Wie erkennen wir Personen wieder, die unsere Website schon früher besucht haben? Diese Frage beschäftigt viele Inhaber/-innen von Webauftritten seit Langem. Ein einfacher Weg bestünde darin, die eindeutige Rechner-/Gerätenummer (IP-Adresse) zu speichern. Doch da dies von Datenschützern schon früh als nicht rechtmässig beurteilt wurde, speicherten Website-Betreibende seit vielen Jahren so genannte „Cookies“ (Kleindateien) im Browser der Besucher/-innen, die ihnen später die Wiedererkennung ermöglichten.

Das Cookie-Urteil des EuGH

Doch damit ist jetzt Schluss: Ein Urteil des europäischen Gerichtshofs legt fest, dass Cookies nur noch mit dem ausdrücklichen und aktiven Einverständnis der Benutzer/-innen gespeichert dürfen. Viele neue Browserversionen blockieren zudem Cookies oder löschen sie nach wenigen Tagen.

Neues Medien-Login

Die Schweizer Medien zogen daraus nun Konsequenzen. Sie wollen, dass sich die Besucher/-innen in Zukunft anmelden, um auf ihre Portale zuzugreifen. So wären Besucher/-innen sogar geräteunabhängig jederzeit wiederzuerkennen. Dabei soll gemäss Vereinbarung medienübergreifend ein gemeinsames Login ermöglicht werden.

SwissID als Lösung?

Ein Website-übergreifendes Login? Dies ist doch eigentlich ein klarer Fall für die SwissID, sagte sich ein Redaktor der Medienwoche. Doch ganz so klar ist die Sache nicht, zeigte seine Recherche: Zwischen der SwissID und dem geplanten Medien-Login besteht nämlich ein gewichtiger Zielkonflikt. So verspricht SwissSign den Benutzenden der SwissID, ihre Daten nicht für kommerzielle Zwecke zu nutzen. Hingegen ist genau dies – ja eine gezielte Anzeige von Werbung zu kommerziellen Zwecken – ja das Ziel des gemeinsamen Medien-Logins.

Prävention im eID-Gesetz

Das eID-Gesetz sieht denn auch strenge Vorschriften zum Umgang mit Personenidentifizierungsdaten vor. Die Identitätsprovider (IdPs) müssen die Personenidentifizierungsdaten von den Nutzungsdaten (= Daten, die im Rahmen von eID-verwendenden Diensten anfallen) und von weiteren Daten (beispielsweise eigenen Kundendaten) trennen. Die Nutzungsdaten sind nach sechs Monaten zu löschen.

Der IdP darf Dritten die Personenidentifizierungsdaten, die Daten, die bei einer Anwendung der E-ID entstehen, sowie darauf basierende Nutzungsprofile nicht weitergeben. Entscheidend ist insbesondere der Schutz des „Keys“, den die eID verwendet. Die Betreiber/-innen E-ID-verwendender Dienste dürfen die eID-Registrierungsnummer denn auch ausschliesslich zu Identifizierungszwecken nutzen. Ansonsten darf der IdP diese Nummer nur Behörden oder anderen mit öffentlichen Aufgaben betrauten Stellen bekannt geben.

Mehr Informationen:

EuGH-Urteil: Einwilligung in Cookies muss aktiv erfolgen, Neue Zürcher Zeitung, 1. Oktober 2019

Janosch Tröhler: Das freiwillige Medien-Login: Weshalb Cookies von gestern sind, Blick, 10. Oktober 2019

Bundesversammlung: Bundesgesetz über elektronische Identifizierungsdienste (E-ID-Gesetz, BGEID), Schlussversion vom 27. September 2019 (angenommen von National- und Ständerat, Ablauf der Referendumsfrist: 16. Januar 2020)