Von Mira Martz
Bei der neuen Trackingmethode Browser Fingerprinting werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt. Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Werden diese Daten zusammengesetzt, ergibt sich daraus ein „digitaler Fingerabdruck“ eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit wiedererkannt werden kann.
Grundlagen des Trackings
Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und es wird eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden.
Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies, IP-Adressen etc.) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.
Anwendbarkeit des Datenschutzrechts
Derzeit wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterliegen. Grund dafür ist, dass das Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die den Browser nutzende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte.
Eine Zuordnung ist – wenn überhaupt – nur dann möglich, wenn Zusatzinformationen vorhanden sind oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der Internetuser eine zwar eindeutige Person, die aber nicht zugeordnet werden kann.
Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter und es ist nach der rechtlichen Zulässigkeit zu fragen.
Zulässigkeit der Datenverarbeitung
Betrachtet man ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig ist. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten – sollte keine vorherige Einwilligung vorliegen – eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.
Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt.
Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen. Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden, und ein Widerspruch dagegen möglich ist. Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG erfüllt werden.
Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht jedoch darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden.
Über die Autorin:
Mira Martz ist Volljuristin und war in der Unternehmenskommunikation von Agenturen und Verbänden tätig. Derzeit arbeitet sie als Referentin für Datenschutz und Kommunikation für die Isico Datenschutz GmbH.