"Cookie-Richtlinie" auf Device-Fingerprint-Verfahren anwendbar
Stellungnahme der Artikel 29 Datenschutz-Gruppe (Opinion 09/2014 on the application of Directive 2009/136/EG to Device Fingerprinting
Die Stellungnahme der Artikel 29 Datenschutz-Gruppe beschäftigt sich mit der Frage, ob die Änderung der Richtlinie 2009/136/EG (bekannt geworden als „Cookie-Richtlinie“) auch auf Device Fingerprinting Anwendung findet und mithin auch für Device Fingerprint Verfahren – wie auch bei Cookies –ein Einwilligungserfordernis besteht.
Auch wenn bereits mehrfach dieses Thema diskutiert und auch seitens der Artikel 29 Gruppe bereits vertreten wurde, dass die Richtlinie bewusst technikneutral ausgestattet wurde (so unter anderem Artikel 29 Datenschutz-Gruppe Opinion 04/2012 on Cookie Consent Exemption), wurde in letzter Zeit vermehrt die Auffassung vertreten, das Device Fingerprint Verfahren nicht unter die Richtlinie fallen und somit kein Einwilligungserfordernis bestehen würde und daher als „einwilligungsfreie“ Alternative zu Cookies genutzt werden könne.
Die Zielsetzung der sogenannten E-Privacy Richtlinie (2009/136/EG) war die Schaffung von Transparenz und Sicherheit für Verbraucher in der elektronischen Kommunikation. Durch die Richtlinie wurde Artikel 5 Abs. 3 der Richtlinie 2009/136/EG (Richtlinie des europäischen Parlamentes und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation) geändert. Nach dem Willen des europäischen Gesetzgebers, sollten hiermit die Fälle nominiert werden, denen das Einholen einer Einwilligung Voraussetzung für die Verwendung von benutzerinformationsverarbeitenen Technologien ist. Die Richtlinie verankern grundsätzlich ein Einwilligungserfordernis für die Verwendung von Cookies und ähnlichen Technologien. Die neueste Stellungnahme der Artikel 29 Gruppe geht nunmehr auf die umstrittene Frage ein, ob auch Device Fingerprint Technologien unter die Richtlinie fallen.
Stellungnahme der Artikel 29 die Gruppe zur Anwendbarkeit der E-Privacy Richtlinie
Die Artikel 29 Gruppe geht in ihrer Stellungnahme grundsätzlich davon aus, dass die E-Privacy – oder die sogenannte Cookie-Richtlinie – auch für Device Fingerprinting anwendbar ist und diese Technologie somit nur mit einer Einwilligung des Users genutzt werden kann, sofern nicht eine der Ausnahmen aus der Cookie-Richtlinie greift.
Die Richtlinie sieht grundsätzlich zwei Ausnahmen von der Einwilligungspflicht vor, zum einen, sofern „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ (Alternative 1) oder „wenn der Zugriff unbedingt erforderlich ist, um den vom Teilnehmer oder Nutzer gewünschten Dienst zur Verfügung zu stellen.“ (Alternative 2).
Die Device Fingerprint ist ein Verfahren, was Informationen über das jeweils vom Nutzer verwendete Gerät und oder aber den genutzten Browser sammelt. Hierbei können unterschiedliche Informationen erhoben und verarbeitet werden. Beispielsweise geben alle Webbrowser beim Aufruf einer Webseite automatisch gegenüber dem Betreiber der Website Informationen preis. Zu diesen Informationen gehören beispielsweise das Betriebssystem, Bildschirmauflösung, Sprachen, die installierten Plugins, die Art und Version des Browsers, etc.
Generell lassen diese einzelnen Informationen – zunächst einmal – keinen Rückschluss auf einzelne Personen oder einen konkreten Rechner zu. Je mehr Information jedoch vorhanden sind und je detailreicher die Informationen gesammelt werden, desto eindeutiger kann ein „Device Fingerprinting“ einem Gerät und gegebenenfalls damit auch einem Nutzer bzw. unter Umständen einer konkreten Person zugeordnet werden. Die Artikel 29 Gruppe lässt in ihrer Stellungnahme die Frage offen, ob über Device Fingerprint Verfahren personenbezogene Daten sind oder nicht, weißt jedoch ausdrücklich darauf hin, dass es selbstverständlich darauf ankommt, welche Informationen tatsächlich erhoben und kombiniert werden. Sofern eindeutig identifizierende Daten, wie beispielsweise die IP-Adresse, die von den Datenschutzbehörden überwiegend als personenbezogenes Datum angesehen wird, erhoben werden, ist sicherlich eher von personenbezogenen Daten auszugehen. Was dazu führt, dass auch die Cookie-Richtlinie zur Anwendung gelangt.
Im Gegensatz zu Cookies ist es für Nutzer sehr schwer zu erkennen, ob ein Device Fingerprint Verfahren auf einer bestimmten Webseite angewendet wird oder nicht. Dies betont auch die Artikel 29 Datenschutz-Gruppe indem sie darauf hinweist, dass im Gegensatz zu HTTP-Cookies, Device Fingerprint Verfahren unbemerkt vom Website-Betreiber verwendet werden können. Vor allem gäbe es keine simplen Möglichkeiten, wie beispielsweise im Bereich Cookies, über die Browser-Einstellungen zu limitieren, welche Informationen für das Device Fingerprint Verfahren verwendet werden dürfen oder nicht.
Unabhängig von der Frage ob es sich bei den durch Device Fingerprint Verfahren erhobenen Daten um personenbezogene Daten handelt oder nicht, geht die Artikel 29 Gruppe von einer Anwendbarkeit der Cookie-Richtlinie aus. Hierzu führt sie aus, dass die Richtlinie anwendbar sei, sofern Daten auf dem Gerät des Nutzers abgelegt/gespeichert werden oder Zugriff hierauf angefordert wird, auch wenn es hierbei noch nicht um personenbezogene Daten handelt. Dies war unter Anderem einer der Hauptgründe, warum in der Literatur häufig davon ausgegangen wurde, dass die Richtlinie nicht auf das Device Fingerprint Verfahren angewendet wird. Hauptargument ist aber, dass gerade keine Daten auf dem Gerät des Users hinterlegt wird und auch nicht hierauf zugegriffen wird, da die Daten, die im Rahmen der Device Fingerprint Verfahren genutzt werden, keinen Zugriff auf das Gerät erfordern, da diese automatisiert von dem Browser mitgeteilt werden. Im Detail geht die Artikel 29 Gruppe auf diesen Aspekt jedoch nicht ein sondern verweist darauf, dass sie der Auffassung sind, dass in einigen Fällen unabhängig davon, ob diese Voraussetzungen vorliegen und ob personenbezogene Daten verarbeitet werden oder nicht, von einem Einwilligungserfordernis ausgehen. Beispielsweise im Rahmen von Online Behavioural Advertising (so Opinion 02/2010 on Online Behavioural Advertising).
Die Artikel 29 Gruppe führt weiter mehrere Use Case Szenarios aus:
1.) First Party Website Analysen
Zunächst einmal weist in diesem Zusammenhang die Artikel 29 Gruppe noch einmal darauf hin, dass es ein Bedürfnisse dafür gebe, den Fall von Website Analysen durch den Webseiten Inhaber selbst auf Grundlage von anonymisierten Daten vom Einwilligungserfordernis auszunehmen, sofern die Daten lediglich für Statistiken genutzt werden und der Nutzer hierüber in der Datenschutzerklärung aufgeklärt wird. Weiterhin sollte es einen wirksamen Optout Mechanismus geben und selbstverständlich die Daten lediglich auf anonymisierte Datenbasis genutzt werden. Nichtsdestotrotz verweist die Artikel 29 Datenschutz Gruppe darauf, dass es eine solche Ausnahme noch nicht gibt und daher das Einwilligungserfordernis noch bestehe, was dazu führt, dass auch Device Fingerprint Verfahren, die zu diesen Zwecken eingesetzt werden, nicht unter die bisherigen Ausnahmen fallen und eine Einwilligung des Users bedürfen.
2.) Tracking for Online behavioural advertising
In diesem Fall geht die Artikel 29 Gruppe ebenfalls davon aus, das Device Fingerprinting Verfahren für die Zwecke von Online behavioural advertising einer Einwilligung bedürfen.
3.) Verfügung Stellung der Dienste, Zugriff des Nutzers
Für den Fall, dass Device Fingerprint Verfahren dazu dienen, den zur Verfügung gestellten Dienst bzw. das Netzwerk korrekt zu nutzen, fallen solche Verfahren unter die Ausnahmen, wenn die Datenverarbeitung notwendig ist um den angeforderten Dienst zu nutzen. Nicht jedoch als notwendig zur Herstellung der Funktionsfähigkeit des Dienstes sieht die Artikel 29 Gruppe eine Funktion an, die den Usernamen und das Passwort des Nutzers speichert, um ihm einfachen Zugriff auf die Website zu ermöglichen.
4.) Sicherheit
Grundsätzlich fallen nach der Auffassung der Artikel 29 Gruppe Cookies, die zu dem Zweck gesetzt werden, die Sicherheit des Dienstes und damit die Nutzung des Dienstes durch den User sicherzustellen und expliziert vom User angefragt werden (beispielsweise um mehrfache falsch Eingabe des Logins zu entdecken) sollen unter die Ausnahme b fallen. Diese Ausnahme soll dann auch für Device Fingerprint Verfahren gelten, aber nur unter der Voraussetzung, dass dies auch explizit von dem Nutzer verlangt wurde. Darüber hinaus betont die Artikel 29 Datenschutz Gruppe nochmal, dass bei Nutzung eines Device Fingerprint Verfahren, was unter diese Ausnahmen fällt, die so erhobenen Daten natürlich nicht für andere Zwecke genutzt werden dürfen. Was allerdings mit den Fällen ist, wenn Device Fingerprint Verfahren genutzt werden, um beispielsweise Betrugsfälle bei Online Shops aufzuklären, bleibt offen. Hier würde eine Information bzw. Einwilligung der User den Zweck dieser Maßnahmen konterkarieren.
Fazit:
Die Artikel 29 Gruppe bestätigt mit der neuen Stellungnahme – wenig überraschend – die Ansicht, dass auch das Device Fingerprint Verfahren unter das Einwilligungserfordernis der sogenannten Cookie-Richtlinie fallen. Offen bleibt weiterhin die viel diskutierte Frage, wie denn nun richtlinienkonform eine solche Einwilligung einzuholen ist. Weiter offen bleibt auch die Frage, wie mit Fingerprint Verfahren umzugehen sind, die einzig und alleine dem Zweck dienen, die Sicherheit des Nutzers beispielsweise beim Online Shopping zu fördern und entsprechend sicherzustellen.
Webseitenbetreiber, die das Device Fingerprint Verfahren einsetzen wollen ist zu raten, zunächst genau zu analysieren, welche Daten tatsächlich durch das jeweilige Verfahren erhoben werden und ob es sich hierbei um personenbezogene Daten handelt oder nicht. Im Weiteren sollten Website-Betreiber, insbesondere im europäischen Ausland darauf achten, dass beim Einsatz von Device Fingerprint Verfahren ebenfalls eine Einwilligung – beispielsweise durch Erweiterung des häufig in der Praxis eingesetzten Cookie Banner – nach der Auffassung der Artikel 29 Gruppe erforderlich ist. Darüber hinaus muss, sofern man der Artikel 29 Gruppe folgt und die Richtlinie auch auf Device Fingerprint Verfahren anwendbar hält, eine Opt-Out Möglichkeit für die Nutzer zur Verfügung gestellt werden.
Die Stellungnahme der Artikel 29 Datenschutz-Gruppe beschäftigt sich mit der Frage, ob die Änderung der Richtlinie 2009/136/EG (bekannt geworden als „Cookie-Richtlinie“) auch auf Device Fingerprinting Anwendung findet und mithin auch für Device Fingerprint Verfahren – wie auch bei Cookies –ein Einwilligungserfordernis besteht.
Auch wenn bereits mehrfach dieses Thema diskutiert und auch seitens der Artikel 29 Gruppe bereits vertreten wurde, dass die Richtlinie bewusst technikneutral ausgestattet wurde (so unter anderem Artikel 29 Datenschutz-Gruppe Opinion 04/2012 on Cookie Consent Exemption), wurde in letzter Zeit vermehrt die Auffassung vertreten, das Device Fingerprint Verfahren nicht unter die Richtlinie fallen und somit kein Einwilligungserfordernis bestehen würde und daher als „einwilligungsfreie“ Alternative zu Cookies genutzt werden könne.
Die Zielsetzung der sogenannten E-Privacy Richtlinie (2009/136/EG) war die Schaffung von Transparenz und Sicherheit für Verbraucher in der elektronischen Kommunikation. Durch die Richtlinie wurde Artikel 5 Abs. 3 der Richtlinie 2009/136/EG (Richtlinie des europäischen Parlamentes und des Rates vom 12.07.2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation) geändert. Nach dem Willen des europäischen Gesetzgebers, sollten hiermit die Fälle nominiert werden, denen das Einholen einer Einwilligung Voraussetzung für die Verwendung von benutzerinformationsverarbeitenen Technologien ist. Die Richtlinie verankern grundsätzlich ein Einwilligungserfordernis für die Verwendung von Cookies und ähnlichen Technologien. Die neueste Stellungnahme der Artikel 29 Gruppe geht nunmehr auf die umstrittene Frage ein, ob auch Device Fingerprint Technologien unter die Richtlinie fallen.
Stellungnahme der Artikel 29 die Gruppe zur Anwendbarkeit der E-Privacy Richtlinie
Die Artikel 29 Gruppe geht in ihrer Stellungnahme grundsätzlich davon aus, dass die E-Privacy – oder die sogenannte Cookie-Richtlinie – auch für Device Fingerprinting anwendbar ist und diese Technologie somit nur mit einer Einwilligung des Users genutzt werden kann, sofern nicht eine der Ausnahmen aus der Cookie-Richtlinie greift.
Die Richtlinie sieht grundsätzlich zwei Ausnahmen von der Einwilligungspflicht vor, zum einen, sofern „der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist“ (Alternative 1) oder „wenn der Zugriff unbedingt erforderlich ist, um den vom Teilnehmer oder Nutzer gewünschten Dienst zur Verfügung zu stellen.“ (Alternative 2).
Die Device Fingerprint ist ein Verfahren, was Informationen über das jeweils vom Nutzer verwendete Gerät und oder aber den genutzten Browser sammelt. Hierbei können unterschiedliche Informationen erhoben und verarbeitet werden. Beispielsweise geben alle Webbrowser beim Aufruf einer Webseite automatisch gegenüber dem Betreiber der Website Informationen preis. Zu diesen Informationen gehören beispielsweise das Betriebssystem, Bildschirmauflösung, Sprachen, die installierten Plugins, die Art und Version des Browsers, etc.
Generell lassen diese einzelnen Informationen – zunächst einmal – keinen Rückschluss auf einzelne Personen oder einen konkreten Rechner zu. Je mehr Information jedoch vorhanden sind und je detailreicher die Informationen gesammelt werden, desto eindeutiger kann ein „Device Fingerprinting“ einem Gerät und gegebenenfalls damit auch einem Nutzer bzw. unter Umständen einer konkreten Person zugeordnet werden. Die Artikel 29 Gruppe lässt in ihrer Stellungnahme die Frage offen, ob über Device Fingerprint Verfahren personenbezogene Daten sind oder nicht, weißt jedoch ausdrücklich darauf hin, dass es selbstverständlich darauf ankommt, welche Informationen tatsächlich erhoben und kombiniert werden. Sofern eindeutig identifizierende Daten, wie beispielsweise die IP-Adresse, die von den Datenschutzbehörden überwiegend als personenbezogenes Datum angesehen wird, erhoben werden, ist sicherlich eher von personenbezogenen Daten auszugehen. Was dazu führt, dass auch die Cookie-Richtlinie zur Anwendung gelangt.
Im Gegensatz zu Cookies ist es für Nutzer sehr schwer zu erkennen, ob ein Device Fingerprint Verfahren auf einer bestimmten Webseite angewendet wird oder nicht. Dies betont auch die Artikel 29 Datenschutz-Gruppe indem sie darauf hinweist, dass im Gegensatz zu HTTP-Cookies, Device Fingerprint Verfahren unbemerkt vom Website-Betreiber verwendet werden können. Vor allem gäbe es keine simplen Möglichkeiten, wie beispielsweise im Bereich Cookies, über die Browser-Einstellungen zu limitieren, welche Informationen für das Device Fingerprint Verfahren verwendet werden dürfen oder nicht.
Unabhängig von der Frage ob es sich bei den durch Device Fingerprint Verfahren erhobenen Daten um personenbezogene Daten handelt oder nicht, geht die Artikel 29 Gruppe von einer Anwendbarkeit der Cookie-Richtlinie aus. Hierzu führt sie aus, dass die Richtlinie anwendbar sei, sofern Daten auf dem Gerät des Nutzers abgelegt/gespeichert werden oder Zugriff hierauf angefordert wird, auch wenn es hierbei noch nicht um personenbezogene Daten handelt. Dies war unter Anderem einer der Hauptgründe, warum in der Literatur häufig davon ausgegangen wurde, dass die Richtlinie nicht auf das Device Fingerprint Verfahren angewendet wird. Hauptargument ist aber, dass gerade keine Daten auf dem Gerät des Users hinterlegt wird und auch nicht hierauf zugegriffen wird, da die Daten, die im Rahmen der Device Fingerprint Verfahren genutzt werden, keinen Zugriff auf das Gerät erfordern, da diese automatisiert von dem Browser mitgeteilt werden. Im Detail geht die Artikel 29 Gruppe auf diesen Aspekt jedoch nicht ein sondern verweist darauf, dass sie der Auffassung sind, dass in einigen Fällen unabhängig davon, ob diese Voraussetzungen vorliegen und ob personenbezogene Daten verarbeitet werden oder nicht, von einem Einwilligungserfordernis ausgehen. Beispielsweise im Rahmen von Online Behavioural Advertising (so Opinion 02/2010 on Online Behavioural Advertising).
Die Artikel 29 Gruppe führt weiter mehrere Use Case Szenarios aus:
1.) First Party Website Analysen
Zunächst einmal weist in diesem Zusammenhang die Artikel 29 Gruppe noch einmal darauf hin, dass es ein Bedürfnisse dafür gebe, den Fall von Website Analysen durch den Webseiten Inhaber selbst auf Grundlage von anonymisierten Daten vom Einwilligungserfordernis auszunehmen, sofern die Daten lediglich für Statistiken genutzt werden und der Nutzer hierüber in der Datenschutzerklärung aufgeklärt wird. Weiterhin sollte es einen wirksamen Optout Mechanismus geben und selbstverständlich die Daten lediglich auf anonymisierte Datenbasis genutzt werden. Nichtsdestotrotz verweist die Artikel 29 Datenschutz Gruppe darauf, dass es eine solche Ausnahme noch nicht gibt und daher das Einwilligungserfordernis noch bestehe, was dazu führt, dass auch Device Fingerprint Verfahren, die zu diesen Zwecken eingesetzt werden, nicht unter die bisherigen Ausnahmen fallen und eine Einwilligung des Users bedürfen.
2.) Tracking for Online behavioural advertising
In diesem Fall geht die Artikel 29 Gruppe ebenfalls davon aus, das Device Fingerprinting Verfahren für die Zwecke von Online behavioural advertising einer Einwilligung bedürfen.
3.) Verfügung Stellung der Dienste, Zugriff des Nutzers
Für den Fall, dass Device Fingerprint Verfahren dazu dienen, den zur Verfügung gestellten Dienst bzw. das Netzwerk korrekt zu nutzen, fallen solche Verfahren unter die Ausnahmen, wenn die Datenverarbeitung notwendig ist um den angeforderten Dienst zu nutzen. Nicht jedoch als notwendig zur Herstellung der Funktionsfähigkeit des Dienstes sieht die Artikel 29 Gruppe eine Funktion an, die den Usernamen und das Passwort des Nutzers speichert, um ihm einfachen Zugriff auf die Website zu ermöglichen.
4.) Sicherheit
Grundsätzlich fallen nach der Auffassung der Artikel 29 Gruppe Cookies, die zu dem Zweck gesetzt werden, die Sicherheit des Dienstes und damit die Nutzung des Dienstes durch den User sicherzustellen und expliziert vom User angefragt werden (beispielsweise um mehrfache falsch Eingabe des Logins zu entdecken) sollen unter die Ausnahme b fallen. Diese Ausnahme soll dann auch für Device Fingerprint Verfahren gelten, aber nur unter der Voraussetzung, dass dies auch explizit von dem Nutzer verlangt wurde. Darüber hinaus betont die Artikel 29 Datenschutz Gruppe nochmal, dass bei Nutzung eines Device Fingerprint Verfahren, was unter diese Ausnahmen fällt, die so erhobenen Daten natürlich nicht für andere Zwecke genutzt werden dürfen. Was allerdings mit den Fällen ist, wenn Device Fingerprint Verfahren genutzt werden, um beispielsweise Betrugsfälle bei Online Shops aufzuklären, bleibt offen. Hier würde eine Information bzw. Einwilligung der User den Zweck dieser Maßnahmen konterkarieren.
Fazit:
Die Artikel 29 Gruppe bestätigt mit der neuen Stellungnahme – wenig überraschend – die Ansicht, dass auch das Device Fingerprint Verfahren unter das Einwilligungserfordernis der sogenannten Cookie-Richtlinie fallen. Offen bleibt weiterhin die viel diskutierte Frage, wie denn nun richtlinienkonform eine solche Einwilligung einzuholen ist. Weiter offen bleibt auch die Frage, wie mit Fingerprint Verfahren umzugehen sind, die einzig und alleine dem Zweck dienen, die Sicherheit des Nutzers beispielsweise beim Online Shopping zu fördern und entsprechend sicherzustellen.
Webseitenbetreiber, die das Device Fingerprint Verfahren einsetzen wollen ist zu raten, zunächst genau zu analysieren, welche Daten tatsächlich durch das jeweilige Verfahren erhoben werden und ob es sich hierbei um personenbezogene Daten handelt oder nicht. Im Weiteren sollten Website-Betreiber, insbesondere im europäischen Ausland darauf achten, dass beim Einsatz von Device Fingerprint Verfahren ebenfalls eine Einwilligung – beispielsweise durch Erweiterung des häufig in der Praxis eingesetzten Cookie Banner – nach der Auffassung der Artikel 29 Gruppe erforderlich ist. Darüber hinaus muss, sofern man der Artikel 29 Gruppe folgt und die Richtlinie auch auf Device Fingerprint Verfahren anwendbar hält, eine Opt-Out Möglichkeit für die Nutzer zur Verfügung gestellt werden.