Zurück zum Blog
5 Min. Lesezeitprivacytrackinggdprcompliance

Google Hat Sein Fingerprinting-Verbot Aufgehoben: Was Entwickler Wissen Müssen

Im Februar 2025 hat Google sein eigenes Verbot des Gerätefingerabdrucks aufgehoben. Hier ist, was sich geändert hat, warum Regulierungsbehörden alarmiert sind und was es für Ihren Analytics-Stack bedeutet.

Im Februar 2025 aktualisierte Google leise seine Werberichtlinien, um Device Fingerprinting zu erlauben — dieselbe Technik, die es 2019 öffentlich als „falsch" verurteilt hatte. Die Änderung trat am 16. Februar 2025 in Kraft und hat erhebliche Konsequenzen für alle, die Analytics aufbauen, eine Web-Property betreiben oder sich auf die Werbeinfrastruktur von Google verlassen.

Was Fingerprinting tatsächlich ist

Device Fingerprinting ist die Praxis, mehrere passive Signale von einem Browser oder Gerät zu kombinieren, um eine persistente Kennung zu konstruieren. Es wird kein Cookie gesetzt. Kein localStorage-Eintrag wird geschrieben. Der Nutzer wird nie um Erlaubnis gefragt. Zu den verwendeten Signalen gehören:

  • IP-Adresse und Netzwerk-Metadaten
  • Betriebssystem und Browser-Version
  • Bildschirmauflösung und Farbtiefe
  • Installierte Schriftarten und verfügbare Codecs
  • Sprache, Zeitzone und Batteriestatus

Einzeln ist keines davon ein eindeutiger Identifikator. Kombiniert ergeben sie einen Fingerabdruck, der genau genug ist, um dasselbe Gerät über Sitzungen hinweg wiederzuerkennen — selbst nachdem Cookies gelöscht wurden und selbst im privaten Browsing-Modus. Anders als bei Cookies gibt es keinen Mechanismus für einen Nutzer, einen Fingerabdruck zu löschen.

Was Googles Richtlinie sagte — und was sich geändert hat

Googles Position von 2019 war eindeutig: Fingerprinting „untergräbt die Nutzerwahl und ist falsch", weil es außerhalb der Standard-Datenschutzkontrollen des Browsers operiert. Die Richtlinie verbot Werbetreibenden, Fingerprinting in Google-Werbeprodukten zu verwenden.

Das Update vom Februar 2025 entfernte dieses Verbot. Googles Darstellung war prozedural — das Update wurde als routinemäßige Richtlinienüberarbeitung beschrieben — aber die Substanz war eine Kehrtwende. Werbetreibende dürfen jetzt geräte-Level-Identifikatoren verwenden, einschließlich IP-Adresse, Bildschirmgröße, Zeitzone, Batteriestatus und User-Agent-Strings, für Targeting und Messung, ohne dass eine Einwilligung des Nutzers eingeholt oder die Praxis offengelegt werden muss.

Die Reaktion der Regulierungsbehörden

Das britische Information Commissioner's Office reagierte sofort. Stephen Almond, der ICO-Geschäftsführer für regulatorisches Risiko, nannte den Schritt „unverantwortlich" und machte die regulatorische Position deutlich: Fingerprinting unterliegt unter PECR (den Privacy and Electronic Communications Regulations) denselben Einwilligungsanforderungen wie Cookies.

Die Argumentation des ICO ist technisch präzise. PECR definiert einen Einwilligungsauslöser als „das Speichern von Informationen oder den Zugriff auf gespeicherte Informationen auf einem Gerät". Fingerprinting greift auf Informationen vom Gerät zu — es liest Werte aus der Browser-Umgebung — was bedeutet, dass die Einwilligungspflicht gilt, unabhängig davon, ob eine Cookie-Datei geschrieben wird. Der Mechanismus des Zugriffs ist entscheidend, nicht das Persistenzformat.

Unter der DSGVO haben dieselben betroffenen Personen, die die Löschung eines cookiebasierten Profils anfordern können, keinen vergleichbaren Mechanismus für ein vom Fingerabdruck abgeleitetes Profil. Sie können einen Fingerabdruck nicht von einem Server löschen, den Sie nicht kontrollieren. Dies erzeugt eine Asymmetrie, die Regulierungsbehörden in der EU und in Großbritannien aktiv untersuchen.

Warum dies für Ihren Analytics-Stack wichtig ist

Wenn Ihre Website Werbe-Tags von Google lädt — einschließlich des gtag.js von GA4, wenn es mit Google Ads verbunden ist — unterliegen Ihre Besucher jetzt einem Fingerprinting unter einer Richtlinie, die ihre Einwilligung nicht erfordert. Das GA4-Tag selbst ist etwa 45 KB groß und tätigt mehrere ausgehende Anfragen; mit der Fingerprinting-Änderung können diese Anfragen jetzt persistente, geräteabgeleitete Identifikatoren an die Infrastruktur von Google übertragen.

Für Entwickler, die unter der DSGVO operieren, ist die praktische Konsequenz, dass der Einsatz von Google-Tags ohne Einwilligungsmechanismus zunehmend schwer zu verteidigen ist. Das ICO hat erklärt, dass Fingerprinting „eine hohe Hürde" unter den bestehenden Rahmen darstellt — ein Signal, dass Durchsetzungsmaßnahmen gegen Publisher, die fingerprinting-basiertes Tracking ermöglichen, ein realistisches kurzfristiges Risiko sind.

Es gibt eine zweite, subtilere Konsequenz: Datenqualität. Fingerprinting injiziert nicht eingewilligte Identifikatoren in Analytics-Pipelines. Wenn Sie Googles Messstack verwenden, leitet sich ein Teil Ihrer Attributionsdaten jetzt aus passiven Gerätesignalen ab und nicht aus eingewilligten Ereignissen. Die beiden Populationen — eingewilligt und gefingerprintet — sind nicht äquivalent, und sie zu mischen, ohne sie zu kennzeichnen, beeinträchtigt die Zuverlässigkeit Ihrer Metriken.

Der Kontrast zur fingerabdruckfreien Datenerfassung

Ein Analytics-Ansatz, der überhaupt kein Fingerprinting durchführt, umgeht diese Probleme strukturell. Der Monoid-Tracker sendet einen einzigen POST an /collect ohne geräte-Level-Signale, die über eine grobe Browser-Familie und einen Gerätetyp hinausgehen, die serverseitig aus dem gewöhnlichen User-Agent der Anfrage abgeleitet werden. Keine IP wird gespeichert. Keine Schriftarten-Aufzählung. Keine Bildschirmauflösung. Kein sitzungsübergreifender Identifikator.

Der tägliche Besucher-Hash — SHA-256(IP + UA + SALT_SECRET + YYYY-MM-DD) — verwendet IP und User-Agent nur im Speicher, verwirft sie sofort und erzeugt einen Wert, der sich alle 24 Stunden zurücksetzt. Dies ist das Gegenteil eines Fingerabdrucks: Er kann nicht über Sitzungen hinweg fortbestehen, kann nicht über Tage hinweg korreliert werden und kann nicht verwendet werden, um ein bestimmtes Gerät wiederzuerkennen.

Unter der Analyse des ICO löst dieser Ansatz keine PECR-Einwilligungspflichten aus, weil er nicht auf Informationen zugreift, die auf dem Gerät gespeichert sind, und keinen persistenten Identifikator erzeugt. Das rechtliche und technische Argument für diesen Ansatz hat sich seit Februar 2025 nur verstärkt.

Was Sie jetzt auditieren sollten

Wenn Sie Analytics- oder Werbe-Tags auf Ihrer Website betreiben, lohnt es sich, drei Fragen sofort zu beantworten:

1. Does this tag access device-level signals (fonts, battery, screen resolution)?
2. Does it send those signals to a third-party server?
3. Do you have a legal basis — consent or legitimate interest — documented for that transfer?

Googles Richtlinienänderung ändert Ihre rechtlichen Pflichten nicht; sie ändert, was Google seinen Werbetreibenden erlaubt zu tun. DSGVO und PECR erfordern weiterhin eine Rechtsgrundlage für die Verarbeitung, Transparenz in Ihrer Datenschutzerklärung und — wenn die Grundlage die Einwilligung ist — einen Mechanismus, mit dem Nutzer ihre Einwilligung verweigern und widerrufen können.

Der einfachste Weg durch all das ist, fingerprinting-abgeleitete Daten gar nicht erst zu erfassen. Ein Tool, das niemals geräte-Level-Signale berührt, hat keine Exposition gegenüber der regulatorischen Unsicherheit rund um Fingerprinting, unabhängig davon, wie sich Googles Richtlinien entwickeln.