TrustPid: Der BfDI äußert sich zur Werbe-Tracking-Technik

Bereits im letzten Jahr wurde viel über TrustPid diskutiert. Angepriesen wurde es als Tracking mit mehr Kontrolle und Schutz. In Deutschland endete der Testlauf zu TrustPid. Datenschützer äußern Bedenken. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) nimmt Stellung zur Werbe-Tracking-Technik. Er veröffentlichte seine Einschätzung Anfang März in Form von FAQs.

Wie kam es zu dem Projekt?

Die Hauptfrage, die im Zusammenhang mit personalisierter Werbung gestellt wird, ist: Wie kann Werbung im Netz künftig noch personalisiert ausgespielt werden, wenn Cookies immer häufiger blockiert werden?

Telekom und Vodafone führten seit Mai 2022 in Deutschland ein Testprojekt zur technischen Machbarkeit eines Vorhabens mit dem Namen TrustPid durch. Laut offizieller Webseite zu dem Projekt TrustPid liegt das Thema Werbung im Internet aktuell in den Händen weniger dominanter Plattformbetreiber und diese Dominanz könnte durch das Ende der sogenannte 3rd-Party-Cookies weiter zunehmen, was aus der datenschutzrechtlichen Betrachtungsweise problematisch ist. Es sollte daher eine Lösung gefunden werden, wie Werbetreibende, die für die Erstellung ihrer Inhalte dringend auf Werbung angewiesen sind, unabhängiger werden können. Und das so, dass gleichzeitig die europäischen Schutz-Standards gewahrt bleiben.

Auf der offiziellen Website des Projekts heißt es zudem:

„TrustPid ist eine Technologielösung, die es Verbrauchern ermöglicht, kostenlose Inhalte und die Vorteile des offenen Internets zu genießen und gleichzeitig die Kontrolle über ihre Privatsphäre zu behalten“.

Es wird weiter ausgeführt, dass die Lösung darauf abzielt, die von vielen Nutzern gewünschten personalisierten Produktempfehlungen im Netz sicher und datenschutzfreundlich zu ermöglichen.

Sicher und datenschutzfreundlich?

Ob das Verfahren tatsächlich so sicher und datenschutzfreundlich ist, wird seit geraumer Zeit stark diskutiert. Bisher leiteten Mobilfunkbetreiber den Datenverkehr ihrer Endkunden weitgehend unangetastet ins Internet weiter. Hier soll jedoch eine Veränderung stattfinden.

Die Grundidee von TrustPid ist in den Datenschutzhinweisen auf trustpid.com beschrieben: Auf Basis der Mobilfunknummer oder IP-Adresse erstellt der Netzbetreiber eine „eindeutige, pseudonyme“ Netzwerkkennung – das sogenannte TrustPid. Das TrustPid wird verwendet, um weitere webseitenspezifische Marketing-Kennungen, sogenannte Token, zu erstellen, über die Werbetreibende und Verlage dann personalisierte Erlebnisse (inklusive Werbung und personalisierten Produktempfehlungen) auf Webseiten, Apps und Diensten anbieten können. Der Token soll die Re-Identifizierung einer Person verhindern, aber die Erstellung eines pseudonymen Nutzungsprofils ermöglichen. Vorausgesetzt wird die vorherige Zustimmung auf der Webseite eines teilnehmenden Werbetreibenden oder Verlages.

Mobilfunkprovider wie Vodafone und die Telekom sind laut Angaben des Spiegels in einer einmaligen Position.

„Selbst wenn der Browser routinemäßig Cookies löscht oder sogar die IP-Adresse wechselt, kann der Provider immer noch den Datenverkehr mit der jeweiligen Mobilfunknummer verknüpfen.“

In diesem Zusammenhang ist der prägende Begriff des „Super Cookies“ entstanden. Kritisiert wird, dass die Endanwender so gut wie kein Mitspracherecht und vor allem keine Kontrolle mehr hätten.

Kein „Super Cookie“, aber trotzdem bedenklich?

Der BfDI äußert sich explizit zu dem Vorwurf „Super Cookie“ und erteilt dem Vorwurf eine Absage. Seine Antwort auf die Frage, ob TrustPid ein „Super Cookie“ ist, lautet:

„Nein, TrustPID wurde in der Presse zwar verschiedentlich so genannt. Das ist aber missverständlich, denn mit TrustPID soll gerade eine Alternative zur heutigen cookie-basierten personalisierten Werbung realisiert werden. Dies kann man trotz sonstiger Bedenken und notwendiger Regulierung durchaus feststellen.“

Dennoch ist auch der BfDI nicht ganz bedenkenlos. Seiner Ansicht nach kann man den Dienst zwiespältig sehen.

„Einerseits findet hier lediglich eine Verarbeitung von im Grundsatz pseudonymisierter Daten auf Basis einer datenschutzrechtlichen Einwilligung statt. Andererseits kommt gerade Telekommunikationsanbietern eine besondere Vertrauensstellung zu, die für den BfDI nur schwer mit einem Tracking ihrer Nutzerinnen und Nutzer vereinbar ist. Zudem müssen weitere Gefahren wie die Zusammenführung der pseudonymen Kennung und z.B. dem Log-in bei Diensten von Anbietern im Web, die zu einer Repersonalisierung führen und anschließend ein detailliertes Tracking ermöglichen würden, betrachtet und unterbunden werden.“

Wie geht es nun weiter?

Die Europäischen Kommission hat am 10.02.2023 dem Vorhaben von Telekom, Orange, Vodafone und Telefónica stattgegeben, ein gemeinsame Werbetracking-Plattform zu gründen. Das Joint Venture der vier europäischen Mobilfunkanbieter soll seinen Hauptsitz in Belgien haben. Jeder Anbieter soll zu einem Viertel an einer neu gegründeten Holdinggesellschaft beteiligt sein.

Der BfDI wird daher nicht zuständig sein für die Online-Werbeplattform, die TrustPid betreuen soll, sondern die belgische Aufsichtsbehörde. Der BfDI wird diesen Prozess jedoch weiter aktiv begleiten, um die Einhaltung aller datenschutzrechtlichen Vorgaben sicherzustellen. Dabei soll auch eng mit den Kolleginnen und Kollegen in Belgien zusammengearbeitet werden. Die Aufsichtszuständigkeit des BfDI bezieht sich auf die Beteiligung der deutschen Mobilfunkanbieter. Für die einzelnen teilnehmenden Websites sind die jeweils für deren Anbieter relevanten Datenschutzaufsichtsbehörden zuständig, in Deutschland in der Regel die Landesdatenschutzaufsichtsbehörden.

Es bleibt spannend

Nach der Freigabe der Kommission kommt es nun maßgeblich auf die Bewertung der zuständigen europäischen Datenschutzaufsichtsbehörden an. Es bleibt abzuwarten, wie diese sich in Zukunft äußern werden und welche Schritte sodann folgen. Es bleibt, wie immer bei der Etablierung von neuen Projekten, spannend wie es weitergeht. Getreu der Redewendung „kommt Zeit, kommt Rat“ werden wir der Dinge harren.