EU-Datenschützer warnen vor Tracking mit "digitalem Fingerabdruck"
Wer Cookie-Ersatztechniken wie "digitales Fingerprinting" zum Verfolgen von Nutzern im Web einsetzt, muss dazu in der Regel die Erlaubnis der Betroffenen einholen. Dies hat die Artikel-29-Datenschutzgruppe klargestellt.
(Bild: dpa, Sven Hoppe/dpa)
Den Trend zum Erstellen von Nutzerprofilen anhand gewisser Browser- und Geräteeinstellungen im Internet betrachten Datenschützer mit großer Sorge: Die Verfolgung entsprechender digitaler Fingerabdrücke stoße auf ernstzunehmende Bedenken, schreibt die Artikel-29-Gruppe der EU-Datenschutzbeauftragten in einer aktuellen Stellungnahme. Die Technik könne als "verdeckte Alternative für Cookies" verwendet werden, gegen die sich die Betroffenen kaum wehren könnten.
Mit einschlägigen Verfahren wie Canvas-Fingerprinting kann den Kontrolleuren zufolge eine Vielzahl von Informationselementen wie Konfigurationen, Daten von Netzwerkprotokollen, CSS-Angaben, JavaScript-Objekte, HTTP-Header, der Einsatz von Programmierschnittstellen oder installierte Fonts und Plugins zu einem Satz kombiniert werden, der vor allem im Zusammenspiel mit potenziellen Identifizierungsmerkmalen wie IP-Adressen als eindeutiger Fingerabdruck eines Geräts oder einer Anwendung diene. Damit sei es möglich, das Nutzerverhalten über einen gewissen Zeitraum hinweg auszuforschen und gegebenenfalls mit einem Individuum zu verknüpfen.
Die Datenschutzrisiken dieses Ansatzes werden nach Ansicht der Experten durch die Tatsache vergrößert, dass die ausgespähten Charakteristiken nicht nur dem Betreiber einer Webseite zur Verfügung stünden, sondern auch vielen Drittparteien wie Werbepartnern. Denkbar sei so, dass den Betroffenen nicht nur zielgerichtete Angebote unterbreitet werden könnten. Vielmehr sei es auch möglich, sie unterschiedlich zu behandeln und ihnen etwa verschiedene Preise beim Online-Einkauf zu kredenzen.
Für die Gruppe steht außer Frage, dass die Schnüffelmethoden vielfach darauf angewiesen sind, sich Zugang zu Informationen auf dem Client-Werkzeug des Nutzer zu verschaffen oder darauf Daten abzulegen. Genauso wie bei Cookies gälten daher die einschlägigen Bestimmungen aus der EU-Richtlinie zum Datenschutz in der elektronischen Kommunikation. Wer entsprechende Techniken einsetzen wolle, müsse daher prinzipiell erst die "gültige Zustimmung" des Betroffenen einholen.
Möglichkeiten zum rechtskonformen Cookie-Einsatz hatten die Datenschützer 2011 aufgezeigt. Demnach ist es nicht in jedem Fall und dauernd nötig, das Einverständnis der User einzuholen. Auch vom Nutzer getroffene Voreinstellungen oder "Do not Track"-Verfahren könnten eine Lösung darstellen. Auf digitale Fingerabdrücke lassen sich solche Varianten bislang aber nicht direkt übertragen. (axk)
