Das Wichtigste in Kürze
- Device Fingerprinting umgeht klassische Cookies, unterliegt aber denselben strengen Einwilligungsanforderungen wie diese.
- Die EU-Richtlinie 2002/58/EG (ePrivacy-Richtlinie) gilt auch für Device Fingerprinting, da Informationen vom Endgerät ausgelesen oder dort gespeichert werden.
- Nutzung ohne explizite Einwilligung birgt erhebliche juristische Risiken und kann zu Abmahnungen führen.
- Für Online-Shops und Plugin-Nutzer besteht ein besonderes Risiko, da die Technologie oft intransparent eingesetzt wird.
- Eine rechtssichere Nutzung erfordert transparente Aufklärung, aktive Zustimmung und sollte mit anwaltlicher Beratung erfolgen.
Device Fingerprinting: Gilt die Cookie-Einwilligungspflicht auch für Alternativen?
Der Europäische Gerichtshof (EuGH) hat klargestellt, dass die Speicherung zahlreicher Cookie-Arten auf Nutzergeräten eine explizite Einwilligung erfordert. Doch wie verhält es sich mit alternativen Tracking-Methoden? Insbesondere das sogenannte Device Fingerprinting gewinnt an Bedeutung, um Nutzer ohne klassische Cookies wiederzuerkennen.
Was ist Device Fingerprinting und wie funktioniert es?
Anbieter von Werbenetzwerken und anderen Diensten entwickeln Technologien, die das Speichern von Textdateien auf Nutzerrechnern umgehen. Beim Device Fingerprinting werden stattdessen vielfältige Informationen ausgelesen, die ein Gerät beim Besuch einer Webseite preisgibt.
Dabei werden verschiedene Parameter statistisch miteinander kombiniert, um einen Nutzer zuverlässig wiederzuerkennen. Dazu zählen beispielsweise:
- Bildschirmauflösung
- Browsertyp und -version
- Installierte Schriftarten
- Zeitpunkt des Besuchs
- Art und Weise des Surfverhaltens
- Betriebssystem
Diese Methode ermöglicht eine Nutzerwiedererkennung – auch geräteübergreifend –, ohne dass Namen oder IP-Adressen direkt gespeichert werden müssen.
Die rechtliche Einordnung: EU-Richtlinie 2002/58/EG
Die Frage stellt sich, ob diese Technologie bedenkenlos eingesetzt werden darf, etwa zur Erstellung von Nutzungsstatistiken oder zur Steuerung von Onlineshops, da sie keine klassischen Cookies verwendet. Eine uneingeschränkte Nutzung wäre jedoch juristisch problematisch. Hier greift Artikel 5 Absatz 3 der EU-Richtlinie 2002/58/EG in der Fassung der EU-Richtlinie 2009/136/EG, welcher die rechtlichen Rahmenbedingungen festlegt.
Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.
Die per elektronische Fingerabdrücke gesammelten Daten sind entweder bereits auf dem Endgerät des Nutzers vorhanden oder werden von dort ausgelesen. Folglich fällt die Anwendung von Device Fingerprinting ebenfalls unter die Bestimmungen dieser Richtlinie.
Risiken von Device Fingerprinting ohne Einwilligung
Obwohl es noch keine spezifischen Urteile zu Device Fingerprinting gibt, birgt die Nutzung ohne vorherige Aufklärung und ausdrückliche Zustimmung des Nutzers ein erhebliches juristisches Risiko. Diese Einschätzung wird verstärkt, da Techniken des Device Fingerprinting für Nutzer oft weniger transparent sind als herkömmliche Cookies.
Zudem unterliegen sie häufig nicht denselben Einschränkungen wie reguläre Text-Cookies. Ihre Vorteile (aus Sicht der Tracker) umfassen:
- Schlechtere Erkennbarkeit durch den Nutzer
- Seitenübergreifende Nutzbarkeit, etwa zur Wiedererkennung eines Nutzers auf verschiedenen Webseiten
- Möglichkeit zur Unterbreitung angepasster Angebote oder dynamischer Preisanpassungen
Der Eingriff in die Persönlichkeitsrechte der Nutzer ist bei diesen Methoden demnach noch gravierender.
Besondere Risiken für Online-Shops und Plugin-Nutzer
Online-Shop-Betreiber sollten hier besondere Vorsicht walten lassen. Oftmals weisen Softwareanbieter oder Plugin-Entwickler nicht explizit auf die Nutzung von Device Fingerprinting hin. Ein fehlendes Problembewusstsein kann dazu führen, dass gängige Cookie-Banner-Lösungen keine Optionen zur Aufklärung oder dynamischen Steuerung dieser Funktionen bieten. Dies kann ungeahnt in eine Abmahnfalle führen, selbst wenn keine böse Absicht besteht.
Wann Device Fingerprinting zulässig sein könnte
Die rechtssichere Nutzung von Device Fingerprinting ist nur unter strengen Voraussetzungen denkbar. Sie sollte primär auf eingeloggte Bereiche beschränkt sein und stets eine klare Aufklärung sowie explizite Zustimmung des Nutzers erfordern. Eine solche Implementierung sollte stets mit fundierter anwaltlicher Beratung erfolgen, um rechtliche Fallstricke zu vermeiden.
Fazit
Zusammenfassend lässt sich festhalten, dass Device Fingerprinting, obwohl es keine klassischen Cookies verwendet, den gleichen strengen Anforderungen an die Nutzereinwilligung unterliegt. Unternehmen müssen daher transparente Aufklärung bieten und die aktive Zustimmung der Nutzer einholen, um rechtliche Risiken und Abmahnungen zu vermeiden. Eine sorgfältige juristische Prüfung der eingesetzten Tracking-Technologien ist unerlässlich.