04.12.2014

Device Fingerprinting nur mit Zustimmung des Betroffenen & unter Beachtung der Cookie- und Datenschutz-Richtlinie zulässig

Vor gut einer Woche hat die Artikel-29-Datenschutzgruppe ihre Einschätzung „Opinion 9/2014 on the application of Directive 2002/58/EC“ veröffentlicht und auf die Einhaltung der Cookie- und Datenschutz-Anforderungen beim sog. Device Fingerprinting hingewiesen.

Die Artikel-29-Datenschutzgruppe ist ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes. Die Gruppe besteht aus je einem Vertreter der jeweiligen nationalen Datenschutzbehörden, dem Europäischen Datenschutzbeauftragten und einem (nicht stimmberechtigten) Vertreter der Europäischen Kommission. Die deutsche Vertreterin in der Artikel-29-Datenschutzgruppe ist die derzeitige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Andrea Voßhoff. Die Aufgaben der Datenschutzgruppe sind in Artikel 30 der Europäischen Datenschutzrichtlinie und Artikel 15 der Richtlinie 2002/58/EG (ePrivacy-/Cookie-Richtlinie) festgelegt. Danach hat die Gruppe vornehmlich beratende Funktion. Sie kann aber auch von sich aus Empfehlungen und Stellungnahmen zu allen Fragen abgeben, die den Schutz von Personen bei der Verarbeitung personenbezogener Daten in der Europäischen Gemeinschaft betreffen. Prüfungsmaßstab sind dabei insbesondere die beiden genannten Datenschutzrichtlinien.

Device Fingerprinting oder Browser Fingerprinting bezeichnet den Vorgang, bei dem auf Computern, Smartphones, Tablets oder anderen Endgeräten (den sog. Devices) gespeicherte Informationen (z.B. installierte Schriften, Auflösung, Plugins, MAC oder IP Adressen) ausgelesen werden. Anhand dieser Informationen wird dann ein Fingerabdruck errechnet, über den das Endgerät (Device) eindeutig wiedererkannt werden kann. Eingesetzt wird Device Fingerprinting vor allem zur verhaltensorientierten Werbung (Behavioral Targeting) sowie zu Analyse- und Sicherheitszwecken.

Von Device Fingerprinting zu unterscheiden sind sog. Cookies, deren Speicherung Nutzer in den jeweiligen Browser-Einstellungen unterbinden können, um sich vor Tracking im Web zu schützen. Aber auch wer die Speicherung von Cookies unterbindet, kann durch Device Fingerprinting trotzdem als bestimmter Nutzer anhand der jeweiligen Systemkonfiguration seines Endgerätes, die wie ein individueller Fingerabdruck wirkt, wiedererkannt werden. Diesen digitalen Fingerprint hinterlässt jeder Browser beim Aufrufen einer Webseite, indem er Informationen, beispielsweise Bildschirmeinstellungen und Browsertyp sowie verwendete Plugins, preisgibt. Im Klartext heißt das, dass ein Nutzer ohne sein Zutun und oft auch ohne sein Wissen umfangreiche Informationen hinterlässt. Diese Informationen ermöglichen es Webseitenbetreibern und werbetreibenden Unternehmen anhand ihrer jeweiligen Vielfalt, ein relativ individuelles Nutzerbild zu erstellen, dass es in der jeweilig individuellen Zusammensetzung dieser Informationen so nicht allzu häufig geben wird.

Aber genau diese Art der versteckten Datensammlung versetzt die Datenschützer europaweit – zu Recht – in Aufruhr. Deshalb warnt die Artikel-29-Datenschutzgruppe in ihrer Einschätzung davor, dass Device Fingerprinting wesentlich gefährlicher sei als reines Cookie-Tracking, da die so verarbeiteten Daten eines Nutzers von verschiedenen Anbietern über eine einzige Webseite hinaus auch mit anderen Webseiten geteilt werden können und so eine eindeutige Identifizierung eines identifizierbaren Nutzers über mehrere Webseiten hinweg ermöglichen. So können ganze Bewegungsprofile von Nutzern erstellt werden, ohne dass dies für einen normalen Nutzer erkennbar und abstellbar ist.

Dass diese technische Möglichkeit rechtlich aber extrem problematisch ist, dürfte auf der Hand liegen. Die Artikel-29-Datenschutzgruppe stellt in ihrer Einschätzung klar, dass Device Fingerprinting den Anforderungen der ePrivacy- bzw. Cookie-Richtlinie unterliegt und schlägt deshalb vor, dass Nutzer über den Einsatz von Device Fingerprinting Techniken durch den Webseitenbetreiber informiert werden und darüber hinaus nach einer ausdrücklichen Zustimmung (sog. Opt-In) gefragt werden müssen. Denn nach Ansicht der Artikel-29-Datenschutzgruppe ist die ePrivacy- bzw. Cookie-Richtlinie nicht nur auf Cookies, sondern auch auf vergleichbare Techniken wie Device Fingerprinting anwendbar. Zudem seien mithilfe von Device Fingerprinting erstellte Fingerabdrücke personenbezogene Daten und müssten daher auch den datenschutzrechtlichen Bestimmungen genügen.

Nach der Auslegung der ePrivacy- bzw. Cookie-Richtlinie durch die Artikel-29-Datenschutzgruppe ist Device Fingerprinting daher nur zulässig, wenn entweder

  • eine ausdrückliche Einwilligung der betroffenen Nutzer vorliegt (Einwilligung),
  • ausschließlich eine (wirklich!) pseudonyme Analyse durch den Webseitenbetreiber erfolgt,
  • Device Fingerprinting zur Erbringung eines vom Nutzer ausdrücklich verlangten Dienstes erforderlich ist (Dienste-Erforderlichkeit),
  • oder Device Fingerprinting ausschließlich zur Durchführung der Datenübermittlung (Transportzweck) bzw. zu einer gerätespezifischen Anpassung einer Webseitendarstellung an das Endgerät genutzt wird.

Nach dieser Auslegung ist Device Fingerprinting daher unzulässig, wenn Device Fingerprinting für verhaltensbezogene Werbung durch Dritte (z.B. Werbenetzwerkanbieter) genutzt wird. Hier ist eine ausdrückliche Einwilligung des betroffenen Nutzers erforderlich.

Wenngleich die Artikel-29-Datenschutzgruppe nur Empfehlungen und keine bindenden Regelungen aussprechen kann, geht der Vorschlag zum Einen in die datenschutzrechtlich richtige Richtung und zeigt zum Anderen die Ansicht der nationalen Datenschutzbehörden auf. Außerdem orientieren sich natürlich auch die jeweiligen Landesdatenschutzbeauftragten an den Empfehlungen der Artikel-29-Datenschutzgruppe, so dass davon auszugehen ist, dass auch diese eine ähnliche Ansicht vertreten könnten.

Allerdings muss in diesem Zusammenhang darauf hingewiesen werden, dass die Cookie-Richtlinie in Deutschland nicht wirklich bzw. nur sehr eigenwillig umgesetzt ist. Danach würde grundsätzlich § 15 Abs. 3 TMG greifen, wonach der Webseitenbetreiber für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Webseite Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht. Darüber hinaus hat der Webseitenbetreiber den Nutzer über sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG vor Beginn des Nutzungsvorgangs der Webseite hinzuweisen. Außerdem dürfen Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Im Grunde heißt das, dass ein Hinweis über den Einsatz von Device Fingerprinting in den Datenschutzhinweisen der Webseite genügen müsste und eine bereitgehaltene Opt-Out-Lösung – wie für Cookies üblich – ausreicht und die von der Artikel-29-Gruppe verlangte Opt-In-Lösung beim Device Fingerprinting nach deutschem Recht keine gesetzliche Grundlage hätte.

Aber der Teufel steckt natürlich im Detail: Denn auch wenn die Opt-Out-Privilegierung des § 15 Abs. 3 TMG beim Einsatz von Device Fingerprinting Techniken greifen kann, hört die Privilegierung da auf, wo die ermittelten Informationen einen individuellen Personenbezug haben und damit personenbezogene Daten darstellen (können). Dann ist (in der Regel) immer eine ausdrückliche Einwilligung der Nutzer (Opt-In) erforderlich – zumindest aber zu empfehlen – oder Device Fingerprinting alternativ nicht einzubinden. Andernfalls können sich Webseitenbetreiber gerade auch bei der Einbindung von Drittanbieterdiensten (z.B. Werbenetzwerke, Webtracker, Analysetools), die Device Fingerprinting Techniken verwenden, ohne dass es der Webseitenbetreiber weiß, selbst angreifbar machen. Datenschutzrechtliche Verstöße können im Übrigen von Aufsichtsbehörden mit Bußgeldern bestraft oder teilweise auch von Wettbewerbern angegriffen werden.