Super-Cookie Trustpid: Vertrauen wäre gut, Datenschutz noch besser
Dass ein Händler nur sagt "Vertrau mir!" , reicht wohl nicht ganz, damit Nutzer auch tatsächlich Vertrauen fassen. So macht es aber das Projekt mit dem Namen Trustpid. Darin entwickelt das britische Telekommunikationsunternehmen Vodafone derzeit ein Verfahren, mit dem sich Nutzer zu Werbezwecken eindeutig identifizieren und im Internet tracken lassen. Besonders vertrauenerweckend erscheint das Konzept den Datenschützern noch nicht.
Nicht nur Vodafone, auch die anderen großen Mobilfunkbetreiber sind involviert. So beteiligt sich die Deutsche Telekom derzeit an einem Testversuch von Vodafone, der in Deutschland gemeinsam mit der Plattform Bild.de des Axel-Springer-Verlags durchgeführt wird. Der Provider Telefónica will mit seiner Marke Movistar das Konzept in Spanien testen(öffnet im neuen Fenster) . Auch der französische Konzern Orange ist angeblich beteiligt(öffnet im neuen Fenster) .
Die Unternehmen wollen damit eine Alternative zu den Werbemodellen von US-Diensten entwickeln, die derzeit das Online-Werbegeschäft dominieren. Ein ähnliches Verfahren des US-Mobilfunkfunkproviders Verizon mit sogenannten Permacookies war im Oktober 2014 aufgeflogen .
Mobilfunknummer und IP-Adresse
Laut den Datenschutzhinweisen, die Vodafone auf der Website Trustpid.com veröffentlicht(öffnet im neuen Fenster) , werden die Mobilfunknummer der Nutzer und die IP-Adresse verwendet, um eine pseudonyme Kennung zu generieren. Auf dieser Grundlage wird eine "eindeutige Netzwerkkennung" mit der Bezeichnung Trustpid als Pseudonym erzeugt.
Trustpid wird genutzt, um weitere temporäre Marketing-Kennungen für die Websites zu erstellen, die von den Nutzern besucht werden. Über diese Kennungen sollen die Telekom-Provider und Werbetreibende personalisiertes Onlinemarketing anbieten oder - nicht weiter bezeichnete - Analysen durchführen können. Diese Marketing-Kennungen werden nach maximal 90 Tagen gelöscht.
Exaktes Identifizierungsverfahren
Das neue Verfahren verspricht eine exaktere Personenidentifizierung als bisherige Verfahren. Wie genau der Datenverkehr markiert und analysiert wird, ist derzeit nicht bekannt. Das System scheint nur bei einer direkten Mobilfunkverbindung und nicht im WLAN zu funktionieren. Zumindest werden Nutzer aufgefordert, für den Zugriff auf das Datenschutzportal ihre mobile Internetverbindung zu verwenden.
Offenbar sollen die Kunden darauf vertrauen, dass schon alles in Ordnung ist. Wegen der inzwischen verbreiteten SSL-Verschlüsselung ist ein Blick in den Datenverkehr wohl nicht vollständig möglich.
Kunden können das Auslesen von Daten zu bestimmten Internetadressen anders als bei Cookies nicht mehr gezielt unterbinden. Auch ein Wechsel der eigenen IP-Adresse verschleiert nichts mehr. Über ein Datenschutzportal soll der Nutzer seine Einwilligung aber jederzeit widerrufen können. Spätestens nach 90 Tagen sollen nach einem Widerruf die Trustpid-Daten gelöscht sein.
Rechtlich fußt das neue Verfahren auf der Einwilligung der Kunden, dass ihr Surfverhalten auf diese Weise erfasst und ausgewertet wird. Die Datenschutzgrundverordnung (DSGVO) setzt für solche Vorgänge die freiwillige und informierte Einwilligung voraus.
Doch in was genau sie einwilligen sollen, ist unklar, da technische Details weitgehend im Ungefähren bleiben. Beispielsweise ist Telekommunikationsbetreibern auch die Geräte-Nummer, die IMEI, bekannt - doch welche Rolle sie im Trustpid-Projekt spielt, ist nicht klar. Auch ist nicht klar, was genau passiert, wenn ein Kunde seine Einwilligung wieder zurückzieht.
Branchenbeobachter erwarten, dass die Telekombetreiber Anreize über neue Tarife setzen, die mehr Datenvolumen versprechen beziehungsweise günstiger sind, um von möglichst vielen Kunden die Einwilligung zu erhalten.
Unterminiert Trustpid das Vertrauen in die Telekommunikation?
Der Datenschutz- und Trackingexperte Wolfie Christl hält das Vorhaben "für einen Missbrauch der besonderen Vertrauensposition, die Telekom- und Internetzugangsanbieter inne haben - unabhängig von der rechtlichen Bewertung." Er stört sich daran, dass "dieser tiefe Eingriff in die Rechte und Freiheiten von Millionen offenbar mit diesen sinnlosen, manipulativen und nervigen Pseudo-Einwilligungen legitimiert werden" soll. Das sei "perfide und unverschämt" .
Das Projekt unterminiere das Vertrauen in Datenschutz und generell in digitale Kommunikationstechnologie, kritisiert der Privacy-Experte. Deshalb solle es "unverzüglich gestoppt" werden. Christl hofft, die zuständigen deutschen Datenschutzbehörden "koordinieren sich und schieben dem Vorhaben schnell einen Riegel vor" .
Die Aufsichtsbehörde im Beratungsprozess
Der Bundesdatenschutzbeauftragte Ulrich Kelber verwahrt sich gegen das Branchengerücht, er habe dem Verfahren zugestimmt. Auf Anfrage von Golem.de betont er, dass er das Projekt Trustpid bislang nicht abschließend bewertet und ihm daher auch nicht zugestimmt habe. Im Herbst 2021 sei ihm das Projekt vorgestellt worden, auch die entsprechende Datenschutzfolgeabschätzung liege ihm vor.
Es sei vereinbart worden, dass der Bundesdatenschutzbeauftragte sich beratend in das Projekt einbringen werde. "Dies werden wir nun aktiv einfordern" , sagte ein Sprecher Golem.de. Die Datenschutzerklärung zu Trustpid ist vom Dezember 2021. Demnach wurden seither keine Anforderungen des Bundesdatenschutzbeauftragten mehr umgesetzt.
Skepsis bei Einwilligungsverfahren
Grundsätzlich steht der Umsetzung des Projekts nichts entgegen, da es auf der Einwilligung fußt. Konkrete Kritikpunkte beziehen sich daher vor allem auf die Ausgestaltung des Einwilligungsverfahrens.
Auf der Tagesordnung für weitere Beratungsgespräche steht die Rechtsgrundlage für das Einwilligungsmanagement über die IP-Adresserkennung. Auch das Einholen der Einwilligungen und die Verantwortlichkeiten der beteiligten Akteure soll noch geklärt werden - wie auch die Frage, wie eine bereits erteilte Einwilligung widerrufen werden kann.
Auch das Versprechen von Vodafone, man werde mit einer "ordnungsgemäßen rechtlichen Vereinbarung" sicherstellen, dass die personenbezogenen Daten auch bei Datenübermittlungen in Drittstaaten geschützt seien, reicht dem Bundesdatenschutzbeauftragten noch nicht. Vermutlich wird sich der neue digitale Werbemarkt von Vodafone und Telekom nicht auf Drittstaaten erstrecken können, die keinen angemessenen Datenschutz vorweisen können. Dazu gehören im Moment noch die USA, aber auch China.
Vorbote für Data-Act-Projekte
Die freiwillige informierte Einwilligung ist auch Basis für zahlreiche Datenprojekte, die der neue europäische Data Act(öffnet im neuen Fenster) ermöglichen soll. Dabei geht es darum, Daten weiterzugeben und damit Mehrwerte erzeugen zu können. Er soll regeln, wie Daten zwischen Unternehmen, zwischen Unternehmen und Verbrauchern sowie zwischen Unternehmen und Behörden genutzt werden können.
Der Data Act basiert im Wesentlichen auf dem Einwilligungsmechanismus der DSGVO. Zwar sollen die Zugangsrechte zu den Daten beim Eigentümer liegen, doch datenschutzrechtlich Betroffene sind von diesen ausgenommen. Von ihnen wird eine freiwillige Einwilligung erwartet, die möglicherweise mit Anreizen verbunden sein wird.
Nachtrag vom 21. Juni 2022, 12:22 Uhr
Anders als ursprünglich dargestellt, gibt es noch keine Bestätigung, ob das französische Unternehmen Orange an dem Projekt beteiligt ist. Wir haben die entsprechende Passage geändert.