Vodafone und die Deutsche Telekom haben vor kurzem Versuche mit Trustpid gestartet, um die dauerhafte Verfolgung von Nutzern wieder einzuführen.
Netzbetreiber sind ein wesentlicher Bestandteil der Übertragung des Datenverkehrs im Internet. Dabei werden die Daten weitgehend unangetastet versendet. Dies wird sich nun ändern, da Vodafone und die Deutsche Telekom nach Möglichkeiten suchen, diese Datenströme zu monetarisieren.
Gemeinsam mit Trustpid haben sie kürzlich einen Versuch gestartet, um neue Wege der Vermarktung von Kundendaten zu testen.
Obwohl Vodafone behauptet, dass es keinen Grund zur Sorge gibt, sind Datenschutzbeauftragte besonders besorgt über die jüngste Beteiligung der Netzbetreiber. Datenschützer bezeichnen dies als die Rückkehr des "Super-Cookies". Sollten sie Recht haben, wäre dies ein massiver Rückschritt bei der Schaffung eines unabhängigen Internets, in dem die Privatsphäre der Internetnutzer respektiert wird.
- Persistent User Tracking: Wie funktioniert es?
- Warum erfindet Vodafone die dauerhafte Nutzerverfolgung neu?
- Wie datenschutzfreundlich ist das?
- Wie kann man die dauerhafte Verfolgung von Nutzern vermeiden?
- Abschließende Überlegungen
Los geht's!
Persistent User Tracking: Wie funktioniert es?
Es soll folgendermaßen funktionieren: Ihre Online-Aktivität veranlasst Ihr Gerät, eine HTTP-Anfrage zu senden. Netzbetreiber wie Verizon oder Vodafone ermöglichen die Übertragung der Daten, die durch diese Anfrage übermittelt werden. Bislang griffen diese Netzbetreiber nicht in die Übertragung ein und leiteten die Daten lediglich weiter.
Verizon war der erste Anbieter, der in diesen Datenverkehr eingriff, indem er einen HTTP-Header (im Grunde eine Kennung) einfügte, und jetzt testen Vodafone und die Deutsche Telekom etwas Ähnliches.
Trustpid-Super-Cookie erklärt
Mit TrustPid weist Vodafone einem Nutzer eine feste ID zu, die auf seiner Telefonnummer basiert.
Über eine API könnten Website-Betreiber dann diese Kennung abrufen, um genau zu sehen, welche Websites dieser Nutzer besucht hat, und ein Profil erstellen, um gezielte Werbung anzuzeigen.
Warum erfindet Vodafone die dauerhafte Nutzerverfolgung neu?
Nun, das Internet lebt von der Werbung. Es ist eine Multi-Milliarden-Dollar-Industrie, die auf Massenüberwachung angewiesen ist. In den letzten Jahren hat sich das Spielfeld für die Nutzerverfolgung stark zum Besseren gewendet (obwohl dies davon abhängt, durch welche Linse man es betrachtet).
Die Datenschutzgrundverordnung (GDPR) zeigt endlich ihre Zähne, und die Verbraucher fordern mehr Datenschutz. Dies hat zu Veränderungen geführt, die in erster Linie auf Datenschutzbedenken zurückzuführen sind:
- Viele Webbrowser blockieren Cookies von Drittanbietern, und selbst Google Chrome wird Cookies von Drittanbietern im nächsten Jahr auslaufen lassen.
- Die Datenschutzbehörden in den EU-Mitgliedstaaten haben die Verwendung von Google Analytics verboten(CNIL, Frankreich, DSB, Österreich und Garante, Italien).
- Google wird Universal Analytics zugunsten von GA4 auslaufen lassen.
Ein weiterer großer Schlag war, dass Apple gegen das Tracking von Nutzern vorgegangen ist, was Facebook Milliarden an Einnahmen gekostet hat. Kürzlich wurde die Funktion App Tracking Transparency (ATT) eingeführt, mit der Nutzer beim Öffnen der App gefragt werden, ob sie verfolgt werden möchten. Facebook gab bekannt, dass dieser Schritt das Unternehmen mindestens 10 Milliarden an Werbeeinnahmen kosten würde.
Die Monetarisierung von Kundendaten ist schwieriger geworden, so dass der Werbemarkt nach neuen Lösungen sucht, die er erschließen kann. Sie wollen nicht zu nicht-personalisierter Werbung zurückkehren und gehen deshalb an die Grenzen, um zu sehen, was noch möglich ist. Die Trustpid-Studie ist ein Beispiel dafür.
Die Branche verliert den Kampf um Cookies von Drittanbietern und erforscht daher jetzt verschiedene Möglichkeiten, Werbe-IDs zu erhalten.
Vodafone will nicht nur die Werbe-IDs bereitstellen, sondern auch verwalten, wer darauf zugreifen kann. Auf diese Weise werden die Netzbetreiber eine zentrale Rolle in der Werbeindustrie spielen.
Wie datenschutzfreundlich ist das?
Im Jahr 2016 wurde Verizon von der FCC mit einer Geldstrafe in Höhe von 1,35 Millionen US-Dollar belegt, weil es genau dies tat. Vodafone und die Deutsche Telekom gehen die Sache anders an und behaupten, der Prozess sei von vornherein datenschutzfreundlich und stehe im Einklang mit dem GDPR-Gesetz.
In einer Reaktion auf Wired sagt Vodafone, dass Trustpid kein Super-Cookie ist, weil es keine Kundenprofile erstellt, wie es Verizon tat. Jede Partner-Website, die Zugriff auf die Daten hat, generiert ein anderes Token für denselben Nutzer, wodurch die Wahrscheinlichkeit der Erstellung eines Profils über mehrere Websites hinweg verringert wird.
Das Trustpid-Pilotprojekt soll im Zuge weiterer Maßnahmen zum Schutz der Privatsphäre, die die Wirksamkeit von Online-Werbung einschränken, eine Wende herbeiführen. Laut Vodafone wird Trustpid den Werbetreibenden wieder die Informationen liefern, die sie benötigen, und gleichzeitig die persönlichen Daten schützen.
Nicht jeder ist mit der Datenschutzfreundlichkeit dieses Prozesses einverstanden. Die Netzbetreiber befinden sich in einer einzigartigen Position. Sie können den Datenverkehr auch ohne Cookies mit einer Handynummer verknüpfen. Das bedeutet, dass Nutzer über Websites hinweg verfolgt werden können, und dagegen kann man nicht viel tun.
Selbst wenn diese Handynummern anonymisiert würden, ließe sich relativ leicht ein Nutzerprofil erstellen, wenn man alle gesammelten Messdaten miteinander verbindet. Die anonyme Kennung kann einem bestimmten Nutzer zugeordnet werden, wenn dieser sich beispielsweise auf einer Website anmeldet.
Die Tatsache, dass die Nutzer weniger Kontrolle haben, ruft bei Verfechtern des Datenschutzes Bedenken hervor. Durch Cookie-Banner (so unklar sie auch sein mögen) haben die Website-Besucher immer noch die Kontrolle. Außerdem waren die Netzbetreiber schon immer "nur Datenübermittler" und setzen nun bewusst ihre vertrauenswürdige Position aufs Spiel.
Wie kann man die dauerhafte Verfolgung von Nutzern vermeiden?
Es gibt einige Möglichkeiten, die Verfolgung durch den "Super-Cookie" zu vermeiden. Erstens können Sie aufhören, Vodafone oder die Deutsche Telekom als Netzbetreiber zuebene zu nutzen. Dies sind die einzigen Netze, die derzeit an der Studie beteiligt sind.
Darüber hinaus entwickelt Apple Funktionen, mit denen die Netzbetreiber daran gehindert werden, in den Datenverkehr einzugreifen. Dabei handelt es sich um das so genannte iCloud Private Relay, das durch Verschlüsselung und Umleitung der Daten über die Server von Apple sicherstellt, dass die Anbieter keinen Zugriff mehr haben. Vodafone und die Deutsche Telekom haben bereits eine Beschwerde bei der Europäischen Kommission eingereicht, um Apple davon abzuhalten, dies zu tun.
Eine andere Lösung wäre die Nutzung eines VPN-Anbieters. Wie das iCloud Privacy Relay leitet er den Datenverkehr verschlüsselt an diesen einen Anbieter weiter. Ihr Netzbetreiber sieht nur diesen Anbieter, nicht aber die Websites, die Sie über diesen Anbieter besuchen. Wir können Proton VPN und Mozilla VPN aufgrund ihres Engagements für den Datenschutz empfehlen. Wenn Sie ein Entwickler sind, verwenden Sie Algo VPN, das Sie auf Ihrem eigenen Server installieren können.
Abschließende Überlegungen
Ob Sie persistentes Nutzer-Tracking für gut oder schlecht halten, hängt von Ihrer Perspektive ab. Werbetreibende, die mit Datenschutzgesetzen zu kämpfen haben, könnten dies als eine Alternative zu Cookies von Drittanbietern betrachten.
Wir von Simple Analytics sind jedoch der Meinung, dass dies ein großer Schritt in die falsche Richtung ist. Wir glauben an die Schaffung eines unabhängigen, besucherfreundlichen Webs. Das ist der Grund, warum wir eine datenschutzfreundliche Alternative zu Google Analytics entwickelt haben.
Es gibt einen Grund, warum sogar Google Chrome die Cookies von Drittanbietern im Jahr 2023 auslaufen lässt. Das liegt daran, dass die Verbraucher Datenschutz fordern.
Die Privatsphäre ist ein Menschenrecht, das auch so behandelt werden sollte. Versuche mit dauerhaften Nutzer-Trackern, bei denen die Wirksamkeit der Zustimmung gelinde gesagt sehr fraglich ist, behandeln die Privatsphäre nicht als solche.
Wir brauchen keine "neue" Tracking-Lösung, die die Grenzen des moralisch Akzeptablen überschreitet. Wir müssen nur herausfinden, wie wir unsere Unternehmen mit weniger Tracking steuern können. Wir müssen eine andere Denkweise annehmen und herausfinden, wie wir uns von diesen datenverarbeitenden Bestien unabhängig machen können.