In jüngster Vergangenheit wurde viel diskutiert über das allseits bekannte Tracking des Nutzerverhaltens mittels Cookies. Weitaus weniger Beachtung findet hingegen eine mögliche Auswertung des Nutzerverhaltens mit Hilfe des Browser-Fingerprintings. Dabei stellt sich gerade hier die Verhinderung des Trackings als besondere Herausforderung dar. Die Frage ist deshalb, ob die DSGVO vorliegend ein probates Mittel zur Stärkung der Nutzerrechte und Förderung der Transparenz bereitstellt.
Was ist Browser-Fingerprinting?
Wie die Technologie des Browser-Fingerprinting funktioniert haben wir bereits erörtert. Kurz zusammengefasst: Beim Besuch einer Website kann der Betreiber sehr viele Informationen über den Browser und das verwendete Gerät sammeln. Anhand dieser Daten kann der Nutzer von allen anderen Besuchern der Website eindeutig unterschieden werden. Browser-Fingerprinting kann dabei, genau wie Cookies, dazu verwendet werden, das Surfverhalten des Einzelnen zu tracken. Dies geschieht jedoch mit wesentlich subtileren und schwerer kontrollierbaren Techniken.
Denn dabei werden scheinbar belanglose, aber zur richtigen Darstellung der Webseite „notwendige“ Informationen ausgelesen und gespeichert. Dazu gehören bspw. die Zeitzone, Systemschriftarten, Bildschirmauflösung, welche Plug-ins installiert sind und auf welcher Plattform der Browser läuft.
Kumuliert ergeben diese Daten aber einen individuellen Fingerabdruck des genutzten Systems, das den Nutzer jederzeit und webseitenübergreifend identifizierbar macht. Werden die Informationen zudem gespeichert und zum künftigen Abgleich weiterverwendet, kann eine Website die Surfgewohnheiten eines Besuchers selbst dann verfolgen, wenn sämtliche Cookies deaktiviert bzw. zwischenzeitlich gelöscht wurden. Dadurch wird aber der eigentliche Schutz, den die Einwilligung bei Cookies erreichen soll, konterkariert.
Was sagt die DSGVO dazu?
Der digitale Fingerabdruck findet in der DSGVO keine explizite Erwähnung. Vielmehr ist regelmäßig lediglich von (neuen) Technologien die Rede, ohne aber genau zu bestimmen, welche damit gemeint sind. Dies ist indes gerade die Intention des Gesetzgebers, der dadurch naturgemäß versucht, flexibel auf kommende Entwicklungen reagieren zu können und technologisch neutral zu bleiben.
Ungeachtet dessen, wird man nur schwer abstreiten können, dass auch der digitale Fingerabdruck zum Tracking geeignet ist und die so individualisierten Merkmale zumindest als pseudonyme – wenn nicht gar als personenbezogene – Daten zu qualifizieren sind. Wie auch bei der IP-Adresse oder den Cookies kann die Kombination von Browser- und Geräteeigenschaften zur (eindeutigen) Wiedererkennung des Nutzers verwendet werden. Die Bezeichnung der Technik spricht hier bereits für sich: Der digitale Fingerabdruck ist zumeist so individuell, wie der menschliche.
Dabei bedeutet Individualisierung nicht die Kenntnis des tatsächlichen Namens einer natürlichen Person. Als ausreichend wird dabei bereits angesehen, wenn das Individuum von anderen unterschieden und somit eindeutig adressiert werden kann. Erlaubt daher ein digitaler Fingerabdruck die individuelle Wiedererkennbarkeit eines Nutzers, ist der Anwendungsbereich des Datenschutzrechts eröffnet.
Rechtsgrundlage für das Tracking mittels Browser-Fingerprint
Bereits im Jahre 2014 hat die Artikel-29-Datenschutzgruppe empfohlen, dass Websitebetreiber eine informierte Einwilligung für das Device Fingerprinting per Opt-In einholen sollen. Diese Empfehlung ist nach Anwendbarkeit der DSGVO aktueller denn je.
So bedarf die Verarbeitung personenbezogener Daten einer Rechtsgrundlage. In Frage kommt neben dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO insbesondere die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO.
Nun kann man natürlich argumentieren, dass die Erkennung des Browsers, der Auflösung, des Betriebssystems usw. erforderlich ist, um eine korrekte Darstellung der Webseite zu gewährleisten. Das dem so ist, wird kaum jemand ernstlich in Frage stellen. Mithin könnte man sich auf den Standpunkt stellen, dass hier ein überwiegendes berechtigtes Interesse des Webseiten-Betreibers vorliegt und es deshalb keiner Einwilligung bedarf.
Wird der digitale Fingerabdruck allerdings gespeichert oder an Dritte übermittelt, um das jeweilige Gerät auch künftig wiederzuerkennen, damit dem Nutzer beispielsweise individualisierte Werbung angezeigt werden kann, stellt dies regelmäßig die Verarbeitung eines personenbezogenen Datums dar. Denn der Zweck der Verarbeitung ist dann gerade nicht die korrekte Darstellung der Webseite, sondern die Identifizierung des Nutzers. In diesen Fällen wird man nach den bisher veröffentlichten Stellungnahmen der Aufsichtsbehörden künftig wohl von einem Einwilligungserfordernis ausgehen dürfen. Womöglich schafft aber auch hier die lang angekündigte ePrivacy-Verordnung Klarheit.
Mehr Transparenz durch DSGVO
Unabhängig von der Frage nach der einschlägigen Rechtsgrundlage, ist in jedem Fall über die Verarbeitung personenbezogener Daten und insbesondere die Erstellung von Nutzerprofilen transparent zu informieren. Dies gilt nicht nur für die ersichtlichen und relativ leicht aufzuspürenden Cookies, sondern gerade auch für verdecktes Tracking, welches mittels Browser-Fingerprinting ermöglicht wird. Insofern trifft Webseiten-Betreiber die Pflicht entsprechende Hinweise aufzunehmen. Dadurch könnte die DSGVO auch hier für mehr Transparenz sorgen und dabei helfen, etwaige Missstände aufzudecken.