Browserfingerprinting und Märchenstunden von digitalcourage

Mal wieder zwei recht verschiedene Aufhänger: Einmal die jüngsten Big Brother-Awards und digitalcourage, die von einer der relevanten deutschen Institutionen in Sachen Netz und Bürgerrechte zu einem Zugunglück verkommen sind, das zu beobachten mir langsam selber peinlich wird. Zum anderen: Browserfingerprinting. Wahlweise ein Schreckgespenst, das man rausholt, wenn einem die Argumente ausgehen oder eines der Werbeversprechungen von Werbeunternehmen, die, nun, Werbeversprechen sind. Digitalcourage ist der Aufhänger, Browserfingerprinting eher die Frage ans interessierte und informierte Publikum, ob ich meine aktuelle Einschätzung „Fingerprinting ist ein nettes Verkaufsthema, das ungefähr wie die Kernfusion permanent in $zeitspanne was wird“ überdenken sollte.

Wer sich an drastischen Urteilen stört, folgendes tut mir leid und es wär mir lieber, wenns anders wäre. Meiner Einschätzung nach ist die ganze BigBrotherAwards-Blase zu einer Bande selbstgerechter Arschlöcher verkommen. Aufhänger: Zeitonline kriegte einen der „Negativ-Preise für Datenkraken“ verliehen und hat im Folgenden plausibel dargelegt, was an der Laudatio zur Preisverleihung alles falsch war. Wenn daraufhin auf Seite der Verunglimpfer Preisverleiher mit keinem Wort auf eigene Fehler eingegangen wird, dann ist das eine sachliche und moralische Bankrotterklärung.

Fehler? Wir machten doch keine Fehler!

Hier wurde eine Trackeranalyse grundlegend und in mehrerer Hinsicht vollkommen verbockt, und es fällt kein Wort der Entschuldigung, kein Wort darüber, was man selber falsch gemacht hat, man lässt sich zu einem „…klingt plausibel“ herab und verkennt, dass man sich gerade grundsätzlich als kompetente Instanz disqualifiziert hat, die das beurteilen könnte. Sahnehäubchen: „Am Wesenskern meiner Laudatio ändert sich nichts.“

Third Party source, ist doch alles dasselbe, oder?

Third Party source, ist doch alles dasselbe, oder?

Für ChPietschs anschließendes Twitterstatement, ein Googlefont-Abruf übertrage dieselben privaten Daten wie ein FB-Pixel, fällt mir beim besten Willen nur die Interpretation der bewussten Lüge ein. Witzigerweise versucht er später zurückzurudern, es würden „prinzipbedingt“ dieselben Daten übertragen und unklar sei nur, ob sie gespeichert würden. Das geht immerhin als halbwahrer Blödsinn durch, wenn es tatsächlich nur um eine IP-Adresse ginge, aber dann müsste man ja zugeben, dass die Aussage Googlefoont=FB-Pixel eben falsch war (und padeluun mit seiner Einschätzung von Googlefonts als Trackingtool, („…mit die Schlimmsten….“), Müll redet. Unnötig zu sagen, dass ich im Zuge dessen natürlich geblockt wurde und padeluun den ganzen Mist durchfavt, inclusive dem Statement, dass Cookies ja eh durch seien und Browser-Fingerprinting der neue heiße Scheiß.

Meine Sicht der Dinge:
· Wer behauptet, eine explizit datensparsame Implementation wie Googlefonts sei dasselbe wie ein Facebookpixel, verblödet sein Publikum.
· Wer auf offenkundige eigene Fehler wiederholt keinerlei Fehlerkultur pflegt, ist ungeeignet als Instanz zur Bewertung von Datenschutzverstößen. An sich ungeeignet für grundsätzlich alles, was mit der Bewertung anderer zu tun hat.
· Wer sein „Google ist böse“-Weltbild zu „Google ist böse und Fakten interessieren mich nicht“ erweitert hat, taugt nicht mehr als Ansprechpartner für alles, was auch nur entfernt mit Netzpolitik zu tun hat.
· Digitalcourage ist Teil des Problems, und ihre offensive Verweigerungshaltung gegenüber der Realität diskreditiert alle, die sich netzpolitisch im Anwendersinn, für Datenschutz, Privatsphäre etc. engagieren.

Weil in der Twitterdebatte aber auch noch das Thema Fingerprinting aufkam (Tipp an meine Marketingkollegen: deswegen brauchten wir keine Cookies mehr! Lernt man auf Twitter!): Browser-Fingerprinting. Etwas alt, aber nach wir vor sehr hilfreich zum Einschätzen, Henning Tillmann. Die einfache Version (Canvas Fingerprinting) scheint mir aktuell nicht weiter eskaliert zu sein als der 2014er-Befund der EN-Wikipedia, und für die aufwändigere Variante sehe ich die Rechnerleistung ebensowenig wie den Einsatzzweck. Mir scheint das wie eingangs bemerkt als gern genommenes Schreckgespenst auf Datenschützerseite und gern genommenem Selling Point auf Anbieterseite, die praktische Relevanz lief mir in der Vergangenheit praktisch nie über den Weg. Ich lass mich hier aber gerne eines Besseren belehren. Kurz vorab meine Wahrnehmung des ganzen:

· Klassische Anwendungszwecke (Warenkorb, Logincredentials, whatever): nach wie vor Cookie.
· Wenns nicht per Browser-Default abgelehnt, der Cookieschwund minimiert werden soll: LSO.
· Klassisches Profiling für Displayads: Hier spielt Fingerprinting keine Rolle mehr, weil die Zielgruppe, die man mit Fingerprinting tracken könnte und anders nicht, eh einen Adblocker installiert hat.
· Selbst wenn: für die Millisekunden, die man für RTB zur Verfügung hat, stell ich mir einen Abgleich mit einer Fingerprint-DB und den anfallenden Datenschwankungen dort schlicht technisch nicht praktikabel vor.
· Was ist hier eigentlich mit mobile? Da installier ich eher selten Fonts, Plugins etc.
· Platt am Ende: es gibt eine Gruppe Leute, die Tracking und Werbung online ablehnen und die man nicht erreicht. Man erkennt sie recht leicht und es ist dämlich, Geld auf sie draufzuwerfen, noch dazu für aufwändigen Tech, denn man verdient nichts an ihnen.

Ich denke gerne böse vor mich hin, und es mag an meiner grundsätzlich menschenfreundlichen und unzynischen Gesinnung liegen, aber der geile Usecase für Fingerprinting springt mich absolut nicht an. Das kann man alles anders, leichter, sicherer haben oder es ist per default kaputt/ungeeignet.

Dabei glaube ich nicht mal, dass irgendwelche Schreckgespenste, die in Sachen Fingerprinting an die Wand gemalt wurden (oder was an Gegenmaßnahmen propagiert wurde), hier in irgend einer Weise die Landschaft beeinflusst haben. Was meines Erachtens nach hier eine deutlich größere Rolle spielte in den Entwicklungen der letzten vier Jahren: die Third-Party-Cookierichtlinien der diversen Browseranbieter. Selbstredend die DSGVO. Der Adblocker-Durchmarsch. Letzterer insbesondere eben in der „Erkenne die Leute, für die du kein Geld verbrennen brauchst“-Perspektive. Aber kein Fingerprinting.

Aber wie gesagt: ich lern hier gern dazu.

Nachtrag: ich lernte dazu! (Danke, Markus!) Nach einer Rumfrageaktion im SEO-Stammtisch lernte ich, dass mit Piwik tatsächlich eines der gern empfohlenen „Selfhosted, Made in Germany“-Tools Browserfingerprinting in ihrem Piwik Pro Consent Management-Modul anbietet. Interessanterweise
· mit dem dringenden Hinweis, genau dafür explizit vorab das Einverständnis einzuholen,
· als Tool, um die Leute nicht wegen dauernd (überwiegend von Safari) weggelöschten Cookies Wochentakt mit Einverständniserklärungen zu nerven und
· als Reaktion/Empfehlung angesichts von Apples Intelligent Tracking Prevention ITP. Argument: ein Viertel aller mobilen(!) Geräte ist mit dem ITP-versehenen Safari unterwegs. Gerade auf den Geräten würde ich annehmen, dass Fingerprinting eher so mittel bis nicht funktioniert.
Ich bin mir nicht ganz sicher, ob ich das unter die eingangs angeführten cleveren Sales-Strategien einsortieren soll oder eine self fuuilfilling prophecy dahingehend, dass einmal Consent gegeben, der Verlängerungsprozess über den Fingerprint immer funktioniert, weil einer der Handvoll Mobile Safari-Fingerprints mit Consenteinwilligung eh immer passt.

Nachdem es hier aber nicht um zeitkritische RTB- und ähnliche Crossite-Tracking-Kisten geht, lass ich mal ein vorläufiges „Am Wesenskern meiner Laudatio ändert sich nichts.“ drunter liegen.

Kategorie: Allgemein Tags: , , , . Permalink.

5 Responses to Browserfingerprinting und Märchenstunden von digitalcourage

  1. anonymer Twitterer says:

    · Wer behauptet, eine explizit datensparsame Implementation wie Googlefonts sei dasselbe wie ein Facebookpixel, verblödet sein Publikum.
    — Was sagen die Google-Datenschutzbestimmungen dazu? Fakt ist: Über die Fonts _könnte_ Google tracken.

    · Was ist hier eigentlich mit mobile? Da installier ich eher selten Fonts, Plugins etc.
    — da installiere ich auch selten Adblocker. Cookies ftw

    · Browser Fingerprinting
    — die installierten Schriftarten, abrufbar mit JavaScript, genügen. Gewisse Unschärfen werden auch ohne Weiteres toleriert.

    • Korrupt says:

      So zur Illustration, mit welchem immensen Hintergrund hier „argumentiert“ wird.
      Ad.1: die Informationen Googles zur Fonts-Datenanalyse sind im Beitrag verlinkt und in der Twitterdiskussion zum Thema. Wenn wir auf dem Niveau „X könnte aber…“ sind in Sachen „Argumentation“, dann solltest du das Internet besser abschalten.
      Ad.2: Wir üben Kontext. Es ging um Fingerprinting und die Ansage der DC-Blase, dass Cookies eh durch seien. Schön, wenn du ihnen widersprichst, weiter so!
      Ad.3: Genügen? werden toleriert? von wem? Einem Adtechkunden, der für teuer Geld eine Zielgruppe erreichen und mit jener *Umsatz* machen will? Einem Onlineshop, der cookiefreie Paymentabwicklung machen möchte, weil er gehört hat, dass Cookies böse seien? Einer RTB-Kampagne, die auf basis dieser Daten Gebote auf Inventarplätze abgeben soll? Ich löse mal auf, weil du von Onlinemarketing keine Ahnung zu haben scheinst: die Antworten sind nein, nein und nein. Im Übrigen fragte ich explizit nach Usecases, weil ich einigermaßen begründet annehme, dass Fingerprinting mehr oder weniger tot ist. Melde dich gerne mit deinen Praxiserfahrungen, wenn vorhanden, danke.

  2. Simon says:

    „· Was ist hier eigentlich mit mobile? Da installier ich eher selten Fonts, Plugins etc.“

    Meiner Erfahrung nach ist das ein großes Problem. Ich habe vor einiger Zeit die größeren Fingerprinting-Libs mal in einem Projekt durchgetestet und gerade bei Apple Geräten gibt es da sehr schnell Kollisionen. Eben genau weil es dort zu viele „gleiche“ Geräte gibt.

    Kann mich deiner Meinung hier nur anschließen: In der Praxis nicht relevant.

    • Korrupt says:

      Bei Apple seh ich da auch kaum Chancen (bzw., aus Werbersicht scheinen sie hier ihren beworbenen Job „Datenschutz“ einigermaßen ordentlich zu machen. Android wäre wegen der Gerätevielfalt ein wenig mehr möglich, aber auch da gehe ich davon aus, dass der Standardbrowser vom Modell X, Hersteller Y halt auch wenig bis kaum Varianz zeigt, da wäre eher die Frage, ob da via UUID/Google/Android-Anmeldung irgendwas ginge, mir wäre es neu, dass der Browser das eben mal rüberschiebt. Ich wüsste nicht mal, ob das bei den Playstore-Crashreports bei App-Entwicklern aufschlägt, aber jetzt, wo ich drüber nachdenke, sollte ich das mal nachsehen.

  3. Pingback:CCCamp2019, ein paar Eindrücke - Tales from the Mac Hell

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere