gekennzeichnet.
Nicht nur Cookies erlauben das Erkennen von wiederkehrenden Nutzern. Auch das Auswerten des digitalen Fingerabdrucks des Browsers eines Nutzers ermöglicht ein Tracking. Der Datenschutz verlangt hierfür die Einhaltung von rechtlichen Grundlagen.
Vorab: Der Begriff der Verkehrsdaten ist hier rein technisch gemeint. Juristisch mag er eine andere Bedeutung haben. Statt Verkehrsdaten könnte man allgemeiner auch von Metadaten sprechen, die beim Netzwerkverkehr anfallen.
Ruft ein Nutzer eine Webseite auf, werden Angaben zur Konfiguration seines Browsers und Endgeräts, von dem aus er die Webseite aufruft, zum Server der Webseite übertragen. Dazu gehören u. a. die Bildschirmauflösung, Spracheinstellungen, die Art des Bildschirms (Touch Screen ja/nein etc.), die Browserversion. Außerdem werden Verbindungsdaten übertragen, dazu gehören u. a. die aufgerufene Adresse und die Adresse von der aus der Nutzer einen Link angeklickt hat (Referrer).
Bei jedem Abruf einer Webseite oder Datei aus dem Internet werden neben der IP-Adresse des Aufrufers die o.g. weiteren Daten zum Computersystem des Aufrufers übertragen. Diese Daten werden oft als Browser Fingerprint, Device Fingerprint, Verkehrsdaten oder Telemetriedaten bezeichnet.
Wenn eine Webseite ein Tool wie Google Maps einbindet, werden diese Nutzer-bezogenen Daten auch an Google als Dienstanbieter weitergegeben.
Hier ein Auszug eines solchen Fingerabdrucks, den jeder Besucher einer Webseite hinterlässt:
- Aufgerufene Seite (URL): webseite4711.de/genauer/pfad/
- Seite, von der Sie kamen (etwa Klick auf einen Link, auch als Referrer bezeichnet): www.anderewebseite.de/ein/pfad
- Zeitpunkt des Aufrufs: 25.11.2020, 07:33:20
- IP-Adresse: 22.33.44.55
- Internet Service Provider (ISP): <Name Anbieter>
- Sprache: Deutsch
- Plattform: Windows 10
- Bildschirmauflösung: 1440 × 900 Pixel
- Farbtiefe: 24 Bit
- Zeitzone: -60 Minuten
- Touch-Screen Support: Ja
- Browser-Plugins: Shockwave Flash 32.0.0.169, …
- Browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/2010123 Firefox/82.0
Genau wie bei IP-Adressen wird dieser Fingerabdruck auch an alle auf einer Webseite eingebundenen Dienste, wie Google Maps, weitergegeben. Hiermit kann ein Personenbezug hergestellt werden und der Nutzer somit alleine über den Fingerabdruck nachverfolgt werden.
Google Analytics nutzt einige dieser Daten zum Erkennen von Nutzern. Diese Daten nutzt Google für eigene Zwecke (womöglich auch zum besseren Verkauf von Werbung). Anderen wird durch Google untersagt, Fingerprinting zu betreiben:
Die Aussage bezieht sich auf Google Analytics und zeigt, dass Google die Fähigkeiten des Device Fingerprintings, Nutzer wiederzuerkennen, als entsprechend relevant ansieht. Dies wird durch die folgend genannten Patente untermauert.
Tracking durch digitale Fingerabdrücke
Mithilfe des digitalen Fingerabdrucks können Nutzer identifiziert und nachverfolgt werden. Dies wird auch als Tracking bezeichnet.
Google besitzt ein Patent, mit dem Geräte eindeutig anhand von deren digitalen Fingerabdruck identifiziert werden können: “The present invention is directed to methods and apparatus for uniquely identifying remote computing devices. More specifically, the invention is directed to fingerprinting a remote computing device in stages using information retrievable from a web browser.”
Als Einsatzgebiet wird im Patent auch das zielgenaue Ausspielen von Werbung an Nutzer genannt:
In diesem Patent wird für das Fingerprinting auch ein installiertes Google Plugin und dessen Version mit einbezogen:
Informationen zum Installationsstatus des Google-Tools namens Gears beim Nutzer wurden vom Device Fingerprinting durch Google erfasst. Mittlerweile wird Gears nicht mehr betrieben. Dieses Beispiel zeigt, wie Google Tools genutzt werden können, um die Qualität von digitalen Fingerabdrücken zur Nutzeridentifikation zu erhöhen.
Im Patent wird auch beschrieben, wie ein Fingerprinting inkrementell vorgenommen werden kann. Dazu wird der Fingerabdruck zunächst möglicherweise nur teilweise gebildet und durch Daten aus späteren Sitzungen und/oder anderen Endgeräten vervollständigt (S. 12 des Patents, ab Zeile 32).
Ein weiteres Google Patent nutzt Fingerprinting, um Angreiferwellen erkennen zu können. In einem dritten Google Patent wird der Begriff des Device Fingerprinting geprägt.
Eine wissenschaftliche Arbeit demonstriert, wie Nutzer sogar Browser-übergreifend, also bei Verwendung von zwei oder mehr verschiedenen Browsern, mit einer Genauigkeit von über 90 % über die genutzten Browser hinweg wiedererkannt werden können.
Unabhängig davon können Nutzer auch mithilfe von Cookies, Identifizierern von Geräten (wie AAID von Apple oder IDFA von Google) nachverfolgt werden.
Das Tool AmIUnique zeigt an, wie eindeutig der eigene Fingerprint ist und welche Attribute wie eindeutig sind. Wie man sieht, ist die Datenbasis riesig und führt dennoch eindeutigen Treffern:
Etwas Ähnliches bietet Panopticlick.
Weiteren Quellen für das Nachverfolgen von Nutzern durch Fingerprinting sind in meiner Untersuchung, ob Cookies personenbezogene Daten sind, zu finden.
Demnächst werde ich beschreiben, wie Google mit sogenannten Signalen Nutzer nachverfolgt, und zwar ganz offiziell und, wie man zeigen kann, mit einer höchstwahrscheinlich rechtswidrigen Einwilligung. In der Grafik ganz am Anfang dieses Beitrags ist das Schema dargestellt, wie Google Nutzer quer über das Internet nachverfolgen kann und gemäß eigener Darstellung nachverfolgt.
Sind Daten des Fingerabdrucks im Endgerät gespeichert?
Gemäß ePrivacy-Richtlinie, die gelegentlich auch als Cookie-Richtlinie bezeichnet wird, ist die Speicherung von Informationen im Endgerät des Nutzers einwilligungspflichtig, sofern dies nicht technisch notwendigen Zwecken dient. Gleiches gilt für den Zugriff auf die im Endgerät des Nutzers gespeicherte Informationen.
Die Daten, die Bestandteil des digitalen Fingerabdrucks sind, sind aber nicht im Endgerät des Nutzers gespeichert. Am Beispiel der Bildschirmauflösung wird dies deutlich. Die Auflösung der Darstellung ist eine flüchtige Konfiguration, die höchstens behelfsweise vom Betriebssystem gespeichert wird. Das Betriebssystem tut dies, um beim Neustart dieselbe Bildschirmauflösung präsentieren zu können. Der Monitor zeigt die Auflösung an, die ihm zuletzt befohlen wurde. Dieser Befehl wird natürlich nur ausgeführt, wenn er auf eine gültige Auflösung abzielt.
Die Daten, auf die sich die ePrivacy-Richtlinie bezieht, werden hingegen vom Browser verwaltet und können vom Browser somit auch direkt zugegriffen werden. Der Browser wiederum wird hierbei von Webseiten beeinflusst, die Cookies setzen oder auslesen.
Ein Cookie ist in direkter Einflussnahme einer Webseite bzw. des ausführenden Browsers. Anders sieht es bei der Bildschirmauflösung aus. Etwas genauer habe ich dies in meinem Beitrag zu Matomo untersucht.
Arten von Fingerprint-Daten
Die folgende Tabelle zeigt in Kürze verschiedene Kategorien von Daten, die nach meinem Dafürhalten unterschieden werden sollten.
| Datenwert | Zugriffsart | Kritisch? |
|---|---|---|
| IP-Adresse | Implizit | Ja, wenn gespeichert |
| Bildschirmauflösung | Explizit , direkt über Variable | Nein |
| Farbtiefe | Explizit, direkt über Variable | Nein |
| User-Agent | Implizit | Ja, wenn gespeichert |
| Referrer | Implizit | Nein, außer URL enthält individuelle Variablen |
| Zugriffszeitpunkt | Implizit | Nein, außer womöglich bei Festhalten zahlreicher Zeitpunkte |
| Zeitzone | Explizit, direkt über Variable | Nein |
| Cookies | Implizit | Ja. Bei First-Party Sitzungs-Cookies möglicherweise unkritisch |
Pro Kategorie ist angegeben, wie kritisch die Erhebung des jeweiligen Datenwertes aus meiner Sicht erscheint. Damit kann abgeleitet werden, ob ein Fingerabdruck mit dem berechtigten Interesse legitimiert werden kann. Insbesondere Daten, die über einen einfachen Variablenzugriff erfolgen, also ohne etwas berechnen zu müssen, erscheinen für sich betrachtet unkritisch.
Rechtliche Bedingungen
Wie der EuGH im Urteil vom 22.11.2012 (Az.: C-119/12, Rn. 23) bereits feststellte, dürfen Verkehrsdaten nur ausnahmsweise und für legitime, notwendige Zwecke verwendet werden. Gemäß EuGH-Urteil vom 02.03.2021 (Az.: C-746/18, Rn. 45) ist es sogar Behörden untersagt, zur Verfolgung von Straftaten – sofern diese nicht schwerwiegend sind – auf Verkehrsdaten von Personen zuzugreifen. Erst recht gilt dies dann für Unternehmen in der freien Wirtschaft.
Auch dürfen laut EuGH-Urteil vom 19.10.2016 (Az.: 142/15, Rn. 64 – Urteil zu IP-Adressen) Online-Mediendienste personenbezogene (und somit personenbeziehbare) Daten nur erheben, sofern dies technisch notwendig ist.
Laut Beschluss des BVerfG vom 18.12.2016 (Az.: 1 BvR 142/15, Rn. 37) ist das informationelle Selbstbestimmungsrecht potentiell durch Verknüpfungsmöglichkeiten verschiedener Daten gefährdet und ist demgegenüber zu schützen.
Der § 15 Abs. 3 TMG schreibt vor, dass bei der Bildung von Nutzerprofilen eine Widerrufsmöglichkeit existieren muss. Sofern hierbei Cookies zum Einsatz kommen, muss gemäß BGH-Urteil zu Planet49 vorher eine Einwilligung (Art. 4 Nr. 11 DSGVO) abgefragt werden.
Hingegen findet m. E. weder die ePrivacy-Richtlinie (über § 15 Abs. 3 TMG gemäß BGH-Urteil zu Planet49) noch der § 25 TTDSG (ab Dezember 2021) Anwendung, weil die Daten des digitalen Fingerabdrucks gemäß der Maßstäbe der ePrivacy-Richtlinie nicht im Endgerät des Nutzers gespeichert sind.
Ansonsten gilt das Gebot der Datenminimierung (Art. 5 Abs. 1 c DSGVO). Im Artikel sind weitere Grundsätze der Datenverarbeitung genannt, etwa eine Zweckbindung, die kommuniziert werden muss (Datenschutzhinweise, Einwilligungsabfrage). Auch muss Datenschutz durch Technikgestaltung sichergestellt werden (Art. 25 DSGVO). Der Art. 32 DSGVO schreibt eine Sicherheit der Verarbeitung vor, etwa, indem mit pseudonymisierten Daten gearbeitet wird.
Die Artikel 29 Arbeitsgruppe, die Vorgängerin des Europäischen Datenschutzausschusses, hat eine Stellungnahme zum virtuellen Fingerabdruck veröffentlicht. Demnach wäre der Fingerabdruck gemäß ePrivacy-Richtlinie einwilligungspflichtig. Ich kann dem grundsätzlich nicht folgen, vor allem, wenn die IP-Adresse nicht ungekürzt gespeichert und eine Sitzung nicht länger als beispielsweise 24 Stunden ist und Fingerabdrucksdaten nicht übermäßig erhoben werden (vgl. hierzu auch die obige Tabelle von mir zu Datenkategorien). Ich lese die Stellungnahme nämlich so, dass die Arbeitsgruppe auf eine recht umfangreiche Datennutzung für die Bildung eines virtuellen Fingerabdrucks abstellt, für die sie die Einwilligung als erforderlich ansieht. Letzterem widerspreche ich nicht, sage aber, dass ein moderates Nutzen von Verkehrsdaten mit berechtigtem Interesse erlaubt scheint.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Einen herzlichen Dank für dieses großartigen Artikel!
Wie kann ich das Problem eines auffälligen Attribute 6 "Canvas" im Am I Unique Fingerprint Check lösen?
Der Browser ist neu installiert und das about:profile und about:config weißt keine Besonderheiten auf.
Bitte gib mit den richtigen Wegweiser, wie ich zur Lösung komme.
Kann man pauschal nicht beantworten. Sie können hierauf über Ihre Systemkonfiguration , verwendete Hardware (Grafikkarte Bildschirm) und datenschutzfreundliche Browser oder vielleicht auch Werbe-Blocker-Plugins Einfluss nehmen.
Datenschutzfreundliche Browser halte ich für die effizienteste Möglichkeit.
Weiterhin: Bestimmte Webseiten und Anbieter von Online-Diensten meiden, beispielsweise Meta, Google oder Microsoft.