Drücke „Enter”, um zum Inhalt zu springen.
Auf dieser Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise

Digitaler Fingerabdruck: Alle wichtige zu Tracking und Cookies

· Ein Beitrag von IT Logic

Kategorien: Allgemein, Cookies und Tracking

Mit Hilfe der Netzwerkadresse, die jedes Internet-fähige Gerät besitzt, kann der Inhaber des Geräts identifiziert werden. Diese Adresse wird auch IP-Adresse genannt.
Neben der Netzwerkadresse gibt es eine Reihe weiterer Möglichkeiten, den Besucher eine Webseite zu identifizieren. Dieser Fingerabdruck ist auch ohne Cookies geeignet, einen Nutzer eindeutig zu identifizieren und nachzuverfolgen. Doch zunächst zu Cookies:

Cookies
Cookies sind Datensätze. Sie bestehen aus einem Namen und einem Wert sowie einer Gültigkeit und Sicherheitsparametern. Oft werden Cookies fälschlicherweise als Textdateien bezeichnet.
Weiterlesen…

Viele meinen, wenn keine Cookies verwendet werden, ist der Datenschutz gewährleistet. Das stimmt keinesfalls.
Auch ohne Cookies und sogar ohne die Netzwerkadresse eines Nutzers zu kennen, kann der Nutzer identifiziert werden. Das Schlüsselwort heißt Digitaler Fingerabdruck. Der Begriff Browser Fingerprint, also der Fingerabdruck des Nutzersystems, spielt hier eine entscheidende Rolle.

Hier sehen Sie Ihren digitalen Fingerabdruck, der beim Besuch dieser Seite ermittelt wurde:

Dies ist Ihr Browser Fingerabdruck (Auszug):

Ihr digitaler Fingerabdruck wurde jetzt gerade – beim Abruf dieser Seite – in Echtzeit festgestellt. Er entspricht (um ein paar Informationen reduziert) dem, was Google & Co jedesmal von Ihnen erhalten, wenn Sie eine Webseite aufrufen, die beispielsweise Google Maps oder Google Schriften verwenden. Diese Tools wurden nur beispielhaft genannt, es betrifft in Wirklichkeit sämtliche Tools, Dateien, Scripte, Bilder, Karten und Videos, die von einem Server einer sogenannten Drittpartei (Third Party) geladen werden.

Diese Infomationen werden bei jedem Aufruf einer Webseite von Ihnen zur Webseite übertragen. Zusätzlich dazu besteht Ihr Fingerabdruck aus weiteren Daten, die hier nicht angegeben wurden:

  • Exakte Adresse der besuchten Webseite
  • Exakter Zeitpunkt des Besuchs
  • Ihre IP-Adresse
  • Technische Einstellungen Ihres Browsers
  • Sowie ggfs.: installierte Schriftarten

Weiter unten folgt eine zusätzliche Möglichkeit zum Browser Fingerprint, die sogar aus anonymisierten Daten eine Personenzuordnung zulässt.

Die folgende Grafik stellt dar, warum ein nahezu eindeutiges Identifizieren und somit Nachvervolgen eines Nutzers ohne Cookies, dafür aber mit Browser-Informationen jederzeit möglich ist:

Tracking auch ohne Cookies. Quelle: IT Logic GmbH

Mit Hilfe der Browser-Informationen, die im Bild ansatzweise dargestellt sind, können Sie mit hoher Wahrscheinlichkeit als eindeutiger Nutzer erkannt werden.

Identifizierung eines Nutzers

Siehe hierzu auch die Ausarbeitung von Henning Tillmann.

Eindeutigkeit von Browser-Daten eines Nutzers, Quelle: Henning Tillmann.

Machen Sie selbst den Test und sehen Sie, ob Ihr Browser vor Tracking geschützt ist:

Browser Tracking-Test

Der Dienst wird von einem Drittanbieter bereitgestellt. Hier ein beispielhaftes Ergebnis:

Ergebnis des Panopticlick Browser-Tracking Tests

Man kann weitere Details zum Ergebnis aufrufen, etwa zum Browser Fingerabdruck. Man ist überrascht, wie viele Informationen jeder Webseitenaufruf über einen selbst verrät:

Browser-Fingerprint, Quelle: Panopticlick

Die Informationen auf der rechten Seite sind unscharf gemacht, um keine sensiblen Informationen weiterzugeben. Machen Sie den Test selbst uns sehen Sie die realen Informationen, die Ihr Browser über Sie verrät.

Nutzer sind nahezu eindeutig erkennbar

Der Fingerabdruck des Browser zeigt eine große Menge an Daten, Informatiker sprechen von Bits. Ein Bit ist eine Informationseinheit, also eine Aussage über Sie als Nutzer. Gemäß Panopticlick enthält der o.g. Browser Finmgerabdruck 16,8 Bits an Informationen. Zum Vergleich: Verfeinert man die Methode der Datenanalyse, kommt man auf 5000 Datenpunkte, wie der Fall Cambridge Analytica zeigt.

Die Netzwerkadresse wird bei jedem Aufruf einer Webseite vom Browser mitgeschickt. Das ist notwendig, damit die Gegenstelle weiß, wohin sie die Antwort (=Ansicht der Webseite) zurückschicken soll.

Mit Hilfe der IP-Adresse kann man zumindest grob prüfen, wer dahinter steckt:

Reverse Lookup

Befindet sich Ihr Computer in einem Firmennetz mit eigener Netzwerkadresse, dann kann der Firmenname mit einiger Sicherheit herausgefunden werden. Dafür bedarf es möglicherweise weiterer Tools, wie etwa diesem hier:

Firma über IP-Adresse ermitteln

Die Nutzereinwilligung

Das Urteil des EuGH zu Cookies ist unserer Darstellung nach so auszulegen, dass jeder Mechanismus, der analog zu Cookies geeignet ist, Nutzer zu identifizieren oder nachzuverfolgen oder Informationen über sie zu speichern, einer vorigen Zustimmung durch den Nutzer bedarf.

Insofern ist die Verarbeitung einer Netzwerkadresse zum Zwecke der Identifikation einer Person ohne deren Zustimmung nicht zulässig. Da man vorher nicht weiß, ob eine Adresse zu einer Person oder einer Firma führt, stellt sich die Frage nach der Zulässigkeit im B2B Bereich nur selten.

Abgesehen davon darf und muss die IP-Adresse der Webseitenbesucher sogar gespeichert werden, um Hackerangriffe und Denial of Service Attacken zu vermeiden. Man muss nur verstehen, dass die Datenerhebung etwas anderes ist als die Datenverwendung. Die Verwendung erhobener Daten ist nämlich nur in engen Grenzen erlaubt, wie das Beispiel mit der Vermeidung von Hackerangriffen zeigt.

Anonymisierte Daten deanonymisieren

Selbst wenn einzelne Datensätze komplett anonymisiert wurden, kann bei Kenntnis von wenigen verschiedenen Datensätzen zu einem Nutzer die dahinter stehende Person ermittelt werden.

Der Wissenschafter Yves-Alexandre de Montjoye zeigte zusammen mit anderen, dass nur wenige Datensätze genügen, um diese einer Person zuzuordnen. Und das selbst, wenn die Datensätze komplett anonymisiert wurden. Dazu gibt es eine Beitrag von de Montjoye zum 36. Kongress des Chaos Communication Congress (36C3).

Hierzu gibt es eine Demo, die allerdings nur für USA und UK funktioniert. Im Kern ist die Aussage, dass vier Datenpunkte ausreichen können, um eine Person zu identifizieren. Wenn man von 1,5 Millionen Autofahrern anonymisierte Bewegungsdaten hat, reichen also vier Standortangaben zu einem Autofahrer, um die Person dazu zuzuordnen. Selbst Methoden wie Diffix, die Rauschen auf Daten legen, können ausgehebelt werden. Lediglich der Aufwand zur Deanomysierung steigt dann um ein paar Prozentpunkte an.

Weitere Informationen zum Verfahren gibt ein englischer Artikel in der Zeitschrift Nature.

Empfehlungen für Webseiten

Aus den Konsequenzen, die sich aus dem digitalen Fingerabdrucks jedes Nutzers im Internet ergeben, kann man eine Reihe von Schlussfolgerungen ableiten:

  • Firmen wie Google und Facebook, aber auch XING, sammeln sehr viele Daten über Internetnutzer und versuchen diese zu monetarisieren
  • Monopole entstehen
  • Dieses Nutzer-Tracking ist mit Cookies einfacher möglich als ohne, aber ohne Cookies nahezu ebenso einfach möglich. Nur die Datenbasis muss groß genug sein, also die Menge an Nutzerinteraktionen, die man verfolgen kann
  • Nahezu alle Tools, Scripte und Videos von größeren Drittanbietern sind rechtswidrig, sofern sie nicht ohne vorige Nutzerzustimmung eingebunden werden.

Die Empfehlungen für Webseiten lauten:

  • Verwenden Sie keine Tracking-Tools wie Google Analytics, Adobe Analytics, Facebook Pixel. Greifen Sie zu Alternativen wie Matomo (Piwik) oder eTracker. Wenn Sie eine WordPress Webseite haben, nehmen Sie WP Statistics oder eTracker, da es für diese Tools ein gutes Plugin gibt
  • Binden Sie YouTube-Videos nicht mehr auf Ihrer Webseite ein. Legen Sie die Videos lokal ab oder verlinken Sie nur auf die Videos. Beim Verlinken können Sie ein Vorschaubild verwenden, sofern Sie die Urheberrechte am Video haben
  • Verwenden Sie keine Social Media Plugins wie die von Facebook, Twitter, Instagram, Linkedin oder XING. Möchten Sie dies tun, dann verwenden Sie eine sogenannte Zwei-Click Lösung. Damit kann der Nutzer vor Laden des Plugins den Datenschutzrichtlinien zustimmen

Achten Sie generell darauf, keine kritischen Scripte, Tools, Plugins oder Videos zu laden, bevor der Nutzer zugestimmt hat. Weil dies technisch anspruchsvoll ist, raten wir dringend zu den genannten Alternativen.

Lesen Sie auch: Hinweise zu sogenannten Cookie Consent Tools.

Zum Thema Tracking finden Sie hier weitere Informationen:

Was bedeutet Tracking?
Das könnte Sie auch interessieren:
Google Fonts Abmahnung erhalten: Was tun? Kostenfreie Erstberatung
Google Fonts und Google Analytics: Das rechtliche Risiko steigt
Google Analytics Webinar: Das sollten Datenschutzberater über das Tracking-Tool wissen
Datenschutz-News: Beitrag zu Consent Tools auf Webseiten
Consent Tools für Webseiten im großen Praxistest: Big Fail
Web Tracking: Wann einwilligungspflichtig?