Artikel-29-Datenschutzgruppe nimmt Device Fingerprinting ins Visier

Written on 3 Dec 2014

In aller Kürze:

In einer aktuellen Stellungnahme bezieht die Artikel-29-Datenschutzgruppe, ein Gremium europäischer Datenschutzbehörden, Position zum Device Fingerprinting. Für Fingerprinting sollen demnach weitgehend die gleichen datenschutzrechtlichen Anforderungen gelten wie für Cookies.

Hintergrund:

Device Fingerprinting ist eine Methode, anhand bestimmter Parameter und Einstellungen einzelne Devices oder Anwendungen (z. B. Internet-Browser) serverseitig eindeutig zu identifizieren. Die für die Identifizierung genutzten Daten sind vielfältig und können etwa CSS-Informationen, HTTP-Header-Informationen, installierte Schriftarten oder Plugins sein. Auch das Ladeverhalten einzelner User lässt sich insoweit nutzen, also wann und wie sie den Akku ihres Device aufladen. Aus diesen Informationen kann der individuelle „Fingerabdruck“ eines Device oder eines Internet-Browsers bestimmt werden. Das Fingerprinting stellt somit eine technische Alternative für das Setzen von HTTP-Cookies dar und kann u. a. für Web-Analyse und Nutzer-Tracking eingesetzt werden. Aber: Während der Einsatz von HTTP-Cookies clientseitig nachvollziehbar ist, haben die Nutzer von dem Einsatz der „Fingerabdrücke“ in der Regel keine Kenntnis.

Laut der jetzt veröffentlichten Stellungnahme fällt der Einsatz von Fingerprinting unter die EU-Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG). Diese enthält den „berüchtigten“ Art. 5 Abs. 3, der vor allem im Zusammenhang mit Cookies bekannt ist. Danach ist „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ in der Regel nur dann gestattet, wenn der Nutzer eingewilligt hat – es sei denn, eine der eng gefassten Ausnahmen ist erfüllt.

Die Artikel-29-Datenschutzgruppe hat für sechs unterschiedliche Use Cases von Device Fingerprinting untersucht, ob der jeweilige Use Case (i) vom Anwendungsbereich des Art. 5 Abs. 3 der Richtlinie 2002/58/EG erfasst wird und (ii) unter eine Ausnahme vom Einwilligungserfordernis nach dieser Vorschrift fällt.

Eine Einwilligung des Nutzers ist nach Art. 5 Abs. 3 der Richtlinie 2002/58/EG entbehrlich, wenn die Erstellung von Fingerprints entweder für die Erbringung eines ausdrücklich vom User gewünschten Dienstes unbedingt erforderlich ist oder alleine dem Zweck der Durchführung der Übertragung einer Nachricht dient. Für alle anderen Verwendungszwecke ist eine Einwilligung erforderlich. Nach der Stellungnahme sollen die Ausnahmen vom Einwilligungserfordernis etwa gelten, wenn Fingerprinting für die optimale Darstellung eines Inhalts auf dem Device, die Anbindung eines Device an ein Netzwerk oder für nutzerspezifische Sicherheits-Mechanismen genutzt wird.

Nicht unter die Ausnahme fallen die Nutzung von Fingerprints für Website-Analyse, Tracking für nutzungsbasierte Online-Werbung, aber auch für Erleichterungen für Login-Vorgänge. Für sie ist daher nach Ansicht der Datenschützer eine Einwilligung erforderlich.

Die Stellungnahme sagt nichts dazu, wie eine erforderliche Einwilligung der Nutzer aussehen muss. Insbesondere bleibt offen, ob hierfür ein Opt-In erforderlich ist oder ein Opt-Out-Mechanismus ausreicht. In einer früheren Stellungnahme vom Oktober 2013 hatte die Artikel-29-Datenschutzgruppe dazu Stellung genommen, wie eine Einwilligung für Cookies vom Nutzer zu erheben ist. Wesentliche Aussagen dieser Stellungnahme dürften daher auch auf Fingerprinting übertragbar sein. 

Was bedeutet das für die Praxis? 

Grundsätzlich sind Stellungnahmen der Artikel-29-Datenschutzgruppe für die deutschen Datenschutzbehörden nicht bindend. Die Erfahrung zeigt aber, dass sich die deutschen Datenschutzbehörden meist sehr eng daran orientieren.

Die konkreten Folgen für die deutsche Rechtslage sind besonders schwer abzuschätzen, als Art. 5 Abs. 3 der Richtlinie 2002/58/EG vom deutschen Gesetzgeber nicht konkret in nationales Recht umgesetzt wurde. Vielmehr vertritt die deutsche Bundesregierung den Standpunkt, dass eine Umsetzung gar nicht erforderlich sei, da die bestehenden Regelungen des deutschen Datenschutzrechts bereits ausreichen. Für diese Auffassung gab es Rückendeckung durch die EU-Kommission. Die genauen rechtlichen Anforderungen für Cookies sind jedoch nach wie vor offen. In der Praxis lässt sich beobachten, dass sich die Mehrzahl der deutschen Websites mit einem Hinweis in der Datenschutzerklärung zusammen mit einer Widerspruchsmöglichkeit (Opt-Out) begnügt. 

Wenn der für Cookies geltende Rechtsrahmen nach der aktuellen Stellungnahme der Artikel-29-Datenschutzgruppe nun auch für Device Fingerprinting anwendbar sein soll, bedeutet das zunächst, dass die Rechtsunsicherheit rund um Cookies nun auch für Device Fingerprinting gilt. Offen ist, ob es in der Praxis ausreicht, einen entsprechenden Hinweis auf den Einsatz dieser Technologie zu geben und eine Widerspruchsmöglichkeit anzubieten – momentan kein verbreitetes Vorgehen bei Device Fingerprinting.

Eine Best Practice zur technischen Umsetzung und eine gewisse Rechtssicherheit werden sich hoffentlich herausbilden, sobald auch deutsche Datenschutzbehörden und Gerichte zum Einsatz von Fingerprinting Stellung bezogen haben. 

Dieser Artikel stellt die Rechtslage zum Zeitpunkt seiner Veröffentlichung dar und spiegelt nicht notwendig die aktuelle Rechtslage wider.