Neue Trackingmethode: Sind Webbrowser-Fingerprints mit dem Datenschutzrecht vereinbar?

Kein Beitragsbild

Redaktion Dr. Web

Unter der Bezeichnung “Redaktion Dr. Web” findest du Beiträge, die von mehreren...

Das sogenannte „Tracking“ von Userverhalten ist schon seit langem ein lukratives Geschäft für viele Unternehmen, besonders im Bereich des E-Business. Denn anhand der gewonnenen Informationen könnten passgenaue Profile der Internetnutzer ausgearbeitet und interessengerechte Werbung ausgesteuert werden. Bisher basierte das Tracking in erster Linie auf Cookies, die auf dem Endgerät des Users gespeichert werden. Doch immer
beliebter werden die sogenannten „Webbrowser Fingerprints“, die auch zum Internettracking verwendet werden können.

dirt-88534_640

Was sind Browser Fingerprints?

Bei der neuen Trackingmethode Browser Fingerprinting werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt. Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Wenn diese Daten zusammengesetzt werden, ergibt sich daraus ein „digitaler Fingerabdruck“ eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit wiedererkannt werden kann.

Grundlagen des Trackings

Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und es wird eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden. Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies, IP-Adressen etc.) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.

So können mehrere rechtliche Fragen gestellt werden: Ist Datenschutzrecht überhaupt anwendbar? Wer ist im Drei-Personen-Verhältnis, wenn die Fingerprints von Drittanbietern verarbeitet werden, verantwortliche Stelle und damit für die Verarbeitung zuständig? Weiter gibt es auch rechtliche Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

detektiv

Anwendbarkeit des Datenschutzrechts

Im Moment wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterfallen. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die „hinter“ dem Browser stehende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte. Eine Zuordnung ist – wenn überhaupt – nur dann möglich, wenn Zusatzinformationen vorhanden sind, oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der Internetuser eine zwar eindeutige, aber nicht zuordenbare Person. Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter und es ist nach der rechtlichen Zulässigkeit zu fragen.

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig sind. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten- sollte keine vorherige Einwilligung vorliegen- eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

Kennst du unser E-Book-Bundle? Spare jetzt 6,99 €!

E-Book Bundle von Andreas Hecht
§ 15 TMG Nutzungsdaten 

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 

(2) (…) 

Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt.

Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen. Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden, und ein Widerspruch dagegen möglich ist.

Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unproblematisch erfüllt werden.

Verantwortliche Stelle beim Browser Fingerprinting

Aufgrund des Dreiecksverhältnisses zwischen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klären, wer genau verantwortliche Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könnte jeder, der direkt für die Datenerhebung und Verarbeitung zuständig ist,verantwortliche Stelle sein.

Unstreitig ist bei der Erhebung von personenbezogenen Daten des Nutzers durch den Webseitenbetreiber dieser als verantwortliche Stelle anzusehen. Erhebt der Drittanbieter die personenbezogenen Daten für seine Werbezwecke, ist er verantwortliche Stelle. Einige vertreten noch die Ansicht, dass der Webseitenbetreiber ebenfalls für die Verarbeitung durch den Drittanbieter verantwortlich sei. Dagegen spricht jedoch, dass der Webseitenbetreiber beispielsweise nicht zwischen Nutzer und Drittanbieter steht und die übermittelten Daten überhaupt nicht kennt. Damit kann der Webseitenbetreiber in diesem Verhältnis nicht als verantwortliche Stelle angesehen werden.

Es ist davon auszugehen, dass nur derjenige verantwortliche Stelle ist, der die Daten auch direkt erhoben hat.

crowd-sourcing-154759_640

Fazit: Zulässiges Tracking, soweit hinreichend anonymisiert

Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden.

Dies ist sehr zu begrüßen, denn das anonymisierte Internettracking stellt insbesondere für E-Business Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schalten und damit passgenaue Angebote zu machen. Nur mit einer gezielten Werbung kann es Unternehmen gelingen, schnell zu wachsen und sich auf dem Markt durchzusetzen.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter anderem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zuständig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

Für die ISiCO Datenschutz GmbH verantwortet Frau Martz die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Redaktion Dr. Web

Unter der Bezeichnung “Redaktion Dr. Web” findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

Hinterlasse einen Kommentar

3 Kommentare auf "Neue Trackingmethode: Sind Webbrowser-Fingerprints mit dem Datenschutzrecht vereinbar?"

Benachrichtige mich zu:
avatar
Sortiert nach:   neueste | älteste | beste Bewertung
Eric Tuerlings
Gast

Die Trackingmethode mittels Webbrowser-Fingerprints kann man z.T unterbinden mit dem Firefox-Plugin “SecretAgent”:
https://www.dephormation.org.uk/index.php?page=81

Florian Führen
Gast
Ich persönlich finde die Formulierung “soweit dies erforderlich ist” im Paragraphen zum Tracking schon interessant. Technisch erforderlich? Aus Sicht eines Werbenden, oder eines Betreibers? Insgesamt gibt es wohl noch viele Löcher und offene Baustellen und es wird noch einige Zeit dauern, bis geklärt ist, wer was darf und öffentlich zu machen hat. Voraussetzung ist aber immer, dass überhaupt darüber gesprochen wird und das geschieht meines Erachtens noch zu selten. Daher freue ich mich immer über solche Posts, weil sie auch Vorurteile und Verallgemeinerungen unter den Nutzern beseitigen können, die sonst nicht mitten im Geschehen sind und Details nur vom Hörensagen… Read more »
Felix
Gast

Ich verstehe vor allem nicht, welches technische Erfordernis jemand für sich geltend machen will, zu dem ich eigentlich keine Verbindung aufnehmen wollte. Ein technisches Erfordernis kann auch nicht gegeben sein, alle Schriftarten abzufragen oder alle Plug-ins. Höchstens das Vorhandensein einer bestimmten Schriftart, falls diese genutzt werden soll oder eines Plug-ins, das genutzt werden soll. Alles andere ist Ausspähen der Privatsphäre.

Datenschutz gibt es also auch dabei nicht wirklich. Das ist ja eine Bankrotterklärung des Rechtsstaats.

wpDiscuz