TrustPid – datenschutzfreundliche Technologie zur personalisierten Werbung?

Mehrere große Mobilfunkanbieter entwickeln eine neue Plattform, die personalisierte Werbung ohne Drittanbieter-Cookies ermöglichen soll.

Bislang greift personalisierte Werbung im Netz auf sogenannte Drittanbieter-Cookies zurück. Der Werbemarkt im Netz wird inzwischen von Platzhirschen wie Google und Facebook dominiert. Die neue Plattform TrustPid soll die Abhängigkeit von großen Werbevermarktern lösen. Beteiligt sind die Deutsche Telekom, Orange, Telefónica und Vodafone, einschließlich der Vodafone Sales and Services Ltd., einer Limited mit Sitz im Vereinigten Königreich.

Pseudonyme Kennungen unter Zugriff auf IP-Adressen und Rufnummern

TrustPid nutzt IP-Adressen und Mobilfunkrufnummern von Nutzern, um damit pseudonyme Kennungen zu generieren. Nachdem ein Nutzer eine Webseite aufruft, wird der Nutzer getrennt von einem möglichen Cookie-Banner nach seiner Einwilligung gefragt. Willigt der Nutzer ein, wird seine IP-Adresse an seinen Mobilfunknetzbetreiber übertragen, der anhand der IP-Adresse die Rufnummer des Nutzers ermittelt und aus dieser eine individuelle pseudonyme Kennung für TrustPid erstellt. TrustPid erzeugt aus der Kennung weitere pseudonyme Marketing-Kennungen für die teilnehmenden Webseiten. Die Marketing-Kennungen erlauben Webseitenbetreibern und Werbetreibenden personalisierte Online-Werbung und das Wiedererkennen bei einem erneuten Webseitenbesuch bzw. das Tracking von Nutzern.

„Datenschutzpolitisch zwiespältig“

Nachdem die Europäische Kommission am 10. Februar 2023 das Projekt nach der EU-Fusionskontrollverordnung genehmigte, testeten Vodafone und die Telekom die dafür notwendige Technik im Rahmen eines Pilotprojekts mit einer limitierten Anzahl von Partnerwebseiten. TrustPid soll seinen Sitz in Belgien haben, was zu einer Zuständigkeit der belgischen Datenschutzaufsicht führt. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bleibt jedoch für die Beteiligung der deutschen Mobilfunkanbieter zuständig. Für die beteiligten deutschen Webseiten werden in der Regel die Datenschutzbehörden auf Länderebene zuständig sein.

Fragile Pseudonymisierung

Bei TrustPid werden Daten verarbeitet, die grundsätzlich pseudonymisiert sind. Durch die Pseudonymisierung ist ein hohes Niveau beim Datenschutz sichergestellt, solange die Pseudonymisierung nicht aufgehoben wird. Daher kommt den Telekommunikationsanbieter, die hinter TrustPid stehen, eine besondere Vertrauensstellung zu. Diese sei schwer damit zu vereinbaren, dass die Mobilfunkanbieter gleichzeitig Tracking einzelner Nutzer durchführen, so der BfDI. Dieser sieht TrustPid daher aus datenschutzpolitischer Sicht „durchaus zwiespältig“.

Transparenz und Widerspruch bei DSGVO-Einwilligung nachgebessert

Nach eigenen Angaben hat der BfDI die Vodafone GmbH und die Deutsche Telekom bei TrustPid beraten und dabei „zahlreiche datenschutzrechtliche Verbesserungen“ erreichen können. So sei die Einwilligung des Nutzers „transparenter gestaltet“, die Webseite www.TrustPid.com „grundlegend überarbeitet“ und die Widerrufs- und Widerspruchsmöglichkeiten „stark modifiziert“ worden. Ursprünglich hatten die Macher von TrustPid vorgesehen, dass ein Widerspruch nur für 90 Tage gespeichert wird. Nun soll ein Widerspruch unbefristet gültig sein, bis es eine gegenseitige Willensäußerung durch den Betroffenen gibt.

TrustPid ist kein „Super-Cookie“

Herkömmliche Cookies sind in der Regel nicht einzelnen Nutzern zuordbar, sieht man von Technologien wie Browser-Fingerprinting ab. Beim Browser-Fingerprinting werden, häufig unter Einsatz von Cookies, Nutzerinformationen gespeichert, um Nutzer mit hoher Genauigkeit über Webseiten hinweg über einen individuellen Fingerabdruck („fingerprint“) zu identifizieren. Als „Super-Cookie“ werden Cookies bezeichnet, die Browser nicht ohne weiteres vom Rechner entfernen können und auch für Tracking eingesetzt werden. TrustPid wurde in der Presse als „Super-Cookie“ bezeichnet, ist jedoch nach Angaben des BfDI kein Super-Cookie, da TrustPid gerade eine Alternative zu personalisierter Werbung, die auf Basis von Cookies operiert, werden soll. Dies sei „trotz sonstiger Bedenken und notwendiger Regulierung“ festzustellen, erklärt der BfDI in von ihm veröffentlichen FAQ zu TrustPid.

Die zuständigen europäischen Aufsichtsbehörden für Datenschutz müssen TrustPid nun noch absegnen.