Dieser Artikel stammt von Netzpolitik.org.Der Autor ist...
Tracking mit mehr Kontrolle und Schutz? Die Europäischen Kommission hat dem Vorhaben von Telekom, Orange, Vodafone und Telefónica stattgegeben, ein gemeinsame Werbetracking-Plattform zu gründen. In Deutschland endet nun der Testlauf „TrustPid“. Datenschützer:innen äußern Bedenken.
Bild.de war am Test von TrustPid beteiligt. – Alle Rechte vorbehalten IMAGO / epdAm 10. Februar machte die Europäische Kommission den kartellrechtlichen Weg für ein gemeinsames Vorhaben Europas größter Telekommunikationsunternehmen frei: Die Deutsche Telekom, Orange, Vodafone und Telefónica, zu der auch O2 gehört, planen eine eigene Werbeplattform. Die vier Unternehmen sollen gleichwertig zu je 25 Prozent an der Joint-Venture-Holding beteiligt sein, heißt es in einer Pressemitteilung von Telekom. Die Plattform solle „den Verbrauchern mehr Kontrolle, Transparenz und Schutz ihrer Daten“ bieten, die momentan außereuropäisch verarbeitet werden. Was hat es auf sich mit dem Versprechen der selbstbestimmten Trackings?
TrustPid, Token, Opt-in
Telekom und Vodafone führten in Deutschland seit Mai ein Testprojekt zur technischen Machbarkeit des Vorhabens durch: TrustPid. Auf der offiziellen Website des Projekts heißt es: „TrustPid ist eine Technologielösung, die es Verbrauchern ermöglicht, kostenlose Inhalte und die Vorteile des offenen Internets zu genießen und gleichzeitig die Kontrolle über ihre Privatsphäre zu behalten“. Was mit den „Vorteilen des offenen Internets“ vor allem gemeint ist, ist personalisierte Werbung und Produktempfehlungen, die auf pseudonymen Nutzungsprofilen von Kund:innen basieren.
Die Grundidee des Ventures ist in den Datenschutzhinweisen auf trustpid.com beschrieben: Auf Basis der Mobilfunknummer oder IP-Adresse erstellt der Netzbetreiber, in diesem Fall Telekom oder Vodafone, eine „eindeutige, pseudonyme“ Netzwerkkennung – das sogenannte TrustPid. Das TrustPid wird verwendet, „um weitere webseitenspezifische Marketing-Kennungen“, sogenannte Token, zu erstellen, über die Werbetreibende und Verlage dann personalisierte Inhalte anbieten oder Analysen durchführen können. Der Token soll die Re-Identifizierung einer Person verhindern, aber die Erstellung eines pseudonymen Nutzungsprofils ermöglichen.
Ein zentraler Baustein des Vorhabens ist das Opt-in. Durch die Datenschutz-Grundverordnung der EU ist diese informierte Einwilligung zum Tracking ein Muss. Das unterstreicht auch Helge Buchheister, Pressesprecher von Vodafone: Standardmäßig sei TrustPid nicht aktiv. Zudem seien die Opt-ins bezogen auf die jeweiligen Medienpartner – ohne explizites Opt-in der Nutzenden bei einem Medienpartner könne dieser Medienpartner TrustPid nicht nutzen.
Der Testlauf lief mit ausgewählten Medienpartnern ab, so Buchheister. Vodafone habe teilnehmenden Verlagen und Marken die Möglichkeit gegeben, die Testplattform zu integrieren und auszuprobieren. Mit dem „positiven Signal aus Brüssel“ und den im Testlauf gewonnen Erkenntnissen ginge man bald von der Pilotphase in den Aufbau eines Joint Ventures über. Die im Testlauf generierten Tokens verfallen mit dem Ende des Tests, so Buchmeister.
Bedenken im Datenschutz
Daraus folgt eine zentrale Frage: Warum sollte jemand einem Zusammenschluss großer Telekommunikationsanbieter sein Einverständnis geben, um basierend auf der Mobilfunknummer – wenn auch pseudonymisiert – personalisierte Werbung geschaltet zu bekommen? Die wenigsten Nutzer:innen möchten Tracking zustimmen, selbst herkömmliche Cookies drängen durch sogenannte Dark Patterns zur Zustimmung. Adblocker im Browser sind beliebt, um Werbung gänzlich auszublenden. Zusätzlich ist TrustPid ein längerfristiger Trackingansatz: Die Browsercookies können gelöscht werden, während eine Mobilfunknummer in der Regel mehrere Jahre begleitet. Verschiedene Medien betitelten TrustPid deshalb als „Super-Cookie“.
Die Telkos stellen zwei Argumente in den Vordergrund, die das Vorhaben als bessere Option im Vergleich zu bisherigem Werbetracking darlegen. Argument 1: Durch das Opt-in und die Verwendung eines Tokens haben Nutzer:innen die Kontrolle – dadurch ist es eine selbstbestimmte und datenschutzfreundliche Lösung. Argument 2: Es ist eine innereuropäische Lösung, die der Trackingvorherrschaft von Unternehmen wie Google etwas entgegensetzt.
Die Bürgerrechtsvereinigung European Digital Rights (EDRi) äußert starke Kritik an TrustPid. Jan Penfrat, Senior Policy Advisory bei EDRi, macht seine Bedenken auf Nachfrage von netzpolitik.org deutlich:
Die Idee eines zentralen Portals, in den Menschen ihre Tracking-Präferenzen einstellen können, ist an sich nicht schlecht. Wenn man aber bedenkt, wie viel Schindluder und Trickserei die Tracking-Werbe-Industrie derzeit begeht, um sich die Einwilligung der Leute zu erschleichen, kann es auch sein, dass sich effektiv nichts ändert. Eine wirkliche Verbesserung ohne diese Zweifel gäbe es nur mit einem kompletten Verbot der Tracking-Werbung in der EU.
Zwar könne man argumentieren, dass es eine Verbesserung sei, wenn persönliche Daten nur von den tatsächlich genutzten Websiten und Apps der Menschen, und nicht von Google oder Facebook abgesaugt würden, so Penfrat. Das Ergebnis sei aber das gleiche: Nutzer:innen werden weiter ausspioniert und blieben gegen gezielte Manipulation durch zahlende Akteure weitgehend ungeschützt.
BfDI: Tracking mit Vertrauensstellung schwer vereinbar
Für die Datenverarbeitung in Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Das gilt allerdings nur für die laufende Testphase in Deutschland. Für das nun geplante Joint Venture mit Sitz in Brüssel beziehe sich dessen Aufsichtszuständigkeit allein auf die Projektbeteiligung der deutschen Mobilfunkanbieter, erklärt eine Sprecherin des BfDI auf Nachfrage von netzpolitik.org.
Sie räumt ein, man könne den Dienst durchaus zwiespältig sehen. Einerseits fände lediglich eine Verarbeitung pseudonymisierter Daten auf Basis einer datenschutzrechtlichen Einwilligung statt, was deutlich besser sei als viele Cookie-Banner. Andererseits komme gerade Telekommunikationsanbietern eine besondere Vertrauensstellung zu, die für den BfDI nur schwer mit einem Tracking ihrer Nutzerinnen und Nutzer vereinbar sei. Zudem müssten weitere Gefahren wie die Zusammenführung der pseudonymen Kennung und zum Beispiel dem Log-in bei Diensten von Anbietern im Web, die zu einer Repersonalisierung führen würden, betrachtet und unterbunden werden, so die Sprecherin. Maßgeblich komme es nun auf die Bewertung der zuständigen europäischen Datenschutzbehörden an.
Seitens Vodafone versichert Buchheister, man stehe im regelmäßigen Austausch mit diversen Aufsichtsbehörden. Deren Rückmeldung werde definitiv berücksichtigt. Von der Deutschen Telekom erhielten wir bis zur Veröffentlichung dieses Artikels keine Rückmeldung.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zur Quelle wechseln
Zur CC-Lizenz für diesen Artikel
Author: Anna Seikel
