches Hauptargument. Dies erscheint mir absolut im berechtigten Interesse des Verantwortlichen gemäß Art. 6 Abs 1. f DSGVO zu sein.

Dateien sind keine Informationsspeicher, ganz im Gegensatz zu Cookies. Deshalb ist es meines Erachtens unerheblich, wie eine Datei heißt. Ganz anders bei Cookies. Deren Name ist wichtig, um sie klassifizieren, beschreiben und auffindbar zu machen. Denn Cookies werden als Datensätze abgespeichert, deren Schlüssel auch aus dem Cookie-Namen besteht.

Wenn Dateinamen bei Dateiabrufen aber unerheblich sind, warum sollten sie dann dem Nutzer gegenüber benannt werden müssen?

Dateien können nicht nutzerbezogen ausgelesen werden. Damit meine ich: Die Dateien haben immer denselben statischen Inhalt (außer, es gibt eine neue Dateiversion oder es findet ein nachweisbares Tracking statt). Technisch nicht notwendige Cookies hingegen zeichnen sich gerade dadurch aus, nutzerbezogene oder sitzungsbezogene Werte zu haben. Ein Verantwortlicher hat also keinen zusätzlichen Nutzen daraus, den Dateiinhalt zu kennen, denn dieser ist statisch. Etwas anderes wäre es, wenn in einem Dateiabruf ein nutzerbezogener Parameter enthalten ist. Dann wäre der Zweck aber nicht der reine Dateiabruf, sondern ein anderer (etwa Tracking). Dieser Fall muss hier nicht betrachtet werden.

Fazit

Der Abruf von Dateien bei eingeschaltetem Cache des Browsers des Nutzers erscheint mir nicht vergleichbar mit dem Erzeugen und Auslesen von Cookies.

Informationen über abgerufene Dateinamen bei nicht nutzerbezogenen Inhalten fallen nicht unter die Pflichtinformationen gemäß Art. 13 DSGVO.

Meine Annahme.

Sofern keine fragwürdigen Praktiken wie das HTTP-Header Field Etag oder nutzerbezogene URL-Parameter oder Dateiinhalte verwendet werden, erscheint mir eine Pflichtinformation für abgerufene Dateien oder abzurufende Dateien nicht relevant. Dies gilt also sowohl für Informationen auf Einwilligungsabfragen wie auch für Angaben in Datenschutzhinweisen.

Über Rückmeldungen zu diesem spannenden Thema freue ich mich. Bereits im Vorfeld der Veröffentlichung diskutierte ich mit dem Ideengeber für dieses Thema. Mir wurde die Meinung entgegengebracht, dass der Dateiabruf in den Hauptspeicher des Endgeräts des Nutzers bereits eine Speicherung sei. Dies bestreite ich und erwarte hierzu fundierte Referenzen oder eigene Betrachtungen mit konkreten Argumenten, bevor ich bereit bin, meine Meinung noch weiter als bisher geschehen zu überdenken.

Ein Update zum Begriff des Speicherns:

Speichern = in einem Speicher zur späteren Verwendung aufbewahren, lagern.

Definition aus dem Duden. Siehe https://www.duden.de/rechtschreibung/speichern

Der Duden definiert Speichern also bezüglich der Aufbewahrungsdauer bzw. Aufbewahrung an sich. Daten, die im Hauptspeicher zur sofortigen Verwendung genutzt werden, ohne dass diese Daten weiterverwendet werden könnten, werden also im Sinne meines Informatiker-Verständnisses von Speichern und der des Duden NICHT gespeichert. Speichern = Aufbewahren. Flüchtiger Hauptspeicher ist ungleich aufbewahren. Der Hauptspeicher-Cache als explizit zu konfigurierender Sonderfall ist ungleich dem flüchtigen Speicher und ungleich dem normalen Hauptspeicher-Zweck. Wie beschrieben, ist das (technisch notwendige, ggf. einwilligungspflichtige) Abrufen statischer Dateien auch nicht mit Cookies vergleichbar.

Dass das notwendige Laden in den Hauptspeicher ohne Aufbewahrung keine Speicherung ist, lässt auch der Beitrag „Schutz der Geräteintegrität durch § 25 TTDSG“ in der ZD 2021, 399 erkennen (vgl. dort Abschnitt IV, Punkt 4 Browsereinstellungen).

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine unabhängige Berichterstattung würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Anonymous

    Hallo,

    interessante Ausführungen. Sehe ich ganz ähnlich.
    Und selbst wenn Art 13 DSGVO für Dateiabrufe greifen würde, dann würde auch Art 13 (4) DSGVO greifen: “Die Absätze 1, 2 und 3 finden keine Anwendung, wenn und soweit die betroffene Person bereits über die Informationen verfügt.” Diese Information dürfte ja zwangsläufig vorliegen da der Abruf ja aktiv erfolgt.

    VG Thomas Werning

    • Dr. DSGVO

      Ob eine betroffene Person per se über die benötigten Informationen nach Art. 13 DSGVO verfügt, ist zweifelhaft. Bei Cookies muss ja laut EuGH auch deren Funktionsdauer angegeben werden, obwohl jeder sich diese selber in seinem Browser heraussuchen kann.

      Der Nutzer muss eben nicht suchen müssen, sondern alles präsentiert bekommen.

  2. Anonymous

    Ich denke das TTDSG ist dazu eindeutig, jegliches Schreiben oder Lesen von Informationen auf der Endeinrichtung ist Zustimmungspflichtig (außer der Vorgang ist technisch notwendig um den gewünschten Telemediendienst bereitzustellen). Dazu zählen auch, Dateien, local storage, Web beacons, etc..
    Ich denke, wir sollten aufhören Haare zu spalten um Gesetze zu umgehen, sondern die Rechte der Betroffenen respektieren!

    • Dr. DSGVO

      Darum geht es ja gerade: “Schreiben” oder “Speichern” sind Begriffe, die man genauer definieren müsste.
      “Lesen” aus dem Endgerät findet nicht unbedingt statt, wenn etwas in den Hauptspeicher geladen und dann direkt wieder vergessen wird.
      Hierzu bitte ich um dedizierte Stellungnahmen. Ich habe mir oben im Beitrag viel Mühe gegeben und erwarte eine ebenso substantiierte Betrachtung. Mit Allgemeinansichten kann ich nichts anfangen.

      • Anonymous

        Ich empfehle den aktuellen Kommentar von Tager / Gabel. Weiterhin um genau diese Haarspalterei zu vermeiden legt die DSK in ihrer OH Telemedien den Begriff “Speichern” weit aus. Auch wenn Du Dir mit dem Thema viel Mühe gegeben hast benötigt es keine dedizierte Stellungnahme.

        • Dr. DSGVO

          In dieser OH der DSK zu Telemedien finde ich leider keine Anhaltspunkte für Argumente. Hier habe ich gesucht: https://www.datenschutzkonferenz-online.de/media/oh/20211220_oh_telemedien.pdf

          Zu Taeger / Gabel bitte ich um einen Link, am besten um den Text des Kommentars (den ich nicht weitergeben werde, wenn er mir per Mail o.ä geschickt wird).

          Ich vermute, dass mein Beitrag nicht von allen vollständig gelesen wird. Ich schildere dort mehrfach, warum Dateiabrufe ohne Aufbewahrung nicht wie Cookies zu werten sind und dabei schon gar keine persistente und auch keine temporäre Speicherung (vgl. Art. 29 Gruppe, Opinion 04/2012) stattfindet.

  3. IT-Anwalt

    Auch wenn Sie sich Dr. DSGVO nennen, fehlt offenbar die Fachkunde. Insbesondere zeigt Ihre Website selbst gravierende Mängel. Beispielsweise ist VGWort mit Sicherheit nicht für den Abruf Ihrer Seiten (“vom Nutzer ausdrücklich gewünschter Telemediendienst”) notwendig. Denn wenn der VGWort z.B. mit Privacy Badger blockiert wird, funktioniert Ihre Website genauso. Sie müssen daher eine Einwilligung für das Setzen der VGWort Cookies einholen. Hier würde sollten Sie sich vielleicht erstmal drum kümmern und die substanzlosen, wirren Thesen zum Dateiabruf hinten anstellen…

    • Dr. DSGVO

      Die Autorenvergütung der VG Wort steht jedem Autor gesetzlich zu. Diese wird nur ausgeschüttet, wenn der VG Wort Zählpixel integriert wird. Ohne Entlohnung gibt es keine für den Leser kostenfreien Texte und somit keine Webseite.

      Was mit “Beispielsweise” gemeint ist, erschließt sich mir nicht. Das klingt so, als gäbe es weitere Anmerkungen.

      Lustig ist übrigens, dass IT Anwälte Drohschreiben zu VG Wort verschicken, aber auf ihren eigens verantworteten Webseiten selber den VG Wort Pixel nutzen.

      Übrigens Nummer zwei, hatte ich die VG Wort selbst schon mal darauf hingewiesen, dass manche ein Problem mit dem VG Wort Pixel haben. Kontaktieren Sie doch bitte auch die VG Wort und teilen Sie ihr mit, was Sie von deren Lösung halten.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Cookies, Cookie Consent Tools, PIMS und Weltwunder: Datenschutz Deluxe