Adzine Top-Stories per Newsletter
DISPLAY ADVERTISING

Canvas Fingerprints müssen Opt-out erlauben

Jochen Schlosser, 28. July 2014

Ein Aufschrei hallt durch die Online-Welt: Canvas Fingerprinting verletzt die Rechte der Internetnutzer! Jeder wird verfolgt, Daten werden ohne Wissen der Person ausgetauscht. Im Ergebnis steht mal wieder die Reputation des Online-Marketings auf dem Spiel. Aber ist die aktuelle Unruhe überhaupt gerechtfertigt und ist es notwendig, dass laufende Kampagnen storniert werden?

Wie funktioniert dieser Ansatz eigentlich?

Canvas Fingerprinting basiert auf der immer enger werdenden Bindung des Browsers an die unterliegende Systemhardware des jeweiligen Rechners. Der Hintergrund dieser Entwicklung ist recht simpel: Ein Browser ist heutzutage in der Lage, vielfältige Themen ansprechend und interaktiv mittels HTML5 zu visualisieren. Er mutiert somit Schritt für Schritt zum zentralen System auf dem Rechner. Um diese komplexen Aufgaben energiesparend zu erledigen, ist der direkte Zugriff auf die Ressourcen des jeweiligen Endgeräts (Desktop, Smartphone, Tablet) zwingend notwendig.

Durch diese enge Kopplung und direkte Abhängigkeit von der Hardware des Geräts kann nun – für viele überraschend – recht einfach eine aussagekräftige ID generiert werden. Man muss den Browser nur per JavaScript dazu auffordern, ein einfaches Bild z. B. bestehend aus einem kurzen Satz generieren zu lassen. Überraschenderweise liefern unterschiedliche Rechner auch bei Zeichnung von weitverbreiteten Fonts wie Arial oder einfachster Vektorgrafiken recht unterschiedliche Ergebnisse, wenn man die resultierenden Bilder Pixel für Pixel vergleicht. Der Name des Verfahrens beruht hierbei auf dem HTML5 Element , das wie eine digitale Leinwand im Browser genutzt werden kann.

Wie genau ist dieses Verfahren?

Alleine auf diesen Ansatz zu setzen wird vermutlich nicht reichen, um eine nachhaltige und eindeutige Identifikation eines Rechners unter den Hunderten von Millionen Geräten im Internet zu ermöglichen. Es ist aber problemlos möglich, weitere Informationen aus dem Browser, wie Auflösung, Plug-ins, deren Versionierung usw., in die Generierung der ID einzubeziehen. Basierend auf diesen erweiterten Daten sind dann tatsächlich Erkennungsquoten von 90 % erreichbar. Durch die Kombination mit verschiedenen anderen Ansätzen kann somit eine recht langlebige ID generiert werden, die auch graduelle Änderungen der Systemkonfiguration (neue Fonts, neue Plug-ins usw.) erkennen kann.

Wie ist dieser Ansatz rechtlich zu bewerten?

Was heißt das nun in der Praxis? Aus datenschutzrechtlicher Sicht sind die „Rendering-Eigenschaften" des Rechners wohl kaum als personenbezogene Daten zu bewerten. In der guten alten analogen Zeit gab es auch die Möglichkeit, basierend auf dem Schriftbild einer Schreibmaschine diese (in dem Fall sogar eindeutig) zu identifizieren. Der Maßstab ist heute zweifellos größer, aber die Idee ist die gleiche. Die Person hinter dem Gerät bleibt ohne Zweifel anonym. Dennoch stellt sich die Frage, ob durch die Kombination einer Vielzahl solcher technischen IDs nicht tatsächlich eine langlebige Alternative zum Cookie entsteht, die durch den Nutzer kaum zu löschen oder zu ändern ist. Hier gilt es dennoch, die geltenden Regelungen des Online-Behavioural-Advertisement zu befolgen. Der Nutzer sollte jederzeit die Möglichkeit zum Opt-out haben, um keine verhaltensbasierte Werbung mehr zu erhalten.

Bei der ausschließlichen Verwendung von IDs, wie dem Canvas Fingerprint, ist ein Opt-out heute kaum möglich. Die derzeit verfügbaren Mechanismen setzen auf Cookie-Technologien. Es gilt daher, die Fingerprint-Technologien mit Cookies zu kombinieren. Der gemeinsame Einsatz von Cookies und der neuen Alternativen führt somit zu einem verbesserten Tracking und erfüllt dennoch die Anforderungen, die heute an Cookies gestellt sind.

Fazit:

Moderne Webtechnologie ist kompliziert. Im Maschinenraum des Internets arbeiten komplexe Maschinen, die mit Daten gefüttert werden. Dem Nutzer ist deren Arbeitsweise kaum verständlich zu machen. Dennoch akzeptieren heute die meisten Leute, dass sie mit ihren Daten für die Nutzung vieler Services im Web bezahlen, solange sich die jeweiligen Anbieter an die Spielregeln halten. Tracking- und Datenskandale müssen daher vermieden werden. Im aktuellen Fall, der ja größtenteils durch den Einsatz bei AddThis und Ligatus publik wurde, stellt sich also vor allem die Frage, ob das Opt-out-Cookie des Anbieters auch bei Einsatz des Canvas Fingerprints berücksichtigt wurde, über das der Nutzer das Ausspielen verhaltensbasierter Werbung unterbinden kann. Ein Cookie-Opt-out, das ein Fingerprinting unberührt lässt, hilft jedoch nicht weiter.

Über den Autor:
Jochen Schlosser ist Mitglied der Geschäftsleitung bei uniquedigital, der Agentur für Digitales Marketing aus Hamburg. Dort verantwortet er die Themen Daten, Technologie und Innovation. In den letzten 10 Jahren bekleidete er erfolgreich leitende Positionen, u. a. bei EOS (Otto Group), wo er dem internationalen IT-Projektgeschäft vorstand, und als Director of Development bei ParStream, einem der innovativsten Datenbankanbieter mit Fokus auf Big Data.

Das könnte Sie interessieren