Ein Flash-Cookie – technisch korrekt als Local Shared Object (LSO) bezeichnet – ist eine spezielle Form der clientseitigen Datenspeicherung. Sie wird nicht über den Webbrowser, sondern über das Adobe-Flash-Plug-in auf dem Rechner eines Nutzers abgelegt. Im Unterschied zu herkömmlichen HTTP-Cookies unterliegen Flash-Cookies nicht den üblichen Browser-Einstellungen. Sie können daher weder eingesehen noch über die Browser-Datenschutzfunktionen gelöscht werden.
Technische Funktionsweise
Flash-Cookies werden vom Adobe-Flash-Player eigenständig verwaltet. Die Speicherung erfolgt direkt im lokalen Dateisystem des Nutzers. Unter Microsoft Windows liegen die Dateien im Verzeichnis %AppData%\Macromedia\Flash Player\#SharedObjects\.[1] Unter macOS lautet der Pfad ~/Library/Preferences/Macromedia/Flash Player/#SharedObjects/. Die Dateien tragen die Endung .sol. Pro Domain können sie mehrere Kilobyte bis zu 100 Kilobyte umfassen. Klassische HTTP-Cookies sind hingegen auf 4 Kilobyte begrenzt.
Die Datenspeicherung erfolgt durch ActionScript über das SharedObject-Objekt. Eine Website kann so beliebige Schlüssel-Wert-Paare lokal ablegen. Der Browser nimmt davon keine Kenntnis. Flash-Cookies lassen sich zudem browserübergreifend auslesen.[2] Ein im Internet Explorer gesetztes LSO ist damit auch für Firefox oder Chrome zugänglich. Voraussetzung ist lediglich, dass der Flash-Player auf demselben Gerät installiert ist.
Flash-Cookie als Tracking-Instrument
Genau diese Eigenschaften machten das Verfahren zum wirkungsvollen Werkzeug für das Nutzer-Tracking. Die Unabhängigkeit vom Browser ermöglichte das sogenannte Cookie-Respawning. Hatte ein Nutzer seine Browser-Cookies bereinigt, spielte die Flash-Datei die Nutzer-ID erneut ein. Dieses Verfahren nennt sich auch Zombie-Cookie-Technik. In Verbindung mit dem Multi-ID-Targeting entstand ein persistentes Profiling-Verfahren, das sich dem Willen des Nutzers entzog.
Geschichte und Verbreitung
Local Shared Objects verbreiteten sich mit dem Aufstieg von Adobe Flash ab Mitte der 2000er Jahre. Flash war auf nahezu allen Desktop-Computern installiert. Es ermöglichte Animationen, Spiele und Video-Inhalte im Browser. Die zugehörigen LSOs galten lange als technisches Detail ohne öffentliche Aufmerksamkeit.
Datenschutzforscher machten ab etwa 2009 auf die Risiken aufmerksam. Studien belegten, dass populäre Websites LSOs zum Re-Identifizieren von Nutzern einsetzten. Das öffentliche Bewusstsein wuchs, als Medien über sogenannte Zombie-Cookies berichteten.
Mit dem Aufstieg offener Web-Standards – HTML5 und dem <video>-Element – verlor Flash zunehmend an Bedeutung. Apple verweigerte dem Flash-Player auf dem iPhone jede Unterstützung. Das schränkte die Verbreitung im mobilen Web stark ein. Adobe kündigte das Ende des Flash Players zum 31. Dezember 2020 an.[3] Seitdem ist der Player nicht mehr unterstützt. Flash-Cookies sind als aktives Tracking-Instrument damit obsolet.
Abgrenzung zu anderen Cookie-Typen
Ein Vergleich mit verwandten Speicherformen hilft bei der Einordnung. Die folgende Tabelle zeigt die wesentlichen Unterschiede:
| Merkmal | HTTP-Cookie | Flash-Cookie (LSO) | Browser-LocalStorage |
|---|---|---|---|
| Speicherort | Browser-Datenspeicher | Dateisystem (Flash-Player) | Browser-Datenspeicher |
| Speicherlimit | ca. 4 KB | bis 100 KB (Standard) | ca. 5–10 MB |
| Browserübergreifend | Nein | Ja | Nein |
| Löschbar über Browser | Ja | Nein (nur über Flash-Manager) | Ja |
| Abhängigkeit | Webbrowser | Adobe-Flash-Plug-in | Webbrowser |
| Aktueller Status | Aktiv in Verwendung | Obsolet (seit 2020) | Aktiv in Verwendung |
Eine Advertising Identity operiert als gerätebezogener Identifikator innerhalb von App-Ökosystemen. Der Flash-Cookie war dagegen ein browsernaher, dateibasierter Mechanismus. Eine zentrale Verwaltungsstelle fehlte ihm vollständig.
Datenschutzrechtliche Einordnung
Flash-Cookies entzogen sich den gängigen Nutzererwartungen. Wer seine Browser-Cookies löschte, glaubte seine digitalen Spuren beseitigt zu haben. Die im Dateisystem verbliebenen LSOs blieben jedoch unberührt.
Europäische Datenschutzbehörden qualifizierten Flash-Cookies als personenbezogene Daten. Grundlage war die damalige Datenschutzrichtlinie 95/46/EG. Das unbemerkte Tracking galt als unzulässige Verarbeitung ohne Einwilligung.
Mit dem Inkrafttreten der DSGVO im Mai 2018 wurden die Anforderungen weiter verschärft. Die DSGVO verlangt für nicht technisch notwendige Cookies eine informierte Einwilligung. Flash-Cookies hätten dieses Kriterium ohne ausdrückliche Zustimmung nicht erfüllt. Das Konzept der Zero-Party-Daten – freiwillig geteilte Nutzerinformationen – steht in direktem Kontrast zu diesem verdeckten Erhebungsmodell.
Löschen und Verwalten
Solange Adobe Flash aktiv genutzt wurde, konnten Nutzer LSOs auf zwei Wegen entfernen. Der erste Weg führte über den Adobe-eigenen Flash Player Settings Manager. Dieser war als webbasiertes Konfigurationspanel zugänglich. Der zweite Weg war das direkte Löschen der #SharedObjects-Verzeichnisse im Dateisystem.[4]
Browser-Erweiterungen wie BetterPrivacy für Firefox automatisierten diesen Vorgang. Sie informierten Nutzer aktiv über neu angelegte Flash-Cookies. Die übliche Browser-Funktion „Cookies löschen“ erfasste LSOs jedoch nicht. Der Browser besaß keine Hoheit über das Flash-Plug-in und dessen Dateispeicher.
Bedeutung für moderne Tracking-Technologien
Flash-Cookies markierten einen frühen Wendepunkt in der Debatte über Browser-Tracking. Sie beschleunigten die Entwicklung von Do-Not-Track-Initiativen. Browserhersteller stärkten die Sandbox-Isolation von Plug-ins. Aufsichtsbehörden schärften ihr Bewusstsein für pluginbasierte Datenspeicherung.
Im Kontext der Adtech-Industrie gelten LSOs als Vorläufer späterer persistenter Tracking-Methoden. Dazu zählen Browser-Fingerprinting und der Missbrauch von HTTP-ETags. Auch datenschutzkonforme Ansätze wie UTIQ lassen sich als Reaktion auf das Versagen verdeckter Cookie-Mechanismen verstehen. UTIQ setzt auf Telekommunikationsinfrastruktur statt auf lokale Datenspeicherung.
Flash-Cookies sind heute kein aktives Risiko mehr. Der Adobe Flash Player wird seit dem 31. Dezember 2020 von allen gängigen Browsern blockiert. Ihre Geschichte zeigt jedoch: Tracking-Verfahren, die Nutzerkontrollen umgehen, stoßen langfristig auf regulatorischen Widerstand.
Literaturempfehlungen
- Kai Rannenberg, Denis Royer, André Deuker (Hrsg.): The Future of Identity in the Information Society. Springer, Berlin/Heidelberg 2009.
- Simson Garfinkel, Gene Spafford: Web Security, Privacy & Commerce. O’Reilly, Sebastopol 2002.
Fußnoten
- ↑ Heise Online: Expertin warnt vor Flash-Cookies – Speicherorte und Verhalten von LSOs
- ↑ Computerwoche: Zombie-Cookies erkennen und entfernen – Flash-Cookies als browserübergreifende Tracking-Objekte
- ↑ t3n: Adobe gibt Beerdigungstermin für Flash bekannt – End-of-Life zum 31. Dezember 2020
- ↑ CHIP Praxistipps: Flash-Cookies manuell löschen – Anleitung zum Entfernen der SharedObjects-Verzeichnisse