Jedes Endgerät hinterlässt im Netz digitale Spuren. Ähnlich eines Fingerabdrucks können die Daten, die bei der Nutzung des Internets übermittelt werden, dazu verwendet werden, Besucher eindeutig zu identifizieren. Die Methode des sog. Device Fingerprintings dient dazu, entsprechende Informationen auszulesen und Nutzerprofile zu erstellen. Dabei werden diese Daten nicht nur für Marketingzwecke genutzt, sondern sind auch für Internetkriminelle von Interesse. Heute widmen wir uns der Frage, ob Device Fingerprinting nur in Kenntnis der Nutzer erfolgen darf und welche Vorschriften ggfs. zu beachten sind.
Der Inhalt im Überblick
- Was ist ein Device Fingerprint?
- Funktionsweise von Device Fingerprinting
- Identifizierung durch Device Fingerprinting
- Fällt das Device Fingerprinting unter das TTDSG?
- Welche Rolle spielt die DSGVO beim Device Fingerprinting?
- Rechtsgrundlage für das Tracking mittels Browser-Fingerprint
- Erstellung eines digitalen Fingerabdrucks verhindern
- Mehr Transparenz durch DSGVO
Was ist ein Device Fingerprint?
Beim Device Fingerprinting, auch als Digital oder Browser Fingerprinting bezeichnet, handelt es sich um eine Nutzerverfolgungstechnik. Mittels dieser Methode kann ein Endgerät, wie bspw. ein Computer oder ein Smartphone, anhand von Daten, das es bei der Verbindung mit dem Internet übermittelt, identifiziert werden. So kann der Nutzer von allen anderen Besuchern der Webseite eindeutig unterschieden werden. Zusätzlich lassen sich detaillierte Nutzerprofile erstellen, die unter anderem für Marketingzwecke genutzt werden. Wie Cookies, dient die Methode des Browser Fingerprinting dazu, das Surfverhalten des Einzelnen zu tracken. Allerdings geschieht dies beim Fingerprinting mit wesentlich subtileren und schwerer kontrollierbaren Techniken.
Beim Fingerprinting werden scheinbar belanglose, aber zur richtigen Darstellung der Webseite „notwendige“ Informationen ausgelesen und gespeichert. Hierzu gehören bspw. Informationen wie installierte Plugins, die Bildschirmauflösung, Systemschriftarten, die Zeitzone, IP-Adressen oder auf welcher Plattform der Browser läuft.
Im Einzelnen haben diese Informationen grundsätzlich keinen großen Wert. Kumuliert ergeben diese Daten aber einen individuellen Fingerabdruck des genutzten Systems, das den Nutzer jederzeit und webseitenübergreifend identifizierbar macht. Werden die Informationen zudem gespeichert und zum künftigen Abgleich weiterverwendet, kann eine Webseite die Surfgewohnheiten eines Besuchers selbst dann verfolgen, wenn sämtliche Cookies deaktiviert bzw. zwischenzeitlich gelöscht wurden. Der Schutz, den die Einwilligung vor dem Setzen von Cookies erreichen soll, wird damit durch die Methode des Device Fingerprintings konterkariert.
Funktionsweise von Device Fingerprinting
Beim Device Fingerprinting muss zwischen aktivem und passivem Fingerprinting unterschieden werden.
- Passives Fingerprinting
Passives Fingerprinting bezeichnet das Auslesen solcher Informationen, die beim Aufrufen einer Webseite technisch bedingt durch die verwendeten Protokolle übermittelt werden. Hierunter fallen bspw. Browsertyp/ -version/ -einstellungen, IP Adresse, und ggf. Hersteller und Typenbezeichnung des Smartphones, Tablets oder sonstigen mobilen Endgerätes. Dabei geht es in erster Linie um die Auslieferung und Funktionalität der Webseite. - Aktives Fingerprinting
Beim aktiven Fingerprinting wird Programmcode direkt auf dem Gerät ausgeführt. Informationen können gezielt ausgelesen werden, beispielsweise durch Javascript oder Flash.
Identifizierung durch Device Fingerprinting
Über das Fingerprinting lässt sich in Abhängigkeit von den vom Nutzer verwendeten Plugins eine Vielzahl von Informationen ermitteln. Je nachdem, welche Browser-Plugins der Nutzer installiert hat, lassen sich beispielsweise auch Kenntnisse zu den verwendeten Treibern erlangen.
Die übermittelten Informationen werden beim Besuch einer Webseite auf dem Server des Betreibers gespeichert und beim nächsten Seitenaufruf mit den gespeicherten Daten – dem Fingerprint – abgeglichen.
Aufgrund der Vielzahl an individuell veränderbaren Einstellungsoptionen des einzelnen Nutzers ermöglicht der Device Fingerprint eine relativ genaue Identifizierung des Nutzers. Denn die Kombination dieser verschiedenen Informationen ergibt in ihrem Gesamtbild ein einzigartiges Nutzerprofil. Je mehr Informationen und je individueller die Einstellungen desto genauer lässt sich eine eindeutige Identifizierung erreichen. Daher kann ein Nutzer ggf. auch dann identifiziert werden, wenn der Fingerprint in der Zwischenzeit geringfügig modifiziert worden ist. In unserem Artikel „Testen Sie selbst: Ihr Browser hinterlässt Ihren einzigartigen „Fingerprint“ – ganz ohne Cookies“ können Sie testen, wie individuell Ihr digitaler Fingerabdruck ist.
Fällt das Device Fingerprinting unter das TTDSG?
Hinsichtlich der Frage, ob das Device Fingerprinting unter das TTDSG fällt, besteht bisher kein eindeutiger Konsens. Entsprechend der Orientierungshilfe zum neuen TTDSG kann das Browser Fingerprinting unter den Anwendungsfall des § 25 TTDSG fallen. Der Bayerische Landesbeauftragte für den Datenschutz begründet dies damit, dass neben Cookies, auch sonstige Technologien von § 25 TTDSG erfasst werden können, sofern diese dazu dienen Informationen in der Endeinrichtung des Endnutzers zu speichern oder einen Zugriff auf Informationen zu ermöglichen.
Die Anwendbarkeit des § 25 TTDSG und damit die Einwilligungspflicht setzt letztlich voraus, dass überhaupt ein Zugriff auf Informationen vorliegt. Hierzu führt die DSK in ihrer Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien aus, dass ein Zugriff in diesem Sinne eine gezielte und nicht nur durch die Endnutzer veranlasste Übermittlung der Browser-Informationen voraussetzt. Für den Fall, dass ausschließlich Informationen verarbeitet werden, die zwangsläufig oder aufgrund von Browser Einstellungen des Endgeräts beim Aufruf einer Webseite übermittelt werden, kann dies nicht als Zugriff im Sinne des Art. 25 TTDSG gewertet werden. Mangels „Zugriffs“ fällt das passive Fingerprinting demnach nicht unter die Einwilligungspflicht des § 25 TTDSG. Anders verhält es sich hingegen mit dem aktiven Fingerprinting.
Neben der DSK vertritt auch der der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg die Ansicht, dass etwas anderes dann gilt, wenn aktiv, wie im Rahmen des aktiven Fingerprintings, mittels Javascript oder Flash, Eigenschaften eines Endgräts ausgelesen und für die Erstellung des Fingerprints an einen Server übermittelt werden. In diesem Fall handelt es sich um einen Zugriff im Sinne des Gesetzes, sodass die Voraussetzungen des § 25 TTDSG zu beachten sind.
Welche Rolle spielt die DSGVO beim Device Fingerprinting?
Der digitale Fingerabdruck findet in der DSGVO keine explizite Erwähnung. Vielmehr ist regelmäßig lediglich von (neuen) Technologien die Rede, ohne aber genau zu bestimmen, welche damit gemeint sind. Dies ist indes gerade die Intention des Gesetzgebers, der dadurch naturgemäß versucht, flexibel auf kommende Entwicklungen reagieren zu können und technologisch neutral zu bleiben. Grundsätzlich ist Voraussetzung der Anwendbarkeit der DSGVO das Vorliegen personenbezogener Daten. Dabei wird teilweise davon ausgegangen, dass im Rahmen des Device Fingerprintings ein Personenbezug nur dann angenommen werden kann, wenn die Informationen beispielsweise mit Registrierungsdaten des Nutzers verknüpft werden. Zwar kann beim Fingerprinting durch das Sammeln von Endgeräte-Informationen eine Individualisierung des Endgeräts erzielt werden, die Informationen sind nach dieser Ansicht jedoch keine personenbezogenen Daten im Sinne der DSGVO.
Andererseits lässt sich nur schwer abstreiten, dass auch der digitale Fingerabdruck zum Tracking geeignet ist. Die so individualisierten Merkmale sind zumindest als pseudonyme – wenn nicht gar als personenbezogene – Daten zu qualifizieren. Insbesondere werden die zugrundeliegenden Informationen im Rahmen des Browser Fingerprintings gerade dazu genutzt, einzelne Individuen zu identifizieren und unterscheidbar zu machen, um diese explizit adressieren zu können. Wie auch bei der IP-Adresse oder den Cookies kann die Kombination von Browser- und Geräteeigenschaften damit zur (eindeutigen) Wiedererkennung des Nutzers verwendet werden. Die Bezeichnung der Technik spricht hier bereits für sich: Der digitale Fingerabdruck ist zumeist so individuell, wie der menschliche.
Rechtsgrundlage für das Tracking mittels Browser-Fingerprint
Bereits im Jahre 2014 hat die Artikel-29-Datenschutzgruppe empfohlen, dass Websitebetreiber eine informierte Einwilligung für das Device Fingerprinting per Opt-In einholen sollen. Diese Empfehlung ist nach Anwendbarkeit der DSGVO aktueller denn je.
So bedarf die Verarbeitung personenbezogener Daten einer Rechtsgrundlage. In Frage kommt neben dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO insbesondere die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO.
Nun kann man natürlich argumentieren, dass die Erkennung des Browsers, der Auflösung, des Betriebssystems usw. erforderlich ist, um eine korrekte Darstellung der Webseite zu gewährleisten. Das dem so ist, wird kaum jemand ernstlich in Frage stellen. Mithin könnte man sich auf den Standpunkt stellen, dass hier ein überwiegendes berechtigtes Interesse des Webseiten-Betreibers vorliegt und es deshalb keiner Einwilligung bedarf.
Wird der digitale Fingerabdruck allerdings gespeichert oder an Dritte übermittelt, um das jeweilige Gerät auch künftig wiederzuerkennen, damit dem Nutzer beispielsweise individualisierte Werbung angezeigt werden kann, stellt dies regelmäßig die Verarbeitung eines personenbezogenen Datums dar. Denn der Zweck der Verarbeitung ist dann gerade nicht die korrekte Darstellung der Webseite, sondern die Identifizierung des Nutzers. In diesen Fällen wird man nach den bisher veröffentlichten Stellungnahmen der Aufsichtsbehörden künftig wohl von einem Einwilligungserfordernis ausgehen dürfen. Womöglich schafft aber auch hier die lang angekündigte ePrivacy-Verordnung Klarheit.
Erstellung eines digitalen Fingerabdrucks verhindern
Mit Hilfe der Installation von Add-ons wie NoScript können Javascript oder Flash blockiert werden, um so zu bewirken, dass weniger Informationen über den Nutzer gesammelt werden können. Dies kann aber zum einen dazu führen, dass die Webseiten nicht mehr richtig dargestellt werden und zum anderen verraten solche Einstellungen wiederum etwas über den Nutzer und ermöglichen ebenso eine Individualisierung. Denn oftmals wird nur ein kleiner Kreis von Nutzern das Device Fingerprinting blockieren. Zusammen mit den standardmäßig übertragenen Informationen lässt sich auch daraus ein Profil bilden. Selbst bei der Nutzung von Standardeinstellungen kann eine Identifizierung nicht ausgeschlossen werden. Dementsprechend lässt sich die Erstellung eines (identifizierbaren) Fingerabdrucks nicht wirklich verhindern.
Mehr Transparenz durch DSGVO
Neben der Frage der richtigen Rechtsgrundlage sollte auch der Grundsatz der Transparenz ausreichend Beachtung finden. Nutzer sollten in jedem Fall über die Verarbeitung personenbezogener Daten, insbesondere über die Erstellung von Nutzerprofilen ausreichend informiert werden. Dies gilt nicht nur für die ersichtlichen und relativ leicht aufzuspürenden Cookies, sondern gerade auch für verdecktes Tracking, welches mittels Browser-Fingerprinting ermöglicht wird. Insofern trifft Webseiten-Betreiber die Pflicht entsprechende Hinweise aufzunehmen.