Device Fingerprinting: Cookie- und Datenschutz-Richtlinie sind zu beachten, so die Artikel 29 Arbeitsgruppe

Die EU-Datenschutzbehörden haben auf die Einhaltung der Cookie- und Datenschutz-Anforderungen beim sogenannten „Device Fingerprinting“ hingewiesen. Die Einschätzung mit dem Titel „Opinion 9/2014 on the application of Directive 2002/58/EC“ (englisch) stammt von der Artikel 29 Arbeitsgruppe, einem unabhängigen europäischen Datenschutz-Beratungsgremium, in dem Vertreter der nationalen Datenschutzbehörden sitzen.

Beim Device Fingerprinting werden auf Computern, Smartphones, Tablets oder anderen Endgeräten gespeicherte Informationen (z.B. installierte Schriften, Auflösung, Plugins, MAC oder IP Adressen) ausgelesen und anhand dieser ein Fingerabdruck errechnet, über den das Endgerät eindeutig wiedererkannt werden kann. Device Fingerprinting wird vorallem zur verhaltensorientierten Werbung (Behavioral Targeting) sowie zu Analyse- und Sicherheitszwecken genutzt.

Der Fingerabdruck kann durch verschiedene Anbieter ermittelt werden, wodurch eine Nachverfolgung über Webseiten hinweg möglich ist. Device Fingerprinting ist zudem für den normalen Nutzer intransparent und kaum abzustellen.

Die Artikel 29 Arbeitsgruppe stellt klar, dass das Device Fingerprinting den Anforderungen der ePrivacy-Richtlinie unterliegt (auch Cookie-Richtlinie genannt). Diese sei nicht nur auf Cookies anwendbar, sondern auch auf vergleichbare Techniken wie das Device Fingerprinting. Mit Device Fingerprinting erstellte Fingerabdrücke seien zudem personenbezogene Daten und müssten daher auch den datenschutzrechtlichen Bestimmungen genügen.

Nach der ePrivacy-Richtlinie und deren Auslegung durch die Artikel 29 Arbeitsgruppe ist ein Device Fingerprinting nur zulässig, wenn

•  eine ausdrückliche Einwilligung vorliegt (Einwilligung)
•  das Device Fingerprinting erforderlich ist, um einen vom Nutzer ausdrücklich verlangten Dienst zu erbringen (Dienste-Erforderlichkeit), oder
• ausschließlich zur Durchführung der Datenübermittlung genutzt wird (Transportzweck)

Unzulässig sei damit das Device Fingerprinting etwa in folgenden Fällen:

• Verhaltensbezogene Werbung durch Dritte (z.B. Anbieter von Werbenetzwerken)
• Authentifizierung, wenn ein Online-Konto an die Nutzung mit einem bestimmten Endgerät gebunden ist

In diesen Fällen kann nur eine ausdrückliche und explizite Einwilligung helfen.

Zulässig kann das Device Fingerprinting etwa zur Anpassung der Darstellung der Webseite an das Endgerät oder zur pseudonymen Analyse durch den Webseitenbetreiber selbst sein.

Einschätzung: Device Fingerprinting dürfte schon längst massenhaft zum Einsatz kommen, in der Regel jedoch rechtswidrig. Hauptgefahrenquellen sind nicht das eigene Fingerprinting, sondern die Einbindung von Diensten von Drittanbietern (Werbenetzwerke, Trackinganbieter, Analysesoftware), die entsprechende Techniken verwenden, ohne dass es der Webseitenbetreiber weiß. Der Einsatz solcher Dienste ist von außen leicht ermittelbar (z.B. Firefox Lightbeam). Auch das Device Fingerprinting kann nachgewiesen werden, manche Anbieter werben sogar damit. Es besteht also ein Entdeckungsrisiko. Verstöße können von Wettbewerben vor bestimmten Gerichten erfolgreich angegriffen werden. Zudem drohen Bußgelder von Aufsichtsbehörden.

Ich empfehle daher, die eigene Webseite und sämtliche eingebundene Drittdienste auf das Device Fingerprinting hin zu untersuchen. Da in Deutschland die Cookie-Richtlinie etwas eigenwillig umgesetzt wurde, kann bei pseudonymen Nutzungsprofilen die Privilegierung des § 15 Abs. 3 Telemediengesetz  greifen, sodass Erläuterungen in den Datenschutzhinweisen mit entsprechenden Opt-Out Möglichkeiten genügen können. Bei Personenbezug sind dagegen Einwilligungen einzuholen oder notfalls vom Fingerprinting abzusehen.