Seit Jahren verlassen sich Werbetreibende auf Cookies von Drittanbietern (kleine Textdateien, die in deinem Browser gespeichert werden, wenn du Websites besuchst), um dein Verhalten auf verschiedenen Websites zu verfolgen, damit sie dir immer personalisiertere Werbung anzeigen können. Das Problem für Werbetreibende ist, dass selbst Menschen, die technisch überhaupt nicht versiert sind, sich der Cookies zunehmend bewusst sind und Maßnahmen ergreifen, um sie aktiv zu blockieren.
Utiq ist ein recht neues (2023) Werbetechnologieunternehmen, das gemeinsam von vier der einflussreichsten Telekommunikationsunternehmen Europas gegründet wurde: Deutsche Telekom, Orange, Telefónica und Vodafone. Durch die Nutzung ihrer gebündelten Kräfte möchte Utiq Cookies durch etwas ersetzen, das laut eigenen Angaben „Verbrauchern eine echte Kontrolle und Wahlmöglichkeit über ihre Privatsphäre gibt und gleichzeitig relevantere digitale Marketingerlebnisse ermöglicht“.
Bis Juni 2025 gab Utiq an(neues Fenster), 26 Telekommunikationspartner zu haben (viele davon sind kleinere Unternehmen, die Verbindungen von den „großen Vier“ anmieten), sowie mehr als 55 Millionen einzigartige ConsentPass-Token (siehe unten) in ganz Europa. Utiq ist mittlerweile in Deutschland, Österreich, Spanien, Frankreich, Großbritannien und Italien tätig.
Utiq Technologie: Wie funktioniert sie?
Anstatt Cookies zu verwenden, um dich über verschiedene Websites hinweg zu verfolgen und ein Profil von dir zu erstellen, damit dir immer personalisiertere Werbung angezeigt werden kann, arbeitet Utiq auf ISP-Ebene. Und so funktioniert es:
1. Du besuchst eine teilnehmende Website
Wenn deine IP-Adresse ebenfalls zu einem teilnehmenden ISP gehört (einschließlich deines Mobilfunkanbieters), zeigt die Website ein klares Einwilligungsbanner an, in dem du gefragt wirst, ob du einer Identifizierung über deine Netzwerkverbindung zustimmst. Wenn du dich nicht im Netzwerk eines teilnehmenden Betreibers befindest, wird Utiq überhaupt nicht aktiviert.
Wenn du auf Akzeptieren klickst, sendet Utiq eine sichere Anfrage an deinen ISP oder Mobilfunkanbieter.
2. Dein ISP generiert ein „ConsentPass“-Token
Dein Anbieter gleicht deine Verbindung ab (häufig unter Verwendung deiner Telefonnummer oder deiner Breitband-Konto-ID als Seed), um ein einzigartiges, zufälliges und anonymisiertes Token namens ConsentPass zu generieren.
- Dieses Token beweist, dass du (oder genauer gesagt dein Gerät über diese Verbindung) deine Einwilligung erteilt hast
- Entscheidend ist, dass es nicht verrät, wer du bist, sondern nur, dass du ein anonymer Benutzer bist, der zugestimmt hat
3. Der ConsentPass wird mit Utiq geteilt
Aus dem ConsentPass-Token generiert Utiq zwei zusätzliche verschlüsselte Token:
- MartechPass: Wird an Werbetreibende und Publisher gesendet. Dies ermöglicht es ihnen, dich auf verschiedenen Websites als einwilligenden Benutzer wiederzuerkennen, ohne deine persönliche Identität zu sehen. Sie können dies für personalisierte Werbung oder Inhalte nutzen, aber sie können es nicht mit deiner realen Identität verknüpfen.
- AdtechPass: Wird zur Messung der Anzeigenleistung verwendet (z. B. ob eine Anzeige zu einem Verkauf geführt hat), ohne deinen Browserverlauf im gesamten Web zu verfolgen.
4. Utiq ablehnen und kontrollieren
Ein wichtiges Verkaufsargument für Utiq ist, dass du die Kontrolle darüber behältst, wer dich verfolgen kann. Du musst nicht nur deine Einwilligung geben, wenn du eine Website zum ersten Mal besuchst, sondern kannst auch jederzeit den Utiq ConsentHub(neues Fenster) (ein spezielles Portal) besuchen, um zu sehen, welche Unternehmen deine Token erhalten haben.
Von dort aus kannst du deine Einwilligung ganz einfach widerrufen. Nach dem Widerruf werden deine Token ungültig und die teilnehmenden Werbetreibenden und Websites müssen aufhören, sie zu verwenden.
Was ist Utiq und was bedeutet es für deine Privatsphäre?
Dank der Notwendigkeit einer ausdrücklichen Einwilligung und der Möglichkeit, diese jederzeit zu widerrufen, vermarktet sich Utiq gerne als „Privacy-by-Design“-Lösung, die die Bedürfnisse von Werbetreibenden mit den Privatsphäre-Bedürfnissen von Internetbenutzern in Einklang bringt.
Es behauptet zudem, konform mit der GDPR(neues Fenster) zu sein, und präsentiert sich als europäische Alternative zu den US-amerikanischen Werbetechnologie-Riesen. Verfechter der Privatsphäre sind jedoch skeptisch.
Utiq ist potenziell schlimmer als Cookies
Eine Peer-Reviewed-Studie(neues Fenster) von Forschern der Universitat Politècnica de Catalunya kam zu dem Schluss, dass ConsentPass-Token funktionell mit Cookies von Drittanbietern vergleichbar sind, die darauf abzielen, Internetbenutzer über längere Zeiträume hinweg konsistent zu identifizieren.
Entscheidend ist, dass die Forscher herausfanden, dass Utiq tatsächlich noch invasiver sein könnte als herkömmliche Cookies, da die Token auf völlig einzigartigen Parametern basieren und nicht auf die gleiche Weise wie Browser-Cookies entfernt werden können.
Ebenfalls zutiefst besorgniserregend ist die Erkenntnis, dass 100 % der 10.000 untersuchten Websites, die Utiq nutzen, daneben auch noch invasivere Tracking-Methoden einsetzten, einschließlich Fingerprinting(neues Fenster). Die Forscher kamen zu dem Schluss, dass Utiq keine echte Verbesserung der Privatsphäre gegenüber Cookies von Drittanbietern darstellt, da es lediglich dem Arsenal an von Websites verwendeten Tracking-Technologien hinzugefügt wird, anstatt diese zu ersetzen.
Deine Telefonnummer wird verwendet
Es wurde viel Aufhebens darum gemacht, dass deine Telefonnummer als kryptografischer „Seed“ für dein ConsentPass-Token verwendet wird. Deine Telefonnummer selbst wird jedoch niemals an die Websites, Werbenetzwerke oder Datenhändler weitergegeben.
Es besteht das potenzielle Risiko, dass, falls der Hashing-Algorithmus von Utiq jemals kompromittiert wird oder ein Mobilfunkanbieter die Zuordnungstabelle zwischen deiner Telefonnummer und dem ConsentPass offenlegt, jeder Werbetreibende, der im Besitz deiner Token ist, deine Online-Aktivitäten mit deiner echten Telefonnummer verknüpfen könnte.
Um dieser Bedrohung entgegenzuwirken, verwendet Utiq in seinem Einweg-Hashing-Verfahren ein kryptografisches Salt(neues Fenster), das nur Utiq und dem Mobilfunkanbieter bekannt ist. Theoretisch macht dies eine Umkehrung des Prozesses zur Aufdeckung deiner Telefonnummer ohne das Zusammenwirken beider Parteien unmöglich. Allerdings könnte ein staatlicher Akteur mit rechtlicher Befugnis über Utiq und den Mobilfunkanbieter das „Zusammenwirken“ beider Parteien mit einer einfachen gerichtlichen Anordnung erzwingen.
Dark Patterns
Die wahrscheinlich größere Sorge für die meisten ist, dass viele Menschen den Einwilligungsdialog gedankenlos durchklicken werden, ohne groß darüber nachzudenken (wie es bei Cookie-Einwilligungsanfragen üblich ist). Dieses Problem wird dadurch verschlimmert, dass das ConsentHub-Portal zwar existiert, aber nur wenige Menschen davon wissen, geschweige denn es regelmäßig überprüfen.
Kann ein VPN helfen? So deaktivierst du Utiq
Ja. Der Utiq-Einwilligungsdialog wird nur aktiviert, wenn deine IP-Adresse zu einem Utiq-Partner gehört. Ein virtuelles privates Netzwerk (VPN) blendet deine echte IP-Adresse aus, sodass die Website nur die IP-Adresse des VPN-Servers sieht – nicht deine echte IP-Adresse.
Selbst wenn du also Kunde eines Partner-Anbieters bist, wird der Einwilligungsdialog einfach nicht aktiviert. Und da eine Einwilligung niemals vorausgesetzt wird, wird Utiq niemals aktiviert, solange du ein VPN verwendest.
Solltest du wegen Utiq besorgt sein?
Utiq präsentiert sich als eine Verbesserung der Privatsphäre gegenüber Cookies. Und in engem technischem Rahmen, wie der Notwendigkeit einer ausdrücklichen Einwilligung, einem eigenen Opt-out-Portal und der fehlenden direkten Weitergabe personenbezogener Daten, gelingt dies auch. Aber es ist immer noch eine Technologie, die im Interesse von Werbetreibenden entwickelt wurde und nicht aus dem echten Wunsch heraus, normale Internetbenutzer zu schützen.
Die Realität ist, dass Utiq ein Tracking-System ist, das tiefer in die Infrastruktur des Internets integriert ist als Cookies es jemals waren, und von Unternehmen betrieben wird, die bereits mehr Daten über dich besitzen als jeder Werbetreibende. Diese Daten sind über deine Telefonnummer mit deiner realen Identität verknüpft. Die praktische Realität ist zudem, dass es von Websites verwendet wird, um traditionellere Tracking-Methoden zu ergänzen, anstatt sie zu ersetzen.
Die gute Nachricht ist, dass ein VPN eine sehr wirksame Gegenmaßnahme ist. Tatsächlich ist es weitaus effektiver als traditionelle Anti-Tracking-Taktiken, wie das Blockieren von Cookies von Drittanbietern und die Verwendung von Browser-Erweiterungen zum Blockieren von DNS-Anfragen an Werbedomains.
Derzeit ist Utiq nur für Europäer von Belang. Die zugrunde liegende Technologie hat jedoch keine inhärenten geografischen Grenzen, sodass ein Erfolg in Europa wahrscheinlich zu einer globaleren Verbreitung führen wird.
