Sie haben die Cookies blockiert. Sie werden dennoch verfolgt — Browser-Fingerprinting erklärt
Das Cookie-Zustimmungsbanner wurde nach der Durchsetzung der GDPR im Jahr 2018 zum prägenden UI-Muster des modernen Webs. Klicken Sie auf „Alle ablehnen", fühlen Sie sich zufrieden, machen Sie weiter. Was die meisten Nutzer nicht wissen, ist, dass die Werbe- und Analyseindustrie ebenfalls bereits weitergezogen ist — zum Fingerprinting, einer Tracking-Technik, die keine Cookies verwendet, nichts auf Ihrem Gerät speichert und nach den meisten geltenden Rechtsrahmen keine Zustimmung erfordert.
Was Browser-Fingerprinting tatsächlich ist
Jeder Browser gibt eine enorme Menge an Informationen über sich selbst und das Gerät preis, auf dem er läuft — nicht durch eine Sicherheitslücke, sondern durch den normalen Betrieb von Webstandards. Ihr Browser meldet seinen User-Agent-String (Browsername, Version, Betriebssystem), die auf Ihrem System installierten Schriftarten, Ihre Bildschirmauflösung und Farbtiefe, Ihre Zeitzone, die installierten Plugins und Erweiterungen, wie Ihre GPU bestimmte Grafikoperationen rendert (Canvas-Fingerprinting), wie Ihre Audio-Hardware bestimmte Wellenformen verarbeitet (Audio-Fingerprinting) und Dutzende anderer Attribute.
Kein einzelnes Attribut identifiziert Sie eindeutig. Aber kombiniert bilden sie einen Fingerabdruck, der in einem großen Teil der Fälle statistisch einzigartig ist. Eine Forschung des Panopticlick-Projekts der Electronic Frontier Foundation ergab, dass die Kombination aus Browser, Betriebssystem, Bildschirmauflösung, Zeitzone und installierten Plugins 83,6 % der Browser eindeutig identifizierbar machte. Moderne Fingerprinting-Systeme verwenden 50–100+ Attribute und erzielen deutlich höhere Einzigartigkeitsraten.
Canvas und WebGL: Die stärksten Signale
Canvas-Fingerprinting nutzt die Tatsache, dass verschiedene Kombinationen von GPU, Treiber, Betriebssystem und Schriftdarstellung beim Zeichnen derselben Form oder desselben Textes leicht unterschiedliche Pixelausgaben erzeugen. Ein Fingerprinting-Skript rendert unsichtbaren Text und Formen auf ein HTML5-Canvas-Element, liest die Pixelwerte zurück und hasht das Ergebnis. Dieser Hash ist sitzungsübergreifend stabil — er ändert sich nicht, wenn Sie Cookies löschen, den privaten Modus verwenden oder Ihren Browser neu starten — und ist hochgradig einzigartig, da GPU-Rendering-Pipelines auf Hardware- und Treiberebene variieren.
WebGL-Fingerprinting erweitert dies auf 3D-Rendering: Skripte fragen den spezifischen GPU-Renderer-String ab (z. B. "ANGLE (Intel, Intel(R) UHD Graphics 620 Direct3D11 vs_5_0 ps_5_0)"), rendern WebGL-Szenen und lesen den resultierenden Framebuffer aus. Die Kombination aus GPU-Hersteller, Modell, Treiberversion und Rendering-Ausgabe verengt den Fingerabdruck weiter.
Warum es legal ist (vorerst)
Sowohl die GDPR als auch der CCPA definieren „personenbezogene Daten" als Informationen, die eine natürliche Person identifizieren können. Fingerabdrücke identifizieren nicht direkt eine Person — sie identifizieren eine Geräte-/Browser-Kombination. Die rechtliche Frage ist, ob ein Fingerabdruck in Kombination mit anderen Daten mit einer natürlichen Person verknüpft werden kann, was ihn in den Anwendungsbereich der GDPR bringen würde. Die Artikel-29-Datenschutzgruppe (jetzt der Europäische Datenschutzausschuss) hat erklärt, dass Fingerprinting wahrscheinlich eine Verarbeitung personenbezogener Daten im Sinne der GDPR darstellt. Die Durchsetzung war jedoch begrenzt — die Aufsichtsbehörden waren mit offensichtlicheren Verstößen beschäftigt, und Fingerprinting ist technisch komplex in Vollstreckungsverfahren zu prüfen.
Das aufkommende rechtliche Risiko ergibt sich aus Artikel 25 GDPR (Datenschutz durch Technikgestaltung) und aus nationalen Umsetzungen, die begonnen haben, Fingerprinting als zustimmungspflichtig zu behandeln. Die französische CNIL entschied 2020 ausdrücklich, dass Fingerprinting eine Einwilligung erfordert. Die deutschen Datenschutzbehörden haben ähnliche Positionen bezogen. Aber Umsetzung und Durchsetzung hinken der Technologie hinterher.
Was Fingerprinting tatsächlich reduziert
Hier ist das Bild nuancenreicher als „nichts funktioniert". Mehrere Ansätze haben eine echte Wirkung:
Tor Browser normalisiert den Fingerabdruck bewusst — er lässt jeden Tor-Benutzer dieselben Attribute melden und eliminiert so die Einzigartigkeit. Der Preis ist erheblich: Die JavaScript-Leistung wird reduziert, viele Websites gehen kaputt und das Surferlebnis wird merklich beeinträchtigt. Aber es ist der einzige Ansatz, der Fingerprinting umfassend auf Protokollebene adressiert.
Firefox' Fingerprinting-Schutz (im strengen Modus über Enhanced Tracking Protection aktiviert) wendet Fingerabdruck-Randomisierung an — es führt kontrolliertes Rauschen in Canvas-, WebGL- und andere API mit hoher Entropie ein und macht den Fingerabdruck sitzungsübergreifend instabil. Das macht Sie nicht unverfolgbar, bricht aber die Stabilität, die Fingerabdrücke für sitzungsübergreifendes Tracking nützlich macht.
Brave Browser verwendet einen ähnlichen Randomisierungsansatz, mit dem zusätzlichen Schritt, bekannte Fingerprinting-Skripte zu blockieren. Unabhängige Forschungen haben ergeben, dass der Fingerprinting-Schutz von Brave zu den effektivsten in gängigen Browsern gehört.
JavaScript blockieren eliminiert Canvas- und WebGL-Fingerprinting, zerstört aber im Wesentlichen jede moderne Website.
Die realistische Position für die meisten Nutzer: Ein gängiger Browser mit aktiviertem Fingerprinting-Schutz (Firefox strenger Modus oder Brave) reduziert die Effektivität von Fingerprinting erheblich, ohne die Reibung auf Tor-Niveau zu erfordern. Es wird Sie nicht unsichtbar für entschlossene Tracker machen, aber es erhöht die Kosten der sitzungsübergreifenden Korrelation genug, um für Tracking auf Werbeebene von Bedeutung zu sein.