Kategorien: Cookies, Datenschutz, Recht und Tracking
Das deutsche Datenschutzgesetz, TTDSG, ist am 01.12.2021 in Kraft getreten und am 14.05.2024 in das TDDDG übergegangen. Ist das Fingerprinting zu Tracking-Zwecken vergleichbar mit Cookies? Speziell geht es darum, ob dafür eine Einwilligung aus dem TDDDG abgeleitet werden kann, ob also eine Cookie-ähnliche Technologie vorliegt.
Einleitung
Das TDDDG bringt für viele Betreiber von Webseiten nur bedingt etwas Neues. Die jetzige Diskussion zum Fingerprinting hat allerdings ihre Berechtigung. Die ePrivacy-Richtlinie gilt faktisch schon seit längerem in Deutschland, nämlich seit dem BGH-Urteil zu Planet49. Allerdings ist die Richtlinie im Lichte des TMG (mittlerweile heißt es DDG) zu sehen und zielt somit wohl nur auf die Zwecke Marketing und Nutzerprofilbildung ab, wohingegen § 25 TDDDG für alle Zwecke Anwendung findet, die technisch nicht notwendig sind.
Das TDDDG (vormals TTDSG) verschärft das Einwilligungserfordernis für technisch nicht notwendige Cookies in Deutschland.
Cookies sind vielen bekannt. Das sind Datensätze, die im Endgerät eines Nutzers von dessen Browser verwaltet und gespeichert werden. Cookies sind keine Textdateien. Ein Cookie wird von einem Dienst erzeugt. Ein Dienst kann eine besuchte Webseite selber sein. Dann handelt es sich meist um Cookies zur Verwaltung von Sitzungen, etwa von Warenkörben, Redakteuren oder Administratoren. Cookies werden aber oft auch von Diensten wie Google Maps erzeugt, und zwar unnötigerweise. Viele verstehen das anscheinend nicht und setzen Google Maps ohne Einwilligung ein. Das ist völlig unnötig, weil es datenschutzfreundliche Alternativen für interaktive Karten gibt.
Ein digitaler oder virtueller Fingerabdruck hilft dabei, Nutzer recht eindeutig zu erkennen. Das ist vor allem dafür hilfreich und legitim, um einen halbwegs aussagekräftigen Besucherzähler zu haben. Denn wenn ein und derselbe Nutzer immer wieder als neu angesehen wird, werden alle Aufrufe ein und derselben Seite, die dieser Nutzer macht, doppelt gezählt. Für den Besucherzähler sieht es dann so aus, als hätten mehrere verschiedene Nutzer eine Seite aufgerufen, obwohl es nur einer war. Damit wird das Konstrukt des Besucherzählers etwas ad absurdum geführt, denn der Zweck des Zählens ist vor allem eine repräsentative Statistik. Das Endziel ist meist das Optimieren von Inhalten. Besonders gut funktionierende Beiträge können weiter unterstützt werden. Beiträge, für die eine Mindestzugriffszahl für die VG Wort Ausschüttung fast erreicht wurde, können mit mehr Aufmerksamkeit bedacht werden.
Ein Browser Fingerprint hat zunächst nichts mit einem Cookie zu tun. Denn erstens werden beim Fingerprinting keine Daten im Endgerät eines Nutzers gespeichert. Das TTDSG führt übrigens den Begriff Endeinrichtung statt Endgerät ein. Eine Endeinrichtung ist nicht nur ein Endgerät, also ein Smartphone oder PC, sondern kann auch ein vernetzter Toaster sein (obwohl dieses Beispiel oft gebracht wird, ist es wenig zielführend und zeugt von falschem Verständnis der zentralen Einwilligungsverwaltung nach §26 TTDSG).
Beim Fingerprinting werden aber Daten ausgelesen. Hier stellt sich die Frage, ob dies in einer Weise geschieht, die in §25 TTDSG genannt ist, nämlich „… Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind…“.
Aus welchen Informationen besteht ein digitaler Fingerabdruck?
Im Allgemeinen kann der Jurist diese Frage nicht kompetent beantworten, versucht es aber dennoch, wie zahlreiche Fachartikel zeigen. Leider meinen viele Fachmagazine, nur Juristen könnten Aufsätze zum digitalen Datenschutz schreiben.
Die Artikel 29 Arbeitsgruppe ist der Vorgänger des Europäischen Datenschutzausschusses. Die Artikel 29 Gruppe gab mehrere Stellungnahmen und Meinungen zur DSGVO ab, die eine gewisse Verbindlichkeit ausstrahlen und ernst zu nehmen sind. Diesen Äußerungen der Artikel 29 Gruppe stimme ich meistens sehr zu.
Im Fall des virtuellen Fingerabdrucks allerdings muss ich der Artikel 29 Gruppe ein wenig mangelnde Kompetenz zusprechen. Gleiches gilt für (ansonsten sehr gute) Beiträge von einigen Autoren in Fachzeitschriften.
Viele sprechen nur von Fingerabdrucksdaten und unterscheiden kaum bis gar nicht, welche Art von Daten dies aus technischer Sicht sind. Es geht hier sehr um die technische Sicht, weil es erstens darum geht, ob ein Zugriff vorliegt und zweitens, ob die zugegriffenen Daten in der Endeinrichtung gespeichert waren.
Folgende Arten von Daten unterscheide ich folgend:
- Implizit vorliegende Daten: Diese Daten werden beim Abruf einer Webseite oder Datei über das Internet automatisch, also zwangsweise und unaufgefordert, immer an den Server geschickt, an den die Anfrage sich richtet, die Webseite oder Datei bereitzustellen.
- Explizit vorliegende Daten. Dies sind Daten, die selber beschafft werden müssen, also nicht direkt vorliegen. Hier unterscheide ich zwei Unterarten:
- Vorgesehener Zugriff: Die Beschaffung dieser Art von Daten ist vorgedacht worden, etwa indem in JavaScript eine vorgesehene Möglichkeit geschaffen wurde, die einfach nutzbar ist. Beispiel: Bildschirmauflösung. Diese kann über ein einfaches Auslesen eine Variable ermittelt werden.
- Unvorhergesehener Zugriff: Diese Art von Daten müssen auf speziellem, nicht standardisiertem Weg beschafft werden. Hierzu gehört beispielsweise die Ermittlung von installierten Schriften. Die Ermittlung installierter Plugins ist ein Sonderfall. Sie war früher nicht vorgesehen, dann von einigen Browsern schon, nun aber nicht mehr, meist aus Datenschutzgründen.
Anhand dieser letztendlich drei Datenkategorien gebe ich Beispiele aus der Praxis, die für den digitalen Fingerabdruck relevant sind.
| Datenwert | Erhalt | Im Endgerät gespeichert? | Zugriff vorgesehen? |
|---|---|---|---|
| IP-Adresse | Implizit | Nein | Nicht nötig |
| Bildschirmauflösung | Explizit | Nein | Ja: Javascript-Variable |
| Farbtiefe | Explizit | Nein | Ja: Javascript-Variable |
| User-Agent | Implizit | Könnte man sagen | Nicht nötig |
| Installierte Schriften | Explizit | Bestandsaufnahme | Nein |
| Installierte Plugin | Explizit | Bestandsaufnahme | Nein |
Welche Daten bedürfen eines Zugriffs?
Im Sinne des §25 TDDDG bedürfen die implizit erhaltenen Daten keines Zugriffs im technischen Sinne. Sie sind daher durch das TDDDG nicht besonders geschützt. Hierzu gehört etwa die IP-Adresse als personenbezogenes Datum, deren Weiterverarbeitung allerdings durch die DSGVO geschützt ist. Auch der User-Agent, der die Browser-Version und das Betriebssystem angibt, gehört zu dieser Datenkategorie.
Man muss hier wohl zwischen Zugreifen und Auslesen unterscheiden, was ich hiermit vorschlage. Ein Auslesen jedenfalls, sofern es nicht dem Vorgang des Zugreifens zuzuordnen ist, ist vom TDDDG nicht erfasst. Das TDDDG thematisiert hier also nicht die Verarbeitung, sondern den Zugriff. Derartige Trennung sehen auch zahlreiche andere Autoren, etwa dergestalt, dass sie unterscheiden zwischen der Prüfung einer Einwilligungserforderlichkeit für den Zugriff und einer für die anschließende Datenverarbeitung.
Welche Daten sind in der Endeinrichtung gespeichert?
Für diese Frage sind im aktuellen Kontext nur die Daten zu betrachten, auf die explizit zugegriffen werden muss, die also nicht schon implizit vorliegen, ist meine Ansicht.
Besucherzähler müssen aufgrund des TDDDG auf den Prüfstand.
Konsequenz aus § 25 TDDDG.
Die Bildschirmauflösung ist nicht per se im Endgerät gespeichert. Auf sie muss also nicht zwangsläufig im Endgerät oder der Endeinrichtung zugegriffen werden. Man kann diesen Umstand technisch herleiten. Soweit ich weiß, ist der Monitor an meinem PC nicht Teil des Endgeräts. Der Monitor verwaltet seine Auflösung selber und lässt lediglich zu, dass der PC den Monitor konfiguriert. Diese Konfiguration ist flüchtig im Monitor gespeichert und muss nicht im PC gespeichert werden, kann es aber aus Komfortgründen.
Bei einem Smartphone ist der Bildschirm Teil des Endgeräts. Soweit ich weiß, kann die Bildschirmauflösung auf gängigen Smartphones normalerweise nicht verändert werden. Vielmehr kann eine Hoch- oder Querformat-Ansicht durch Drehen des Endgeräts bzw. Bildschirms, was aktuell meist dasselbe ist, aufgerufen werden. Alleine an der Ansichtart (Hochformat oder Querformat), die die Bildschirmauflösung bestimmt, wird deutlich, dass die Bildschirmauflösung nicht originär im Endgerät gespeichert sein kann. Denn ob Hoch- oder Querformat ist sekündlich vom Nutzer nach Belieben änderbar. Es wird lediglich flüchtig vermerkt, welche Ansicht gerade gewählt wurde.
Schlussfolgerungen
Bereits für einfache Besucherzähler, die versuchen, Nutzer über Fingerprint-Daten zu unterscheiden, ist ab dem 01. Dezember 2021 ein (neues) Einwilligungserfordernis genau zu prüfen. Hiervon betroffen sind u.a. Matomo und andere datenschutzfreundliche Tools. Es gibt aber einen Ausweg auf Basis vorhandener Rechtsgrundlagen, den ich bald vorstellen werden.
Daten, die zum Bilden eines digitalen Fingerabdrucks genutzt werden, werden vorher nicht in Endgeräten oder Eineinrichtungen gespeichert. Dies steht im Unterschied zu Cookies.
Daten, die implizit vorliegen, wie etwa die IP-Adresse oder der User-Agent, müssen nicht zugegriffen werden. Sie werden also nicht vom § 25 TDDDG erfasst und sind somit insofern unkritisch. Deren Weiterverarbeitung obliegt den Regeln der DSGVO, nicht des § 25 TDDDG.
Für Daten, die explizit ausgelesen werden müssen, ist die Lage unklar. Hier sind meiner Einschätzung nach möglicherweise Daten zu unterscheiden, die in vorgesehener Weise (also über Standardmechanismen) zugänglich sind und solche, die erst umständlich oder arglistig besorgt werden müssen. Zu ersterer harmlosen Kategorie gehört die Bildschirmauflösung. Zu zweiterer, kritischen Kategorie gehört das Canvas Fingerprinting.
Allerdings ist die Betrachtung aus dem vorigen Absatz wohl eher theoretischer Natur. Denn spätestens, wenn diese zugegriffen Daten verarbeitet werden sollen, muss über die Rechtmäßigkeit dieses Vorhabens entschieden werden. Die Ausnutzung eines Canvas Fingerprints jedenfalls ist wohl ohne Einwilligung unzulässig (Einzelfallprüfung nötig; insbesondere: Wird der Fingerprint gespeichert und wie lange werden wiederkehrende Besucher wiedererkannt?). Daher ist es wohl im Endergebnis nahezu egal, ob der Akt des Canvas Fingerprintings durch das TDDDG verboten oder durch die DSGVO, und aus beiden Verbotsgründen jeweils einer Einwilligung bedürfte.
Andererseits müsste gegebenenfalls sowohl für den Zugriff als auch für das Nutzen der Daten jeweils eine Einwilligung eingeholt werden. Da dies aber in einer einzigen Einwilligungsabfrage gesammelt abgefragt werden kann, ist der praktische Unterschied kaum spürbar und beschränkt sich auf Formalien. Diese Formalien sind, so oder so, kaum einzuhalten, wie man daran sieht, dass es kaum eine Webseite schafft, mit den marktüblichen angeblichen Cookie-Lösungen rechtskonform zu sein.
Daten, die nicht im Endgerät des Nutzers gespeichert sind, können im Sinne des TDDDG auch nicht zugegriffen werden. So sehe ich es. Die Bildschirmauflösung ist nicht im Endgerät des Nutzers gespeichert, jedenfalls nicht notwendigerweise und schon gar nicht vom Browser, sondern höchstens vom Betriebssystem, und zwar, damit der Nutzer nicht bei jedem Neustart seines Rechners die Bildschirmauflösung richtig einstellen muss.
Warum das Zählen von Besuchern mit Hilfe von Sitzungs-Cookies meiner Ansicht nach aufgrund von TDDDG und DSGVO erlaubt ist, werde ich in einem späteren Beitrag begründen. Das entschärft auch die zukünftige Nutzung von Matomo und anderen datenschutzfreundlichen Diensten.
In einem anderen Beitrag nenne ich Quellen für das Browser Fingerprinting und unterscheide Arten von Verkehrsdaten.
