Canvas Fingerprinting

Was ist Canvas Fingerprinting?

Beim Canvas Fingerprinting wird statt einer Textdatei ein eindeutiger Fingerabdruck aus den Profilinformationen des Browsers des Nutzers erstellt. Die Canvas-API von HTML5 wird genutzt, um aus Profildaten ein Bild zu erzeugen, das in einen Hashwert umgerechnet wird. Ein Canvas-Element ist ein mit Höhen- und Breiten-Angaben definierter Bereich, in den per JavaScript gezeichnet werden kann. Die Darstellung desselben Textes variiert je nach Browser, installierten Schriftarten, Zeitzone, CPU, GPU, Betriebssystem und weiteren Parametern.

Wird dieser Text im Browser des Nutzers gerendert, erzeugt das System eine für das Gerät charakteristische Bildausgabe.  Diese wird in eine DATA-URL konvertiert, gehasht und an den Server des Webdienstleisters übermittelt. Dort kann der Hashwert mit früheren Werten abgeglichen werden, um den Nutzer wiederzuerkennen.

Moderne Fingerprinting-Techniken kombinieren Canvas-Daten oft mit anderen Merkmalen (z. B. WebGL-Grafikberechnungen, Audio-API-Ergebnissen, installierten Fonts oder feinen GPU-Leistungsunterschieden), um die Genauigkeit und Beständigkeit der Identifikation zu erhöhen.

Wie verbreitet ist Canvas Fingerprinting?

Forscher der Universitäten Princeton (USA) und Leuven (Belgien) hatten bereits 2014 festgestellt, dass auf rund 5 % der 100.000 populärsten Websites Canvas Fingerprinting eingesetzt wurde. Die damals veröffentlichte Liste betroffener Websites zeigte, dass einige Betreiber nichts von der Technik wussten.

Auch heute kann der Einsatz ohne direkte Kenntnis des Websitebetreibers erfolgen, etwa wenn Drittanbieter-Werbepartner entsprechende Skripte einbinden. Betreiber sind jedoch mittlerweile verpflichtet, sich über die eingesetzten Trackingmethoden zu informieren und diese vorab datenschutzrechtlich zu prüfen – fehlendes Wissen schützt nicht vor rechtlichen Konsequenzen.

Was ist datenschutzrechtlich zu beachten?

Die frühere Rechtsgrundlage (§ 15 Abs. 3 TMG a.F.), die pseudonymes Tracking mit Opt-out erlaubte, gibt es nicht mehr. Heute ist § 25 TTDSG maßgeblich: Jede Auslesung von Informationen aus der Endeinrichtung des Nutzers – wozu auch Canvas Fingerprinting gehört – erfordert grundsätzlich eine vorherige ausdrückliche Einwilligung, sofern der Zugriff nicht technisch unbedingt erforderlich ist.

Zusätzlich gilt unter der DSGVO, dass Fingerprints in der Regel als personenbezogene Daten gelten, wenn sie zur Wiedererkennung eingesetzt werden. Websitebetreiber müssen daher:

• den Einsatz in der Datenschutzerklärung transparent darstellen (inkl. Zweck und beteiligten Drittanbieter),
• vor Aktivierung der Skripte eine Einwilligung einholen (z. B. über ein Consent-Banner),
• die Verarbeitung ohne Einwilligung unterlassen. Ein reines Opt-out-Cookie – wie es AddThis 2014 anbot – erfüllt die Anforderungen nicht mehr!

Wie können sich Nutzer schützen?

Die Erstellung einer Fingerprinting-ID kann weiterhin nicht allein durch klassische Browsereinstellungen verhindert werden. Auch der Inkognito-/Privatmodus schützt hier nicht, da die System- und Rendering-Merkmale identisch bleiben.

Die letzten Jahre haben sich jedoch die Schutzmöglichkeiten verbessert:

• Browserfunktionen: Firefox blockiert bekannte Fingerprinting-Skripte im strengen Datenschutzmodus, Brave randomisiert Canvas-Ausgaben, Safari beschränkt den Zugriff auf bestimmte Merkmale.
• Erweiterungen: Add-ons wie CanvasBlocker, Canvas Defender oder Privacy Badger erzeugen gezieltes Rauschenoder fragen vor dem Auslesen des Canvas-Elements um Erlaubnis.
• Tor-Browser: Warnt weiterhin vor Canvas-Auslesen und bietet die Option, stattdessen neutrale Daten zurückzugeben.

Trotz dieser Fortschritte gilt: Vollständiger Schutz ist technisch schwierig, da moderne Fingerprinting-Skripte viele Merkmale kombinieren.