TrustPidWeg für neues Werbetracking ist frei

Tracking mit mehr Kontrolle und Schutz? Die Europäischen Kommission hat dem Vorhaben von Telekom, Orange, Vodafone und Telefónica stattgegeben, ein gemeinsame Werbetracking-Plattform zu gründen. In Deutschland endet nun der Testlauf „TrustPid“. Datenschützer:innen äußern Bedenken.

Smartphone, auf dem bild.de aufgerufen ist
Bild.de war am Test von TrustPid beteiligt. – Alle Rechte vorbehalten IMAGO / epd

Am 10. Februar machte die Europäische Kommission den kartellrechtlichen Weg für ein gemeinsames Vorhaben Europas größter Telekommunikationsunternehmen frei: Die Deutsche Telekom, Orange, Vodafone und Telefónica, zu der auch O2 gehört, planen eine eigene Werbeplattform. Die vier Unternehmen sollen gleichwertig zu je 25 Prozent an der Joint-Venture-Holding beteiligt sein, heißt es in einer Pressemitteilung von Telekom. Die Plattform solle „den Verbrauchern mehr Kontrolle, Transparenz und Schutz ihrer Daten“ bieten, die momentan außereuropäisch verarbeitet werden. Was hat es auf sich mit dem Versprechen der selbstbestimmten Trackings?

TrustPid, Token, Opt-in

Telekom und Vodafone führten in Deutschland seit Mai ein Testprojekt zur technischen Machbarkeit des Vorhabens durch: TrustPid. Auf der offiziellen Website des Projekts heißt es: „TrustPid ist eine Technologielösung, die es Verbrauchern ermöglicht, kostenlose Inhalte und die Vorteile des offenen Internets zu genießen und gleichzeitig die Kontrolle über ihre Privatsphäre zu behalten“. Was mit den „Vorteilen des offenen Internets“ vor allem gemeint ist, ist personalisierte Werbung und Produktempfehlungen, die auf pseudonymen Nutzungsprofilen von Kund:innen basieren.

Die Grundidee des Ventures ist in den Datenschutzhinweisen auf trustpid.com beschrieben: Auf Basis der Mobilfunknummer oder IP-Adresse erstellt der Netzbetreiber, in diesem Fall Telekom oder Vodafone, eine „eindeutige, pseudonyme“ Netzwerkkennung – das sogenannte TrustPid. Das TrustPid wird verwendet, „um weitere webseitenspezifische Marketing-Kennungen“, sogenannte Token, zu erstellen, über die Werbetreibende und Verlage dann personalisierte Inhalte anbieten oder Analysen durchführen können. Der Token soll die Re-Identifizierung einer Person verhindern, aber die Erstellung eines pseudonymen Nutzungsprofils ermöglichen.

Ein zentraler Baustein des Vorhabens ist das Opt-in. Durch die Datenschutz-Grundverordnung der EU ist diese informierte Einwilligung zum Tracking ein Muss. Das unterstreicht auch Helge Buchheister, Pressesprecher von Vodafone: Standardmäßig sei TrustPid nicht aktiv. Zudem seien die Opt-ins bezogen auf die jeweiligen Medienpartner – ohne explizites Opt-in der Nutzenden bei einem Medienpartner könne dieser Medienpartner TrustPid nicht nutzen.

Der Testlauf lief mit ausgewählten Medienpartnern ab, so Buchheister. Vodafone habe teilnehmenden Verlagen und Marken die Möglichkeit gegeben, die Testplattform zu integrieren und auszuprobieren. Mit dem „positiven Signal aus Brüssel“ und den im Testlauf gewonnen Erkenntnissen ginge man bald von der Pilotphase in den Aufbau eines Joint Ventures über. Die im Testlauf generierten Tokens verfallen mit dem Ende des Tests, so Buchmeister.

Bedenken im Datenschutz

Daraus folgt eine zentrale Frage: Warum sollte jemand einem Zusammenschluss großer Telekommunikationsanbieter sein Einverständnis geben, um basierend auf der Mobilfunknummer – wenn auch pseudonymisiert – personalisierte Werbung geschaltet zu bekommen? Die wenigsten Nutzer:innen möchten Tracking zustimmen, selbst herkömmliche Cookies drängen durch sogenannte Dark Patterns zur Zustimmung. Adblocker im Browser sind beliebt, um Werbung gänzlich auszublenden. Zusätzlich ist TrustPid ein längerfristiger Trackingansatz: Die Browsercookies können gelöscht werden, während eine Mobilfunknummer in der Regel mehrere Jahre begleitet. Verschiedene Medien betitelten TrustPid deshalb als „Super-Cookie“.

Die Telkos stellen zwei Argumente in den Vordergrund, die das Vorhaben als bessere Option im Vergleich zu bisherigem Werbetracking darlegen. Argument 1: Durch das Opt-in und die Verwendung eines Tokens haben Nutzer:innen die Kontrolle – dadurch ist es eine selbstbestimmte und datenschutzfreundliche Lösung. Argument 2: Es ist eine innereuropäische Lösung, die der Trackingvorherrschaft von Unternehmen wie Google etwas entgegensetzt.

Die Bürgerrechtsvereinigung European Digital Rights (EDRi) äußert starke Kritik an TrustPid. Jan Penfrat, Senior Policy Advisory bei EDRi, macht seine Bedenken auf Nachfrage von netzpolitik.org deutlich:

Die Idee eines zentralen Portals, in den Menschen ihre Tracking-Präferenzen einstellen können, ist an sich nicht schlecht. Wenn man aber bedenkt, wie viel Schindluder und Trickserei die Tracking-Werbe-Industrie derzeit begeht, um sich die Einwilligung der Leute zu erschleichen, kann es auch sein, dass sich effektiv nichts ändert. Eine wirkliche Verbesserung ohne diese Zweifel gäbe es nur mit einem kompletten Verbot der Tracking-Werbung in der EU.

Zwar könne man argumentieren, dass es eine Verbesserung sei, wenn persönliche Daten nur von den tatsächlich genutzten Websiten und Apps der Menschen, und nicht von Google oder Facebook abgesaugt würden, so Penfrat. Das Ergebnis sei aber das gleiche: Nutzer:innen werden weiter ausspioniert und blieben gegen gezielte Manipulation durch zahlende Akteure weitgehend ungeschützt.

BfDI: Tracking mit Vertrauensstellung schwer vereinbar

Für die Datenverarbeitung in Deutschland ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Das gilt allerdings nur für die laufende Testphase in Deutschland. Für das nun geplante Joint Venture mit Sitz in Brüssel beziehe sich dessen Aufsichtszuständigkeit allein auf die Projektbeteiligung der deutschen Mobilfunkanbieter, erklärt eine Sprecherin des BfDI auf Nachfrage von netzpolitik.org.

Sie räumt ein, man könne den Dienst durchaus zwiespältig sehen. Einerseits fände lediglich eine Verarbeitung pseudonymisierter Daten auf Basis einer datenschutzrechtlichen Einwilligung statt, was deutlich besser sei als viele Cookie-Banner. Andererseits komme gerade Telekommunikationsanbietern eine besondere Vertrauensstellung zu, die für den BfDI nur schwer mit einem Tracking ihrer Nutzerinnen und Nutzer vereinbar sei. Zudem müssten weitere Gefahren wie die Zusammenführung der pseudonymen Kennung und zum Beispiel dem Log-in bei Diensten von Anbietern im Web, die zu einer Repersonalisierung führen würden, betrachtet und unterbunden werden, so die Sprecherin. Maßgeblich komme es nun auf die Bewertung der zuständigen europäischen Datenschutzbehörden an.

Seitens Vodafone versichert Buchheister, man stehe im regelmäßigen Austausch mit diversen Aufsichtsbehörden. Deren Rückmeldung werde definitiv berücksichtigt. Von der Deutschen Telekom erhielten wir bis zur Veröffentlichung dieses Artikels keine Rückmeldung.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

27 Ergänzungen

  1. Schoen waere es natuerlich, wenn es einen master opt-in oder zumindest opt-out fuer den Kunden bei VF oder T gaebe: „ich nie niemals TrudtID verwenden, auch nicht versehentlich“. Aber das wuerde ja funktionieren…

    Alternativ browser-plugins, die sich regelmaessig automatisch bei trustid.com einloggen und alles widerrufen und loeschen.

    Aber letztlich hilft nur, wenn moeglichst viele TrustID als NoGo behandeln und konsequent auf derartige Angebote verzichten. Und moeglichst den Provider wechseln.

    1. „Und moeglichst den Provider wechseln.“

      Angesichts der Marktanteile der beteiligten Konzerne praktisch wohl leider für viele unmöglich.

  2. Ich verstehe dass doch richtig, dass die Erstellung obligatorisch ist, und die Nummer nicht erst beim Opt-in generiert wird?
    Sollte das so sein, auf welcher Vertrauensbasis soll man den Telkos abnehmen, dass es in den nächsten, sagen wir mal, 30 Jahren 1. beim Opt-in bleibt, und 2. nicht doch was getrackt wird ohne Opt-in, aus irgendwelchen fadenscheinigen Service- oder Sicherheitsgründen.

    1. Warum sollte man Telcos oder anderen Konzernen vertrauen?

      Per Selbstdefinition sind die der Profitmaximierung verpflichtet und muessen immer alle legalen Optionen dafuer ausschoepfen. Die werden, und nach neoliberaler Vorgabe muessen, jedes Kundenvertrauen sofort verraten, wenn es sich unter dem Strich lohnt. Das mit dem „legal“ ist uebrigens flexibel zu handhaben, dazu es gibt idR behauptbare Grauzonen.

      Die neoliberale Gesellschaft ist auf Misstrauen aufgebaut. Denn das koennen sich die starken leisten und die schwachen schwaecht es immer weiter. Eine Gesellschaft mit starkem Vertrauen koennte die starken, und wachsenden, Unterschiede in Privilegierung nicht erhalten.

      1. Auch deswegen ist Dissens, Missgunst und Streit in der Gesellschaft so wichtig und wird von Medien wie Alex Springer und zunehmend auch alt-konservativen wie SZ oder Zeit so gefördert.

        Und auch deswegen ist das diesbezügliche Versagen des ÖR mit seinen Talkshows, einordnungslosen Verlautbarungen und false balance so schmerzhaft.

  3. „Bedenken“ als neuzeitlicher Euphemismus für instantanen Durchfall und Ausschlag?

    Wo ist die U.S. Gesundheitsbehörde, wenn wir sie mal brauchen??

  4. Dies scheint sogar noch schlimmer zu sein, jedenfalls was die Effektive Kontrolle und Vermeidung angeht. Den so weit ich das las und verstehe hat man auf die Generierung dieser „UNtrustPID“ keinerlei Einfluss weil das auf Systemen den Providers autonom geschieht. Auf Mobilgeräten sind Adblocker zudem selten und durch die Isolierung der Apps wohl auch eingeschränkt. Aber selbst auf einem Desktop-PC mit Adblocker würde das nicht die Erzeugung einer PID oder eines Tokens verhindern können weil der die PID in den Webdatenströmen überhaupt nicht sehen könnte. Es hilft dann sicher auch nichts wenn man die Webseite von TrustPID blockiert denn die ist vermutlich nur der Zentrale Anlaufpunkt für die PseudoUNinformierte Einstellung des ganzen. Also: Super-Cookie das man nicht löschen kann – ohne Provider-Wechsel (3* und man ist wieder beim 1. der Big 4) und ob kleinere Anbieter nur deren Reseller sind oder eigene Netze (mit/ohne obiges) betreiben sei dahin gestellt. Welcome Mr. Orvil! :-(

    Heißt: die Provider fordern Ohne Grund NOCH MEHR Vertrauen das sie es so tun wie angesagt aber das halte ich nicht für gerechtfertigt. Tracking an sich entbehrt m.E. schon jeder Grundlage. Auf welcher Rechtsnorm fußend ist denn Bitte Tracking? Vertragsfreiheit vielleicht? Dann müsste man nur einen Anbieter nehmen (können) der das nicht mit rein schreibt in den Mogelfunk-Vertrag. Gibt es einen, oder ist das nur die Wahl zwischen Hölle und Hades?

    1. OBTW. Sind das nicht auch zugleich teils jene Provider die außerdem noch bestrebt sind sich ihren Glasfaser-ausbau (nicht zweckgebunden) von den großen Content-Lieferanten zwangs-bezahlen lassen zu wollen?

      Wenn das rechtens wäre dann darf sich künftig auch niemand mehr Kritisch äußern wenn beispielsweise die Postgewerkschaft mehr Lohn oder Volumenabhängige Sonderzahlungen forderte für Größere Firmenwagen (nicht zweckgebunden) weil Amazon u. Co. übermäßig viele Pakete raus hauen.

      Nicht wahr, da wäre der Aufschrei groß oder? Wo wäre der Unterschied? Was wäre eher gerechtfertigt?

  5. Da für stationäre Rechner (Desktop-PC, …) die IP-Adresse verwendet soll und weil die „Tracking-Industrie“ gerne nicht nur den Anschluß, sondern auch den individuellen Computer identifizieren möchte, vermute ich mal, dass bei IPv6 nicht nur das Präfix, sondern eben auch die zweite Hälfte der Adresse, der Interface-Identifier, zum Erstellen der eindeutigen, pseudonymen Kennung verwendet wird.
    Bei IPv6 mit den Privacy-Extensions ist es aber recht einfach, den Identifier zufällig zu wählen und durchzurotieren, zB bei jedem Start des Browsers (zumindest unter Linux, für Mac und Win weiß ich es nicht).
    Wäre das nicht ein Weg, das ganze TrustPID auszuhebeln? Man könnte bedenkenlos dem Opt-In zustimmen, weil man bei jedem Start des Browsers eine andere eindeutige Kennung erhalten würde?

    1. Hi anon,
      es kommt darauf an wie es technisch gelöst ist. Damals 2012 hat Verizon einen Supercookie erstellt indem es bei jeder HTTP-Anfrage einen zusätzlichen Header den Paketen hinzu fügte mit einer eindeutigen Kunden-ID.

      Ich hätte jetzt erwartet es läuft hier auch so, doch dank HTTPS und DNS over TLS haben es die Provider ja schwerer.
      Damals war es halt nicht so einfach diese eindeutige Kennung zu umgehen und TrustPID ist die neue Iteration, Provider übergreifend, daher ist es auch so gefährlich für den Datenschutz. Generell unterschätzen viele aber die aktuellen Tracking-Möglichkeiten, daher sind die IP-Cookies lästig, aber weniger Schlimm als die Trackingmöglichkeiten des Browsers, der Apps auf Smartphones oder die Telemetriedaten des Smartphones oder des Desktop-Systemes selber. Tracking über mehrere Geräte hin weg gibt es schon. Je weniger Sensoren, Kameras und Closed Source Code die Geräte haben umso besser schützt man sich davor.

      Meine Empfehlung: Print-Medien nutzen, oder Offline epub lesen, gerne auch über die Onleihe. Generell wird es wichtiger mit Bots, Inhalte abzuholen um die dann maschinell auszuwerten und diese dann zu lesen.

      Noch besser ist natürlich: Für Inhalte Zahlen!
      Doch bei der aktuellen Situation hat dies auch nicht geholfen, Trackingfreie Infrastrukturen zu bekommen. Sieht man sehr gut bei Microsoft, Apple, oder diversen Zeitungen und Apps selbst wenn man bezahlt bleiben Tracker verbaut welche Daten sammeln.

      Wie TrustPID funktioniert? Ich befürchte wie bei Verizons Supercookie, aber mit aufgeschlossenen HTTPS-Verbindungen. Also nicht aller Verbindungen, sondern nur die zu Werbekunden (z.B. Zeitungen). TrustPID wäre dann ein Letsencrypt Verschnitt, unter anderer Zustelladresse z.B., weil der Empfänger bekannt ist. Zu umgehen mit alternativer 3erd-Party IP und DNS-Anfrage. Blöd wenn es ein Browser/App Bestandteil wäre der Routing/DNS schon in der Software verbiegt.

  6. ich frage mich, wie das technisch umgesetzt wird. bei vodafone gab es zu zeiten von WAP eine ähnliche technologie um die MSISDN zum anbieter zu transportieren. damals wurde die nummer in den request-header von HTTP geferkelt. heute wäre das so einfach nicht möglich, weil die kommunikation verschlüsselt ist. wie wird es sonst umgesetzt? oder wird ssl aufgebrochen?

    1. Der Provider kennt zumindest Vertragsnehmer, was bei Mobikverbindungen oft „Gerät“ bedeutet. Ansonsten gäbe es DNS und IPS, sowie Verbindungsdauern und Volumen. Dazu dann die Trackingplattform und Partnerseiten.
      Die werden sicherlich kreativ bzgl. der Bedeutung von Opt-in.

      Theoretisch sowas, praktisch wohl ein Super-GAU.

    2. Im Testlauf war die Einwilligung zu TrustPID in die Cookie-Terror-Banner eingebaut. Web-API gibt keinen Zugriff auf die eigene Telefonnummer (oder andere Vertragsbestandteile mit deiner Telco). HTTPS brechen ist nicht praktikabel (das sind keine Rhetorikhämmer schwingende Politiker). Die Seite hat Zugriff auf deine öffentliche IP-Adresse und kann diese an TrustPID senden. Dort wird die Zuordnung zu deinem Vertrag gemacht, was eine unveränderliche ID ermöglicht. Um dich effektiv zu schützen, musst du einen VPN rauskramen. Am besten einen kleinen VPS mieten und diesen als Ausgang nutzen. Wireguard ist zu empfehlen.

      1. WEbAPI vs. IMEI und co. – Menschen ist aber klar, dass wenn die Telcos das zusammen mauscheln, dass ein Großteil zuordnebar würde, wenn es denn wollte?

        Da reichen schon „unabhängig voneinander anonymisierte Profile“. Pseudo- natürlich noch schönder als in Echt, dort wo es geht.

        Oder die machen noch eine App dazu. Vorteile, Vorteile…

  7. Das BfDI bringt es schon sehr gut auf den Punkt und ich denke, da ist das letzte Wort noch nicht gesprochen.
    Darf es auch nicht!

    Womit ich nicht so ganz einverstanden bin:

    1. Die angeführten „Vorteile“, das man mehr Handhabe über die eigenen Daten bekommt und die Daten nur in Europa bleiben, ist kein Vorteile, weil TrustPid parallel zu allen anderen Cookie-Bannern läuft. Trust PiD ist deshalb nur als zusätzlicher Dienst zu verstehen, der zusätzlich zu allen anderen Diensten parallel aktiviert wird.
    Nur weil ich TrustPiD zustimme, wird damit kein Mechanismus losgetreten, das nur noch die Telkos Daten sammeln. Das wird auch dadurch ausgehebelt, das alle Websites per DSGVO verpflichtet sind gewisse Daten zu speichern. Auf dieser Basis werden auch WerbeIDs verteilt. Was für die Strafverfolgung gedacht ist, wird zu Werbezwecken ausgenutzt

    2. TrustPiD ist für europäische Monilfunkanbieter eine zusätzliche Einnahmequelle auf Basis einer Werbeakte auf Basis der Mobilfunknummer und der IP-Adresse. Das war die ganze Zeit verboten
    (Ist auch das, was Apple mit Private Relay unterbinde. Private Relay könnte dadurch ausgehebelt werden!)

    3. Solange ich als Internet-User kein Einblick in meine eigene Werbeakte habe, kann ich auch nicht kontrollieren was alles drin steht und ob da nur Daten drin stehen, die ich sozusagen „freigegeben“ habe. Ich kann auch nicht kontrollieren, was generell alles drin steht.
    Also hab ich keinerlei Handhabe (!)
    Ich kann zwar bei einzelnen Websites anfragen was die über mich sammeln, ist auch wichtig!
    Aber ich kann eben nicht einsehen wie die zusammengestellte Werbeakte von mir aussieht, mit der gehandelt wird, die an Unternehmen oder vllt sogar Behörden verkauft wird und habe demnach keine Handhabe sondern muss blind vertrauen.

    Ich sehe meine Daten lieber bei Google US als bei Google DE um das mal deutlich zu sagen. Die Boomerang-Mentalität in DE / Europa ist immens (!)

    1. 1) Meine Akte: Sowas müssten die nicht herausgeben, von wegen DSGVO? Abgesehen von der Praktikabilität.
      2) Geisterprofil: Gerade mit Telcos u.ä. wo dem Konzept nach Identifikation der Kunden besteht, könnten so zu nennende Geisterprofile entstehen. Die existieren gar nicht (bzgl. Personen) sondern speisen sich z.B. aus dem legalen Zusammenführen anonymisierter Datensätze zuzüglich legaler Anfragen. Natürlich noch viel mächtiger in Verbindung mit legalen Profilen, z.B. auf Einwilligungsbasis. Da wird’s dann konzeptionell schwierig. Hierfür braucht man eigentlich sowas wie Geheimdienste.

  8. Kurzfassung in zwei Teilen:
    1. Zeigen Sie Ihren Personalausweis, um Ihren Personalausweis nicht zeigen zu müssen.
    2. Wir sind der Meinung, dass Sie unseren Zielen und Ihrem diesbezüglich zugeeingneten Zweck zugestimmt haben.

  9. Wichtig wäre zu wissen ob das auch für MVNOs gilt die das gleiche Netz benutzen wie die grossen oder die zahlreichen Prepaid Tochter Firmen sowie Marken von den grossen Netzbetreibern wie Congstar, Fraenk, CallYa und Fonic.

  10. Es sieht so aus als geht es mit TrustPID nicht weiter?

    https://www.trustpid.com/

    „`
    Der TrustPid-Test ist nun beendet.
    „`
    weiss man zu den Gruenden genaueres?

    „`
    Informationen über die nächsten Schritte und einen bevorstehenden kommerziellen Start werden zu gegebener Zeit von einem neuen Unternehmen namens Utiq bekannt gegeben.
    „`

    *grusel*

  11. {‚id‘: 1065, ’name‘: ‚Vodafone‘, ’slug‘: ‚vodaphone‘} # fehler im slug
    {‚id‘: 1382, ’name‘: ‚vodafone‘, ’slug‘: ‚vodafone‘} # name kleingeschieben
    {‚id‘: 22978, ’name‘: ‚Vofadone‘, ’slug‘: ‚vofadone‘} # Rechtschreibung

    1. Danke, ist korrigiert.
      (Die Kleinschreibung ist nach unserer Nomenklatur kein Fehler an sich, viele vor allem ältere Schlagwörter sind kleingeschrieben. Die Dopplung aber wohl. Ich hab es zusammengefügt.)

        1. Nur temporär, das Zusammenfügen der Schlagwörter bringt das manchmal mit sich. Ist nun wieder da.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.