Device Fingerprint Tracking: Eine Alternative zu Cookies?

Nie zuvor gab es bei der Speicherung und Verarbeitung von personenbezogenen Daten mehr Tücken. Alle Strategien und Technologien, die Marketer dazu nutzen, ihre Besucher und Anwender zu tracken, müssen die Anforderungen der DSGVO erfüllen. Besonders das Tracking durch Cookies ist in diesem Zusammenhang nun mit mehr Aufwand verbunden und kann je nach Situation stark limitiert werden.

Doch gibt es Alternativen? Device Fingerprint Tracking ist so eine beliebte Methode geworden, da sie einige der Nachteile von Cookie Tracking von sich weisen kann. Aber eignet sich die alternative Tracking-Methode tatsächlich dazu, Hürden der neuen Datenschutzrichtlinien zu umgehen?

Dieser Artikel beleuchtet die Eigenschaften von Device Fingerprint Tracking und analysiert seine Möglichkeiten und Potenziale im Zeitalter der DSGVO.

Was ist Device Fingerprint Tracking?

Internetnutzer, die durch das Internet browsen, hinterlassen digitale Spuren: Technische Eigenschaften und Einstellungen sowie die installierte Software ihres Computers, Smartphones oder Tablets. Diese Daten erlauben es Ihnen, ein Nutzungsprofil dieses Besuchers zu speichern und es im Nachhinein eindeutig zu identifizieren. Somit kann dieser Internetnutzer getrackt und seine Online-Identität mit der aus der “echten Welt” verbunden werden.

Bei den meisten Geräten funktioniert das Device Fingerprint Tracking problemlos. Auch wenn einige Nutzer die gleiche Hardware haben, unterscheidet sich diese in der Konfiguration. IP- und MAC-Adresse, Betriebssystem, Browsertyp und
-version, Plug-ins, installierte Schriften und weitere spezielle Einstellungen. Diese sorgen für einen jeweils einzigartigen digitalen Fingerabdruck.

Der technische Prozess hinter Device Fingerprint Tracking

Wenn wir uns den Vorgang hinter dem gesamten Tracking-Prozess anschauen, dreht sich alles um die Technologie der besuchten Websites und wie diese mit dem Browser interagiert.

Wenn jemand eine Website besucht, sendet die HTTP-Anfrage automatisch Informationen über den Webbrowser, das Betriebssystem und die Einstellungen der Do-Not-Track-Option.

Mit einem speziellen JavaScript-Code können Sie u.a. noch folgende Informationsanfragen an den Browser schicken:

• installierte Plug-ins
• Standort- und Zeiteinstellungen
• Audio-Einstellungen
• Batteriestatus
• Bildschirmauflösung
• Schriftarten (Flash oder JavaScript)

Doch Sie können noch einen Schritt weitergehen. Entsprechendes JavaScript enthüllt viele weitere Eigenschaften des Browsers von Ihrem Besucher. So können Sie zum Beispiel herausfinden, ob der Browser Flash unterstützt, ein Adobe Acrobat-Plug-in installiert ist etc. Zusätzlich können Sie Technologien auf Ihrer Website implementieren, um über Canvas oder WebGL weitere Informationen zur Hardware-Konfiguration des Besuchers zu erfahren.

Cookie Tracking vs. Device Fingerprint Tracking

Das Tracking von Nutzern wird immer mehr zu einer Herausforderung und Marketer sind bemüht, sich nach nützlichen Alternativen umzugucken.

Schauen wir uns beispielsweise die beliebteste Tracking-Methode und ihre entsprechenden Herausforderungen an: Cookies.

Zunächst einmal führt der hohe Anstieg der Mobilgerät-Nutzung in allen Altersklassen zu einigen Schwierigkeiten. Cookies können nicht von einem Gerät zum anderen übertragen werden (z.B. vom Laptop zum Smartphone) oder zwischen Apps geteilt werden. Zudem können Nutzer Cookies ganz einfach löschen und Unternehmen werden so schnell daran gehindert, Nutzer weiterhin zu tracken. Auch die steigende Verwendung von Adblocker-Software und Privacy-Features wie Apple’s Intelligent Tracking Prevention machen das Ganze nicht leichter.

Bei Fingerprint Tracking gibt es diese Einschränkung nicht – es funktioniert dort, wo Cookie Tracking limitiert wird:

• Daten werden z.B. nicht lokal gespeichert – übermittelte und empfange Daten werden lediglich nachverfolgt, wenn sich Geräte miteinander verbinden
• Es ist nicht notwendig, einen permanenten Identifizierer (Cookie) auf der Seite des Besuchers zu halten. Somit können diese Daten auch nicht durch den Internetnutzer gelöscht werden
• Der Inkognito-Modus des Browsers, der Cookies beim Beenden automatisch entfernt, schränkt das Device Fingerprint Tracking nicht ein
• AdBlocker und Datenschutzfunktionen wie die Intelligent Tracking Prevention, die in Apples Safari Browser vorhanden ist, hebeln das Cookie Tracking aus, aber haben keine Auswirkungen auf das Device Fingerprint Tracking

Mit iOS 12 und MacOS 10.14 enthält der Safari Browser von Apple eine erweiterte Intelligent Tracking Prevention. Diese unterbindet auch das Device Fingerprint Tracking, indem ein stark reduziertes technisches Profil des Geräts weitergegeben wird. Safari wird im Mobile Browsing auf mehr als ¼ aller Geräte weltweit eingesetzt.

Device Fingerprinting kann neben dem User-Tracking auch bei sicherheitsrelevanten Themen eingesetzt werden. Es wird besonders häufig im Kampf gegen Betrug und Zugangsdaten-Diebstahl genutzt. Sie können einen Nutzer, dessen digitalen Fußabdruck Sie auf Ihren Servern gespeichert haben, nämlich eindeutig identifizieren. Somit wird sichergestellt, dass der Zugriff auf einen Account legitim ist und vom Nutzer selbst durchgeführt wird. Zusätzlich werden Anti-Bot- und Anti-Scraping-Dienste unterstützt.

Device Fingerprint Tracking und die DSGVO

Device Fingerprint Tracking bringt bei vielen Sorgen um den Datenschutz hervor und wird oft als “Cookie-less Monster” beschrieben. Aber was ist hier genau das Problem?

Wie bereits beschrieben, können die auf den Geräten gespeicherten Informationen im Rahmen des Device Fingerprint Trackings ein Gerät eindeutig wiedererkennen. Somit kann z.B. personalisierte Werbung ausgespielt werden.

Gleichzeitig kann ein Device Fingerprint durch verschiedene Anbieter ermittelt werden und eine Nachverfolgung über Websites hinweg möglich machen.
Es bleibt also eine Tracking-Methode, die Nutzer eindeutig zuordnen kann. Der einzige Unterschied: Device Fingerprinting ist für den normalen Nutzer intransparent – d.h. kaum zu erkennen und kaum abstellbar.

Was den Datenschutz betrifft, hat die Artikel-29-Datenschutzgruppe daher auf die Einhaltung der Cookie- und Datenschutz-Anforderungen beim Device Fingerprinting hingewiesen.

Im Rahmen der ‘Opinion 9/2014 on the application of Directive 2002/58/EC’ wird folgendes klargestellt:

1. Device Fingerprinting unterliegt den Anforderungen der ePrivacy-Richtlinie (auch Cookie-Richtlinie genannt). Mit Device Fingerprinting erstellte Fingerabdrücke sind personenbezogene Daten und müssten daher auch den datenschutzrechtlichen Bestimmungen genügen.

2. Device Fingerprinting ist nur zulässig, wenn:

• eine ausdrückliche Einwilligung vorliegt
• das Device Fingerprinting erforderlich ist, um einen vom Nutzer ausdrücklich verlangten Dienst zu erbringen (z.B. Abschluss eines Kaufvertrags oder die Anmeldung zu einem Newsletter)
• es ausschließlich zur Durchführung der Datenübermittlung genutzt wird

3. Unzulässig ist Fingerprint-Tracking dagegen, wenn:
Drittanbieter dadurch personalisierte Werbung anzeigen. Bei Personenbezug ist daher generell entweder von Fingerprint Tracking abzusehen oder eine explizite Einwilligung einzuholen. Bei pseudonymen Nutzungsprofilen könnte hingegen eine Erläuterungen in den Datenschutzhinweisen mit entsprechenden Opt-Out-Möglichkeiten genügen.

Unter die Kategorie personenbezogene Daten fallen diverse Online-Identifizierer wie:
– Cookies
– Geräte-IDs
– IP-Adressen

Einwilligung zum User-Tracking einholen

Auch wenn es verlockend erscheinen mag, Ihre Besucher nicht mit einem Consent-Formular zu konfrontieren, genau das sollten Sie tun. Egal für welche Tracking-Methode Sie sich entscheiden, personenbezogene Daten benötigen stets eine Einwilligung.

Wenn Sie den Einwilligungs-Prozess automatisieren, ist er auch nicht so kosten- und zeitintensiv, wie Sie vielleicht befürchten. Eine Consent-Management-Software kann diese Aufgabe für Sie übernehmen und Ihre Besucher über den gesamten Life-Cycle begleiten – vom Einholen der Einwilligung bis hin zur Datenlöschung und Ausübung anderer Rechte.

Der Piwik PRO Consent Manager automatisiert den gesamten Einwilligungs-Prozess und sorgt dafür, dass Sie DSGVO-konform agieren, die Privatsphäre Ihrer Kunden akzeptieren und Datenschutzverstöße vermeiden, unabhängig von der Tracking-Methode, die Sie einsetzen. Lesen Sie hier mehr dazu, wie die Software Sie dabei unterstützt, Einwilligungen einzuholen:
DSGVO: Wie Sie die Einwilligungen Ihrer Besucher zur Datenverarbeitung einholen

Fazit:

Device Fingerprint Tracking bietet einige Vorteile gegenüber Cookie Tracking. Sie haben die Daten auf Ihrer Infrastruktur oder bei einem Cloud-Dienstleister gespeichert, sodass der Anwender sie nicht löschen kann. Es gibt daher generell weniger Möglichkeiten, das Tracking zu verhindern. Dies gilt auch für das Surfen im Inkognito-Modus.

Allerdings gelten die meisten mit dem Tracking gesammelten Daten bzw. die für Sie relevanten Informationen als personenbezogen und benötigen somit trotzdem eine Einwilligung. Unserer Einschätzung nach ist Device Fingerprint Tracking kein Ersatz für ein DSGVO-konformes Consent-Management. Egal ob Cookie- oder Device Fingerprint Tracking, gehen Sie kein Risiko ein, schaffen Sie Vertrauen bei Ihren Kunden und automatisieren Sie den Einwilligungs-Prozess.