Device-Fingerprinting
Device-Fingerprinting bezeichnet die Wiedererkennung eines Besuchers anhand technischer Merkmale seines Endgeräts – etwa Browser-Plugins, Bildschirmauflösung oder Canvas-Rendering.
Der Begriff wird häufig unscharf verwendet. Das führt zu Missverständnissen: Nicht jede Form der Besuchererkennung ist Fingerprinting im rechtlichen Sinne. Die entscheidende Frage lautet: Werden aktiv Daten aus dem Endgerät ausgelesen – oder nur Informationen verarbeitet, die ohnehin bei der HTTP-Kommunikation übermittelt werden?
Die zwei Arten der Besuchererkennung
- Aktives Device-Fingerprinting – JavaScript liest Merkmale direkt aus dem Browser: Canvas-API, WebGL-Renderer, installierte Schriftarten, Bildschirmauflösung, Audio-API, Plugin-Liste. Aus diesen Merkmalen wird ein eindeutiger Fingerprint erzeugt. Dieses Verfahren greift aktiv auf Informationen der Endeinrichtung zu und fällt damit unter § 25 Abs. 1 TDDDG (ehemals TTDSG) bzw. Art. 5(3) der ePrivacy-Richtlinie. Es ist einwilligungspflichtig.
- Serverseitiges Hashing – Der Server verwendet ausschließlich Daten, die bei jeder HTTP-Anfrage ohnehin übermittelt werden: IP-Adresse (aus dem TCP-Verbindungsaufbau), User-Agent und Spracheinstellung (aus dem HTTP-Header). Aus diesen Daten wird ein Hash erzeugt, typischerweise mit einem täglichen Salt, der nach 24 Stunden gelöscht wird. Da kein aktiver Zugriff auf die Endeinrichtung stattfindet, fällt dieses Verfahren nach vorherrschender Rechtsauslegung nicht unter § 25 TDDDG. Es unterliegt weiterhin der DSGVO, kann aber auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) für die Reichweitenmessung eingesetzt werden.
Wo verläuft die rechtliche Grenze?
Die DSK-Orientierungshilfe (Version 1.2, November 2024) und die EDPB Guidelines 2/2023 definieren die Grenze klar: Entscheidend ist, ob ein aktiver Zugriff auf die Endeinrichtung stattfindet.
- Aktiver Zugriff liegt vor, wenn JavaScript-Code Eigenschaften des Endgeräts ausliest und an einen Server übermittelt – etwa Bildschirmauflösung, installierte Plugins oder Canvas-Daten. Dies löst die Einwilligungspflicht nach § 25 Abs. 1 TDDDG aus.
- Kein aktiver Zugriff liegt vor, wenn ausschließlich serverseitig verfügbare Daten verarbeitet werden – IP-Adresse, User-Agent und Accept-Language aus dem HTTP-Header. Diese Informationen werden vom Protokoll selbst übermittelt und nicht aktiv vom Endgerät angefordert.
Das VG Hannover (Az. 10 A 5385/22) hat bestätigt: Bereits die Kombination aus IP-Übertragung und JavaScript-Ausführung auf dem Endgerät kann einen einwilligungspflichtigen Zugriff nach § 25 TDDDG darstellen – entscheidend ist die aktive clientseitige Datenerhebung.
Praxisbeispiele: Wie machen es die Tools?
Die meisten datenschutzfreundlichen Analytics-Tools nutzen serverseitiges Hashing für die consent-freie Besuchererkennung:
- Matomo – Erzeugt im cookielosen Modus einen Hash aus IP, User-Agent und Browsersprache. Wichtig: Ohne die Einstellung
disableBrowserFeatureDetectionliest Matomo zusätzlich Bildschirmauflösung und Browser-Plugins aus – das ist aktives Fingerprinting und nach TDDDG einwilligungspflichtig. - Plausible – SHA256-Hash aus täglichem Salt, Domain, IP-Adresse und User-Agent. Keine Browser-Features, keine Cookies.
- Fathom – SHA256-Hash aus täglichem Salt, IP-Adresse, User-Agent und Hostname. Kein Zugriff auf Endgerätedaten.
- etracker – Serverseitige Session-Tokens aus gehashten Verbindungsdaten. Im Standardmodus kein aktiver Endgerätezugriff, keine Browser-Features.
- TWIPLA – Im Maximum Data Privacy Mode cookielos und ohne aktiven Endgerätezugriff. In erweiterten Privacy-Modi können zusätzliche Erkennungsmethoden aktiviert werden.
Alle genannten Tools nutzen im Kern dasselbe Prinzip: einen serverseitigen Hash aus HTTP-Header-Daten. Das ist kein Fingerprinting im Sinne des § 25 TDDDG, sondern eine datenschutzfreundliche Alternative zur Cookie-basierten Besuchererkennung.
Nachteile des serverseitigen Hashings
Das Verfahren ist ein guter Kompromiss zwischen Datenschutz und Datenqualität – aber es hat Grenzen:
- IP-Adressen ändern sich – Bei Netzwechsel (WLAN zu Mobilfunk) entsteht ein neuer Hash, der Besucher wird als neue Session gezählt.
- NAT-Zusammenfassung – Mehrere Geräte hinter derselben IP (Büro, Hotel) können als ein Besucher gezählt werden.
- User-Agent-Reduktion – Chrome und andere Browser reduzieren zunehmend die Informationen im User-Agent-String, was die Unterscheidbarkeit verringert.
- Keine Session-übergreifende Wiedererkennung – Durch den täglichen Salt-Wechsel ist keine Wiedererkennung über Tage hinweg möglich.
Trotz dieser Einschränkungen liefert das Verfahren für die Reichweitenmessung ausreichend genaue Daten – und ermöglicht den Betrieb ohne Einwilligung und ohne Cookie-Banner.
Was prüft exatics?
In unseren Audits erkennen wir, welche Analytics-Tools eine Website einsetzt und ob deren Konfiguration einen consent-freien Betrieb ermöglicht. Bei Matomo-Installationen prüfen wir insbesondere, ob Cookies deaktiviert sind und ob die Browser-Feature-Detection abgeschaltet ist – beides Voraussetzungen für den Betrieb ohne Einwilligung.
Ausführliche Ratgeber: Matomo datenschutzkonform einsetzen | Tracking ohne Einwilligung
Rechtliche Einordnung basiert auf § 25 TDDDG, der DSK-Orientierungshilfe für digitale Dienste (Version 1.2, November 2024) und den EDPB Guidelines 2/2023 (Oktober 2024). Die Darstellung stellt keine Rechtsberatung dar.
Häufige Fragen zu Device-Fingerprinting
Ist serverseitiges Hashing dasselbe wie Device-Fingerprinting?
Nein. Serverseitiges Hashing verwendet nur Daten, die bei der HTTP-Kommunikation ohnehin übermittelt werden (IP-Adresse, User-Agent). Device-Fingerprinting liest aktiv Merkmale aus dem Endgerät aus (Canvas, Plugins, Bildschirmauflösung). Nur Letzteres fällt unter § 25 TDDDG und ist einwilligungspflichtig.
→ Ratgeber: Tracking ohne EinwilligungBrauche ich eine Einwilligung für Matomo ohne Cookies?
Nur wenn die Browser-Feature-Detection aktiv ist. Mit den Einstellungen disableCookies und disableBrowserFeatureDetection nutzt Matomo ausschließlich serverseitig verfügbare Daten. Das ist nach gängiger Rechtsauslegung ohne Einwilligung möglich. Die endgültige Bewertung obliegt Ihrem Datenschutzbeauftragten.
→ Ratgeber: Matomo datenschutzkonform einsetzenWarum nutzen datenschutzfreundliche Tools alle dasselbe Verfahren?
IP-Adresse und User-Agent sind die einzigen Daten, die bei jeder HTTP-Anfrage serverseitig vorliegen, ohne aktiv auf das Endgerät zuzugreifen. Ein Hash daraus mit täglichem Salt ist der datenschutzfreundlichste Weg, Besucher innerhalb einer Session zu unterscheiden – ohne Cookies und ohne Einwilligung.