UTIQ: Super-Cookie, Cookie-Alternative oder Datenfalle?

Inhalt

Das im Frühjahr 2023 gegründete Ad-Tech Unternehmen UTIQ verspricht verantwortungsvolles digitales Marketing für Verbraucher, Medien und Marken zu ermöglichen. Eine realistische Einschätzung der Werbetracking-Plattform lässt sich bisher nur durch die Analyse des eingestellten Pilotprojektes TrustPID vornehmen.

Was sollte TrustPID sein?

Aktuell finden sich vor allem Drittanbieter-Cookies, die personalisierte Werbungen ermöglichen auf Websites. Als Alternative für derartige Cookies entwickelten die Telekommunikationsanbieter Deutsche Telekom AG, Orange SA, Telefónica S.A. und Vodafone Group plc die Werbetracking-Plattform TrustPID, welche mehr Kontrolle und Datenschutz gewährleisten sollen. Das Pilotprojekt TrustPID wurde jedoch mit Wirkung zum 15. Mai 2023 eingestellt.

Eine detaillierte Beschreibung des Vorhabens seitens der Initiatoren findet sich bis heute nicht, lediglich eine kurze Beschreibung des Projekts in der Mitteilung (M.10815) über den Zusammenschluss der vier Unternehmen bei der Fusionskontrolle der EU-Kommission. Demnach sollte das Gemeinschaftsunternehmen eine datenschutzfreundliche, digitale Identifizierungslösung anbieten, mit welcher Nutzer anhand einer pseudonymisierten Kennung erkannt werden, welche auf Basis der IP-Adresse und/oder der Mobilfunknummer generiert wurde.

Es sollte eine vom Consent-Banner getrennte Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) dazu eingeholt werden, dass die IP-Adresse an den Mobilfunk-Netzbetreiber übertragen werden darf. Dieser sollte dann anhand der IP-Adresse die Rufnummer ermitteln und eine pseudonyme Netzwerkkennung generieren.

TrustPID sollte im Anschluss aus dieser Kennung weitere pseudonyme Kennungen für Partnerwebsites generieren. So sollten Websitebetreiber in der Lage sein, Nutzer bei einem erneuten Besuch anhand der pseudonymisierten Kennung wiederzuerkennen, ohne direkt identifizierbare persönliche Daten zu erhalten. Das wiederum würde ermöglichen, Online-Werbung auszuliefern sowie Websites und Anwendungen zu optimieren.

Datenschutzrechtliche Problemfälle bei TrustPID

Zunächst ist hinsichtlich der Widerrufbarkeit der Einwilligung bereits die Tastsache bedenklich, dass anhand der IP-Adresse und der Rufnummer, wenn auch pseudonymisiert, ein Tracking erfolgen soll. Aufgrund bestimmter Eigenschaften von TrustPID wie bspw. der Tatsache, dass man sich im Mobilfunknetz des Providers befindet, dürfte der Widerruf der Einwilligung nur erschwert möglich sein.

Ebenso dürfte sich die Frage stellen, inwiefern Nutzer bereit sind, ihre Zustimmung zu einem derartigen Tracking zu erteilen, da bereits bei herkömmlichen Cookies die Einwilligungsbereitschaft gering ist und Betreiber oft mit sog. Dark Patterns zur Einwilligung verleiten.

Aufgrund der schweren Widerrufbarkeit sowie der Ermöglichung eines Trackings über viele Websites hinweg, sprach man bei TrustPID auch immer wieder von einem Super-Cookie.

Ein Super-Cookie ist eine Art der Tracking-Cookies, der vom Internet Service Provider implementiert wird, um Daten über das Surfverhalten des Nutzers zu sammeln. Im Vergleich zu herkömmlichen Cookies ist dieses Cookie sehr schwer loszuwerden, da Super-Cookies dauerhaft auf dem persönlichen Gerät und nicht im Browser gespeichert werden.

TrustPID sollte jedoch eine Alternative zu Cookies darstellen und kein übliches Super-Cookie sein. Dennoch bestehen datenschutzrechtliche Probleme, die auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erkannt hat. Insbesondere kommt nach dem BfDI gerade Telekommunikationsanbietern eine Vertrauensstellung zu, die schwer mit einem Nutzertracking vereinbar ist. Ebenso bestehen weitere Gefahren, wie z.B. die Zusammenführung der pseudonymen Kennung und anderen Daten (wie etwa den Log-in-Daten) bei Diensten, die ein detailliertes Tracking ermöglichen würden.

Kritik der europäischen Verbraucherschutzzentrale BEUC

Die europäische Verbraucherschutzzentrale (BEUC) hatte bereits in einem Schreiben vom 30. Januar 2023 Bedenken gegen die Initiative der vier Telekommunikationsanbieter eingebracht. Sie ging hierbei insbesondere auf die Angaben der TrustPID-Verantwortlichen ein, dass die Lösung datenschutzfreundlich wäre. Folgende Punkte werden durch die BEUC kritisiert bzw. angemerkt:

  1. TrustPID sollte mit der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) der Verbraucher eingesetzt werden. Wie diese jedoch eingeholt wird und wie die Daten rechtmäßig erhoben werden sollen, blieb jedoch unklar.
  2. Laut Angaben von TrustPID sollte es ein gemeinsames Datenschutzportal geben, über welches die Einwilligung widerrufen werden kann. Wie dies möglich sein soll und wie wiederum die Datenverarbeitung in diesem Portal aussehen sollte, ist nicht geklärt.
  3. Journalisten, die TrustPID versuchten zu nutzen, berichteten laut BEUC von vielen sogenannten Dark Patterns.
  4. Auch hat die BEUC beim Versuch der Nutzung des Datenschutzportals festgestellt, dass Verbraucher keinen Zugang auf das Portal haben, wenn Werbeblocker verwendet werden. Hinzukommt, dass das Portal selbst zahlreiche Tracker enthalten hat.

Ist UTIQ nur das TrustPID unter neuem Namen?

Nachdem TrustPID mit Wirkung zum 15. Mai 2023 eingestellt wurde, steht bereits der Nachfolger UTIQ in den Startlöchern. Was die wieder beteiligten Unternehmen bei UTIQ anders machen wollen, ist nicht bekannt. UTIQ wirbt aktuell nur damit, „eine vertrauensvolle und verantwortungsbewusste digitale Welt für jeden zu schaffen“.

Der Geschäftsführer von UTIQ sagt hierzu, dass der Fokus auch auf dem Schutz der Privatsphäre und der Datensouveränität der Verbraucher liegt. Ob und inwiefern dieses Versprechen sich bewahrheiten wird, bleibt abzuwarten.

Wenn UTIQ lediglich eine kommerzielle Version des Pilotprojektes TrustPID darstellen soll, sollten sich sämtliche datenschutzrechtlichen Beschwerden bezüglich TrustPID auch hier wieder finden.

Fazit

Wie UTIQ eingesetzt werden soll und ob es unter der DSGVO überhaupt datenschutzkonform eingeführt werden kann, bleibt abzuwarten. Auch die BEUC fordert eine Konsultation des Europäischen Datenschutzbeauftragten, des Europäischen Datenschutzausschusses und weiterer (nationaler) Datenschutzbehörden.

Einige Behörden haben laut BEUC bereits ihre Kritik geäußert. Es stellt sich daher die Frage, ob UTIQ die bei TrustPID kritisierten Aspekte berichtigen kann, um der Werbespruch auf der Website – eine vertrauensvolle und verantwortungsbewusste digitalen Welt zu schaffen – gerecht zu werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.