Nachdem die Europäische Kommission am 10. Februar 2023 die kartellrechtliche Freigabe für die von den größten europäischen Telekommunikationsunternehmen geplante Werbeplattform „TrustPid“ erteilt und nun der Testlauf endet, können sich zukünftig Nutzende dieser Plattform auf personalisierte Webwerbung bei gleichzeitig mehr Sicherheit und Datenschutzkonformität freuen. Aber ist das wirklich so? Der Bundesbeauftragte für den Datenschutz (BfDI) hat diesbezüglich nun seine Auffassung zu dem Thema in einem FAQ kundgetan.
Was genau ist TrustPid eigentlich?
Zunächst einmal handelt es sich bei TrustPid um ein Projekt der Deutschen Telekom, Orange, Vodafone und Telefónica mit dem Ziel, Nutzenden personalisierte Werbung im Internet sicher und datenschutzkonform ohne Drittanbieter-Cookies zu ermöglichen. Verbrauchern soll mehr Kontrolle, Transparenz und Schutz ihrer Daten geboten werden. Außerdem zielt das Vorhaben darauf ab, die Abhängigkeit von den großen Werbevermarktern wie Google und Facebook zu lösen.
Hintergrund des Projektes könnte auch das anstehende Ende von Drittanbieter-Cookies, welches Google inzwischen auf Ende 2024 verschoben hat, sein. Der US-Konzern hatte nämlich angekündigt, keine Drittanbieter-Cookies mehr für den weltweit meistgenutzten Browser Google Chrome zulassen zu wollen. Apple blockiert in seinem Browser „Safari“ in der Voreinstellung bereits seit 2020 alle Drittanbietercookies. Dies bietet eine Chance für die Telekommunikationsunternehmen sich mit einem eigenen Verfahren zum Tracking am Werbemarkt zu etablieren.
Wie funktioniert TrustPid?
Im Folgenden die Funktionsweise des TrustPid in Stichpunkten:
- Webseitenbesuchender ruft eine Website auf, welche am TrustPid-Programm teilnimmt.
- Webseitenbesuchender wird separat vom Cookie-Banner nach einer Einwilligung gefragt.
- Wird die Einwilligung erteilt, übermittelt die Partnerwebsite die IP-Adresse an den Netzwerkbetreiber.
- Anhand der IP-Adresse wird die Telefonnummer ermittelt und der Netzwerbetreiber erstellt eine eindeutige, pseudonyme Netzwerkkennung (TrustPid).
- Aus dem TrustPid erzeugt der Netzbetreiber einzelne wieder pseudonyme Token.
- Die erzeugten Token sind an die entsprechenden Webseitenbetreibenden gebunden.
- Bei einem erneuten Besuch der Partnerwebseite werden anhand des Tokens Nutzende wiedererkannt und es kann passende Werbung ausgespielt werden.
Auf der offiziellen Homepage verspricht TrustPid zudem, dass die Einwilligungen nur für die jeweiligen Websites gelten, auf denen sie erteilt wurden. In einem von TrustPid eingerichteten „Datenschutzportal“ sollen Nutzende erkennen können, welchen Werbetreibenden oder Websitebetreibenden sie erlaubt haben, ihnen personalisierte Werbung auf ihren Websites zur Verfügung zu stellen. Bei dem „Datenschutzportal“ soll es sich um einen zentralen „Self-Service-Bereich“ handeln, der den Nutzenden alle bereits erteilten Einwilligungen anzeigt. Dort sollen sie auch die Möglichkeit haben, die von Ihnen erteilten Einwilligungen für den TrustPid-Dienst jederzeit einzeln oder gebündelt zu widerrufen. Zusätzlich sollen sie sich dort auf eine Sperrliste setzen können, wodurch verhindert werde, dass Token an Werbetreibende oder Webseitenbetreibende gegeben werden, obwohl eine Einwilligung erteilt wurde. TrustPid verspricht außerdem, dass der Dienst nach einem „Stopp“ unter keinen Umständen automatisch reaktiviert werde, und darauf vertraut werden könne, dass die Daten nur für Zwecke verwendet werden, denen Nutzende explizit zugestimmt hätten.
Handelt es sich bei TrustPid um eine Art „Super-Cookie“?
Die Realität sieht wohl eher so aus, dass die meisten Internetznutzenden kein Werbetracking wünschen. Gleichwohl versuchen Cookie-Banner regelmäßig Websitebesuchende durch Dark Patterns zu einer Einwilligung zu verleiten. Während Cookies gelöscht werden können, wodurch Websitebetreibenden keine Möglichkeit mehr haben Besuchende wiederzuerkennen, werden Mobilfunknummern häufig mehrere Jahre genutzt. Aus diesem Grund wurde TrustPid in der Presse bereits als „Super-Cookie“ betitelt, was nach der Auffassung des BfDI, trotz sonstiger Bedenken und notwendiger Regulierungen, verneint werden könne, da TrustPid ja gerade eine Alternative zur heutigen cookie-basierten personalisierten Werbung realisiert werden solle.
Wie ist TrustPid datenschutzrechtlich zu bewerten?
Diesbezüglich äußerte sich der BfDI, dahingehend, dass man den Dienst datenschutzrechtlich durchaus zwiespältig sehen könne. Zwar fände einerseits lediglich eine Verarbeitung von im Grundsatz pseudonymisierter Daten auf Basis einer datenschutzrechtlichen Einwilligung statt. Andererseits käme gerade Telekommunikationsanbietern eine besondere Vertrauensstellung zu, die für den BfDI nur schwer mit einem Tracking ihrer Nutzerinnen und Nutzer vereinbar sei.
Zudem müssten weitere Gefahren wie die Möglichkeit einer Zusammenführung von Daten und daraus folgender Repseudonymisierung beseitigt werden. Dies würde beispielsweise passieren, wenn Nutzende mit einem zugewiesenen TrustPid-Token, sich auf der Zielwebseite einloggen und damit eine eindeutige Zuordnung der Login-Daten mit dem -dann nicht mehr pseudonymen- Token herstellen.
„TrustPid“ weltweit
Aus datenschutzrechtlicher Sicht nicht außer Acht zu lassen ist, dass sich der US-Mobilfunkanbieter Verizon in einem ähnlichen Fall im Jahre 2016 auf eine Strafzahlung in Höhe von 1,35 Millionen US-Dollar mit der zuständigen Regulierungsbehörde geeinigt hatte. Verizon hatte in den Datenverkehr seiner Kunden unlöschbare Tracking-Informationen eingefügt, um personalisierte Werbung anzubieten. Die Federal Communications Commission (FCC) stellte daraufhin fest, dass dies gegen die Bestimmungen der Open Internet Transparency Rule verstoßen würde, wonach Provider ihre Kunden über alle wesentlichen Eingriffe in den Datenverkehr informieren müssen. Trotz Geldbuße durfte Verizon mit Einschränkungen weitermachen, muss seine Kunden jedoch über die Eingriffe informieren.
In Bezug auf TrustPid gibt der BfDI jedoch an, Vodafone und die Deutsche Telekom als Netzbetreiber zu beraten und hierdurch bereits zahlreiche datenschutzrechtliche Verbesserungen erreicht zu haben. Dabei habe er insbesondere auf die datenschutzrechtlichen Anforderungen einer wirksamen Einwilligung hingewiesen, was bedeute, dass in verständlicher, leicht zugänglicher Form und in klarer und einfacher Sprache erläutert werden müsse, wie die Daten verarbeitet werden. Aufbauend auf den Hinweisen des BfDI wurde die Einwilligung transparenter gestaltet und die Webseite von TrustPid grundlegend überarbeitet. Auch die Widerrufs- und Widerspruchsmöglichkeiten wurden bei TrustPid aufbauend auf den Hinweisen des BfDI stark modifiziert.
Wem obliegt die Aufsicht über TrustPid?
Vor dem Hintergrund, dass das Unternehmen seinen Sitz in Belgien haben wird, ergebe sich, dass der BfDI für das Joint Venture nicht zuständig sei, sondern die belgische Aufsichtsbehörde, so der Bundesbeauftrage. Die Aufsichtszuständigkeit des BfDI beziehe sich allein auf die Beteiligung der deutschen Mobilfunkanbieter. Für die einzelnen teilnehmenden Websites seien die jeweils für deren Anbieter relevanten Datenschutzaufsichtsbehörden zuständig, in Deutschland also in der Regel die Landesdatenschutzaufsichtsbehörden.
Handlungsempfehlung
Es bleibt abzuwarten, wie es nach der kartellrechtlichen Freigabe der EU-Kommission weitergeht. Nach Auffassung des BfDI komme es nun maßgeblich auf die Bewertung der zuständigen europäischen Datenschutzaufsichtsbehörden an. Der Bundesbeauftragte wird den Prozess weiter begleiten, um die Einhaltung aller datenschutzrechtlichen Vorgaben sicherzustellen und mit der belgischen Aufsichtsbehörde eng zusammenarbeiten.
Für die Praxis lässt sich sagen, dass wenn schon der BfDI zur Geduld aufruft, dieses Vorgehen auch allen Webseitenbetreibenden anzuraten sei. Sofern noch keine klare Rechtslage erkennbar ist und auch keine unmittelbare Handlungsdringlichkeit geboten ist, weil es bspw. keine Ausweichmöglichkeiten aus Marketingsicht gibt, so sollte von der Nutzung von TrustPid zu jetzigem Zeitpunkt noch abgesehen werden.
Quellen: