Die Vereinbarkeit von Webbrowser Fingerprints mit dem Datenschutzrecht

Was sind Browser Fringerprintings? Bei der neuen Trackingmethode Browser Fingerprinting werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt. Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Wenn diese Daten zusammengesetzt werden, ergibt sich daraus ein „digitaler Fingerabdruck“ eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit widererkannt werden kann.

Grundlagen des Tackings

Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und es wird eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden. Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies, IP-Adressen etc.) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.

So können mehrere rechtliche Fragen gestellt werden: Ist Datenschutzrecht überhaupt anwendbar? Wer ist im Drei-Personen-Verhältnis, wenn die Fingerprints von Drittanbietern verarbeitet werden, verantwortliche Stelle und damit für die Verarbeitung zuständig? Weiter gibt es auch rechtliche Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

Anwendbarkeit Datenschutzrecht

Im Moment wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterfallen. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die „hinter“ dem Browser stehende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte. Eine Zuordnung ist wenn überhaupt nur dann möglich, wenn Zusatzinformationen vorhanden sind, oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der Internetuser eine zwar eindeutige, aber nicht zuordenbare Person. Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter und es ist nach der rechtlichen Zulässigkeit zu fragen.

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig sind. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten- sollte keine vorherige Einwilligung vorliegen- eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

§ 15 TMG Nutzungsdaten

• (1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten).
• (2) (…)

Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt.

Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen. Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden, und ein Widerspruch dagegen möglich ist. Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unproblematisch erfüllt werden.

Verantwortliche Stelle beim Browser Fingerprinting

Aufgrund des Dreiecksverhältnisses zwischen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klären, wer genau verantwortliche Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könnte jeder, der direkt für die Datenerhebung und Verarbeitung zuständig ist, verantwortliche Stelle sein. Unstreitig ist bei der Erhebung von personenbezogenen Daten des Nutzers durch den Webseitenbetreiber dieser als verantwortliche Stelle anzusehen. Erhebt der Drittanbieter die personenbezogenen Daten für seine Werbezwecke, ist er verantwortliche Stelle.

Einige vertreten noch die Ansicht, dass der Webseitenbetreiber ebenfalls für die Verarbeitung durch den Drittanbieter verantwortlich sei. Dagegen spricht jedoch, dass der Webseitenbetreiber beispielsweise nicht zwischen Nutzer und Drittanbieter steht und die übermittelten Daten überhaupt nicht kennt. Damit kann der Webseitenbetreiber in diesem Verhältnis nicht als verantwortliche Stelle angesehen werden. Es ist davon auszugehen, dass nur derjenige verantwortliche Stelle ist, der die Daten auch direkt erhoben hat.

Fazit

Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden. Dies ist sehr zu begrüßen, denn das Internettracking stellt insbesondere für E-Business Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schalten und damit passgenaue Angebote zu machen. Nur mit einer gezielten Werbung kann es Unternehmen gelingen, schnell zu wachsen und sich auf dem Markt durchzusetzen.

Autor: Mira Martz, ISiCO Datenschutz