Die Artikel-29-Gruppe fordert in einer aktuellen Stellungnahme (Opinion 9/2014, WP29), dass auf das sogenannte Device Fingerprinting Artikel 5 Absatz 3 der ePrivacy-Richtlinie angewendet werden soll. Danach soll zunächst eine Einwilligung des Betroffenen eingeholt werden, bevor mittels Device Fingerprinting auf Informationen zugegriffen wird, die bereits auf dem Endgerät des Nutzers gespeichert sind.

Device Fingerprinting

Device Fingerprinting ist eine Methode unter anderem zur Erfassung des Nutzerverhaltens. Hierbei wird die Systemkonfiguration verwendent, um ein Endgerät nahezu eindeutig zu identifizieren. Aus der Vielfalt von Systeminformationen kann ein einzigartiger Fingerabdruck des Endgerätes erstellt werden, um dieses auch zu einem späteren Zeitpunkt eindeutig zu identifizieren.

Damit bietet das Device Fingerprinting eine komfortable Alternative zum Setzen eines Cookies. Das Setzen eines Cookies kann der Nutzer durch entsprechende Browser-Einstellungen unterbinden. Das Device Fingerprinting läuft dagegen im Hintergrund ohne Kenntnis und in der Regel ohne Einflussmöglichkeiten des Nutzers ab.

Device Fingerprinting kann nicht nur im Zusammenhang mit einem Website-Browser verwendet werden. Letztlich bietet sich die Methode überall dort an, wo auf eine Vielzahl von Systeminformationen zugegriffen werden kann, die zusammen ein Endgerät identifizieren lassen. Das kann etwas auch das Smartphone sein oder das vernetzte Fahrzeug.

Datenschutzrisiken

Die Artikel-29-Gruppe weist in ihrer Stellungnahme auf die Datenschutzrisiken des Device Fingerprinting hin. Zurecht wird darauf verwiesen, dass in der Regel aus der Vielzahl von Systeminformationen allein eine Person sich kaum identifizieren lassen wird.

Die Gefahr liege vielmehr in der Vielzahl von Informationen und deren Verknüpfung insbesondere mit anderen eindeutigen Identifizierungsmerkmalen. Genannt wird hier die IP-Adresse. Es dürfte jedoch schwierig werden eine Person anhand ihrer IP-Adresse und weiteren Informationen zu den Systemeinstellungen zu identifizieren.

Weitaus problematischer ist sicher die Verknüpfung mit weiteren Informationen auch von Seiten Dritter. Hierbei lässt sich nicht ausschließen, dass aus der Gesamtheit der Daten und deren Verknüpfung eine Personenidentifizierung möglich wird.

Wenn etwa das Device Fingerprinting für den Bordcomputer und das Navigationsgerät eines Fahrzeugs eingesetzt wird, um deren Nutzung zu analysieren, ist eine Identifizierng des Fahrzeughalters bzw. seines Fahrzeuges einschließlich einws Bewegungsprofiles vorstellbar. Wird dies auch noch mit einer Zugriffskontrolle mittels (menschlichem) Fingerabdruck verbunden, steht einer Identifizierung wenig im Weg.

ePrivacy-Richtlinie

Für den letztgenannten Fall ist klar, eine Einwilligung des Betroffenen ist erforderlich.

Die Stellungnahme hat mehr die weniger eindeutigen Fälle im Blick, denen ein erhöhtes Datenschutzrisiko innewohnt, und zieht Parallelen zu dem Einsatz von Cookies. Für diese gilt Art. 5 Abs. 3 ePrivacy-Richtline, wonach es einer Einwilligung des Betroffenen bedarf, es sei denn eine Ausnahme greift.

Eine direkte Umsetzung der Richtlinienvorgabe in deutsches Recht wurde nicht vorgenommen. Die Bundesregierung vertritt jedoch die Ansicht, dass eine entsprechende Regelung mit § 15 Abs. 3 TMG bereits besteht.

Dieser sieht jedoch lediglich eine Opt-Out-Lösung (Widerspruchslösung) vor. Dagegen verlangt die Artikel-29-Gruppe für Cookies eine echte Opt-In-Lösung, also eine Abfrage der Einwilligung vor Datenerhebung.

Stellungnahme der Artikel-29-Gruppe

Laut der aktuellen Stellungnahme fällt das Device Fingerprinting unter den Anwendungsbereich der ePrivacy-Richtline. Dies bedeutet, es muss grundsätzlich eine vorherigen Einwilligung des betroffen Nutzers abgefragt werden.

Für sechs Fälle wurde untersucht, ob diese in den Anwendungsbereich fallen und ob ggf. eine Ausnahme besteht. Danach bedarf es für insbesondere die folgenden Fälle eine vorherigen Einwilligung:

• Website-Analyse
• Tracking für Online Behavioural Advertising
• Erleichterter Login

Dagegen ist eine Einwilligung nicht erforderlich, wenn es um die optimale Darstellung von Inhalten, die Anbindung von Geräten an ein Netzwerk oder nutzerspezifische Sicherheitsmechanismen geht.

Auswirkungen

Die Stellungnahme ist zunächst nicht bindend. Es ist jedoch davon auszugehen, dass sich deutsche Datenschutzbehörden dem anschließen werden. Wer die Auseinandersetzung scheut, der sollte den Einsatz von Fingerprinting in der Dateschutzerklärung erläutern und eine Widerspruchsmöglichkeit anbieten.

Andererseits lohnt sich im Einzelfalls sicher eine Überprüfung, ob überhaupt ein Fall des Art. 15 Abs. 3 ePrivacyRL vorliegt und ob nicht eine Ausnahmeregelung greift.