Logo der activeMind AG

Canvas Fingerprinting – Tracking mit Bildern

Inhalt

Auf zahlreichen Webseiten wird ein neues Trackingverfahren eingesetzt, dessen datenschutzrechtliche Zulässigkeit noch ungeklärt ist. Der Einsatz des Verfahrens erfolgt teilweise ohne das Wissen der Webseitenbetreiber, die daher ihre Informationspflicht gegenüber den Nutzern verletzen.

Es gibt ein neues Trackingverfahren mit Bildern statt mit Cookies. Forscher der Universitäten Princeton (USA) und Leuven (Belgien) haben festgestellt, dass bereits auf 5 Prozent der 100.000 populärsten Webseiten Canvas Fingerprinting eingesetzt wird. Die Forscher veröffentlichten eine Liste mit betroffenen Webseiten. Einige der dort aufgeführten Betreiber zeigten sich überrascht. Das Tracking-Verfahren kann nämlich auch ohne die Kenntnis des Webseitenbetreibers zum Einsatz kommen. Dabei implementierten Vermarktungspartner der betroffenen Webseitenbetreiber über Werbemitteleinbindung Skripte zum Canvas Fingerprinting auf den betroffenen Webseiten. Die Skripte selbst stammen von AddThis oder Ligatus. Die Webseitenbetreiber wurden über das Tracking nicht informiert.

Wie kann ich mich als Nutzer schützen?

Die Erstellung der ID kann nicht wie bei Cookies durch Browsereinstellungen verhindert werden. Auch der Inkognito-Modus hilft hier nicht weiter, da dennoch eine ID erstellt wird. Ebenfalls können Werkzeuge wie Adblocker die Erstellung der ID nicht verhindern. Das Tor-Projekt hat eine entsprechende Funktion entwickelt, die wenigstens die Nutzer warnt, wenn ein Canvas Fingerprint erstellt werden soll. Ein Schutz bietet der Einsatz von Noscript oder die Deaktivierung von Javascript. Aufgrund der Vielfältigkeit der Javascripte ist letzteres jedoch weniger effektiv.

Was ist datenschutzrechtlich zu beachten?

Die Landesämter haben bisher noch keine umfassende Stellung zum Einsatz des neuen Verfahrens bezogen. Der Datenschutzbeauftragte von Schleswig-Holstein weist darauf hin, dass es sich bei einem Fingerprint im Prinzip um ein Pseudonym handelt und somit § 15 Abs.3 TMG einschlägig ist. Ein Webseitenbetreiber sollte somit in der Datenschutzerklärung auf den Zweck der Datenerhebung und auf eine Widerspruchsmöglichkeit hinweisen. Addthis stellt ein Opt-out-Cookie zur Verfügung.

INFOBOX: Wie funktioniert das Trackingverfahren technisch?
Statt einer Textdatei wird ein eindeutiger Fingerabdruck aus den Profilinformationen des Browsers des Nutzers erstellt. Das Verfahren nutzt das Canvas-API von HTML5, um aus Profildaten ein Bild zu erstellen, das in einen Hashwert umgerechnet wird. Ein Canvas-Element ist ein mit Höhen- und Breiten-Angaben beschriebener Bereich, in den per JavaScript gezeichnet werden kann. Bei Canvas-Elementen variiert die Darstellung eines Textes je nach verwendetem Browser, installierten Plugins, Zeitzone, CPU, GPU, Betriebssystem und weiteren Parametern. Übermittelt man dem Browser eines Nutzers einen Text zur Anzeige (z.B. Werbung), so wird dieser Text in einer einzigartigen Form wiedergegeben. Der Inhalt der Canvas wird in eine DATA-URL umgewandelt und ein Hash-Wert erzeugt. Der Hashwert wird an den Webserver der Webdienstleister übermittelt und serverseitig gespeichert. Auf Grundlage dieses Hash-Wertes kann ein Nutzer beim Besuch anderer Webseiten wiedererkannt und sein Surfverhalten verfolgt werden.

 

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.