Bericht : BayLDA: Tracking mit fortgeschrittenen Webtechnologien : aus der RDV 5/2015, Seite 271 bis 272
Die gezielte Verfolgung von Webnutzern ist ohne Hilfe der allgemein bekannten Cookies möglich, jedoch gestaltet sich ein datenschutzkonformer Einsatz häufig recht schwierig.
Nahezu alle größeren Webseiten setzen mittlerweile mehrere Softwareprodukte zum Tracking der eigenen Webseitenbesucher ein. Bei einem technischen Datenschutzblick auf die Funktionalität dieser Verfahren fällt einem zwangsläufig der klassische Cookie ein, der gerne als „kleine Textdatei“ beschrieben und von einer Webseite auf dem Rechner des Nutzers abgelegt wird. Diese Cookies werden technisch als sogenannte HTTP-Cookies benannt und sind Bestandteil des Internetprotokolls.
Ein Nutzer kann in der Regel in seinem Browser die abgelegten Cookies ansehen, diese nach Bedarf löschen (auch direkt als Einstellung bei Be enden des Browsers) oder sogenannte Drittanbieter-Cookies, die häufig für (Werbe-)Tracking eingesetzt werden, grundsätzlich ablehnen. Eben – so existiert mittlerweile eine Menge von Browsererweiterungen (Addons), die Drittanbieterinhalte und deren Cookies aus Nutzersicht komfortabel blockieren.
Aus Sicht eines Webseiten- oder Trackingbetreibers ist diese Entwicklung, bei der ein Endanwender vermehrt die Kontrolle über die eigenen Datenflüsse behält und zunehmend auch umsetzt, insofern nachteilig, als die Anzahl der zum Tracking geeigneten Browser bzw. Nutzer und damit die Menge der erhobenen Daten spürbar weniger werden.
In den letzten Jahren wurden neuartige Verfahren entwickelt bzw. entdeckt, die das Tracking von Webseitenbesuchern ermöglichen, ohne auf die Hilfe von üblichen Cookies zurückzugreifen:
- Nachverfolgung über sogenannte FlashCookies (Local Shared Objects)
- das sind Dateien mit einer Größe von 100 Kilobytes, in die Flashanwendungen beliebige Daten (eben auch Tracking-Daten) ablegen können.
- Verwendung von Long-Storage-Objects wie HTML5-Storage, Java- und Silverlight-Persistierungen zur Speicherung von Tracking-Informationen.
- Einsatz von ETags: Der HTTP-Header If-None-Match, der für die erfolgte Zustellung von Web-Ressourcen konzipiert ist und automatisch wie HTTP-Cookies an Webserver als Bestandteil des HTTP-Requests versendet wird, kann zur Speicherung von eindeutigen Kennungen verwendet werden und so Anwender identifizieren.
- Browser-Fingerprinting: Durch Ausführung von JavaScript-Code im Browser des Webnutzers können plattform- und browserindividuelle Informationen der Webseitenbesucher wie z.B. User-Agent, Plugin-Liste, installierte Schriftarten derart abgerufen werden, dass eine äußerst hohe Wahrscheinlichkeit für die Eindeutigkeit der Browser berechnet werden kann.
- Canvas-Fingerprinting: Durch Aufruf der OpenGL-API des Browsers können bei HTML5 Renderinginformationen ermittelt werden, die eine ähnlich hohe Eindeutigkeit besitzen wie das Browser-Fingerprinting mit JavaScript. Der Einsatz dieser Trackingmethoden ermöglicht folglich, dass der Browser eines Webseitenbesuchers mit sehr hoher Wahrscheinlichkeit eindeutig bestimmt werden kann. Somit wäre damit technisch eine Alternative für den Einsatz von herkömmlichen Cookies vorhanden, die selbst bei Ablehnen und/oder Löschen von Cookies ein Tracking realisierbar macht.
Aus datenschutzrechtlicher Sicht ist das Erstellen von Nutzungsprofilen unter Pseudonym zu Zwecken der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien in § 15 Abs. 3 TMG geregelt. Das Erstellen eines pseudonymen Nutzungsprofils zu den genannten Zwecken ist jedoch nur erlaubt, wenn ein Nutzer einer solchen Nutzungsprofilbildung nicht widerspricht (§ 15 Abs. 3 Satz 1 TMG). Auf seine Widerspruchsmöglichkeit ist der Nutzer gem. § 15 Abs. 3 Satz 2 TMG im Rahmen der Datenschutzerklärung gem. § 13 Abs. 1 TMG ebenso wie auf das Verfahren an sich hinzuweisen (§ 13 Abs. 1 Satz 2 TMG). Soweit bei den vorher genannten Verfahren z.B. mangels Nutzungsprofilbildung unter Pseudonym oder aufgrund des verfolgten Zwecks § 15 Abs. 3 TMG keine Anwendung findet, bedarf es einer Einwilligung des Nutzers.
Nach unserer Erfahrung gestaltet sich die praktische Umsetzung dieser gesetzlichen Anforderung jedoch oftmals als nicht ausreichend. Zwar ist eine Information theoretisch noch möglich, scheitert jedoch häufig an den Anforderungen einer tatsächlich transparenten und vor allem allgemein verständlichen Darstellung.
Darüber hinaus stellt sich aber auch die Frage, wie eine wirksame Widerspruchsmöglichkeit bei den einzelnen Tracking-Technologien überhaupt machbar wäre.
Wir empfehlen daher grundsätzlich, vom Einsatz alternativer Trackingverfahren dieser Art Abstand zu nehmen. Das Risiko eines Bußgeldes wäre hier insofern erhöht, da wir den ordnungswidrigen Einsatz von Verfahren, mit denen die Nutzereinstellungen zum Schutz vor einer Nutzungsprofilbildung gezielt ausgehebelt werden, verstärkt mit Bußgeldern ahnden. Wir weisen darauf hin, dass stattdessen der Einsatz von HTTP-Cookies nach wie vor möglich ist.
(Auszug aus dem Tätigkeitsbericht 2013/2014; Ziff. 77)