Neue Tracking-Firma UtiqWie Telekom, o2 und Vodafone im Datengeschäft mitmischen

Die großen Telekommunikationsanbieter wollen das Online-Verhalten von Millionen Mobilfunknutzer:innen auswerten und so dem Silicon Valley bei der Online-Werbung das Wasser abgraben. Der Verein D64 klärt über die neue Tracking-Methode auf und äußert weitreichende Kritik.

Fotoaufnahme, die einem Menschen über die Schulter auf ein Smartphone schaut, dessen Display in der Sonne reflektiert.
Utiq ist eine neue Methode zum Tracking von Mobilfunknutzer:innen – Gemeinfrei-ähnlich freigegeben durch unsplash.com Manuel Iallonardi

Telefonanbieter wollen im großen Stil das Surfverhalten von Mobilfunknutzer:innen in Deutschland auswerten. Die Konzerne Deutsche Telekom, Telefónica/o2, Vodafone und Orange haben zu diesem Zweck die Tracking-Firma Utiq als gemeinsames Tochterunternehmen gegründet. Davor warnt der digitalpolitische Verein D64 heute in einer umfassenden Stellungnahme [PDF]. In der begleitenden Pressemitteilung bezeichnet der Verein Utiq als „Big Brother made in Germany“.

Das neue Tracking-Verfahren nutzt das Wissen der Telekommunikationskonzerne darüber, wem welcher Internetanschluss gehört, um Websites und Online-Werbung zu personalisieren. Die Methode wird von den Machern bewusst als europäische und datenschutzfreundliche Alternative in der AdTech-Branche positioniert. „Utiq ist der authentische Einwilligungs-Service, der verantwortungsvolles digitales Marketing ermöglicht.“

D64 ist mit diesem Framing gar nicht einverstanden. In der heute veröffentlichten Stellungnahme nimmt der Verein die Funktionsweise von Utiq genau unter die Lupe und äußert zahlreiche Kritikpunkte. Unter anderem warnt D64 vor der Entstehung eines neuen Überwachungsmonopols, das auch von Kriminellen und Geheimdiensten missbraucht werden könnte.

Telefonanbieter ordnen Nutzer:innen Werbe-IDs zu

Nach Angaben von Utiq ist der Dienst aktuell auf 64 deutschen Websites eingebunden. Darunter große Medien wie die Frankfurter Allgemeine Zeitung, die Süddeutsche Zeitung, das Handelsblatt, die Hamburger Morgenpost und Medien der Ippen Gruppe.

Die Mobilfunkanbieter haben gegenüber dem herkömmlichen Tracking mit Cookies einen besonderen Vorteil: Während jenes darauf basiert, dass zur Wiedererkennung kleine Dateien auf den Geräten der Nutzer:innen gespeichert werden, die gelöscht werden können, sehen Telekom und Co. genau, wer welche Website besucht und wissen, wem welcher Internetanschluss gehört. Stimmen die Nutzer:innen zu, wird ihr Verhalten getrackt und sie können bei späteren Besuchen der ursprünglichen Webseite oder auch anderer Webseiten, die den Tracking-Service von Utiq nutzen, wiedererkannt werden.

Die genaue Funktionsweise von Utiq beschreibt D64 so:

Als Tochter von vier der größten europäischen Telekommunikationsanbietern greift Utiq auf die Mobilfunk-IDs von potenziell hundert Millionen Kund:innen in ganz Europa zu. Über ein pseudonymisierendes Verfahren wird aus den IDs eine neue Kennung. Über diese neue Kennung können Werbetreibende Webseiten-Besucher:innen identifizieren und auf anderen Webseiten mit personalisierter Werbung ansprechen. Auch ist es über die Utiq-Kennung möglich, Websites zu personalisieren, also bspw. Kund:innen in Webshops bestimmte Artikel anzuzeigen, die zu ihrem bisherigen Surf-Verhalten passen.

Praktisch bedeutet das: Wenn man als Kunde von Vodafone, o2 oder der Telekom mit dem Smartphone eine teilnehmende Website besucht, übermittelt Utiq die IP-Adresse an den Telefonanbieter. Dieser ermittelt anhand der IP-Adresse die Anschlussinhaber:innen und erstellt eine Advertising-ID, also eine gleichbleibende pseudonyme Kennung, die Utiq als „Network Signal“ bezeichnet. Anhand dieser Kennung werden die Nutzer:innen dann wiedererkannt, auch wenn sie zum Beispiel ein anderes Gerät nutzen sollten. Utiq ermöglicht es teilnehmenden Website-Anbieter:innen, Profile von Nutzer:innen erstellen, die entweder genutzt werden, um Werbung auf sie zuzuschneiden oder Websites zu personalisieren. Die Werbe-ID bleibt für 24 Stunden gültig, die Kennung für die Personalisierung von Websites 90 Tage.

Auf Anfrage von netzpolitik.org betont Utiq, dass die bgrenzte Lebensdauer der IDs ein „wesentliches Alleinstellungsmerkmal von Utiq“ sei. Dies habe zur Folge, „dass mit unserer Technologie keine umfassenden Aktivitäts- oder Verhaltensprofile von Nutzern über einen längeren Zeitraum erstellt werden können.“ Mit den IDs könnten zudem nur die Surfaktivitäten eines Nutzers auf einer begrenzten Anzahl von Websites gesammelt werden, die von demselben für die Datenverarbeitung Verantwortlichen betrieben werden.

Ergänzung zu herkömmlichem Tracking

„Nutzer:innen von Online-Diensten ist die zentralisierte Sammlung und Verwertung ihrer Daten meist nicht bekannt“, warnt D64. Dabei haben Nutzer:innen bei Utiq eigentlich die Möglichkeit, der Datennutzung durch ein globales Opt-Out zu widersprechen. Hierfür bietet das Unternehmen ein zentrales ConsentHub an. Doch viele Nutzer:innen würden das Einwilligungsbanner von Utiq für ein weiteres, normales Cookie-Banner halten. Dabei hat die Utiq-Einwilligung weitgehende Konsequenzen, ermöglicht sie doch die Auswertung des Online-Verhaltens über Websites und Geräte hinweg.

Von der Funktionalität des Wiederkennens einzelner Nutzer:innen für Werbezwecke her stellt Utiq keinen großen Unterschied zum aktuellen Ökosystem der Online-Werbung dar. Erst im vergangenen Jahr hatten wir gemeinsam mit TheMarkup enthüllt, dass die Tracking-Industrie Menschen auf Basis ihres Verhaltens in hunderttausende Kategorien einsortiert. Dahinter steckt ein undurchsichtiges Netzwerk tausender Firmen, die die Daten sammeln, aggregieren und untereinander handeln. Dominiert wird diese Welt von Google und Meta, schon länger arbeiten die großen Tech-Konzerne aus den USA daran, die Zahl der Akteure in der AdTech-Welt zu reduzieren.

Die Identifikationslösung von Utiq sei deshalb keine Alternative, sondern eine Ergänzung zu herkömmlichen Tracking-Mechanismen, stellt D64 klar. Weil gewohnte Methoden zur Verfolgung von Online-Aktivitäten wie Google Analytics oder Werbe-Cookies zunehmende reguliert und durch Nutzer:innen blockiert würden, werde das Tracking von Nutzer:innen immer schwieriger. In diese Lücke stoßen die Telekommunikationsunternehmen nun vor, indem Utiq „das Tracken von hundert Millionen potenziellen Werbekund:innen über deren Mobilfunk-IDs übernimmt und automatisiert das Auktionieren und Verteilen der Werbebanner vornimmt“.

Der Gründung von Utiq war 2022 eine längere Testphase unter dem Namen TrustPid vorausgegangen. Dass Tracking-Verfahren wurde von Kritiker:innen zwar als Super-Cookie bezeichnet, weil es eine umfassende Auswertung des Verhaltens ermöglicht. Doch der Bundesdatenschutzbeauftragte hatte dem Verfahren – wenn auch mit Bauchschmerzen – grünes Licht gegeben. Zu den Kritikppunkte gehörte etwa, dass Utiq sicherstellen muss, dass Internetnutzer:innen nicht anhand ihrer pseudonymen Werbe-IDs reidentifiziert werden können. Das Unternehmen betont, diese Kritikpunkte gelöst zu haben. Am 10. Februar 2023 hatte die Europäische Kommission die Gründung des neuen Ad-Tech-Joint-Ventures genehmigt.

Alles steht und fällt mit der Einwilligung

D64 kommt in der Analyse zu dem Schluss, dass Utiq im Vergleich zum aktuellen Status Quo bei der Online-Werbung zwar tatsächlich einige Verbesserungen mit sich bringe, insgesamt aber trotzdem problematisch sei.

Das fängt mit der zentralen Voraussetzung für das Tracking an: der Einwilligung der Nutzer:innen. D64 begrüßt hier etwa, dass das ConsentHub zur Verwaltung bereits erteilter Zustimmungen verständlich gestaltet wurde und dass Utiq beim Einholen der Einwilligung nicht auf Dark Patterns setzt. „Der Informationstext des Banners verwendet jedoch ein sehr positives Framing, wodurch unerfahrenen Nutzer:innen nicht klar sein könnte, dass Utiq, ebenso wie andere Tracking-Verfahren, der Profilbildung und Nachverfolgung des eigenen Online-Verhaltens dient“, kritisiert die NGO. Gegenwärtig mangele es zudem noch an detaillierteren Darstellungen der gesamten Datenverarbeitung. Das wäre nötig, damit Nutzer:innen die Funktionsweise von Utiq nachvollziehen können. Hierfür fordert D64 ein umfassendes Datenflussdiagramm.

Auf Anfrage von netzpolitik.org widerspricht Utiq dieser Darstellung: „Im Gegenteil, zwei der Hauptmerkmale von Utiq sind die Zugänglichkeit der Informationen, die den Nutzern über die Art und Weise der Verwendung ihrer Daten gegeben werden, wenn sie der Aktivierung von Utiq auf einer bestimmten Website zustimmen, sowie die Tatsache, dass diese Informationen umfassend und lesbar sind.“ Unter anderem verpflichte man Websites dazu, standardisierte Infotexte und faire Einwilligungsbanner zu nutzen. „Es ist immer ein Spagat, einerseits so detailliert wie möglich zu beschreiben und andererseits so, dass auch Menschen ohne weitere Kenntnisse verstehen können, wozu sie ihre Zustimmung geben.“

Attraktiv für Kriminelle und Geheimdienste?

Grundsätzliche Bedenken hat D64 auch, weil der Tracking-Mechanismus auf der Infrastruktur der Netzbetreiber beruht. Positiv daran sei zwar, dass es sich hier mit Ausnahme von Vodafone und im Unterschied zu global verteilten Data Brokern um wenige Telekommunikationsunternehmen mit Sitz in der EU handelt und damit die Durchsetzung der DSGVO leichter möglich sei. „Mit der Erweiterung des Geschäftsbereichs großer europäischer Telekommunikationsunternehmen geht jedoch die Problematik einher, dass eine weitere Zentralisierung in der bereits von Monopolen geprägten digitalen Wirtschaft stattfindet.“ Somit finde eine weitere Konzentration der unter der Kontrolle einzelner Akteure statt.

Schlussendlich betont der Verein auch das Missbrauchsrisiko. Die von Utiq erstellt umfassende Sammlung der von den Nutzer:innen in den letzten 90 Tagen besuchten Webseiten sei nicht nur für Werbetreibende, sondern auch für Cyberkriminelle und Strafverfolgungsbehörden interessant. „Kann ein Dritter auf die bei Utiq und dem Telekommunikationsunternehmen gespeicherten Daten zugreifen, sei es durch einen rechtswidrigen Angriff oder auf Basis einer behördlichen Anordnung, ließe sich das pseudonyme Network Signal auf die Anschlussinhaber:innen zurückführen. Die nur für Werbezwecke gedachte und pseudonyme Datensammlung würde so eine umfassende Auskunft über die Internetaktivitäten einer Person ermöglichen, mithilfe derer sich ein umfassendes Persönlichkeitsprofil mit intimen Details erstellen lässt.“

Auf Anfrage von netzpolitik.org betont Utiq, dass der Tracking-Mechanismus auf Dezentralisierung und das Prinzip der Datenminimierung setze. Das bedeute, dass keine Partei alle Daten habe und diese nur nach dem „Need to know“-Prinzip geteilt würden. Utiq habe beispielsweise keinen Zugang zu personenbezogenen Daten der Mobilfunkanbieter, sondern erhalte von diesen lediglich die pseudonymen Kennungen der Nutzer:innen. Auf eine Datenanfrage von Sicherheitsbehörden könne Utiq deshalb gar nicht antworten, „da wir keine detaillierten Browsing-Profile führen und auch keine Personen wieder identifizieren können, da wir in keiner Phase des Prozesses irgendwelche Informationen oder Methoden zur Re-Identifizierung erhalten“.

Alles in allem, so das Fazit von D64, sei trotzdem zweifelhaft, ob das Internet zu einem besseren Ort werde, wenn Nutzer:innen in Zukunft ein weiteres Einwilligungsbanner wegklicken müssen. Für den Schutz der Privatsphäre im Internet wäre es stattdessen erforderlich, so D64, dass sich echte Alternativen zum permanenten Tracking im digitalen Raum durchsetzen, beispielsweise kontextbasierte Werbung.

Korrekturhinweis, 17.5.2024: In einer früheren Fassung des Artikels hieß es, Utiq erstelle selbst Profile von Nutzer:innen. Dies ist nach Aussage des Unternehmens nicht der Fall, die Profile werden von den Betreiber:innen der Websites erstellt, die mit Utiq zur Wiedererkennung der Nutzer:innen arbeiten. Utiq betont in diesem Zusammenhang, dass die Kurzlebigkeit der IDs langfristige Profilbildung verhindere. Desweiteren haben wir einen Absatz gelöscht, demzufolge eine Möglichkeit des Überschreibens des globalen Opt-Outs durch Einwilligungen auf einzelnen Websites bestand. Dies ist nach Aussage des Unternehmens nicht möglich, der globale Opt-Out hat Bestand, auch wenn Nutzer:innen versehentlich auf einzelnen Websites einwilligen.Wir bitten, die Fehler zu entschuldigen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Es ist schon traurig, Unternehmen wie Google beim Thema Tracking Konkurrenz machen zu wollen. Methoden für den Browser (Addons), um sich dagegen zu schützen, sind vermutlich schon bekannt. Wenn es aber um Mobilfunk geht, gibt es auch schon eine Option: Wetell (https://www.wetell.de/). Soweit ich weiß, ist das der einzige Mobilfunkanbieter, bei dem Datenschutz Standard ist.

    1. WeTell hat nur leider kein eigenes Netz und ist daher beim Thema Utiq vom Wohlwollen (?) Vodafons abhänging:

      „Die letzte Information der Vodafone bezüglich Kund*innen von WEtell-Tarifen ist, dass diese nicht von Utiq betroffen sind.“
      https://www.wetell.de/vision/datenschutz/utiq-alt/

      Das liest sich für mich so, als wäre WeTell zwar nicht betroffen, sie haben das Thema aber auch selbst nicht in der Hand.

  2. (In meinem Fall wegen Private Relay):

    Access failed!
    You can only access if:
    – you are a customer of one of the participating network operators (currently, Movistar, Orange, Jazztel and Simyo in Spain; Orange, Bouygues Telecom and SFR in France and Deutsche Telekom, Vodafone, Congstar, Fraenk and O2 in Germany).
    – you are using your mobile connection, meaning your Wi-Fi is off.
    – you are not using you any ad-blockers, VPN or Private Relay as they can interfere with access.

  3. Totales No-Go, sowas providerseitig zu machen.

    „Attraktiv für Kriminelle und Geheimdienste?“
    Ditte (u.a.).

    Schiebt dem ALLEN einen Riegel vor!

  4. Drei Personen braucht es für eine „kriminelle Vereinigung“.
    Wie viele Unternehmen braucht es für eine organisierte Kriminalität?

  5. Zitat faz UTIQ verwalten:
    „So können wir Ihnen personalisierte Inhalte und Werbung anbieten oder Analysen durchführen,…“

    Personalisierte Inhalte? Was verbirgt sich dahinter?
    Massgeschneiderte Triggerphrasen? Zu wessen Nutzen?

    Das könnte zu einer personalisierten Sicht auf die Welt führen, ganz so wie Verlage es als Gatekeeper für sich als nützlich erachten.

      1. > Provider wollen Werne-ID für ihre Kunden.

        Was ist „Werne-ID“?

        Ohne zusätzliche Erläuterung steht da nur eine Behauptung, mit der kaum jemand etwas anfangen kann.

  6. Wenn sich Provider und Werbemafia zusammen rotten, um ihre Kunden zu de-anonymisieren und auszuquetschen, dann ist das ein substantieller Angriffskrieg, auch wenn ein proforma EinwilligungsKlick präsentiert wird.

  7. Das führt auch dazu, dass bei geteilten Internetanschlüssen (Familie/WG/etc.) alle Nutzer:innen mit ihrem Verhalten die Werbung für alle anderen mit-„personalisieren“, oder?

  8. Es ist überhaupt nicht klar ob oder wie diese Schnittstelle gesichert ist. Ob unbekannte Dritte/Geheimdienste/Schadsoftware/Browserhacks/Apps mit Netzwerkzugriff die Schnittstelle nutzen können um aus einer IP die persistente ID abzuleiten ist unbekannt. Protokolliert werden Zugriffe laut Utiq nämlich absichtlich nicht. Gelingt es jemand, die IDs im grossen Stil regelmäßig abzufragen, wird das niemand bemerken. Audit Trail existiert nicht.

    1. Polizeien und Geheimdienste werden garantiert darauf zugreifen. So ist das Holz im Moment beschnitzt. Tipp für den Fall, dass man eine Zivilisation basteln will: nicht das Fundament wegschnitzen!

      Für Kriminelle gilt in der Regel ein Zeitfaktor von…bis. Also von Einführung der Möglichkeit bis die Daten in derern Händen sind.

      Ansonsten, idk, Gott? Nobody knows…

  9. FYI

    https://stroeerdigitalgroup.atlassian.net/wiki/spaces/SDGPUBLIC/pages/4183326721/post+cookie+|+Utiq+-+Publisher+Leitfaden

    Über Utiq werden aus der Sim-Kartennummer drei IDs generiert: Der ConsentPass, der MarTechPass und der AdTechPass.

    Utiq IDs Beschreibung AdTechPass

    Der AdTechPass hat eine Gültigkeit von 24 Stunden, und steht nach Ablauf solange nicht zur Verfügung bis sich der User wieder im mobilen Netz befindet. Dieser wird über Prebid mit den SSPs geteilt, die den AdTechPass über openRTB auch an die DSPs weitergeben. Mit Hilfe des AdTechPasses können Use Cases wie Frequency Capping und Audience Measurement abgebildet werden

    MarTechPass: Der MarTechPass hat eine Gültigkeit von 90 Tagen Jeder User erhält pro Publisher einen spezifischen MarTechPass. Dieser Pass ist domainübergreifend nutzbar, solange diese Domains über den gleichen Data Controller verfügen. Dieser kann an DMPs weitergegeben werden, um daraufhin mit Segmenten angereichert zu werden.

    Der MarTechPass darf nicht an DSPs weitergegeben werden, dieser ist nur für Publisher und SSPs einsehbar

    ConsentPass Der ConsentPass hat eine Gültigkeit von 90 Tagen Über den ConsentPass kann ein Mapping zwischen AdTechPass und MarTechPass hergestellt werden So kann der AdTechPass um Segmentdaten angereichert werden und anschließend an DSPs weitergegeben werden

  10. Es ist höchste Zeit für ein europaweites Trackingverbot mit Strafen bis 10% des Jahresumsatzes. Jetzt ist Europawahl. Ich werde die werbenden Kandidaten darauf ansprechen. Vermute mal, daß außer Martin Sonneborn niemand dafür sein wird.

  11. Wie lange noch, bis anonyme SIM-Karten legalisiert werden, um die mobile Internetnutzung anonym, ohne Big Tech im Nacken, zu nutzen?

    Fast überall sonst geht das. Nur hier nicht.

    Datenschutz my ass

    1. und dazu personalisierte Außenwerbung über Bildschirmen auf privaten Gelände…wie bei Minority Report, hier gute Erklärung vom Reschke Fernsehen über neuartige Werbung: https://www.ardmediathek.de/video/reschke-fernsehen/werbung-ohne-pause-wie-aussenwerbung-unsere-staedte-kapert/das-erste/Y3JpZDovL2Rhc2Vyc3RlLm5kci5kZS80ODY3XzIwMjQtMDUtMDItMjMtMzU
      das ist also der Grund, wenn ich etwas auf Ebay auf dem Notebook anschaue und dann mein Smartphone nehme, welche ebenfalls über WLan funkt, die Artikel wiedersehe, obwohl ich auf dem Smartphone nicht eingeloggt bin „ihre zuletzt angesehenen Artikel“… gruselig..

      1. Naja, FPV Drohnen mit Bomben dran sind eine Sache. Aber so eine Art Werbeauge mit Nutzererkennung, Verfolgung, Datenuplink und Tonausgabe? Wie wär’s??

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.