Browser-Fingerprinting und Einwilligung: Ein Leitfaden für Publisher zu einer Tracking-Technik unter Beobachtung der Aufsichtsbehörden
In den meisten Diskussionen der Cookie-Ära über Online-Tracking war die technische Oberfläche, auf die es ankam, die Speicherschicht: Cookies im Browser, localStorage-Einträge, IndexedDB-Datenbanken – die Dinge, die ein Entwickler sehen und ein Regulierer zeigen konnte. Fingerprinting funktioniert anders. Es fordert den Browser nicht auf, irgendetwas zu speichern. Stattdessen stellt es dem Browser Fragen – welche Schriften haben Sie installiert, wie sieht das Rendering dieses Canvas aus, wie verarbeitet der Audio-Kontext dieses Signal – und kombiniert die Antworten zu einem Bezeichner, der über Sitzungen, Geräte und sogar private Browsing-Fenster hinweg bestehen bleibt. Für Publisher und Ad-Tech-Anbieter war Fingerprinting ein attraktiver Weg, der Abkündigung von Drittanbieter-Cookies auszuweichen. Für Regulatoren ist es zu einer der am aggressivsten verfolgten Tracking-Techniken geworden, weil es konstruktionsbedingt Nutzer ohne deren Mitwirkung identifiziert. Die CNIL, das EDPB, das UK ICO und der italienische Garante haben in den letzten 24 Monaten alle Durchsetzungsentscheidungen oder Leitlinien speziell zum Browser-Fingerprinting erlassen. Dieser Leitfaden erläutert, was Fingerprinting tatsächlich ist, was rechtlich als Fingerprinting gilt und wie ein Publisher damit in einem Consent-Management-Framework umgehen sollte.
Was Browser-Fingerprinting ist
Ein Browser-Fingerabdruck ist ein Bezeichner mit hoher Entropie, der aus Eigenschaften aufgebaut wird, die der Browser für jeden laufenden JavaScript offenlegt. Die Grundtechniken gliedern sich in mehrere Familien, von denen jede zur Entropie des kombinierten Fingerabdrucks beiträgt.
Canvas-Fingerprinting
Das HTML5-Canvas-Element rendert Grafiken auf leicht unterschiedliche Weise, abhängig von der zugrunde liegenden GPU, dem Treiber, dem Betriebssystem und dem Schriftensystem. Das Zeichnen einer festen Zeichenkette mit einer bestimmten Schriftart und anschließendes Hashen der resultierenden Pixeldaten erzeugt einen Bezeichner, der zwischen Geräten variiert, aber über Sitzungen auf demselben Gerät stabil ist. Canvas-Fingerprinting ist das kanonische Beispiel und die am häufigsten zitierte Technik in Durchsetzungsentscheidungen.
Audio-Fingerprinting
Die AudioContext-API verarbeitet Audiosignale durch denselben Hardware-Software-Pipeline wie Grafiken, und der resultierende Output variiert auf eine Weise, die Entropie erzeugt. Das Betreiben eines bekannten Oszillators durch einen Kompressor und Hashen des Ergebnisses erzeugt einen stabilen geräteübergreifenden Bezeichner.
Schriftartenaufzählung
Verschiedene Betriebssysteme und Benutzerprofile haben unterschiedliche Sätze installierter Schriftarten. Das Prüfen von Vorhandensein oder Fehlen von Schriftarten – durch Messung von Textmetriken für eine Liste von Kandidatenschriftarten – erzeugt einen Bezeichner, der besonders unterscheidend für Nutzer ist, die ihren Schriftartensatz angepasst haben.
WebGL-Fingerprinting
WebGL legt GPU-Fähigkeiten und Rendering-Verhalten offen. Die Kombination aus Anbieter-String, Renderer-String und dem Rendering einer festen Szene erzeugt einen weiteren hochentropischen Bezeichner.
Netzwerk- und Gerätemetadaten
Über die aktiven Sondiertechniken hinaus enthalten Fingerabdrücke typischerweise passive Metadaten: User-Agent-String, Spracheinstellungen, Zeitzone, Bildschirmauflösung, Farbtiefe, verfügbarer Arbeitsspeicher, verfügbare Prozessoren, Akkustand und TLS-Fingerabdruck auf der Verbindungsschicht. Jedes Element fügt für sich Entropie hinzu und verbindet sich multiplikativ mit den anderen.
Wie Regulatoren Fingerprinting behandeln
Die rechtliche Analyse ist grundsätzlich einfach, aber in der Praxis schwieriger. Fingerprinting, das einen Nutzer identifiziert, erzeugt personenbezogene Daten gemäß der DSGVO-Definition, und das Lesen oder Zugreifen auf bereits auf einem Gerät gespeicherte Informationen fällt unter Artikel 5(3) der ePrivacy-Richtlinie – dieselbe Bestimmung, die Cookies regelt. Sowohl Artikel 5(3) als auch die DSGVO verlangen eine vorherige Einwilligung für nicht-essentielles Tracking. Wo das Recht über Cookies hinausgeht, ist, dass ePrivacy 5(3) das "Speichern von Informationen oder den Zugang zu bereits in einem Endgerät eines Teilnehmers oder Nutzers gespeicherten Informationen" abdeckt – eine Sprache, die weit genug ist, um die Gerätezustandsüberprüfung abzudecken, auf die Fingerprinting angewiesen ist.
Das EDPB bestätigte diese Auslegung in seinen Leitlinien von 2023 zur Anwendung von Artikel 5(3) auf Nicht-Cookie-Tracking, und die CNIL war der aggressivste Durchsetzer: Mehrere Bußgelder aus dem Jahr 2024 nannten Fingerprinting-Bibliotheken, die vor der Einwilligung operierten, als primären Verstoß. Die Erklärung des UK ICO aus dem Jahr 2024 zum Tracking ist noch direkter in der Einordnung von Canvas-, Audio- und ähnlichen Fingerabdrücken als solchen, die eine Opt-in-Einwilligung auf Augenhöhe mit Cookies erfordern.
Die Grauzone: Betrugsprävention vs. Tracking
Der umstrittenste Fingerprinting-Anwendungsfall ist die Betrugsprävention. Bot-Erkennung, Kontenschutz und Zahlungsbetrugs-Screening verlassen sich alle auf Geräte-Fingerprinting als Kernsignal. Regulatoren haben anerkannt, dass ein Teil dieser Verarbeitung auf Basis berechtigter Interessen statt Einwilligung gerechtfertigt werden kann – aber die Messlatte ist hoch und der Umfang eng. Die CNIL-Position, die von anderen Datenschutzbehörden wiederholt wird, lautet:
- Zwingend notwendige Betrugsprävention bei First-Party-Eigenschaften kann auf Basis berechtigter Interessen durchgeführt werden, mit angemessener Dokumentation in einer Interessenabwägung (LIA).
- Verhaltens- oder werbliche Nutzung desselben Fingerabdrucks erfordert Einwilligung und kann nicht auf den Betrugsverhinderungs-Grund gestützt werden.
- Die Weitergabe des Fingerabdrucks an Dritte für jeden Zweck fällt in der Regel aus dem Umfang des berechtigten Interesses heraus und erfordert Einwilligung.
- Dauerhafte Speicherung des Fingerabdrucks über die unmittelbare Betrugsprüfung hinaus erfordert generell entweder Einwilligung oder eine sehr präzise formulierte Interessenabwägungsposition.
Die praktische Konsequenz ist, dass ein Publisher, der sowohl Betrugspräventions-Fingerprinting als auch Ad-Tech-Fingerprinting betreibt, nicht auf den Betrugsgrund verweisen kann, um beides abzudecken. Die beiden Flows müssen architektonisch getrennt sein, wobei der Ad-Tech-Flow hinter der Einwilligung abgesichert und der Betrugspräventions-Flow auf seinen dokumentierten Zweck beschränkt ist.
Fingerprinting in einem CMP handhaben
Das Integrationsmuster für Fingerprinting ähnelt anderen Tracking-Techniken, erfordert aber besondere Sorgfalt, da das Fehlen offensichtlicher Speicherung die Einwilligungsgrenze leichter übersehbar macht.
1. Die Fingerprinting-Oberfläche inventarisieren
Prüfen Sie die Website auf jedes Skript, das Canvas toDataURL() aufruft, AudioContext-basierte Verarbeitung vornimmt, Schriftarten per Textmetrik-Messung sondiert oder WebGL-Renderer-Abfragen stellt. Diese Aufrufe sind oft in Drittanbieter-Bibliotheken vergraben – Ad-Tech-SDKs, Anti-Fraud-Anbieter, A/B-Testing-Tools – und nicht sofort sichtbar.
2. Jeden Fingerprinting-Einsatz kategorisieren
Für jede Bibliothek, die Fingerprinting durchführt, dokumentieren Sie, ob sie (a) zwingend notwendig für den Betrieb der Website ist, (b) eine Betrugsverhinderungs-Maßnahme auf Basis berechtigter Interessen, oder (c) für Tracking, Analyse oder Werbung. Kategorien (a) und (b) können ohne ausdrückliche Einwilligung auf Basis dokumentierter Grundlagen fortgeführt werden; Kategorie (c) erfordert Opt-in.
3. Tracking-bezogenes Fingerprinting absichern
Für Bibliotheken der Kategorie (c) sollte das CMP sie identisch zu Marketing-Cookies behandeln: Das Skript ist im DOM, aber inaktiv, bis der Besucher die Marketing-Kategorie akzeptiert. Die meisten modernen CMPs unterstützen dies bereits über das Standardmuster type="text/plain" + Kategorie-Attribut.
4. Die Grundlage für berechtigte Interessen beim Betrugspräventions-Fingerprinting dokumentieren
Wo Fingerprinting auf Basis berechtigter Interessen fortgeführt wird, muss die LIA spezifisch, aktuell und auf den tatsächlichen Verarbeitungsumfang ausgerichtet sein. Generische "Betrugsprävention" reicht nicht aus – die LIA muss angeben, welche Daten verarbeitet werden, wie lange sie gespeichert werden, welche Schutzmaßnahmen gelten und was die realistischen Erwartungen des Nutzers sind.
5. Sinnvolle Opt-out-Möglichkeit für Interessenabwägungs-Flows bereitstellen
Auch wo Betrugspräventions-Fingerprinting ohne Einwilligung fortgeführt wird, gewährt Art. 21 DSGVO dem Nutzer das Recht, der Verarbeitung auf Basis berechtigter Interessen zu widersprechen. Das CMP muss dieses Recht verfügbar machen, und die technische Implementierung muss das Fingerprinting tatsächlich stoppen, wenn das Recht ausgeübt wird – nicht nur den Widerspruch aufzeichnen, während das Fingerprinting weitergeht.
Audit-Checkliste
Sechs konkrete Fragen für jede Website, die potenziell Fingerprinting-Oberflächen exponiert.
1. Vollständigkeit des Inventars
Hat das Sicherheitsteam eine aktuelle Liste aller Bibliotheken erstellt, die Canvas-, Audio-, Schriftarten-, WebGL- oder Gerätemetadaten-Sondierung durchführen? Wenn die Antwort "wir sind nicht sicher" ist, kann das Audit nicht fortgeführt werden.
2. Grundlagen-Klassifikation
Gibt es für jede Bibliothek eine dokumentierte Rechtsgrundlage (Einwilligung, berechtigte Interessen mit LIA, vertragliche Notwendigkeit)? Undokumentierte Grundlagen fehlen de facto unter dem Rechenschaftsprinzip.
3. Einwilligungs-Absicherung
Sind Fingerprinting-Bibliotheken für Tracking-Zwecke hinter der Marketing-Einwilligungskategorie abgesichert, so dass das Skript vor der Akzeptanz nicht ausgeführt werden kann?
4. LIA-Aktualität
Sind die Interessenabwägungen im letzten Jahr datiert und spiegeln sie den tatsächlichen aktuellen Verarbeitungsumfang statt veralteter Beschreibungen wider?
5. Opt-out-Durchsetzung
Wenn ein Nutzer Art. 21 ausübt, stoppt das System das Fingerprinting auf Basis berechtigter Interessen tatsächlich, oder zeichnet es nur den Widerspruch auf?
6. Anbieterübergreifende Bereinigung
Wird ein Fingerabdruck mit einem Dritten (einem Werbenetzwerk, einem Attribution-Anbieter, einem Identitätsanbieter) geteilt, ist diese Weitergabe durch eine separate Einwilligung abgedeckt und in der Datenschutzhinweis offengelegt?
Wo Fingerprinting in der Zukunft des Trackings steht
Browser-Anbieter arbeiten aktiv daran, die Entropie zu reduzieren, die Fingerprinting-Bibliotheken zur Verfügung steht. Apple ITP, Firefoxs eingebauter Schutz und die Vorschläge von Google Privacy Sandbox nagen alle an der zugrundeliegenden Oberfläche. Keine dieser Maßnahmen beseitigt jedoch das regulatorische Problem – selbst ein Fingerabdruck mit reduzierter Entropie bleibt personenbezogene Daten, wenn es gelingt, einen Nutzer zu identifizieren, und die Reduzierung der Erfolgsrate ändert die rechtliche Analyse nicht, wenn es funktioniert. Für Publisher ist die sicherere Annahme, dass Fingerprinting in den nächsten 24 Monaten eine reale, auditrelevante Technik bleibt, dass Regulatoren es weiterhin als gleichwertig zu Cookies für Einwilligungszwecke betrachten werden, und dass die richtige operative Antwort darin besteht, Fingerprinting wie jede andere Tracking-Oberfläche zu behandeln: inventarisiert, nach Zweck kategorisiert, wo erforderlich durch Einwilligung abgesichert und wo es auf anderer Grundlage fortgeführt wird gründlich dokumentiert.