Fingerprinting oder Finger weg?

Spätestens seit Ligatus sich am Thema Canvas Fingerprinting die Finger verbrannt hat, herrscht Unsicherheit im Online-Werbemarkt. Wer Alternativen zum Cookie suchte, fand im Fingerprinting eine willkommene Alternative, um auf den Fall vorbereitet zu sein, dass sämtliche Browser und Webseiten auf Datenkeks-Diät gesetzt werden. Die Technologie, die von jedem Browser ein unsichtbares Bild des Nutzers (Dies hat zum Namenszusatz „Canvas“, also Gemälde geführt) aus Daten und Buchstaben zeichnet, wurde in einer gemeinsamen Studie der Universitäten Princeton und Leuven untersucht (die komplette Studie kann hier als PDF heruntergeladen werden). Fazit der Forscher: Fingerprinting ist „hard to detect and resilient to blocking or removing. There doesn’t appear to be a way to automatically block canvas fingerprinting without false positives that block legitimate functionality; even a partial fix requires a browser source-code patch“.

Das heißt im Klartext: Für „Otto Normal User“ wird es damit schwierig bis unmöglich, ihre Privatsphäre zu schützen. Das Wasser in die Mühlen der Datenschützer, wie auch das Fazit der Studie zeigt: „A frequent argument in online privacy debates is that individuals should ‚take control‘ of their own privacy online. Our results suggest that even sophisticated users may not be able to do so without significant trade-offs.“ Performance Marketer wie Ligatus distanzieren sich bereits von den Fingerprints. In einer offiziellen Stellungnahme teilt die Gruner+Jahr-Tochter mit, dass die Technologie „zu reinen Forschungszwecken“ eingesetzt wurde. Aktuell habe Ligatus „keine Pläne, diese Technologie bei uns einzusetzen, da sie keinen Vorteil für die von ​Ligatus eigenentwickelten Optimierungs-Algorithmen bringt​, ​die sich​ auf die generelle Erkennung von Mustern im Nutzungsverhalten ​stützen und nicht auf Cookies oder die Wiedererkennung konkreter User setzen“.

Um Licht ins Dunkel bei der aktuell laufenden Datenschutz-Debatte zu bringen, haben wir mit Kathrin Schürmann gesprochen. Sie berät für die Berliner Kanzlei „Schürmann Wolschendorf Dreyer“ Konzerne und Agenturen in Rechtsfragen und spricht regelmäßig als Dozentin und Referentin zum Thema Recht im Online-Marketing.

1.       Wie beurteilt Ihr das oben zitierte Statement, insbesondere aus Datenschutzsicht? Drohen juristische Konsequenzen beim Einsatz von Fingerprinting Technologien?
Wie so oft, kommt es auch bei dem Einsatz von Fingerprinting Technologien auf die konkrete Ausgestaltung und den Zweck des Einsatzes dieser Technologien an – juristische Konsequenzen drohen nur dann, wenn die Technologie nicht gesetzeskonform eingesetzt wird. Was derzeit durchaus schwierig ist, denn insgesamt sind Fingerprinting Technologien noch sehr neu und es gibt daher wenig juristische Literatur geschweige denn Aussagen der datenschutzrechtlichen Aufsichtsbehörden zum gesetzeskonformen Einsatz. Rechtlich gesehen handelt es sich also in der Tat um „Neuland“.

Aus Datenschutzsicht gibt es noch viele offene Fragen zu der Technologie – beispielsweise im Hinblick auf die Verantwortlichkeit für die Datenerhebung. Ist der Webseitenbetreiber, der die Technologie in seine Webpage einbindet oder aber der Anbieter der Fingerprint Technologie (und eigentlicher „Datensammler“) aus Datenschutzsicht verantwortlich? Handelt es sich bei den zugrundeliegenden Daten um anonymisierte oder pseudonymisierte Daten? Ist ein Rückschluss auf reale Personen möglich?
Fragen, die jeder Anwender im Vorfeld des Einsatzes der Technologie beantworten sollte, denn bei einem nicht gesetzeskonformen Einsatz von Fingerprinting Technologien drohen nicht nur Sanktionen der datenschutzrechtlichen Aufsichtsbehörden, sondern auch Abmahnungen durch Wettbewerber oder Verbraucherverbände, da die Rechtsprechungen derzeit immer mehr dazu tendieren, Datenschutzverstöße auch als wettbewerbsrechtlich relevant und damit abmahnfähig einzustufen.

2.      Was müssen Werbungtreibende generell beachten, wenn sie Muster im Nutzungsverhalten analysieren möchten? Gibt es in Deutschland wirklich rechtskonforme Möglichkeiten, User-Profile anzulegen?
Das Anlegen von User-Profilen und die Nutzung dieser Profile zu Werbezwecken ist „unproblematisch“ möglich, sofern die gesetzlichen Rahmenbedingungen eingehalten werden. Einschlägig ist hier  §15 Abs. 3 Telemediengesetz, der besagt, dass pseudonymisierte Nutzungsprofile für Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung der Telemedien (=Websites) erstellt werden dürfen, wenn der Nutzer dem nicht widerspricht und diese Daten nicht mit weiteren Daten des Nutzer zusammengeführt werden.

Darüber hinaus muss der Webseitenbetreiber den Nutzer über die Erstellung der Nutzungsprofile informieren und eine Widerspruchsmöglichkeit anbieten. Sofern diese Voraussetzungen eingehalten werden, ist das Erstellen von Nutzungsprofilen auf Grundlage dieses gesetzlichen Erlaubnistatbestandes möglich. Insofern können auch Nutzerprofile die unter Zugrundelegung der Fingerprinting Technologien erstellt werden, durchaus unter diesen Erlaubnistatbestand fallen – allerdings nur dann, wenn davon auszugehen ist, dass es sich um pseudonyme Nutzungsprofile handelt, was derzeit noch ungeklärt ist. Nichtsdestotrotz können dieser Norm grundsätzliche Anforderungen an die Erstellung von User-Profilen entnommen werden, wie bspw. das Verbot des Zusammenführens dieser Daten mit den eigentlichen, „identifizierenden“ Nutzerdaten.

Wie auch in den übrigen Bereichen des Datenschutzes ist auch bei den Fingerprinting Technologien darauf zu achten, dass größtmögliche Transparenz gelebt wird, das heißt, dass über den Einsatz dieser Technologien aufgeklärt und dem Nutzer ein Widerspruchsrecht (Opt-out) für die jeweilige Technologie eingeräumt wird. Ansonsten ist ein datenschutzkonformer Einsatz nicht möglich und die notwendige Akzeptanz der User nicht zu erreichen, wie die vielen Presseartikel zu Canvas Fingerprinting gezeigt haben.

Zu beachten ist in diesem Zusammenhang jedoch auch die  E-Privacy- oder sogenannte Cookie-Richtlinie, die unter anderem ein Einwilligungserfordernis für das Nutzen von Cookies oder ähnlichem Technologien bestimmt. Auch wenn derzeit noch umstritten ist, ob auch Fingerprinting Technologien unter diese Richtlinie fallen, so sollten doch bereits jetzt die Anforderungen mit beachtet werden.

3.       Stichwort User-Profile: Wenn das Bild des Users bereits bis ins Detail analysiert und abgebildet wird, kann man dann überhaupt noch von Pseudonymisierung und Schutz der Privatsphäre sprechen? Der „Fingerabdruck“ des Users wird ja bereits genommen und zur Rückschlussmöglichkeit auf konkrete User ist der Weg nicht weit. Wie schätzt Ihr als Kanzlei die aktuelle Entwicklung beim User-Profiling und die Testläufe von Alternativen zum Cookie Tracking ein?
Nicht zuletzt hat die teilweise Überregulierung und die strenge Auslegung der oben erwähnten Cookie-Richtlinie dazu geführt, dass Fingerprint Technologien derzeit stark auf dem Vormarsch sind. Das Risiko, das wir dabei sehen ist, dass Fingerprinting Technologien für die betroffenen Internetnutzer viel weniger handhabbar sind. So ist es derzeit beispielsweise schwierig, überhaupt zu erkennen, ob eine Website solche Technologien nutzt. Darüber hinaus fehlt zumeist eine entsprechende Aufklärung und Widerspruchsmöglichkeit in der Datenschutzerklärung. Cookies sind leicht erkennbar und für den Nutzer nicht zuletzt über die Browsereinstellungen leicht handhabbar.

Häufig wird jedoch davon ausgegangen, dass Fingerprinting Technologien auf rein anonymisierten Daten basieren und damit deutlich weniger die Rechte der Nutzer tangieren. Andererseits wird vertreten, dass auch die „digitale Persönlichkeit“ schützenswert sei und das auch bei der Annahme von anonymen Daten die Regelungen der Datenschutzgesetze Anwendung finden sollten. Dies halte ich allerdings für eine überzogene Auffassung. Eine der spannendsten Fragen bleibt daher, inwieweit beim Einsatz von Fingerprinting Technologien von anonymisierten oder pseudonymisierten Daten gesprochen werden kann, was sich wiederum nicht zuletzt an der konkreten Ausgestaltung der Technologie durch den jeweiligen Anbieter bestimmt.
Für jeden, der Fingerprinting Technologie einsetzen will, heißt es daher, diese Technologie im Detail zu analysieren und genau zu klären, welche Daten dort erhoben und genutzt werden und inwiefern Rückschlüsse auf die eigentlichen Nutzer möglich sind. Darüber hinaus ist eine absolute Transparenz in der Datenschutzerklärung sowie die zur Verfügungstellung von Opt-Out Möglichkeiten zu empfehlen. Ob und inwieweit eine Einwilligung der User notwendig ist, oder ob Auftragsdatenverarbietungsverträge mit den Anbietern der Technologie zu schließen sind, kommt auf die Ausgestaltung an und sollte von Unternehmen, die die Technologie nutzen wollen eingehend geprüft werden.

Vielen Dank für das Interview!