Spaces. Smartes Cloud Hosting für anspruchsvolle Webprojekte. Loslegen und Spaces testen. Von Mittwald.
Redaktion Dr. Web 5. Dezember 2013

Neue Trackingmethode: Sind Webbrowser-Fingerprints mit dem Datenschutzrecht vereinbar?

Das soge­nann­te „Tracking“ von Userverhalten ist schon seit lan­gem ein lukra­ti­ves Geschäft für vie­le Unternehmen, beson­ders im Bereich des E-Business. Denn anhand der gewon­ne­nen Informationen könn­ten pass­ge­naue Profile der Internetnutzer aus­ge­ar­bei­tet und inter­es­sen­ge­rech­te Werbung aus­ge­steu­ert wer­den. Bisher basier­te das Tracking in ers­ter Linie auf Cookies, die auf dem Endgerät des Users gespei­chert wer­den. Doch immer
belieb­ter wer­den die soge­nann­ten „Webbrowser Fingerprints“, die auch zum Internettracking ver­wen­det wer­den kön­nen.

dirt-88534_640

Was sind Browser Fingerprints?

Bei der neu­en Trackingmethode Browser Fingerprinting wer­den durch eine belie­bi­ge Website Informationen über einen bestimm­ten Browser gesam­melt. Einige Informationen wer­den vom Computer auto­ma­tisch an den Webserver geschickt, ande­re las­sen sich durch JavaScript oder Flash aus­le­sen. Dazu gehö­ren Informationen wie etwa die instal­lier­ten Schriftarten auf einem Browser, das ver­wen­de­te Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie instal­lier­te Plugins. Wenn die­se Daten zusam­men­ge­setzt wer­den, ergibt sich dar­aus ein „digi­ta­ler Fingerabdruck“ eines Systems, was dazu führt, dass die­ses Gerät mehr oder weni­ger genau jeder­zeit wie­der­erkannt wer­den kann.

Grundlagen des Trackings

Grundsätzlich kön­nen Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) glei­cher­ma­ßen Nutzerdaten für Werbezwecke nach­ver­fol­gen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet auf­ruft, kann die­ser die Informationen des Nutzers tra­cken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers ein­ge­bun­den. Wenn der Nutzer eine Internetseite auf­ruft, wird auch eine Verbindung zwi­schen Drittanbieter und Nutzer her­ge­stellt und es wird eine direk­te Kommunikation zwi­schen Nutzer und dem Drittanbieter ermög­licht. In bei­den dar­ge­stell­ten Fällen kön­nen Daten des Nutzers über­tra­gen wer­den. Unter Datenschutzgesichtspunkten ist neben den ande­ren Formen des Trackings (Cookies, IP-Adressen etc.) gera­de das Browser Fingerprinting eine sehr umstrit­te­ne Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschlie­ßend bewer­tet wur­de.

So kön­nen meh­re­re recht­li­che Fragen gestellt wer­den: Ist Datenschutzrecht über­haupt anwend­bar? Wer ist im Drei-Personen-Verhältnis, wenn die Fingerprints von Drittanbietern ver­ar­bei­tet wer­den, ver­ant­wort­li­che Stelle und damit für die Verarbeitung zustän­dig? Weiter gibt es auch recht­li­che Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

detektiv

Anwendbarkeit des Datenschutzrechts

Im Moment wird dis­ku­tiert, ob Browser Fingerprints über­haupt dem Datenschutzrecht unter­fal­len. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von per­so­nen­be­zo­ge­nen Daten Anwendung fin­det. Browser Fingerprints kön­nen jedoch nicht zwangs­läu­fig Rückschlüsse auf die „hin­ter“ dem Browser ste­hen­de Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es kei­ne Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimm­ten Account oder einer bestimm­ten Person zuord­nen könn­te. Eine Zuordnung ist – wenn über­haupt – nur dann mög­lich, wenn Zusatzinformationen vor­han­den sind, oder wenn der Fingerprint zusam­men mit der IP-Adresse in einer Datenbank gespei­chert wird. Solange die­ses Zusatzwissen nicht vor­han­den ist, bleibt der Internetuser eine zwar ein­deu­ti­ge, aber nicht zuor­den­ba­re Person. Sollte man von einer Anwendbarkeit des deut­schen Datenschutzrechts aus­ge­hen, wird der Sachverhalt kom­pli­zier­ter und es ist nach der recht­li­chen Zulässigkeit zu fra­gen.

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst aus­schließ­lich die Browserdaten, ist zu klä­ren, ob die Erhebung und Verarbeitung die­ser Daten über­haupt zuläs­sig sind. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten- soll­te kei­ne vor­he­ri­ge Einwilligung vor­lie­gen- eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

§ 15 TMG Nutzungsdaten 

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 

(2) (…) 

Die Übermittlung der IP-Adresse ist zwin­gend erfor­der­lich, wenn der Internetnutzer den jewei­li­gen Telemediendienst in Anspruch neh­men möch­te. Ohne die Übermittlung der IP-Adressen, könn­te zwi­schen den Parteien kein Kontakt zustan­de kom­men. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erfor­der­lich sind, über § 15 Abs.1 TMG gerecht­fer­tigt.

Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfol­gen. Die Unternehmen müs­sen den Internetnutzer außer­dem dar­über infor­mie­ren, dass sei­ne Daten zu Zwecken der Werbung erho­ben oder ver­wen­det wer­den, und ein Widerspruch dage­gen mög­lich ist.

Unternehmen soll­ten die­se Information zum Beispiel in ihre Datenschutzerklärung ein­bau­en. Damit kön­nen die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unpro­ble­ma­tisch erfüllt wer­den.

Verantwortliche Stelle beim Browser Fingerprinting

Aufgrund des Dreiecksverhältnisses zwi­schen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klä­ren, wer genau ver­ant­wort­li­che Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könn­te jeder, der direkt für die Datenerhebung und Verarbeitung zustän­dig ist,verantwortliche Stelle sein.

Unstreitig ist bei der Erhebung von per­so­nen­be­zo­ge­nen Daten des Nutzers durch den Webseitenbetreiber die­ser als ver­ant­wort­li­che Stelle anzu­se­hen. Erhebt der Drittanbieter die per­so­nen­be­zo­ge­nen Daten für sei­ne Werbezwecke, ist er ver­ant­wort­li­che Stelle. Einige ver­tre­ten noch die Ansicht, dass der Webseitenbetreiber eben­falls für die Verarbeitung durch den Drittanbieter ver­ant­wort­lich sei. Dagegen spricht jedoch, dass der Webseitenbetreiber bei­spiels­wei­se nicht zwi­schen Nutzer und Drittanbieter steht und die über­mit­tel­ten Daten über­haupt nicht kennt. Damit kann der Webseitenbetreiber in die­sem Verhältnis nicht als ver­ant­wort­li­che Stelle ange­se­hen wer­den.

Es ist davon aus­zu­ge­hen, dass nur der­je­ni­ge ver­ant­wort­li­che Stelle ist, der die Daten auch direkt erho­ben hat.

crowd-sourcing-154759_640

Fazit: Zulässiges Tracking, soweit hinreichend anonymisiert

Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints unge­klärt. Einigkeit besteht dar­über, dass die­se Methode des Trackings zuläs­sig ist, wenn Unternehmen in einer pseud­ony­mi­sier­ten Art und Weise tra­cken, und die Nutzer über das Widerspruchsrecht infor­miert wer­den.

Dies ist sehr zu begrü­ßen, denn das anony­mi­sier­te Internettracking stellt ins­be­son­de­re für E-Business Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schal­ten und damit pass­ge­naue Angebote zu machen. Nur mit einer geziel­ten Werbung kann es Unternehmen gelin­gen, schnell zu wach­sen und sich auf dem Markt durch­zu­set­zen.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zwei­ten Staatsexamen meh­re­re Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter ande­rem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zustän­dig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut nam­haf­te natio­na­le und inter­na­tio­na­le Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angren­zen­den Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erschei­nen regel­mä­ßig Fachaufsätze zu Rechtsfragen aus dem digi­ta­len Themenspektrum.

Für die ISiCO Datenschutz GmbH ver­ant­wor­tet Frau Martz die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen, wel­ches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbie­tet.

Redaktion Dr. Web

Unter der Bezeichnung "Redaktion Dr. Web" findest du Beiträge, die von mehreren Autorinnen und Autoren kollaborativ erstellt wurden. Auch Beiträge von Gastautoren sind hier zu finden. Beachte dann bitte die zusätzlichen Informationen zum Autor oder zur Autorin im Beitrag selbst.

3 Kommentare

  1. Die Trackingmethode mit­tels Webbrowser-Fingerprints kann man z.T unter­bin­den mit dem Firefox-Plugin “SecretAgent”:
    https://www.dephormation.org.uk/index.php?page=81

  2. Ich per­sön­lich fin­de die Formulierung “soweit dies erfor­der­lich ist” im Paragraphen zum Tracking schon inter­es­sant. Technisch erfor­der­lich? Aus Sicht eines Werbenden, oder eines Betreibers?
    Insgesamt gibt es wohl noch vie­le Löcher und offe­ne Baustellen und es wird noch eini­ge Zeit dau­ern, bis geklärt ist, wer was darf und öffent­lich zu machen hat. Voraussetzung ist aber immer, dass über­haupt dar­über gespro­chen wird und das geschieht mei­nes Erachtens noch zu sel­ten. Daher freue ich mich immer über sol­che Posts, weil sie auch Vorurteile und Verallgemeinerungen unter den Nutzern besei­ti­gen kön­nen, die sonst nicht mit­ten im Geschehen sind und Details nur vom Hörensagen ken­nen.
    Für den Rest ist es immer noch schön, jetzt auch die pas­sen­den Paragraphen zu ken­nen. Danke also dafür :-)

    • Ich ver­ste­he vor allem nicht, wel­ches tech­ni­sche Erfordernis jemand für sich gel­tend machen will, zu dem ich eigent­lich kei­ne Verbindung auf­neh­men woll­te. Ein tech­ni­sches Erfordernis kann auch nicht gege­ben sein, alle Schriftarten abzu­fra­gen oder alle Plug-ins. Höchstens das Vorhandensein einer bestimm­ten Schriftart, falls die­se genutzt wer­den soll oder eines Plug-ins, das genutzt wer­den soll. Alles ande­re ist Ausspähen der Privatsphäre.

      Datenschutz gibt es also auch dabei nicht wirk­lich. Das ist ja eine Bankrotterklärung des Rechtsstaats.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.