Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Browser Fingerprinting: Nachverfolgen von Nutzern durch Verkehrsdaten

Veröffentlicht am 31. Dezember 2020 von Dr. DSGVO · Zuletzt aktualisiert am 16. Februar 2022
1
Browser Fingerprint

Kategorien: Datenschutz

Nicht nur Cookies erlauben das Erkennen von wiederkehrenden Nutzern. Auch das Auswerten des digitalen Fingerabdrucks des Browsers eines Nutzers ermöglicht ein Tracking. Der Datenschutz verlangt hierfür die Einhaltung von rechtlichen Grundlagen.

Vorab: Der Begriff der Verkehrsdaten ist hier rein technisch gemeint. Juristisch mag er eine andere Bedeutung haben. Statt Verkehrsdaten könnte man allgemeiner auch von Metadaten sprechen, die beim Netzwerkverkehr anfallen.

Ruft ein Nutzer eine Webseite auf, werden Angaben zur Konfiguration seines Browsers und Endgeräts, von dem aus er die Webseite aufruft, zum Server der Webseite übertragen. Dazu gehören u. a. die Bildschirmauflösung, Spracheinstellungen, die Art des Bildschirms (Touch Screen ja/nein etc.), die Browserversion. Außerdem werden Verbindungsdaten übertragen, dazu gehören u. a. die aufgerufene Adresse und die Adresse von der aus der Nutzer einen Link angeklickt hat (Referrer).

Bei jedem Abruf einer Webseite oder Datei aus dem Internet werden neben der IP-Adresse des Aufrufers die o.g. weiteren Daten zum Computersystem des Aufrufers übertragen. Diese Daten werden oft als Browser Fingerprint, Device Fingerprint, Verkehrsdaten oder Telemetriedaten bezeichnet.

Wenn eine Webseite ein Tool wie Google Maps einbindet, werden diese Nutzer-bezogenen Daten auch an Google als Dienstanbieter weitergegeben.

Hier ein Auszug eines solchen Fingerabdrucks, den jeder Besucher einer Webseite hinterlässt:

  • Aufgerufene Seite (URL): webseite4711.de/genauer/pfad/
  • Seite, von der Sie kamen (etwa Klick auf einen Link, auch als Referrer bezeichnet): www.anderewebseite.de/ein/pfad
  • Zeitpunkt des Aufrufs: 25.11.2020, 07:33:20
  • IP-Adresse: 22.33.44.55
  • Internet Service Provider (ISP): <Name Anbieter>
  • Sprache: Deutsch
  • Plattform: Windows 10
  • Bildschirmauflösung: 1440 × 900 Pixel
  • Farbtiefe: 24 Bit
  • Zeitzone: -60 Minuten
  • Touch-Screen Support: Ja
  • Browser-Plugins: Shockwave Flash 32.0.0.169, …
  • Browser: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/2010123 Firefox/82.0

Genau wie bei IP-Adressen wird dieser Fingerabdruck auch an alle auf einer Webseite eingebundenen Dienste, wie Google Maps, weitergegeben. Hiermit kann ein Personenbezug hergestellt werden und der Nutzer somit alleine über den Fingerabdruck nachverfolgt werden.

Google Analytics nutzt einige dieser Daten zum Erkennen von Nutzern. Diese Daten nutzt Google für eigene Zwecke (womöglich auch zum besseren Verkauf von Werbung). Anderen wird durch Google untersagt, Fingerprinting zu betreiben:

Google nutzt Fingerprinting selbst, andere dürfen es aber nicht nutzen. Quelle: https://support.google.com/analytics/answer/9682282?hl=en.

Die Aussage bezieht sich auf Google Analytics und zeigt, dass Google die Fähigkeiten des Device Fingerprintings, Nutzer wiederzuerkennen, als entsprechend relevant ansieht. Dies wird durch die folgend genannten Patente untermauert.

Tracking durch digitale Fingerabdrücke

Mithilfe des digitalen Fingerabdrucks können Nutzer identifiziert und nachverfolgt werden. Dies wird auch als Tracking bezeichnet.

Google besitzt ein Patent, mit dem Geräte eindeutig anhand von deren digitalen Fingerabdruck identifiziert werden können: “The present invention is directed to methods and apparatus for uniquely identifying remote computing devices. More specifically, the invention is directed to fingerprinting a remote computing device in stages using information retrievable from a web browser.”

Als Einsatzgebiet wird im Patent auch das zielgenaue Ausspielen von Werbung an Nutzer genannt:

Ein von Google genannter Nutzen des Fingerprintings. Quelle: Google-Patent US 8,954,560 B2, S. S. 12.

In diesem Patent wird für das Fingerprinting auch ein installiertes Google Plugin und dessen Version mit einbezogen:

Teil des Google Fingerprints sind auch installierte Google-Tools (mittlerweile veraltet). Quelle: Google-Patent US 8,954,560 B2, S. S. 15f.

Informationen zum Installationsstatus des Google-Tools namens Gears beim Nutzer wurden vom Device Fingerprinting durch Google erfasst. Mittlerweile wird Gears nicht mehr betrieben. Dieses Beispiel zeigt, wie Google Tools genutzt werden können, um die Qualität von digitalen Fingerabdrücken zur Nutzeridentifikation zu erhöhen.

Im Patent wird auch beschrieben, wie ein Fingerprinting inkrementell vorgenommen werden kann. Dazu wird der Fingerabdruck zunächst möglicherweise nur teilweise gebildet und durch Daten aus späteren Sitzungen und/oder anderen Endgeräten vervollständigt (S. 12 des Patents, ab Zeile 32).

Ein weiteres Google Patent nutzt Fingerprinting, um Angreiferwellen erkennen zu können. In einem dritten Google Patent wird der Begriff des Device Fingerprinting geprägt.

Eine wissenschaftliche Arbeit demonstriert, wie Nutzer sogar Browser-übergreifend, also bei Verwendung von zwei oder mehr verschiedenen Browsern, mit einer Genauigkeit von über 90 % über die genutzten Browser hinweg wiedererkannt werden können.

Unabhängig davon können Nutzer auch mithilfe von Cookies, Identifizierern von Geräten (wie AAID von Apple oder IDFA von Google) nachverfolgt werden.

Das Tool AmIUnique zeigt an, wie eindeutig der eigene Fingerprint ist und welche Attribute wie eindeutig sind. Wie man sieht, ist die Datenbasis riesig und führt dennoch eindeutigen Treffern:

Beispiel für einen eindeutigen Browser-Fingerprint unter über 4 Millionen Datensätzen.

Etwas Ähnliches bietet Panopticlick.

Weiteren Quellen für das Nachverfolgen von Nutzern durch Fingerprinting sind in meiner Untersuchung, ob Cookies personenbezogene Daten sind, zu finden.

Demnächst werde ich beschreiben, wie Google mit sogenannten Signalen Nutzer nachverfolgt, und zwar ganz offiziell und, wie man zeigen kann, mit einer höchstwahrscheinlich rechtswidrigen Einwilligung. In der Grafik ganz am Anfang dieses Beitrags ist das Schema dargestellt, wie Google Nutzer quer über das Internet nachverfolgen kann und gemäß eigener Darstellung nachverfolgt.

Sind Daten des Fingerabdrucks im Endgerät gespeichert?

Gemäß ePrivacy-Richtlinie, die gelegentlich auch als Cookie-Richtlinie bezeichnet wird, ist die Speicherung von Informationen im Endgerät des Nutzers einwilligungspflichtig, sofern dies nicht technisch notwendigen Zwecken dient. Gleiches gilt für den Zugriff auf die im Endgerät des Nutzers gespeicherte Informationen.

Die Daten, die Bestandteil des digitalen Fingerabdrucks sind, sind aber nicht im Endgerät des Nutzers gespeichert. Am Beispiel der Bildschirmauflösung wird dies deutlich. Die Auflösung der Darstellung ist eine flüchtige Konfiguration, die höchstens behelfsweise vom Betriebssystem gespeichert wird. Das Betriebssystem tut dies, um beim Neustart dieselbe Bildschirmauflösung präsentieren zu können. Der Monitor zeigt die Auflösung an, die ihm zuletzt befohlen wurde. Dieser Befehl wird natürlich nur ausgeführt, wenn er auf eine gültige Auflösung abzielt.

Die Daten, auf die sich die ePrivacy-Richtlinie bezieht, werden hingegen vom Browser verwaltet und können vom Browser somit auch direkt zugegriffen werden. Der Browser wiederum wird hierbei von Webseiten beeinflusst, die Cookies setzen oder auslesen.

Ein Cookie ist in direkter Einflussnahme einer Webseite bzw. des ausführenden Browsers. Anders sieht es bei der Bildschirmauflösung aus. Etwas genauer habe ich dies in meinem Beitrag zu Matomo untersucht.

Arten von Fingerprint-Daten

Die folgende Tabelle zeigt in Kürze verschiedene Kategorien von Daten, die nach meinem Dafürhalten unterschieden werden sollten.

DatenwertZugriffsartKritisch?
IP-AdresseImplizitJa, wenn gespeichert
BildschirmauflösungExplizit , direkt über Variable Nein
FarbtiefeExplizit, direkt über VariableNein
User-AgentImplizitJa, wenn gespeichert
ReferrerImplizitNein, außer URL enthält individuelle Variablen
ZugriffszeitpunktImplizitNein, außer womöglich bei Festhalten zahlreicher Zeitpunkte
ZeitzoneExplizit, direkt über VariableNein
CookiesImplizitJa. Bei First-Party Sitzungs-Cookies möglicherweise unkritisch
Kategorien von Fingerprinting-Daten

Pro Kategorie ist angegeben, wie kritisch die Erhebung des jeweiligen Datenwertes aus meiner Sicht erscheint. Damit kann abgeleitet werden, ob ein Fingerabdruck mit dem berechtigten Interesse legitimiert werden kann. Insbesondere Daten, die über einen einfachen Variablenzugriff erfolgen, also ohne etwas berechnen zu müssen, erscheinen für sich betrachtet unkritisch.

Rechtliche Bedingungen

Wie der EuGH im Urteil vom 22.11.2012 (Az.: C-119/12, Rn. 23) bereits feststellte, dürfen Verkehrsdaten nur ausnahmsweise und für legitime, notwendige Zwecke verwendet werden. Gemäß EuGH-Urteil vom 02.03.2021 (Az.: C-746/18, Rn. 45) ist es sogar Behörden untersagt, zur Verfolgung von Straftaten – sofern diese nicht schwerwiegend sind – auf Verkehrsdaten von Personen zuzugreifen. Erst recht gilt dies dann für Unternehmen in der freien Wirtschaft.

Auch dürfen laut EuGH-Urteil vom 19.10.2016 (Az.: 142/15, Rn. 64 – Urteil zu IP-Adressen) Online-Mediendienste personenbezogene (und somit personenbeziehbare) Daten nur erheben, sofern dies technisch notwendig ist.

Laut Beschluss des BVerfG vom 18.12.2016 (Az.: 1 BvR 142/15, Rn. 37) ist das informationelle Selbstbestimmungsrecht potentiell durch Verknüpfungsmöglichkeiten verschiedener Daten gefährdet und ist demgegenüber zu schützen.

Der § 15 Abs. 3 TMG schreibt vor, dass bei der Bildung von Nutzerprofilen eine Widerrufsmöglichkeit existieren muss. Sofern hierbei Cookies zum Einsatz kommen, muss gemäß BGH-Urteil zu Planet49 vorher eine Einwilligung (Art. 4 Nr. 11 DSGVO) abgefragt werden.

Hingegen findet m. E. weder die ePrivacy-Richtlinie (über § 15 Abs. 3 TMG gemäß BGH-Urteil zu Planet49) noch der § 25 TTDSG (ab Dezember 2021) Anwendung, weil die Daten des digitalen Fingerabdrucks gemäß der Maßstäbe der ePrivacy-Richtlinie nicht im Endgerät des Nutzers gespeichert sind.

Ansonsten gilt das Gebot der Datenminimierung (Art. 5 Abs. 1 c DSGVO). Im Artikel sind weitere Grundsätze der Datenverarbeitung genannt, etwa eine Zweckbindung, die kommuniziert werden muss (Datenschutzhinweise, Einwilligungsabfrage). Auch muss Datenschutz durch Technikgestaltung sichergestellt werden (Art. 25 DSGVO). Der Art. 32 DSGVO schreibt eine Sicherheit der Verarbeitung vor, etwa, indem mit pseudonymisierten Daten gearbeitet wird.

Die Artikel 29 Arbeitsgruppe, die Vorgängerin des Europäischen Datenschutzausschusses, hat eine Stellungnahme zum virtuellen Fingerabdruck veröffentlicht. Demnach wäre der Fingerabdruck gemäß ePrivacy-Richtlinie einwilligungspflichtig. Ich kann dem grundsätzlich nicht folgen, vor allem, wenn die IP-Adresse nicht ungekürzt gespeichert und eine Sitzung nicht länger als beispielsweise 24 Stunden ist und Fingerabdrucksdaten nicht übermäßig erhoben werden (vgl. hierzu auch die obige Tabelle von mir zu Datenkategorien). Ich lese die Stellungnahme nämlich so, dass die Arbeitsgruppe auf eine recht umfangreiche Datennutzung für die Bildung eines virtuellen Fingerabdrucks abstellt, für die sie die Einwilligung als erforderlich ansieht. Letzterem widerspreche ich nicht, sage aber, dass ein moderates Nutzen von Verkehrsdaten mit berechtigtem Interesse erlaubt scheint.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/browser-fingerprint
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Dieser Beitrag wird in anderen Beiträgen erwähnt

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Google Tag Manager: Betrachtung aus Datenschutzsicht