navigator.languages verrät jeder Website Ihre vollständige Sprachpräferenzliste — in welcher Reihenfolge Sie Sprachen bevorzugen, welche Regionen Sie bevorzugen und manchmal auch, ob Sie Migrationshintergrund haben. Tracker nutzen dieses Signal ohne Cookies, ohne Gerätespeicherung. Mehrsprachige Nutzerinnen und Nutzer sind dabei besonders leicht identifizierbar. Nach der DSGVO können Sprachpräferenzen zur indirekten Identifikation beitragen und damit personenbezogene Daten darstellen.
Die drei Sprach-Signale
1. navigator.languages (Array)
console.log(navigator.languages);
// Beispiele:
// ["de-DE", "de", "en-US", "en"] → Deutsch-Deutschland, Englisch
// ["de-AT", "de", "en"] → Österreichisches Deutsch
// ["zh-TW", "zh", "en-US"] → Traditionelles Chinesisch + Englisch
// ["ar", "en-US"] → Arabisch + Englisch2. navigator.language (String)
console.log(navigator.language);
// Immer der erste Wert aus navigator.languages
// z. B. "de-DE", "de-AT", "en-US"3. Accept-Language HTTP-Header
// Automatisch vom Browser bei jedem Request gesendet:
Accept-Language: de-DE,de;q=0.9,en-US;q=0.8,en;q=0.7
// Der Server sieht diese Information, bevor JavaScript läuft —
// kein JavaScript nötig für serverseitiges Fingerprinting.Warum verrät die Sprachliste so viel?
- Reihenfolge als Fingerabdruck: Die Prioritätsreihenfolge der Sprachen ist individuell eingestellt.
["de", "en", "fr"]ist eine andere Person als["de", "fr", "en"]. - Region als Standorthinweis:
de-AT(Österreich),de-CH(Schweiz),de-DE(Deutschland) — die Länder-Variante verrät den wahrscheinlichen Aufenthaltsort. - Mehrsprachigkeit als Merkmal: Nutzer mit
["de", "tr", "en"]gehören einer kleineren Gruppe als["de", "en"]-Nutzer. - Disparate Auswirkungen: Minderheitensprachler und Migrantinnen/Migranten sind aufgrund seltener Sprachkombinationen stärker gefährdet — ein Fairness-Problem bei Datenschutz-Standards.
Entropie und Fingerprinting-Wert
| Merkmal | Wert |
|---|---|
| Entropie (navigator.language allein) | ~5–7 Bit |
| Entropie (navigator.languages Array) | ~7–10 Bit |
| Serverseitig (Accept-Language) | Kein JavaScript nötig |
| Überlebt Cookie-Löschung | Ja |
| Funktioniert im Inkognito-Modus | Ja |
DSGVO und Sprachpräferenz-Fingerprinting
Sprachpräferenzen können nach Art. 9 DSGVO als besondere Kategorie sensibler Daten eingestuft werden, wenn sie auf ethnische Herkunft hinweisen — z. B. durch seltene Sprachkombinationen. Der Europäische Datenschutzausschuss (EDPB) hat in Leitlinien zum Fingerprinting klargestellt, dass auch implizite Browser-Merkmale wie Sprachsignale der Einwilligungspflicht unterliegen, wenn sie zur Identifikation genutzt werden. In Deutschland schützt zusätzlich § 25 TTDSG vor dem Auslesen solcher Merkmale ohne Einwilligung.
Brave Browser: Sprach-Anonymisierung
Brave hat zwei Schutzebenen implementiert:
- Standard-Modus: Gibt nur die erste Sprache aus
navigator.languageszurück — die Prioritätsliste wird auf einen Eintrag reduziert. - Strikt-Modus: Gibt immer
"en-US"zurück, unabhängig von den tatsächlichen Browser-Einstellungen. Maximaler Schutz auf Kosten lokalisierter Website-Inhalte.
Weitere Schutzmaßnahmen
- Firefox
privacy.resistFingerprinting: Meldet"en-US"für alle Sprach-APIs, unabhängig von den Browser-Einstellungen. - Tor Browser: Gibt immer
"en-US"zurück. - Sprach-Einträge reduzieren: Weniger Sprachen in den Browser-Einstellungen → weniger Entropie. Praktisch aber unbequem für mehrsprachige Nutzer.
Das Zielgruppen-Dilemma
Wer am stärksten vom Schutz profitieren würde — mehrsprachige, international mobile Nutzerinnen und Nutzer — ist auch am stärksten auf korrekte Spracheinstellungen angewiesen, damit Websites in der richtigen Sprache erscheinen. Maximaler Schutz (immer "en-US") bedeutet: alle Websites auf Englisch. Dieses Dilemma ist fundamental für Datenschutz-durch-Standardisierung.
Verwandte Signale
Sprach-Fingerprinting wird oft kombiniert mit Do-Not-Track-Fingerprinting und dem navigator.platform-Signal. Prüfen Sie Ihre aktuellen Sprachsignale mit unserem Fingerprint-Tool.
