APP+RECHT: Zum Einsatz von Canvas-Fingerprinting und Evercookies

Gestern hatten u.a. Heise Online und der Spiegel auf ihren Webseiten über den Einsatz und die Verbreitung sog. nicht-löschbarer Tracking-Techniken berichtet. Den Berichten liegt eine Studie der Universitäten Princeton und Leuven zugrunde, die untersucht haben, wie weit nicht-löschbare Tracking-Techniken bereits eingesetzt werden. Dazu wurden die 100.000 meistbesuchten Homepages auf den Einsatz von Canvas-Fingerprinting sowie Evercookies hin analysiert. Warum der Einsatz dieser Tracking-Techniken aus rechtlicher Sicht durchaus problematisch ist, erläutert dieser Beitrag.

Funktionsweise von Canvas-Fingerprinting und Evercookies
Canvas-Fingerprinting wird mittels subtiler Unterscheide beim Rendering von Homepage-Inhalten eingesetzt. Diese Unterschiede sind messbar und lassen sich in einen identifizierbaren Fingerabdruck jedes einzelnen Browsers umrechnen, in der Regel auch ohne, dass der Webseiten-Besucher davon etwas mitbekommt. Diese Technik wird offenbar auf über 5 % der untersuchten Webseiten eingesetzt, u.a. auch auf t-online.de.

Evercookies kombinieren mehrere Speichertechniken um einen Browser dauerhaft mit einer eindeutigen Kennung zu versehen, ohne, dass diese Kennung vom Browser-Nutzer einfach und schnell wieder aufgehoben werden kann, da Evercookies ihre Einzel-Cookies aus bzw. mit anderen, nicht-gelöschten Cookies selbst wiederherstellen können. Evercookies wurden im Rahmen der Studie immerhin auf 10 der 200 meistbesuchten Webseiten nachgewiesen.

Mittlerweile hat ein Werbedienstleister in einer Stellungnahme erklärt, dass im Rahmen des Einsatzes der Canvas-Fingerprint-Technologie keine personenbezogenen Daten erhoben werden.

Rechtliche Problemstellung
Um die rechtliche Problematik um den Einsatz nicht-löschbarer Tracking-Techniken zu verstehen, muss man einen Blick in die „Cookie-Richtlinie“ bzw. in das Telemediengesetz (TMG) werfen:

§ 15 Abs. 3 TMG sieht für die Erstellung pseudonymer Nutzerprofile zu Werbe- und ähnlichen Zwecken (u.a. mittels Cookies) ausdrücklich eine Opt-Out-Regelung vor. D.h., der Nutzer muss dem Einsatz von Cookies widersprechen können, üblicherweise über die Browser-Einstellungen. Dies entspricht auch den Bestimmungen und Erwägungsgründen der „Cookie-Richtlinie“.

Allerdings hatte die Bundesregierung auf Anfrage der EU-Kommission vor einiger Zeit den Einsatz von Cookies von einer ausdrücklichen Einwilligung des Nutzers abhängig gemacht und dies aus § 12 Abs. 1 TMG hergeleitet. Sie führte dazu aus, dass für die Speicherung und den Abruf von Informationen wie z. B. Cookies eingesetzte Verfahren in Deutschland ohne Einwilligung des Nutzers nur zulässig seien, wenn dies aus technischen Gründen für die Inanspruchnahme erforderlich ist; im Übrigen dürfen solche Verfahren ohne Einwilligung des Nutzers nicht verwendet werden. Damit hat die Bundesregierung Cookies pauschal als personenbezogene Daten eingestuft. Daher wäre der rechtmäßige Einsatz von Cookies über die Bestimmung des § 13 Abs. 2 TMG von der ausdrücklichen Einwilligung des Nutzers (Opt-In-Regelung) abhängig.

Das führt zu der extrem praxisrelevanten Problemstellung, dass für den Gebrauch von Cookies ein Opt-In des Nutzers erforderlich sein soll, wohingegen jedoch für das Erstellen pseudonymer Nutzerprofilen ein Opt-Out ausreicht. Nur worunter fallen dann Tracking-Cookies? Noch vor vier Jahren hat der Düsseldorfer Kreis für Tracking-Cookies ein Opt-Out des Nutzers für ausreichend erachtet, da die im Cookie gespeicherte Cookie-ID als Pseudonym angesehen wurde. Ob er dies aber immer noch so beurteilen würde, bleibt dahingestellt.

Fazit
Wie sich die rechtliche Bewertung in den kommenden Wochen und Monaten entwickeln wird, hängt in großem Maße davon ab, wie u.a. die Datenschutzbehörden Cookies in Zukunft beurteilen. Aus unserer Sicht ist es aber nicht unwahrscheinlich, dass Cookies auch mehr und mehr als personenbezogene Daten eingestuft werden. Dann wäre sicherheitshalber bereits jetzt darauf zu achten, den Einsatz von Cookies von einem Opt-In des Nutzers abhängig zu machen.

Gerade aber bei Tracking-Techniken*, die im Rahmen von Canvas-Fingerprinting und Evercookies eingesetzt werden spricht sehr viel dafür, die dort erzeugten Daten zumindest als personenbezogene Daten zu behandeln. Denn gerade dann, wenn mittels dieser teils Cookie-basierten Tracking-Techniken ein identifizierbarer Fingerabdruck des Browsers bzw. eine eindeutige Kennung ermöglicht wird, wird nur schwer (analog) argumentiert werden können, dass es sich dabei um pseudonyme Daten handelt, die keinen Rückschluss auf einen bestimmten oder bestimmbaren Nutzer ermöglichen.

 

(*Korrektur: In einer früheren Version war hier fehlerhaft von Cookies die Rede)