Die Diskussion über ein Opt-in für Targeting-Cookies ist damit nicht beendet, denn es gibt eine Reihe von Diskussionen über weitere Datenschutzgesetze in Deutschland und in Europa. Parallel hat nun die Mozilla-Organisation entschieden, die nächste Version des Firefox-Browsers so auszuliefern, dass prinzipiell keine Third-Party-Cookies mehr gesetzt werden. In bestimmten Fällen scheint noch ein Setzen der Cookies möglich, aber im Grunde genommen sollen keinen Third-Party-Cookies mehr gesetzt werden, die häufig als Targeting-Cookies genutzt werden.

Auch wenn die neue Firefox-Version wohl noch nicht endgültig feststeht und noch nicht ausgeliefert ist, bauen viele Targeting-Unternehmen und -Netzwerke vor und überlegen sich, ob es gerade für das Targeting Alternativen zum Cookie gibt. Targeting-Cookies sind 3rd-Party-Cookies und werden nicht von der Website, die ein Internetnutzer besucht hat, sondern von einer dritten Partei gesetzt. Das Setzen des Cookies ist dem Internetnutzer häufig nicht bekannt, selbst wenn die Website ordnungsgemäß in der Datenschutzerklärung darauf hinweist und ein Opt-out für den Targeting-Cookie anbietet.

Sollten nun Targeting-Cookies nur noch per Opt-in zu nutzen sein, erwarten realistischer Weise alle, die diese Cookies nutzen, dass Internetnutzer kein Opt-in geben werden und damit praktisch kein Targeting für 3rd-Party-Netzwerke mehr möglich ist. Dies wäre eine erhebliche Beeinträchtigung der Werbemöglichkeiten im Internet, insbesondere für mittlere, aber auch für große Websites.

Im Bereich der Technik wird als Erstes das Fingerprinting (auch digitaler Fingerprint) erwähnt. Beim Fingerprinting werden Einstellungen des Browsers, die von außen erkennbar sind, abgefragt. Dazu gehören Versionen, Sprach- und Grafikeinstellungen, die Systemuhr (msec) usw. Es existieren Verfahren, bei denen bis zu 60 Parameter aus dem Browser ausgelesen werden. Gut entwickelte Technologien kommen bei der Nutzung von vier bis fünf dieser abrufbaren Kriterien auf eine über 90%ige Differenzierung von Internetnutzern. Dies ist für Targeting-Anwendungen meistens vollkommen ausreichend. Zu jedem dieser unterschiedlich erkannten Browser wird dann in der Datenbank des Unternehmens ein Nutzerprofil angelegt. Da Browser-Einstellungen sehr selten geändert werden, sind die auf Basis eines Fingerprints erstellten Nutzerprofile sehr stabil, mitunter sogar stabiler als bei Einsatz von Cookies, die von vielen Nutzern inzwischen regelmäßig gelöscht werden. Beim Wiedererkennen des Browsers können dann Inhalte, Werbung oder andere für den Nutzer relevante Informationen ausgesendet werden. Insofern kann dann Targeting auch über Fingerprinting funktioniert.

Aus der Vielzahl von Installations- und Konfigurationsmöglichkeiten eines Browsers durch den Anwender wird jedoch der Fingerprint nahezu eindeutig. Die Ausnahme sind frisch installierte System, die (noch) nicht konfiguriert wurden, und mobile Browser, die keine weitreichenden Konfigurationsoptionen bieten. Hier schlägt die Ermittlung fehl, weil zu unterschiedlichen Benutzern der gleiche Fingerprint errechnet wird; damit ist eine Unterscheidung nicht möglich.

Während bei der Nutzung von Cookies aktiv Daten auf dem Computer des Internetnutzers gespeichert werden, funktioniert das Fingerprinting ohne Speicherung von Daten auf dem Computer des Nutzers. Daraus ergeben sich im Detail folgende prinzipielle Unterschiede:

• Cookies können vom Internetnutzer aktiv gelöscht werden, bei Fingerprints ist dies nicht durch den Internetnutzer möglich.
• Beim Neu- oder Umkonfigurieren des Browsers oder PCs werden Fingerprints geändert, Cookies bleiben davon unberührt.
• Cookies können nur von der herausgebenden Partei gelesen werden, da sie i. d. R. eine anonyme ID enthalten. Fingerprints können prinzipiell von jedem gelesen werden, der den genauen Algorithmus kennt. Allerdings lassen sich auch dann noch nicht die Verhaltens- oder sonstigen Targeting-Merkmale des Nutzers erkennen.

Gegenüber Cookies haben Fingerprintings allerdings den Nachteil, dass es keinen einheitlichen Standard für die Ermittlung eines Fingerprintings gibt. Wenn also Unternehmen im Rahmen von Werbenetzwerken Werbung profilbasiert aussteuern wollen, so kann ein Unternehmen die Fingerprints von anderen ggf. nicht nutzen und insofern die Profile nicht mit anderen abgleichen. Dies ist bei Cookies heute über ein Cookie-Matching möglich. Da Fingerprintings aber technisch meist so entwickelt werden, dass ein Techniker die genutzten Parameter auch einstellen kann, ist es durchaus denkbar, dass man sich im Rahmen auch eines größeren Netzwerkes darauf verständigt, dass die Parameter alle in einer bestimmten Weise gesetzt werden. So können dann für einen bestimmten Internetnutzer auch über die unterschiedlichen Technologien verschiedener Unternehmen die gleichen Fingerprintings erzeugt werden. Es wäre auch möglich, die aus dem Fingerprint errechnete spezifische ID per Redirect an andere Netzwerke weiterzugeben. Beide Methoden sind aber datenschutzrechtlich sicher umzusetzen. Dann ließen sie sich für den Austausch im Rahmen von Werbenetzwerken nutzen.

Die datenschutzrechtliche Zulässigkeit von Fingerprinting ist genau zu prüfen. Dass kein Cookie im Browser des Nutzers gesetzt wird, ist ein Vorteil, der aber nach geltender Rechtslage unerheblich ist, denn Cookies dürfen ja gesetzt werden. Sollten Cookies aber für Targeting-Zwecke nur noch mit Opt-in erlaubt sein, ergibt sich für Fingerprinting ein deutlicher Vorteil, da keine Cookies gesetzt werden und auch sonst der Browser des Nutzers unangetastet bleibt. Dennoch kann Fingerprinting auch datenschutzrechtlich Probleme bereiten. Denn über sehr detailliertes Fingerprinting könnte ein Nutzer direkt erkannt werden. Ferner könnten auch personenbezogene Daten (z. B. die IP-Adresse) abgegriffen werden. Auch beim Fingerprinting sollte für den Internetnutzer ein Opt-out zur Profilbildung einfach und sicher möglich sein. Die Umsetzung und der Einsatz von Fingerprinting ist deshalb genau zu prüfen, damit er datenschutzrechtlich konform ist und der Vorteil der Nichtnutzung von Cookies auch ein echter Vorteil bleibt.

Weitere Technologien, die zum Ersatz von Cookies geeignet wären, sind z. B. Flash-Cookies (LSO), DOM-Storage (verschiedene Varianten), Cache (z. B. speichern von Cookies), URL-History (z. B. CSS-Hack). Viele dieser Alternativen arbeiten mit anderen Arten von Cookies, sodass sie bei einem Opt-in für Cookies gegebenenfalls auch nicht mehr ohne Einwilligung des Internetnutzers verwendet werden dürften. Andere der genannten Technologien arbeiten mit Hacks, d. h. der softwareseitigen Nutzung nicht spezifizierter Programmfunktionen, was datenschutzrechtlich sehr problematisch ist. Die meisten alternativen Technologien können deshalb als Ersatz von Cookies nicht direkt empfohlen werden.

Insgesamt lässt sich sagen, dass Fingerprinting eine realistische Variante für Targeting-Cookies ist, wenn die technische Umsetzung datenschutzrechtlich sauber vollzogen ist. Wie Fingerprintings dann in Werbenetzwerken genutzt werden können, ist gegebenenfalls noch weiter zu untersuchen.

Über den Autor:
Christoph Bauer ist gemeinsam mit Frank Eickmeier Gründer und Inhaber von ePrivacyconsult GmbH, Datenschutzberatung für digitale Medien. Die Schwerpunkte sind „Privacy by Design“ und ePrivacyseal, das Datenschutz-Siegel, das für vorbildlichen Datenschutz verliehen wird.