Internetrecht

Evercookies und Canvas-Fingerprinting – eine Gefahr für Recht und Praxis?

„Sie haben nach Produkt X gesucht, daher könnte Sie auch Produkt Y interessieren“. Wer nicht regelmäßig seinen Browserverlauf löscht wird diesen Satz kennen. „Cookies“ und ähnliche Technologien sorgen nicht nur dafür, dass Facebook oder Google beim nächsten Besuch unsere Anmeldedaten kennen. Sie sind insbesondere für Analyse- und Werbeunternehmen interessant.

 

Evercookies

Cookies sind nur solange nützlich, wie sie auf dem Computer des Nutzers gespeichert sind. Folglich ist es nicht verwunderlich, dass schon seit einiger Zeit versucht wird die Lebensdauer von Cookies zu verlängern. Eine mögliche Lösung stellen sogenannte „Evercookies“ dar.

Cookies können auf unterschiedliche Arten abgespeichert werden, so gibt es zum Beispiel http-Cookies oder Flash-Cookies. Ein Evercookie hingegen nutzt alle Speichermöglichkeiten. Er wird also nicht bloß einfach, sondern mehrfach und in verschiedenen Formen abgespeichert. Wird eine Form des Evercookies gelöscht, erstellen die übrigen eine neue Kopie. Nur wenn alle Formen des spezifischen Evercookies gleichzeitig gelöscht werden, wird eine Reproduktion unterbunden. Aufgrund dieser Fähigkeit zur stetigen Vervielfältigung werden Evercookies mitunter auch „Zombie-Cookies“ genannt.

Der Browser als Fingerabdruck

Trotzdem bietet das Erfordernis einer Speicherung der Cookies immer die Gefahr der Entdeckung oder Löschung. Sogenannte „Fingerprinting“-Technologien gehen einen anderen Weg. Wie der Name bereits andeutet versucht man einen „Fingerabdruck“ des Nutzers zu erstellen. Das erfolgt bei erstmaligem Aufruf einer Webseite und soll dann bestenfalls eine Unterscheidung der verschiedenen Nutzer voneinander ermöglichen.

Grundlage ist das „Browser-Fingerprinting“. Wer schon einmal über Seiten wie „wieistmeineip.de“ die eigene IP-Adresse erfragt hat, wird bemerkt haben, dass die Webseite auch Angaben über den eigenen Internetanbieter, den genutzten Browser und das Betriebssystem machen konnte. Wie viel der Browser wirklich über den Nutzer verrät, offenbart die Webseite „browserspy.dk“.

Mit ausreichend Informationen über Browser, Betriebssystem, Internetanbieter, Browser-Einstellungen, Plugins, installierte Software und vorgenommene Einstellungen, lässt sich bereits ein grobes Bild des Nutzers zeichnen.

Canvas-Fingerprinting

In den vergangenen Jahren wurde die „Fingerprinting“-Methode stetig weiterentwickelt. Während dem bisher wenig Beachtung geschenkt wurde, offenbarte eine im Sommer veröffentlichte Studie den Einsatz des sogenannten „Canvas-Fingerprinting“ auf 5,5% der 100.000 meist besuchten Webseiten.

Ein Canvas-Element ist ein in HTML geschriebener Bereich, der die Darstellung von Grafiken durch JavaSkript ermöglicht. Canvas wird von allen aktuellen Browsern unterstützt und kann ohne Probleme in jede Webseite implementiert werden.

Was Canvas so besonders macht ist die Tatsache, dass jeder Browser den Quellcode des Elements anders ausgibt. Während also die Darstellung der Grafik für jeden Nutzer identisch scheint, variiert die Darstellung des Quellcodes durch den Browser. Die Zahl der Einfluss nehmenden Faktoren ist viel größer als beim normalen „Browser-Fingerprinting“ und umfasst Hard- und Software sowie sämtliche vorgenommenen Einstellungen gleichermaßen.

Durch „Canvas-Fingerprinting“ wird der Browser beim Aufruf einer Webseite zur Darstellung eines Canvas-Elements aufgefordert – es wird also ein Fingerabdruck genommen. Das Ergebnis ist ein stark individualisiertes Profil des Nutzers.

Rechtlicher Hintergrund

Damit dürften Evercookies und „Fingerprinting“-Technologien für viele Provider ein sehr interessantes und profitables Werkzeug sein. Die sich bietenden Möglichkeiten sind offensichtlich: Jeder Schritt des Nutzers im Internet kann nachverfolgt werden.

Für rechtliche Fragen empfiehlt sich ein Blick in das Bundesdatenschutzgesetz (BDSG) und das für Internetdienste grundlegende Telemediengesetz (TMG). Das TMG regelt in mehreren Normen die Umstände und Voraussetzungen für die Erhebung und Verwendung von Nutzerdaten durch einen Internet-Provider. Allerdings finden diese Regelungen nur Anwendung auf sogenannte „personenbezogene Daten“. Damit sind Daten gemeint, die einer bestimmten oder bestimmbaren Person zugeordnet werden können.

Sind personenbezogene Daten betroffen?

Gerade im Fall des „Browser-Fingerprinting“ ist das nicht unproblematisch. Denn Informationen über Hard- und Software lassen sich nicht der konkreten Person vor dem Bildschirm zuordnen. Mit personenbezogenen Daten sind Informationen wie Name, Adresse oder Telefonnummer gemeint.

Allerdings gelten mittlerweile auch IP-Adressen, die ebenfalls vom Fingerprinting erfasst werden, als personenbezogene Daten. Schließlich können sie einem konkreten Internetanschluss zugeordnet werden.

Die Beurteilung von Cookies gestaltet sich ebenfalls schwierig, da nicht alle Cookies personenbezogene Daten enthalten. Die datenschutzrechtliche Einordnung von Cookies ist aus rechtspolitischer Sicht umstritten. Nicht zuletzt unter Einfluss des Unionsrechts und dem Druck der EU-Kommission ist man aber dazu übergegangen, Cookies auch in den Anwendungsbereich der datenschutzrechtlichen Regelungen des TMG einzubeziehen.

Einwilligung des Nutzers

Ein zentraler Grundsatz des Datenschutzrechts ist das Erfordernis einer Einwilligung zur Erhebung von Daten. So weisen beispielsweise immer mehr Provider beim erstmaligen Aufrufen einer Seite auf die Nutzung von Cookies hin und bitten um eine Zustimmung. Diese Praxis ist der fortschreitenden Entwicklung im europäischen Recht zu verdanken.

Evercookies und Canvas-Fingerprinting verstoßen ganz klar gegen diesen Grundsatz. Der Nutzer wird weder über den Einsatz derartiger Technologien informiert, noch wird ihm die Möglichkeit eines Widerspruchs gegeben. Im Gegenteil erfüllen Tracking-Werkzeuge ihren Zweck am besten, wenn der Nutzer nichts von ihnen weiß.

Erforderlich für die Diensterbringung

Liegt keine Einwilligung vor, ist eine Erhebung der Daten nur zulässig wenn sie durch eine gesetzliche Grundlage gerechtfertigt ist. Viele Informationen die durch den Browser oder Cookies erhoben werden, sind erforderlich um überhaupt Webseiten normal aufzurufen und darzustellen. Das weiß auch der Gesetzgeber, weshalb die Erhebung solcher Daten, die für die Diensterbringung unbedingt erforderlich sind, zulässig ist (§ 15 I TMG). Art und Umfang der erhobenen Daten variiert dabei je nach der Art des Dienstes. Ein bloßer Seitenaufruf ist nicht mit einer Registrierung, Online-Einkäufen oder auch Online-Banking zu vergleichen.

Beim Canvas-Fingerprinting wie auch durch Evercookies werden aber regelmäßig mehr Daten als nötig erhoben. Das Tracking an sich geht weit über die übliche Diensterbringung hinaus. Zudem ist der oben genannten Studie zu entnehmen, dass Tracking-Technologien in mehr als 95% der Fälle von Dritten eingesetzt wurden.

Fazit

Dadurch wird auch eines der größten praktischen Probleme deutlich: Die Verantwortlichen sind häufig unbekannt und damit schwer zu finden. Selbst wenn die Quelle der Tracking-Software bekannt ist, kann man mit deutschem oder europäischem Datenschutzrecht oft nur wenig ausrichten.

Ein angemessener Schutz ist für Laien fast unmöglich, teilweise sind die eingesetzten Technologien sogar noch unerforscht. Ganz ausgereift sind aber weder Evercookies, noch Canvas-Fingerprinting – zurzeit sind beide Technologien noch stark von JavaScript abhängig.

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (1)

Kommentar schreiben | Trackback URL

  1. KuJulian sagt:

    Es wird Zeit, dass sowas eindeutig in Rechtsklauseln und Gesetzen festgelegt wird und in einen Rahmen gelassen. Selbst große seriöse Seiten wie Trustcheck nutzen Canvas Fingerprinting ohne es auch nur irgendwo in Schriftgröße 1 erwähnt zu haben… Seriösität adé.

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×