IT-Recht

User-Tracking und Datenschutz

Neben Cookies erfreuen sich sogenannte Webbrowser Fingerprints zunehmender Beliebtheit, wenn es darum geht, das Userverhalten im Web zu analysieren. Inwieweit diese digitalen Fingerabdrücken mit dem Datenschutzrecht vereinbar sind, und was Webseitenbetreiber dabei beachten müssen, zeigt dieser Beitrag.

User-Tracking und Datenschutz

© Guido Vrola - Fotolia

User-Tracking und Datenschutz

Das "Tracking" des User-Verhaltens ist schon seit Langem ein lukratives Geschäft für viele Unternehmen - besonders im Bereich des E-Business. Denn anhand der gewonnen Informationen könnten passgenaue Profile der Internetnutzer ausgearbeitet und interessengerechte Werbung ausgesteuert werden.

Bisher basierte das Tracking in erster Linie auf Cookies, die auf dem Endgerät des Users gespeichert werden. Doch immer beliebter werden die sogenannten "Webbrowser Fingerprints", die auch zum Internet-Tracking verwendet werden können. Bei dieser neuen Trackingmethode werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt.

Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Wenn diese Daten zusammengesetzt werden, ergibt sich daraus ein "digitaler Fingerabdruck" eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit wiedererkannt werden kann.

Grundlagen des Tackings

Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken.

Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden.

Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies oder IP-Adressen) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.

So stellen sich mehrere rechtliche Fragen: Ist das Datenschutzrecht überhaupt anwendbar? Wer ist im Drei- Personen-Verhältnis, wenn die Fingerprints von Drittanbietern verarbeitet werden, verantwortliche Stelle und damit für die Verarbeitung zuständig? Zudem gibt es auch rechtliche Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

Anwendbarkeit des Datenschutzrechts

Im Moment wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterliegen. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die "hinter" dem Browser stehende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte.

Eine Zuordnung ist - wenn überhaupt - nur dann möglich, wenn Zusatzinformationen vorhanden sind oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der User eine zwar eindeutige, aber nicht zuordenbare Person. Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter, und es ist nach der rechtlichen Zulässigkeit zu fragen.

Mira Martz

© Mira Martz

Die Autorin: Mira Martz, Referentin für Datenschutz und Kommunikation für die ISiCO Datenschutz GmbH

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig sind. Laut § 12 Abs. 1 des Telemediengesetzes (TMG) bedarf es für die Verwendung der Daten - sollte keine vorherige Einwilligung vorliegen - eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

Dort heißt es im Wortlaut: "(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). (2) (...) Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen.

Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt." Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen.

Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden und ein Widerspruch dagegen möglich ist. Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unproblematisch erfüllt werden.

Wer ist verantwortlich? Aufgrund des Dreiecksverhältnisses zwischen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klären, wer genau verantwortliche Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könnte jeder, der direkt für die Datenerhebung und Verarbeitung zuständig ist, verantwortliche Stelle sein. Unstreitig ist bei der Erhebung von personenbezogenen Daten des Nutzers durch den Webseitenbetreiber dieser als verantwortliche Stelle anzusehen.

Erhebt der Drittanbieter die personenbezogenen Daten für seine Werbezwecke, ist er verantwortliche Stelle. Es wird jedoch auch die Ansicht vertreten, dass der Webseitenbetreiber ebenfalls für die Verarbeitung durch den Drittanbieter verantwortlich sei.

Dagegen spricht jedoch, dass der Webseitenbetreiber beispielsweise nicht zwischen Nutzer und Drittanbieter steht und die übermittelten Daten überhaupt nicht kennt. Damit kann der Webseitenbetreiber in diesem Verhältnis nicht als verantwortliche Stelle angesehen werden. Es ist davon auszugehen, dass nur derjenige verantwortliche Stelle ist, der die Daten auch direkt erhoben hat.

Fazit

Viele Einzelheiten sind im Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden.

Dies ist sehr zu begrüßen, denn das Internet-Tracking stellt insbesondere für E-Business-Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schalten und damit passgenaue Angebote zu machen. Nur mit einer gezielten Werbung kann es Unternehmen gelingen, schnell zu wachsen und sich auf dem Markt durchzusetzen.

Mehr zum Thema

Werbung auf Facebook
Ratgeber Social Media

Die Kommunikation i bei Facebook folgt eigenen Regeln, die Unternehmen tunlichst beherzigen sollten. Welche das sind, erklärt dieser Beitrag.
image.jpg
Interview

"Mobile Schädlinge haben gegenüber dem PC stark aufgeholt - quantitativ und qualitativ." Dieser Meinung ist Christian Funk, Virus Analyst bei…
Am PC hui - mobil pfui Smileys
Mobile Business

Was im normalen Browser auf dem PC schnell und performant läuft, sollte auch als mobile Anwendung gut funktionieren. Dieser Beitrag zeigt, was man…
Susanne Braun
Interview des Monats

Susanne Braun, PPS Printing Systems Category Director bei HP Deutschland, berichtet uns im folgenden Interview über Tintenstrahl-Drucklösungen, die…
Jörg Hesske von VMware
Interview des Monats

Jörg Hesske trägt seit Januar 2009 als Country Manager Germany die Gesamtverantwortung für die deutsche Niederlassung von VMware.