Browser Fingerprinting – Aufsichtsbehörde plant Bußgelder

632

Die eindeutige Kennung eines Browser wird von manchen Websites zum Tracking des Nutzers verwendet.

Die Fragestellung, wie Webtracking unter der DS-GVO datenschutzkonform durchgeführt werden kann, ist aufgrund der (noch) nicht verabschiedeten ePrivacy-Verordnung ein aktuelles Diskussionsfeld. Aus technischer Sicht werden bei den meisten Trackingverfahren weiterhin Cookies verwendet, seien es die First-PartyCookies der aufgerufenen Website oder ThirdParty-Cookies von Drittanbietern. Cookies, insbesondere die in der Regel verwendeten HTTPCookies, haben den Vorteil für den Nutzer, dass sie im Browser gelöscht (z. B. bei Beenden des Browsers) oder blockiert (anwendbar bei ThirdParty-Cookies) werden können. Neue Browser Generationen beinhalten auch zunehmend Anti-Tracking-Funktionalitäten, die einer möglichst allumfassenden Nutzungsprofilbildung entgegenstehen.

Eine technische Möglichkeit auf Cookies zu verzichten und dennoch einen Browser eindeutig – sogar über Websites hinweg – zu identifizieren, ist das sogenannte Browser-Fingerprinting. Darunter versteht man die Berechnung eines möglichst eindeutigen Hash-Wert eines Browsers, bei dem neben den bekannten Basiswerten wie Betriebssystem und Softwarestand auch Merkmale wie auf dem PC installierte Schriftarten oder das Renderverhalten der Grafikkarte einbezogen werden. Anhand dieses Browser-Fingerabdrucks kann das Surfverhalten ohne wirksame Gegenmaßnahmen eines Nutzers aufgezeichnet und für die Profilbildung verwendet werden.

Das BayLDA ist der Auffassung, dass ein Einsatz von Browser-Fingerprinting-Technologien nur mit Einwilligung der Nutzer zulässig ist. Auf eine Interessenabwägung nach Art. 6 Abs. 1 Buchstabe f DS-GVO können sich die Verwender dieser Technologie nicht stützen, da die schutzwürdigen Interessen der Nutzer hier eindeutig überwiegen. Das BayLDA führte im Berichtszeitraum eine Kooperation mit dem Lehrstuhl für IT-Sicherheitsinfrastrukturen der Friedrich-Alexander-Universität Erlangen-Nürnberg durch, die derzeit weiter fortgesetzt wird. Im Rahmen dieser Forschungskooperation wurde evaluiert, inwiefern durch automatische Prüfverfahren der Einsatz von Browser-Fingerprinting-Methoden auf Websites festgestellt werden kann. Mit den bislang gewonnenen Erkenntnissen beabsichtigen wir, einen ersten Feldtest bei Verantwortlichen in Bayern durchzuführen.

-> Sollte dabei festgestellt werden, dass Browser-Fingerprinting-Technologien ohne Einwilligung der Nutzer eingesetzt werden, ist neben den aufsichtlichen Maßnahmen auch die unmittelbare Einleitung von Bußgeldverfahren geplant.

Quelle: BayLDA

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here