Die sogenannte Artikel 29 Gruppe, ein Gremium mit Vertretern aus den nationalen Datenschutzbehörden der Europäischen Union, sieht im Device Fingerprinting eine Gefahr für den Datenschutz des einzelnen Internetnutzers und fordert, dass der Nutzer vor dem Einsatz des Device Fingerprintings um Erlaubnis gefragt werden muss.
Der neue Trend im Webtracking
Device Fingerprinting ist eine Form von Webtracking, die ohne das Setzen von Cookies auskommt. Eine Identifizierung des Nutzers – oder genauer: des aufrufenden Browsers – erfolgt über die Auswertung der Browsermerkmale, mit der eine Webseite besucht wird. Dabei werden Informationen wie die IP-Adresse aber auch vielfältige Merkmale des Browsers ausgelesen, wie zum Beispiel – installierte Schriftarten, verwendete Plugins oder unterstützte MIME-Typen. Dabei reichen schon 4 Merkmale aus, um 87% der Webseitenbesucher anhand ihrer Browserkonfiguration wiedererkennen zu können. Im Gegensatz zum Webtracking durch Cookies, welches durch ein Sperren oder Löschen der Cookies relativ einfach unterbunden werden kann, ist Webtracking durch Device Fingerprinting für den Nutzer nicht ohne weiteres zu erkennen und erst recht nicht zu unterbinden. Gerade hieraus ergeben sich datenschutzrechtliche Bedenken.
Device Fingerprinting fällt unter Cookie Richtlinie
Die Artikel 29 Gruppe ist zu der Einschätzung gekommen, dass Device Fingerprinting den Anforderungen der sogenannten Cookie-Richtlinie der Europäischen Union unterliegt. Die Cookie-Richtlinie regelt, dass „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur unter der Bedingung gestattet ist, dass der betreffende Teilnehmer oder Nutzer klare und umfassende Informationen insbesondere über die Zwecke der Verarbeitung erhält und durch den für diese Verarbeitung Verantwortlichen auf das Recht hingewiesen wird, diese Verarbeitung zu verweigern.“
Vereinfacht ausgedrückt, fordert die Richtlinie eine Einwilligung des Nutzers, wenn der Webseitenbetreiber Zugriff auf bei dem Nutzer gespeicherte Daten (bspw. Cookies) erhalten will. Die Artikel 29 Gruppe stellt sich dabei aber auf den Standpunkt, dass nicht ausschließlich Cookies gemeint sind, sondern auch „ähnliche Technologien“. So könne auch Device Fingerprinting eine Erhebung personenbezogener Daten darstellen, wenn verschiedene Informationen wie IP Adresse und Plugins kombiniert werden und Nutzer so über eine gewisse Zeitspanne über den Besuch von Webseiten identifiziert werden können. Dabei würden Device Fingerprints sogar ein höheres Risiko für den Datenschutz als Cookies darstellen. So können Bewegungsprofile des Nutzers über mehrere Webseiten hinweg erstellt werden, ohne, dass der Nutzer dies erkennen kann.
Device Fingerprinting in Datenschutzerklärung aufnehmen
Nach Auffassung der Bundesregierung und der EU Kommission tragen die §§ 12 ff. Telemediengesetz (TMG) den Anforderungen der Cookie-Richtlinie beim Einsatz von Cookies Rechnung. Folgt man der Bundesregierung, so findet sich für das Setzen von Cookies zur Erstellung von Nutzungsprofilen eine gesetzliche Erlaubnis in § 15 Abs. 3 TMG. Nach dieser Vorschrift genügt es, wenn dem Nutzer die Möglichkeit eingeräumt wird, der Erstellung von Nutzerprofilen zu widersprechen. Eine vorherige Einwilligung wie sie die Artikel 29 Gruppe fordert, ist daher für Deutschland gerade nicht notwendig.
Daher gilt in Deutschland für Device Fingerprinting dasselbe wie für Cookies: Wenn ein Webseitenbetreiber das Device Fingerprinting einsetzt, muss er dies in der Datenschutzerklärung mit aufnehmen und den Nutzer auf sein Widerspruchsrecht hinweisen.