Zunächst mal: Für was steht der Begriff? Device Fingerprinting wird teilweise auch als “Cookieless Monster” genannt. Damit können Sie als Betreiber einer Website oder App die auf dem jeweiligen Endgerät gespeicherten Informationen eindeutig wiedererkennen.
Sie erstellen dazu einen “Fingerprint” von verschiedenen Informationen über das Endgerät des Nutzers. Dazu zählen beispielsweise Browsertyp/ -version/ -einstellungen, IP Adresse, und ggf. Hersteller und Typenbezeichnung des Smartphones etc. Diese Daten speichern Sie dabei nicht lokal auf dem Endgerät … sondern bei Ihnen auf dem Webserver.
Sobald Sie bei einem Besucher diesen Fingerprint wiedererkennen, wissen Sie: “Die Person war schon mal hier!”. Sie können Nutzer so websiteübergreifend nachverfolgen und personalisierte Werbung schalten.
Gilt die DSGVO bzw. das TTDSG?
Doch fällt das unter die Datenschutzgesetze? JA!
Wie Sie wissen, verbieten der EuGH (und neuerdings das TTDSG) Tracking-Cookies ohne Einwilligung. Aber auch Device Fingerprinting ist und bleibt eine Tracking-Methode, bei der Sie Nutzer eindeutig zuordnen können (entweder über die IP-Adresse oder über andere Daten wie MAC etc.). Denn § 25 TTDSG sagt:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.
Mit Device Fingerprinting erstellte Geräteprofile sind damit personenbezogene Daten und müssen daher auch den datenschutzrechtlichen Bestimmungen (DSGVO) genügen. Auch wenn keine Daten auf dem Endgerät gespeichert werden. Es gibt dazu zwar aktuell noch keine gerichtliche Entscheidung (wie auch: das TTDSG gilt ja erst seit 1.12.2021). Aber der EuGH legt den Datenschutz immer strenger aus.
Kann man Device Fingerprinting im Browser oder Endgerät unterdrücken?
Browserseitig unterbinden? Funktioniert nicht. Denn einen Fingerprint können Sie gerade auch browserunabhängig erstellen. Damit sind AdBlocker nicht als Schutz geeignet (und wären nach der DSGVO auch irrelevant).
Übrigens: Apples iOS 14 (und Nachfolger) gibt Usern zwar die Möglichkeit, Tracking zu deaktivieren. Viele individuelle Einstellungen Ihres Endgeräts (Sprache, Versionen, Screen-Auflösung, Batteriestatus etc.) lassen sich aber nicht verheimlichen bzw. unterdrücken.
Meine Empfehlung
Auch für das Erstellen eines Fingerprints müssen Sie vorher die Einwilligung (z. B. per Banner) einholen. Habe ich bisher persönlich noch nie gesehen, Sie? Weil aber das TTDSG in § 28 bis zu 300.000 € Bußgeld für Verstöße androht, sollten Sie sich an die gesetzlichen Vorgaben halten.
👉 Fragen dazu? Ich freue mich über Ihre Kommentare!