TrustPid – Die neue Datenkrake von Vodafone und Telekom

News

Vodafone und Telekom testen neue Möglichkeit Daten ihrer Kunden zu Geld zu machen. Von Providern erstellte eindeutige Kennungen sollen personalisiertes Marketing erlauben. Was es damit auf sich hat, beleuchtet dieser Artikel.

Das vermeintliche Super-Cookie

Vodafone und Telekom betreiben aktuell ein Pilotprojekt das Nutzern von Mobilfunkverbindungen eine feste Kennung zuweist, welche von Website-Betreibern die Generierung von Personenprofilen für personalisierte Werbung ermöglichen soll.

Für ähnliche Praktiken hatte der US-Provider Verizon in der Vergangenheit von der Federal Communications Commission (FCC) ein Bußgeld von 1,2 Millionen Dollar aufgrund des Verstoßes gegen das Open Transparency Rule des FCC aufgebrummt bekommen. Nach öffentlicher Kritik an der Praxis hatten auch Konkurrenten wie AT&T, welche die sog. „Super-Cookies“ eingesetzt hatten, diese Praxis eingestellt.

Für die deutschen Provider anscheinend kein Hindernisgrund hemdsärmelig an das Thema heranzugehen, man gelobe schließlich

„den Schutz der Privatsphäre, Datensicherheit und die Einhaltung der Gesetze zum Datenschutz sehr ernst zu nehmen“,

wie gegenüber dem SPIEGEL erklärt wurde.

Mobilfunkprovider könnten etwa über die Mobilfunknummer des mobilen Internetnutzers eine eindeutige Zuordnung zu einer angelegten Werbe-ID erstellen, die Werbetreibenden zur Verfügung gestellt werden kann. Das Verfahren ist zunächst nur für Mobilfunknutzer ausgelegt, es ist jedoch denkbar, dass es zukünftig auch auf Festnetz-Kunden erweitert wird. Der Nachteil für die Provider wäre hier jedoch, dass hinter einem Festnetz-Anschluss häufig mehrere Nutzer stecken und eine eindeutige Zuordnung damit schwerer sein dürfte als bei Nutzern von Mobilgeräten.

Lausiges Datenschutzportal

Die gesamte Webpräsenz des Projekts wirkt auf dem ersten Blick zusammengeschustert. Zum Zeitpunkt der Erstellung dieses Blogbeitrags konnten wir beispielsweise nirgendwo ein Impressum ausfindig machen, das nach § 5 TMG verpflichtend ist. Immerhin findet sich in der Datenschutzklärung unter der Überschrift „Wer wir sind“, die Angabe, dass die britische Vodafone Sales and Services Limited für die Webpräsenz verantwortlich ist (auch wenn sie an keiner Stelle als die Verantwortliche bezeichnet wird).

Auch besteht keine Möglichkeit die extern geladenen Google Fonts abzulehnen. Mit den datenschutzrechtlichen Voraussetzungen für Google Fonts und einem Urteil des LG Münchens zum Thema hatten wir uns zu Jahresanfang beschäftigt. So viel zur Aussage von Vodafone, man nehme das Thema Schutz der Privatsphäre, Datensicherheit und die Einhaltung der Gesetze zum Datenschutz „sehr ernst“.

Die Datenschutzerklärung enthält zudem stilistische Blüten wie:

„Wir sammeln anonyme, pseudonyme oder zusammengefasste Informationen, um den von uns angebotenen Service für alle zu verbessern. Keine dieser Analysen sind in irgendeiner Weise mit Ihnen verknüpft. Und um zu verstehen, wie Sie das Trustpid-Datenschutzportal nutzen. So können wir versuchen, unsere Dienstleistungen zu überprüfen, weiterzuentwickeln und zu verbessern.“

Will man die Einwilligung widerrufen, soll dies über ein „TrustPid-Datenschutzportal“ erfolgen, der Link zum Datenschutzportal verweist jedoch wieder auf trustpid.com. Will man seine Einwilligungen verwalten, muss man sich auf der Hauptseite zunächst verifizieren. Dies geht dann nur über eine Mobilfunkverbindung. Ein Klick auf auf „Verify me“ / „Jetzt verifizieren“, führte über das Smartphone des Blogschreibers dazu, dass ein Ladebalken minutenlang ergebnislos vor sich hin rödelte.

Fragwürdige Praktiken

Der Name „TrustPid“ soll Vertrauen suggerieren, letztlich geht es jedoch einmal mehr darum realen Personen eindeutige Kennungen für die Erstellung von Personen-Profilen für Werbezwecke zu verpassen.

Im direkten Vergleich wirkt Cookie-basiertes Webtracking geradezu harmlos, denn bei Cookie-basiertem Webtracking kann der Nutzer selbstbestimmt alle Cookies von seinem Endgerät löschen, wodurch die Website-Betreiber ihn nicht mehr auf Grundlage eines Cookies wiedererkennen können. Die TrustPid hingegen wirkt eher wie die bei der Geburt vom Staat vergebene Sozialversicherungsnummer: Als Vodafone-Kunde bekommt man sie und man behält sie, ob man will oder nicht. Nur, dass man keinerlei Übersicht darüber hat, welche Datenbestände sich Werbeunternehmen über das Surfverhalten aufbauen.

Wir brauchten das Geld

Dass Vodafone hier neue Geschäftsfelder auf dem Rücken des Datenschutzes erschließen will, hängt möglicherweise damit zusammen, dass vor kurzem eine saudi-arabische Investorengruppe 4,2 Milliarden Euro für Anteile an Vodafone gezahlt hat und das Unternehmen nun für bessere Zahlen sorgen soll.

Das im zitierten SPIEGEL-Artikel beschriebene Verfahren liest sich so, dass der Webseitenbetreiber den Ursprung der Anfrage beim Netzbetreiber anfragen kann. Hier könnte Vodafone als Provider jede Anfrage für Werbezwecke abrechnen.

Die Rechtfertigung für die Praxis, die sogar in der Vergangenheit in den Vereinigten Staaten sanktioniert wurde, klingt vorgeschoben: Man wolle „das freie Internet erhalten“; indem der Nutzer seine Einwilligung zu TrustPid erteile, stelle er sicher, dass Inhalte im Netz frei verfügbar blieben.

Die deutschen Provider wollen sicherlich nicht die einmalige Gelegenheit verstreichen lassen, die sich durch eine neue Google Policy auftut: Google hat angekündigt bis Ende 2023 keine Drittanbieter-Cookies mehr für den weltweit meistgenutzten Browser Google Chrome zuzulassen, womit ein festes Standbein der personalisierten Werbung im Internet abrupt ihr Ende fände. Die Werbebranche benötigt dringend Alternativen und Vodafone und Telekom wittern hier die Gelegenheit, solche Alternativen bereitzustellen und daran ordentlich zu verdienen. Als Provider könnten Sie ihre Marktmacht entsprechend ausnutzen, um solche Verfahren zu etablieren.

Ob der Plan indes aufgeht, bleibt zu bezweifeln:  Die Nordrhein-westfälische Aufsichtsbehörde hat sich gegenüber dem SPIEGEL kritisch zu dem Vorhaben geäußert: Aus Sicht der Aufsichtsbehörde

„müsse die Wirksamkeit der Einwilligung der Nutzer hinterfragt werden.“

Dies wird sicher nicht das letzte Wort zu TrustPid gewesen sein.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.