Ein „Super-Cookie” namens „TrustPid”?

Mit Problemen, die im Zusammenhang mit dem Einsatz von Cookies und Drittanbieterdiensten vor allem im Bereich des Marketings aus datenschutzrechtlicher Sicht bestehen, haben wir uns in der letzten Zeit schon des Öfteren beschäftigt (siehe hier, hier, hier, hier, hier und hier).

Die Tools zur Einholung einer Einwilligung in die Nutzung einwilligungsbedürftiger Technologien (meist Tracking-Technologien für Werbezwecke), die umgangssprachlich als „Cookie-Banner“ bezeichnet werden, sind nervig und es gibt Versuche, hier neue Wege zu gehen. Das Ziel ist, Werbebotschaften ohne die nervigen Banner, die einer Webseite oder einer App vorgeschaltet werden, gezielt zu verbreiten.

So hatte Google beispielsweise bereits 2020 angekündigt, von den Tracking-Cookies Abstand nehmen zu wollen und ein System namens FLoC (Abkürzung für „Federated Learning of Cohorts“) einzuführen Bei diesem System sollten die Nutzer*innen nicht mehr persönlich erkannt werden, sondern in Gruppen (sogenannten Kohorten) eingeteilt werden. Diese Einteilung soll im Browser der Nutzer*innen direkt erfolgen. Über diese Technologie und unsere Bedenken in diesem Zusammenhang haben wir ausführlich in unserem Artikel vom 20.04.2021 berichtet.

Nun gibt es einen weiteren Versuch, diesmal seitens der großen Telekommunikationsanbieter (insbesondere Vodafone und Telekom), eine Alternative zur personalisierten Werbung zu entwickeln. Auch diesmal ist das Ziel, die nervigen „Cookie-Banner“ in der bisher bekannten Form obsolet werden zu lassen und nicht auf die aktive Einwilligung der Nutzer*innen angewiesen zu sein. Hierzu wird aktuell im Rahmen eines Projekts mit der Bezeichnung „TrustPid“ eine betreiberübergreifende Test-Plattform für datenschutzkonformes digitales Marketing betrieben und die technische Machbarkeit des Vorhabens geprüft. Gemäß Aussage der das System betreibenden Telekommunikationsanbieter steht der Datenschutz im Fokus des Projekts.

Womit haben wir es bei TrustPid aber konkret zu tun und besteht hierbei eventuell ein Grund zur Sorge? Müssen Nutzer*innen aktiv werden und etwas unternehmen?

Was verbirgt sich hinter „TrustPid“ nun konkret?

Wenn man sich die Informationen unter anschaut, so stellt man fest, dass die Frage „Was ist TrustPid?“ von den Anbietern (aktuell) wie folgt beantwortet wird:

„TrustPid ist eine Technologielösung, die es Verbrauchern ermöglicht, kostenlose Inhalte und die Vorteile des offenen Internets zu genießen und gleichzeitig die Kontrolle über ihre Privatsphäre zu behalten.

TrustPid funktioniert mit sicheren, einzigartigen digitalen Token, die durch Zuweisung von Zufallszahlen erzeugt werden. Es ist mit den Token nicht möglich, Sie als Person direkt zu identifizieren. Dennoch ermöglicht ein Token Werbetreibenden und Webseitenbetreibern, Ihnen ein personalisiertes Erlebnis auf ihren Webseiten, Apps und Diensten zu bieten, sofern Sie Ihre explizite Zustimmung gegeben haben.

Detaillierte und transparente Informationen darüber, wie wir Ihre TrustPid-Token erzeugen und verwalten, finden Sie in der Datenschutzerklärung.

Ihre Zustimmung zu TrustPid wird von Werbetreibenden und Webseitenbetreibern eingeholt, wenn Sie deren Websites, Apps oder Services aufrufen oder nutzen. Ihre Einwilligung ist freiwillig und gilt nur für die jeweiligen Websites.“

Klingt auf den ersten Blick nicht schlecht. Wenn man in die Datenschutzhinweise schaut, wird es dort noch konkreter und heißt unter anderem:

„Ihre Mobilfunknummer und IP-Adresse werden von Ihrem Netzbetreiber, z. B. der Vodafone GmbH oder der Telekom Deutschland GmbH, verwendet, um eine pseudonyme Netzwerkkennung zu generieren. Diese pseudonyme Kennung wird durch Ihren Netzbetreiber an uns übermittelt. Auf dieser Grundlage erstellen wir Ihre eindeutige Kennung als Pseudonym („Trustpid“). Bei der IP-Adresse, die durch Ihren Netzbetreiber verarbeitet wird, handelt es sich um ein Verkehrsdatum. Verkehrsdaten sind personenbezogene Daten, die bei der Erbringung eines Telekommunikationsdienstes verarbeitet werden. Diese werden im Rahmen des Verfahrens ausschließlich durch Ihren Netzbetreiber und nur nach Ihrer expliziten Einwilligung verarbeitet.

 Wir verwenden das erstellte Trustpid, um weitere webseitenspezifische Marketing-Kennungen (“Token”) für die von Ihnen besuchten Webseiten von Werbetreibenden und Verlagen zu erstellen, soweit Sie auf der jeweiligen Webseite Ihre Einwilligung erteilt haben. Werbetreibende und Verlage sind nicht in der Lage, Sie über diese Token als Person direkt zu identifizieren. Wenn Sie zugestimmt haben, verwenden Werbetreibende und Verlage die Token dazu, Ihnen personalisierte Werbung und Produktempfehlungen anzubieten oder Analysen durchzuführen.

 Im Datenschutzportal führen wir eine Liste von Werbetreibenden und Verlagen, gegenüber denen Sie eine Einwilligung für ein personalisiertes Erlebnis erteilt haben. Über das Datenschutzportal können Sie ihre erteilte Zustimmung für diese Webseiten jederzeit entfernen und den Dienst verwalten.“

Das Ganze betrifft zunächst also nur Kunden im Bereich des Mobilfunks, die mit ihrem Mobilfunkgerät Inhalte im Internet abrufen oder Apps auf ihrem Mobilfunkgerät über den entsprechenden Netzanbieter nutzen. Eine Ausweitung auf Kunden im Bereich der Festnetzanschlüsse ist jedoch als nächster Schritt ebenfalls denkbar.

Ein Datenschützer freut sich natürlich, wenn er hört, dass die Identifizierung der Person, die ihre Zustimmung erteilt hat, über das erstellte Token nicht möglich sein soll. Das klingt erst einmal beruhigend und soll – wie auch der Name der Technologie, in dem das englische Wort „trust“, was für Vertrauen steht – suggerieren, dass kein Grund zur Sorge besteht.

Ist es aber wirklich so, dass wir aus datenschutzrechtlicher Sicht einen DSGVO-konformen Zustand haben werden (siehe auch unseren Artikel zur „DSGVO-Konformität“ vom 09.11.2022)? Was ist mit der erstellten TrustPid und den webseitenspezifischen Token? Haben wir es hier mit einer „Super-ID“ bzw. einem „Super-Cookie“ zu tun, das dem Nutzer zugeteilt wird? Könnten Netzbetreiber sowie gegebenenfalls auch teilnehmende Werbetreibende dann doch Rückschlüsse auf die jeweilige Person ziehen und eine Identifizierung durchführen?

In der Presse findet man dazu durchaus entsprechende Aussagen, so beispielsweise hier bei der Frankfurter Allgemeinen Zeitung (FAZ). Nach Angaben von netzpolitik.org äußerte insbesondere die Bürgerrechtsvereinigung European Digital Rights (EDRi) starke Kritik an TrustPid, weil nach der Auffassung von EDRi die Nutzer*innen „weiter ausspioniert werden sollen“ und gegen gezielte Manipulation durch zahlende Akteure weitgehend ungeschützt blieben.

Doch was sagen dazu insbesondere die deutschen Aufsichtsbehörden? Was halten diese von der Initiative der Telekommunikationsanbieter?

Auffassung der deutschen Aufsichtsbehörden

Ganz aktuell hat sich der der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) mit dem Projekt auseinandergesetzt. Nach seinen eigenen Angaben war er in das Projekt eingebunden und hat die Netzbetreiber Vodafone GmbH und die Deutsche Telekom beraten, wodurch zahlreiche datenschutzrechtliche Verbesserungen erreicht werden konnten.

Der BfDI hat auf seiner Webseite Informationen unter „FAQ zu TrustPID“ veröffentlicht in denen er Fragen beantwortet, die im Zusammenhang mit TrustPid oft gestellt werden. So antwortet der BfDI auf die Frage „Ist TrustPID ein „Super-Cookie?“ beispielsweise folgendes:

„Nein, TrustPID wurde in der Presse zwar verschiedentlich so genannt. Das ist aber missverständlich, denn mit TrustPID soll gerade eine Alternative zur heutigen cookie-basierten personalisierten Werbung realisiert werden. Dies kann man trotz sonstiger Bedenken und notwendiger Regulierung durchaus feststellen.“

Insgesamt stellt der BfDI fest: „Datenschutzpolitisch kann man den Dienst durchaus zwiespältig sehen“.

Dennoch wird der BfDI den Prozess der Projektdurchführung aktiv begleiten, um dafür zu sorgen, dass die Einhaltung aller datenschutzrechtlichen Vorgaben umgesetzt wird. Dabei möchte er mit seinen Kolleg*innen in Belgien eng zusammenarbeiten, denn noch steht zwar in den Datenschutzhinweisen zu TrustPID, dass die in England registrierte „Vodafone Sales and Services Limited“ für die Datenverarbeitung bei dem Projekt TrustPid verantwortlich sein soll. Jedoch soll demnächst ein Joint Venture der Deutschen Telekom, Orange, Telefónica and Vodafone entstehen, das seinen Hauptsitz in Belgien haben wird. Eine entsprechende kartellrechtliche Freigabe seitens der EU-Kommission für die Gründung des Joint Venture wurde bereits erteilt.

Nach Informationen des SPIEGEL vom 28.05.2022 teilte die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) auf Nachfrage mit: „Aus unserer Sicht muss die Wirksamkeit der Einwilligung der Nutzer*innen hinterfragt werden“.

Inwiefern diese Bedenken der LDI NRW aus Mitte 2022 nach der Einbindung des BfDI in die Projektdurchführung und nach dem wohlwollenden Segen der EU-Kommission noch aktuell sind, ist ungewiss. Ob sie von der zuständigen Aufsicht in Belgien geteilt werden, bleibt ebenfalls abzuwarten.

Unser Fazit

Die Unterstützung für Drittanbieter-Cookies im Webbrowser Chrome (Marktanteil nach Informationen von Google aktuell bei 42,24 %) soll nach Angaben von Google in zwei Stufen auslaufen, so dass ab Mitte 2023 keine Drittanbieter-Cookies in Chrome mehr akzeptiert werden. Bis dahin sind es nur noch paar Monate. Hier könnten die Big-Player wie Vodafone, Telekom, Orange und Telefónica eine Chance wittern, der Werbebranche, die nach Alternativen für die bisherigen (cookie-basierten) Tracking-Dienste sucht, in Form von TrustPid eine solche Alternative zur Verfügung zu stellen, um damit dem Datenschutz Genüge zu tun… Pardon… ordentlich zu verdienen. Hier tun wir uns mit der Reihenfolge und der Priorität der Ziele etwas schwer, denn in den Informationen von TrustPid und insbesondere in den entsprechenden Datenschutzhinweisen wird über solche Zwecke wie Gewinnerzielung nichts (im Klartext) gesagt, jedoch bezweifeln wir, dass die Token mit Werbetreibenden kostenfrei geteilt werden.

Für diejenigen Nutzer*innen, die TrustPid als eine gute Alternative für die lästigen Cookie-Banner sehen, besteht weder ein Grund zur Sorge, noch ist etwas zu tun, außer eine Einwilligung in die Datennutzung entsprechend den Angaben in den Datenschutzhinweisen von TrustPid zu erteilen.

Für diejenigen, die TrustPid kritisch gegenüber stehen, kann nur empfohlen werden, die persönlichen Einstellungen auf der Webseite von TrustPid zu überprüfen und die Aktivierung gegebenenfalls zu unterbinden. Denn immerhin wurden die Widerrufs- und Widerspruchsmöglichkeiten bei TrustPid nach den Hinweisen des BfDI stark modifiziert, so dass ein Widerspruch bzw. Widerruf, der zunächst nur für 90 Tage gespeichert und entsprechend nur solange beachtet werden sollte, nun unbefristet gespeichert und beachtet wird.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.