Immer mehr Unternehmen setzen für das Targeting digitale Fingerprints ein. Diese Technologie ist bereits seit Ende der 90er Jahre bekannt, aber erst seit ungefähr zwei Jahren setzen immer mehr Technologieanbieter im Onlinemarketing diese Technik ein. Viele versuchten dadurch, dem drohenden Cookie Law zu entgehen, das von den Anwendern bekanntlich verlangte, vor dem Einsatz eines Cookies eine ausdrücklich Einwilligung des jeweiligen Users einzuholen. Dem Wortlaut nach bezog sich das Cookie Law nämlich nicht auf die Technologie des Fingerprintings. Nach der Cookie-Richtlinie der EU (Richtlinie 2009/136/EG) ist eine Einwilligung für den Einsatz von Cookies nur dann erforderlich, wenn diese Cookies auf dem Endgerät des Verbrauchers abgespeichert werden. Ein digitaler Fingerprint wird jedoch nicht auf dem Endgerät des Nutzers abgespeichert, sondern in der Datenbank des Technologieanbieters. Folglich dachten viele, das Cookie Law hierdurch umgehen zu können.

Unter einem Fingerprint versteht man diejenigen Informationen, die zum Zweck der Identifizierung eines Endgerätes gesammelt werden. Typischerweise werden dabei Informationen erfasst, die ein Nutzer im Rahmen der Nutzung einer Webseite ohnehin an den Betreiber einer Webseite überträgt. Bei einem gewöhnlichen Browser gehören hierzu u. a. die IP-Adresse, die Browserkennung (Hersteller und Version, häufig auch das Betriebssystem), die sprachlichen Präferenzen des Browsers bzw. des Nutzers und technische Netzwerkparameter. Zum Teil werden auch Bildschirmauflösungen und Farbtiefe, die Zeitzone und installierte Plug-Ins, einschließlich ihrer Version, erfasst.

Ob der Einsatz dieser Technologie datenschutzrechtlich zulässig ist, ist bis heute nicht höchstrichterlich ungeklärt. Jetzt hat sich erstmals ein staatlicher Datenschutzbeauftragter zu dieser Diskussion geäußert. Moritz Karg und Ulrich Kühn, zwei Mitarbeiter des Hamburger Datenschutzbeauftragten, haben sich in der Zeitschrift für Datenschutz mit dem datenschutzrechtlichen Rahmen des „Device Fingerprintings“ befasst (ZD 2014, 285 ff.).

Ob ein Fingerprint datenschutzrechtlich zulässig ist oder nicht, hängt aus ihrer Sicht in erster Linie davon ab, ob durch einen Fingerprint ein Personenbezug entsteht oder nicht. Wäre ein Fingerprint personenbezogen, bedürfte jede Erhebung, Verarbeitung und Speicherung einer solchen Information der vorherigen Zustimmung des Nutzers (§§ 3 ff. BDSG). Würde man dagegen einen Fingerprint als anonyme Information einstufen, wie dies viele tun, würde man sich außerhalb des Datenschutzrechtes bewegen. Anonym ist ein Datum dann, wenn niemand in der Lage wäre, die hinter einem Fingerprint stehende Person zu re-identifizieren oder wenn dies zumindest mit einem unverhältnismäßig großem Aufwand verbunden wäre. Die Autoren Karg und Kühn bezweifeln, dass ein Fingerprint anonym ist. Für sie ist es ausreichend, dass ein Fingerprint geeignet ist, einen User zu individualisieren, ihn also von anderen Nutzern zu unterscheiden. Es sei dagegen nicht erforderlich, dass man auch noch wissen müsse, welche natürlich Person sich dahinter befindet. Dem halten die Vertreter der Zulässigkeit eines digitalen Fingerprints entgegen, dass die datenschutzrechtlichen Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) etwas anderes regeln: Danach ist ein Datum dann anonym, wenn – wie erwähnt – die hinter einem Datum stehende Person nicht re- identifiziert werden kann. Und wenn das – wie häufig –  technisch der Fall ist, dann sei die entsprechende Information auch als anonym einzustufen.

Die Erfassung eines digitalen Fingerprints wäre deshalb auch ohne Zustimmung der Nutzer nach dieser Auffassung zulässig. Wie gesagt, fehlt es an höchstrichterlicher Rechtsprechung und es bleibt abzuwarten, wie dieser Rechtsstreit sich entwickeln wird.