Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Browser Fingerprinting und das TTDSG: Erlaubt oder nicht?

3

Weil das neue deutsche Datenschutzgesetz, TTDSG, Anfang Dezember 2021 in Kraft tritt, beschäftigen sich immer mehr Juristen mit der Frage, ob das Fingerprinting zu Tracking-Zwecken vergleichbar mit Cookies ist. Speziell geht es darum, ob dafür eine Einwilligung aus dem TTDSG abgeleitet werden kann, ob also eine Cookie-ähnliche Technologie vorliegt. Entschuldigung vorab, dass ich als Informatiker dieses hauptsächlich technische Thema betrachte.

Einleitung

Das TTDSG bringt für viele Betreiber von Webseiten nur bedingt etwas Neues. Die jetzige Diskussion zum Fingerprinting hat allerdings ihre Berechtigung. Die ePrivacy-Richtlinie gilt faktisch schon seit längerem in Deutschland, nämlich seit dem BGH-Urteil zu Planet49. Allerdings ist die Richtlinie im Lichte des TMG zu sehen und zielt somit wohl nur auf die Zwecke Marketing und Nutzerprofilbildung ab, wohingegen § 25 TTDSG für alle Zwecke Anwendung findet, die technisch nicht notwendig sind.

Das TTDSG verschärft das Einwilligungserfordernis für technisch nicht notwendige Cookies in Deutschland.

Cookies sind vielen bekannt. Das sind Datensätze, die im Endgerät eines Nutzers von dessen Browser verwaltet und gespeichert werden. Cookies sind keine Textdateien. Ein Cookie wird von einem Dienst erzeugt. Ein Dienst kann eine besuchte Webseite selber sein. Dann handelt es sich meist um Cookies zur Verwaltung von Sitzungen, etwa von Warenkörben, Redakteuren oder Administratoren. Cookies werden aber oft auch von Diensten wie Google Maps erzeugt, und zwar unnötigerweise. Viele verstehen das anscheinend nicht und setzen Google Maps ohne Einwilligung ein. Das ist völlig unnötig, weil es datenschutzfreundliche Alternativen für interaktive Karten gibt.

Ein digitaler oder virtueller Fingerabdruck hilft dabei, Nutzer recht eindeutig zu erkennen. Das ist vor allem dafür hilfreich und legitim, um einen halbwegs aussagekräftigen Besucherzähler zu haben. Denn wenn ein und derselbe Nutzer immer wieder als neu angesehen wird, werden alle Aufrufe ein und derselben Seite, die dieser Nutzer macht, doppelt gezählt. Für den Besucherzähler sieht es dann so aus, als hätten mehrere verschiedene Nutzer eine Seite aufgerufen, obwohl es nur einer war. Damit wird das Konstrukt des Besucherzählers etwas ad absurdum geführt, denn der Zweck des Zählens ist vor allem eine repräsentative Statistik. Das Endziel ist meist das Optimieren von Inhalten. Besonders gut funktionierende Beiträge können weiter unterstützt werden. Beiträge, für die eine Mindestzugriffszahl für die VG Wort Ausschüttung fast erreicht wurde, können mit mehr Aufmerksamkeit bedacht werden.

Ein Browser Fingerprint hat zunächst nichts mit einem Cookie zu tun. Denn erstens werden beim Fingerprinting keine Daten im Endgerät eines Nutzers gespeichert. Das TTDSG führt übrigens den Begriff Endeinrichtung statt Endgerät ein. Eine Endeinrichtung ist nicht nur ein Endgerät, also ein Smartphone oder PC, sondern kann auch ein vernetzter Toaster sein (obwohl dieses Beispiel oft gebracht wird, ist es wenig zielführend und zeugt von falschem Verständnis der zentralen Einwilligungsverwaltung nach § 26 TTDSG).

Beim Fingerprinting werden aber Daten ausgelesen. Hier stellt sich die Frage, ob dies in einer Weise geschieht, die in § 25 TTDSG genannt ist, nämlich „… Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind…“.

Aus welchen Informationen besteht ein digitaler Fingerabdruck?

Im Allgemeinen kann der Jurist diese Frage nicht kompetent beantworten, versucht es aber dennoch, wie zahlreiche Fachartikel zeigen. Leider meinen viele Fachmagazine, nur Juristen könnten Aufsätze zum digitalen Datenschutz schreiben.

Die Artikel 29 Arbeitsgruppe ist der Vorgänger des Europäischen Datenschutzausschusses. Die Artikel 29 Gruppe gab mehrere Stellungnahmen und Meinungen zur DSGVO ab, die eine gewisse Verbindlichkeit ausstrahlen und ernst zu nehmen sind. Diesen Äußerungen der Artikel 29 Gruppe stimme ich meistens sehr zu.

Im Fall des virtuellen Fingerabdrucks allerdings muss ich der Artikel 29 Gruppe ein wenig mangelnde Kompetenz zusprechen. Gleiches gilt für (ansonsten sehr gute) Beiträge von einigen Autoren in Fachzeitschriften.

Viele sprechen nur von Fingerabdrucksdaten und unterscheiden kaum bis gar nicht, welche Art von Daten dies aus technischer Sicht sind. Es geht hier sehr um die technische Sicht, weil es erstens darum geht, ob ein Zugriff vorliegt und zweitens, ob die zugegriffenen Daten in der Endeinrichtung gespeichert waren.

Folgende Arten von Daten unterscheide ich folgend:

  • Implizit vorliegende Daten: Diese Daten werden beim Abruf einer Webseite oder Datei über das Internet automatisch, also zwangsweise und unaufgefordert, immer an den Server geschickt, an den die Anfrage sich richtet, die Webseite oder Datei bereitzustellen.
  • Explizit vorliegende Daten. Dies sind Daten, die selber beschafft werden müssen, also nicht direkt vorliegen. Hier unterscheide ich zwei Unterarten:
    • Vorgesehener Zugriff: Die Beschaffung dieser Art von Daten ist vorgedacht worden, etwa indem in JavaScript eine vorgesehene Möglichkeit geschaffen wurde, die einfach nutzbar ist. Beispiel: Bildschirmauflösung. Diese kann über ein einfaches Auslesen eine Variable ermittelt werden.
    • Unvorhergesehener Zugriff: Diese Art von Daten müssen auf speziellem, nicht standardisiertem Weg beschafft werden. Hierzu gehört beispielsweise die Ermittlung von installierten Schriften. Die Ermittlung installierter Plugins ist ein Sonderfall. Sie war früher nicht vorgesehen, dann von einigen Browsern schon, nun aber nicht mehr, meist aus Datenschutzgründen.

Anhand dieser letztendlich drei Datenkategorien gebe ich Beispiele aus der Praxis, die für den digitalen Fingerabdruck relevant sind.

DatenwertErhaltIm Endgerät gespeichert?Zugriff vorgesehen?
IP-AdresseImplizitNeinNicht nötig
BildschirmauflösungExplizitNeinJa: Javascript-Variable
Farbtiefe Explizit Nein Ja: Javascript-Variable
User-Agent Implizit Könnte man sagen Nicht nötig
Installierte SchriftenExplizitBestandsaufnahmeNein (Beispiel)
Installierte PluginExplizitBestandsaufnahmeNein
Arten von Fingerprint-Daten (Auszug)

Welche Daten bedürfen eines Zugriffs?

Im Sinne des § 25 TTDSG bedürfen die implizit erhaltenen Daten keines Zugriffs im technischen Sinne. Sie sind daher durch das TTDSG nicht besonders geschützt. Hierzu gehört etwa die IP-Adresse als personenbezogenes Datum, deren Weiterverarbeitung allerdings durch die DSGVO geschützt ist. Auch der User-Agent, der die Browser-Version und das Betriebssystem angibt, gehört zu dieser Datenkategorie.

Man muss hier wohl zwischen Zugreifen und Auslesen unterscheiden, was ich hiermit vorschlage. Ein Auslesen jedenfalls, sofern es nicht dem Vorgang des Zugreifens zuzuordnen ist, ist vom TTDSG nicht erfasst. Das TTDSG thematisiert hier also nicht die Verarbeitung, sondern den Zugriff. Derartige Trennung sehen auch zahlreiche andere Autoren, etwa dergestalt, dass sie unterscheiden zwischen der Prüfung einer Einwilligungserforderlichkeit für den Zugriff und einer für die anschließende Datenverarbeitung.

Welche Daten sind in der Endeinrichtung gespeichert?

Für diese Frage sind im aktuellen Kontext nur die Daten zu betrachten, auf die explizit zugegriffen werden muss, die also nicht schon implizit vorliegen, ist meine Ansicht.

Besucherzähler müssen aufgrund des TTDSG zum 01.12.2021 auf den Prüfstand.

Konsequenz aus § 25 TTDSG

Die Bildschirmauflösung ist nicht per se im Endgerät gespeichert. Auf sie muss also nicht zwangsläufig im Endgerät oder der Endeinrichtung zugegriffen werden. Man kann diesen Umstand technisch herleiten. Soweit ich weiß, ist der Monitor an meinem PC nicht Teil des Endgeräts. Der Monitor verwaltet seine Auflösung selber und lässt lediglich zu, dass der PC den Monitor konfiguriert. Diese Konfiguration ist flüchtig im Monitor gespeichert und muss nicht im PC gespeichert werden, kann es aber aus Komfortgründen.

Bei einem Smartphone ist der Bildschirm Teil des Endgeräts. Soweit ich weiß, kann die Bildschirmauflösung auf gängigen Smartphones normalerweise nicht verändert werden. Vielmehr kann eine Hoch- oder Querformat-Ansicht durch Drehen des Endgeräts bzw. Bildschirms, was aktuell meist dasselbe ist, aufgerufen werden. Alleine an der Ansichtart (Hochformat oder Querformat), die die Bildschirmauflösung bestimmt, wird deutlich, dass die Bildschirmauflösung nicht originär im Endgerät gespeichert sein kann. Denn ob Hoch- oder Querformat ist sekündlich vom Nutzer nach Belieben änderbar. Es wird lediglich flüchtig vermerkt, welche Ansicht gerade gewählt wurde.

Schlussfolgerungen

Bereits für einfache Besucherzähler, die versuchen, Nutzer über Fingerprint-Daten zu unterscheiden, ist ab dem 01. Dezember 2021 ein (neues) Einwilligungserfordernis genau zu prüfen. Hiervon betroffen sind u.a. Matomo und andere datenschutzfreundliche Tools. Es gibt aber einen Ausweg auf Basis vorhandener Rechtsgrundlagen, den ich bald vorstellen werden.

Daten, die zum Bilden eines digitalen Fingerabdrucks genutzt werden, werden vorher nicht in Endgeräten oder Eineinrichtungen gespeichert. Dies steht im Unterschied zu Cookies.

Daten, die implizit vorliegen, wie etwa die IP-Adresse oder der User-Agent, müssen nicht zugegriffen werden. Sie werden also nicht vom § 25 TTDSG erfasst und sind somit insofern unkritisch. Deren Weiterverarbeitung obliegt den Regeln der DSGVO, nicht des § 25 TTDSG.

Für Daten, die explizit ausgelesen werden müssen, ist die Lage unklar. Hier sind meiner Einschätzung nach möglicherweise Daten zu unterscheiden, die in vorgesehener Weise (also über Standardmechanismen) zugänglich sind und solche, die erst umständlich oder arglistig besorgt werden müssen. Zu ersterer harmlosen Kategorie gehört die Bildschirmauflösung. Zu zweiterer, kritischen Kategorie gehört das Canvas Fingerprinting.

Allerdings ist die Betrachtung aus dem vorigen Absatz wohl eher theoretischer Natur. Denn spätestens, wenn diese zugegriffen Daten verarbeitet werden sollen, muss über die Rechtmäßigkeit dieses Vorhabens entschieden werden. Die Ausnutzung eines Canvas Fingerprints jedenfalls ist wohl ohne Einwilligung unzulässig. Daher ist es wohl im Endergebnis nahezu egal, ob der Akt des Canvas Fingerprintings durch das TTDSG verboten oder durch die DSGVO, und aus beiden Verbotsgründen jeweils einer Einwilligung bedürfte.

Andererseits müsste gegebenenfalls sowohl für den Zugriff als auch für das Nutzen der Daten jeweils eine Einwilligung eingeholt werden. Da dies aber in einer einzigen Einwilligungsabfrage gesammelt abgefragt werden kann, ist der praktische Unterschied kaum spürbar und beschränkt sich auf Formalien. Diese Formalien sind, so oder so, kaum einzuhalten, wie man daran sieht, dass es kaum eine Webseite schafft, mit den marktüblichen angeblichen Cookie-Lösungen rechtskonform zu sein.

Daten, die nicht im Endgerät des Nutzers gespeichert sind, können im Sinne des TTDSG auch nicht zugegriffen werden. So sehe ich es. Die Bildschirmauflösung ist nicht im Endgerät des Nutzers gespeichert, jedenfalls nicht notwendigerweise und schon gar nicht vom Browser, sondern höchstens vom Betriebssystem, und zwar, damit der Nutzer nicht bei jedem Neustart seines Rechners die Bildschirmauflösung richtig einstellen muss.

Warum das Zählen von Besuchern mit Hilfe von Sitzungs-Cookies meiner Ansicht nach aufgrund von TTDSG und DSGVO erlaubt ist, werde ich in einem späteren Beitrag begründen. Das entschärft auch die zukünftige Nutzung von Matomo und anderen datenschutzfreundlichen Diensten.

Wer nicht so lange warten will und auch gerne weitere Fragen geklärt haben möchte, findet im Seminar am 07.12.2021 in Frankfurt eine Möglichkeit.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/browser-fingerprinting-und-das-ttdsg
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
  1. Lacrosse

    Danke für diesen Beitrag. Ich bin mir etwas unschlüssig, was die Herleitung der Einschätzung zur IP-Adresse angeht – zumindest in allgemeiner Hinsicht. Das Kriterium wäre der Umstand: “auf dem Endgerät gespeichert bzw. Zugriff auf dortige Informationen”. Der Router kann in Telekommunikationsnetzen ein Endgerät sein – die IP-Adresse ist als Information auf diesem Endgerät vorhanden. Ich zitiere aus einer Veröffentlichung es BMWi: [..] Der Router selbst gehört als aktives Endgerät somit nicht mehr zum Telekommunikationsnetz. […]. (https://www.bmwi.de/Redaktion/DE/Artikel/Digitale-Welt/freie-routerwahl.html). I.d.R. sitzt der Internet Service Provider zwischen dem Endnutzer und etwaigen Dritten – damit ist die IP-Adresse des Routers für einen Dritten nicht auslesbar. Diese ist aber dennoch als Information auf einem Endgerät anzusehen – schließlich benötigt der ISP die IP-Adresse zum Verbindungsaufbau zwischen Endnutzer und Dritten (Router zu ISP zu Ziel). Aus meiner Sicht treffen daher die Ausnahmetatbestände in § 25 Absatz 2 TTDSG für IP-Adresse zu und eben nicht der Umstand, dass die IP nicht auf einem Endgerät vorhanden wäre. Mir ist klar, dass der Beitrag seinen Fokus auf das Finger Printing legt und eine “Einzelfallbetrachtung” ist. Ich würde den Satz: […] Daten, die implizit vorliegen, wie etwa die IP-Adresse oder der User-Agent, müssen nicht zugegriffen werden. Sie werden also nicht vom § 25 TTDSG erfasst und sind somit insofern unkritisch. […] aber nicht pauschal mitgehen wollen.

    Natürlich wäre das Ergebnis das gleiche… 😉

    • Dr. DSGVO

      Vielen Dank für Ihren konstruktiven Kommentar mit tiefer gehender Begründung!
      Sie schreiben, das Ergebnis wäre das gleiche (egal, ob man es wie Sie oder wie ich sieht).
      Dennoch möchte ich kurz auf den erwähnten Router eingehen.
      Sie schreiben, dass der Router ein aktives Endgerät sei. Somit wäre der Router nicht im Endgerät des Nutzers enthalten, sondern ein eigenes Endgerät. Somit erfolgt der Zugriff nicht auf das Endgerät des Nutzers, sondern auf ein an das Endgerät des Nutzers angeschlossenes Endgerät.
      Hierbei ist wichtig zu unterscheiden, dass der Router aus Sicht der zugreifenden Webseite bereits vor dem Endgerät des Nutzers liegt. Es wird also gar nicht auf das Endgerät des Nutzers zugegriffen, sondern auf ein vorgelagertes Gerät.
      So immerhin könnte man es auch verstehen. Das wird erhärtet durch Ihre o.g. Aussage des BMWi, dass der Router nicht zum Telekommunikationsnetz gehöre.

      • Lacrosse

        Vielen Dank für die Antwort. Exakt das ist der Kern meiner Unschlüssigkeit: Ist die Definition was ein Endgerät darstellt, in Relation zur Empfängerseite zu sehen (es kommt darauf an) oder eine technische Definition?

        Wie sie richtig schreiben, aus Sicht einer Webseite ist der z.B. der PC das Endgerät (Browser-Informationen; OS; Auflösung usw.). Der Router leitet die Pakete lediglich weiter.

        Aus der Sicht eines ISP ist der Router das Endgerät . Dieser liest Informationen aus (z.B. IP) oder speichert dort sogar Informationen (z.B. Update), sondern der Router durch den ISP bereitsgestellt wurde.

        Eine (einheitlichen) technische Definition wäre mir zwar lieber. Allerdings können sich hinter einem Router auch mehrere Endnutzer / Endgeräte befinden.

        Ich befürchte daher, dass es auf ein “es kommt darauf an” hinausläuft. Ich möchte mich an dieser Stelle für den Denkanstoß in Ihrem Beitrag bedanken…

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Die Online Vermarktung eigener Leistungen: Vertrauen Sie sich selber oder doch lieber anderen Plattformen?