Evil Legal zum Nachlesen: Tracking mit HTML5

HTML5 ist die neue Kernsprache des Webs. Seit 2014 das World Wide Web Consortium den neuen Standard verabschiedet hat, erfreuen sich Webentwickler an einer Vielzahl neuer Funktionen: Videos, Audiofiles und dynamische Grafiken können in HTML 5 endlich ohne Plugins wiedergegeben werden. Doch die neue Funktionenvielfalt birgt auch einige Überraschungen.

Stolperfalle Tracking

HTML5 bietet standardmäßig eine Battery Status API, also eine Schnittstelle, über die Webseiten Informationen über die Batterie des genutzten Endgerätes, sei es Telefon, Tablet oder Notebook, auslesen können. Die Battery Status API zieht sich verschiedene Informationen, darunter Ladezustand, Ladedauer und verbleibende Restlaufzeit einer Batterie. Zusammengenommen sind diese Daten einzigartig, unique, für jedes genutzte Endgerät. Und das bedeutet, dass jeder Nutzer einen digitalen Fingerabdruck hinterlässt, mit dem sich nachvollziehen lässt, wer was wann und wo im Internet aufgerufen hat. Und wer legt schon gern seine Suchhistorie offen? Das kann unangenehm sein.

Wer also einen Onlineshop besucht oder ein Browsergame spielt, das auf HTML5 läuft, der gibt auch Leistungsdaten des Akkus seines Telefons preis. Das mag durchaus sinnvoll sein, denn durch die Information über einen unzureichenden Ladezustand des Akkus kann eine Anwendung die abgerufenen Daten schneller mal zwischenspeichern, um sie vor Verlust zu bewahren: Denken Sie an aufwendige Briefe oder Excel-Listen oder laufendes Projektmanagement in der Cloud oder einfach den aktuellen Spielfortschritt. Doch, wo Licht strahlt, da ist auch Schatten nicht weit.

Das Tracken von Nutzern über die Battery Status API

Bereits 2015 haben sich vier junge europäische IT-Experten mit den Möglichkeiten des Trackings von Nutzern über die Battery Status API befasst. Die Studie ist lesenswert, nicht nur für Nerds, und sie ist im Netz frei verfügbar.

Kurzgefasst: Die Experten haben herausgefunden, dass die Kapazität, die Leistungsfähigkeit der Batterie eines Smartphones und ihr Ladezustand einen eindeutigen „Fingerabdruck“ darstellen, der dazu genutzt werden kann, um Internetnutzer durch API-Calls in kurzen Zeitabständen leicht zu tracken, also zu verfolgen. Insbesondere die Kombination mit den meist gleichfalls verfügbaren Standortdaten ist besonders charmant.

Das sind großartige Möglichkeiten für Technologieanbieter, die zum Beispiel Cross Device Tracking durchführen, also verschiedene Endgeräten einem bestimmten Nutzer zuordnen, um diesen zu identifizieren und mit gezielter Werbung zu verfolgen.

Aber auch Onlineshops haben an diesen Möglichkeiten ihre Freude, denn wer nur noch 7% Akku hat, ist entschlossener, einen Kaufvorgang abzuschließen, zum Beispiel ein Ticket zu buchen. Koste es, was es wolle. Stichwort Dynamic Pricing. Wer es eilig hat, zahlt mehr.

Dass derartige Praktiken keine bloße Fantasie sind, sondern Realität, weiß jedes Unternehmen, das ernsthaft Marketing und Revenue Management im eCommerce betreibt. Mittlerweile hat eine weitere Studie der Princeton University im Netz frei verfügbare Skripts analysiert, die die Tracking-Möglichkeiten der Battery Status API geschickt ausnutzen.

Wie fast jede technologische Neuerung, so ist auch HTML5 datenschutzrechtlich eine Herausforderung. Denn wer gibt schon gern Informationen preis, damit andere ihm Produkte teurer anbieten können?

Wer ein solches Tracking vornimmt oder einbindet, muss darüber aufklären in den Datenschutzinformationen auf seiner Seite oder in seiner Applikation. Das gilt nicht nur in Deutschland und Europa, sondern auch für Angebote, die sich an Konsumenten in den USA richten. Denn auch dort sind die Datenschutzvorschriften in den letzten Jahren massiv verschärft worden, vor allem in Kalifornien. Der California Online Privacy Protection Act verpflichtet Anbieter von Webservices dazu, eine transparente und gut lesbare Datenschutzerklärung vorzuhalten. Da gehört dann ein Hinweis rein, dass man über die Battery Status API auch Tracking vornimmt.

Die gemeinnützige Mozilla Foundation findet die Battery status API sogar derart problematisch, dass man sie mit der Version 52 des beliebten Firefox-Browsers aus dem System entfernt hat. Allerdings hat dieses Vorpreschen noch keine Nachahmer gefunden, so dass sie in anderen Browsern weiterhin mit HTML5-Tracking rechnen müssen.

Bis dahin bleibt Ihnen die Möglichkeit, die API manuell in dem von Ihnen verwendeten Browser zu deaktivieren.

Über den Autor:

Peter Hense

Rechtsanwalt, Partner

Peter Hense ist Rechtsanwalt und Partner bei Spirit Legal in Leipzig. Als Experte für IT, Datenschutz, Marken- und Wettbewerbsrecht sowie Travel Industry Law arbeitet er an der Schnittstelle von Wirtschaft und Technologie. Für Verhandlungen, Vorträge und Seminare ist er bundesweit für die Sozietät unterwegs.

Artikel erschienen am 13.07.2017 von Peter Hense

noch keine Kommentare vorhanden
Jetzt kommentieren!

Kategorie:

Video

Schlagworte:

Was suchen Sie?

Kategorien

Archiv

2024 (12)
2023 (28)
2022 (20)
2021 (26)
2020 (37)
2019 (72)
2018 (42)
2017 (47)
2016 (36)
2015 (39)
2014 (20)

vorherigen Artikel lesen

nächsten Artikel lesen

Einen Kommentar schreiben

Tags

Spitzenstellungsbehauptung Job JointControl Einstellungsverbot Insolvenz Adwords drohnen Zustellbevollmächtigter Filesharing Tracking Authentifizierung Einzelhandel datenverlust Irreführung Bachblüten Kinder Instagram Recap FTC Urheberrecht Identitätsdiebstahl Vertragsgestaltung patent Künstliche Intelligenz CRM Foto Facial Recognition Erschöpfungsgrundsatz Internet of Things FashionID Google AdWords Freelancer Vergütungsmodelle Gaming Disorder Nutzungsrecht HipHop München Keyword-Advertising Onlinevertrieb Personenbezogene Daten Referendar Heilkunde Evil Legal Meinungsfreiheit Hotelrecht Urheberrechtsreform Artificial Intelligence New Work Meldepflicht videoüberwachung BDSG Social Networks Kundenbewertungen Fotografen handel Unternehmensgründung Medienprivileg Stellenausschreibung EU-Kommission Internetrecht Persönlichkeitsrecht Corporate Housekeeping Arbeitsrecht Kunsturhebergesetz #bsen Polen Ring Aufsichtsbehörden Haftung ITB Pressekodex Spielzeug schule IT-Sicherheit Markenrecht Werbung OLG Köln selbstanlageverfahren total buy out Türkisch Minijob Rufschädigung Asien § 5 MarkenG Digitalwirtschaft Unterlassungsansprüche Großbritannien Hotel Booking.com News Kündigung ransomware HSMA Messe Chat Datenschutzbeauftragter email marketing Gastronomie Radikalisierung #emd15 Handelsregister Spirit Legal Leipzig Berlin Gesetz Sperrabrede Gesundheit Ratenparität Creative Commons Wettbewerbsbeschränkung Hotelsterne Annual Return Presserecht Data Breach Beweislast drohnengesetz targeting Rechtsprechung Hackerangriff Social Media Twitter Sponsoring veröffentlichung Alexa Datenschutzgrundverordnung Zahlungsdaten verlinken Bundesmeldegesetz A1-Bescheinigung E-Commerce Textilien EU-Kosmetik-Verordnung Apps Verpackungsgesetz Algorithmen Kennzeichnung Datenschutz Deep Fake copter Content-Klau Midijob Direktmarketing fristen Pseudonomisierung Weihnachten vertrag Unionsmarke Email Arbeitsvertrag Preisangabenverordnung Impressumspflicht Namensrecht Ruby on Rails Unlauterer Wettbewerb Notice & Take Down LG Köln Abhören Verlängerung Phishing Geschmacksmuster Auftragsverarbeitung Infosec Schleichwerbung Vertragsrecht Human Resource Management Suchmaschinen ReFa Werbekennzeichnung Single Sign-On Online-Portale Behinderungswettbewerb Datenschutzgesetz Hotelkonzept Journalisten Lizenzrecht Home-Office technology Flugzeug Domainrecht § 24 MarkenG Bildung Kleinanlegerschutz Compliance EU-Textilkennzeichnungsverordnung Event Geschäftsanschrift gdpr Duldungsvollmacht USPTO Überwachung Machine Learning Bewertung events Schadenersatz data technik Suchmaschinenbetreiber Anonymisierung Finanzierung Ofcom