Bereits im August 2019 kündigte Google an, in seinem Chrome-Browser Maßnahmen zum Schutze der Privatsphäre der Webseiten-Nutzer vorzunehmen – und geht dabei den gleichen Weg wie Apple mit seinem Safari Browser (Intelligent Tracking Protection) und Mozilla mit Firefox (Enhanced Tracking Protection by default).
Die ersten Testergebnisse nach Einsatz eines Teils der neuen Maßnahmen sind laut Google vielversprechend. Besonders spannend: Die Konversionsrate liegt gemäß erster Testergebnisse der neu entwickelten Technologien, wie der FloC-API, bei 95%. Weitere Tests sind für die nächsten Monate geplant.
Was ist die Google Chrome Privacy Sandbox?
Die Google Chrome Privacy Sandbox ist ein Paket aus Maßnahmen, die personalisierte Werbung im Web, ohne die Achtung der Privatsphäre der Webseiten-Nutzer (Verbraucher), unmöglich machen soll – und bietet so eine weitere Alternative zu Third-Party-Cookies.
So funktioniert’s: Alle Benutzerdaten werden in den Chrome-Browser verschoben, wo sie gespeichert und verarbeitet werden. Somit bleiben sie auf dem Gerät des Nutzers.
Die Ziele der Google Chrome Privacy Sandbox:
- Erstellen einer Privacy-Sandbox mit offenen Standards zum Tracking von Benutzern unter Wahrung ihrer Privatsphäre (z. B. durch neue Browser-APIs wie „Vertrauens-Token“);
- Bekämpfung der aktuellen Techniken für nicht auf Cookie basierendes Cross-Site-Tracking, wie z.B. Fingerprinting (Identifizierung einer Person ohne deren Wissen und ohne die Möglichkeit eines Opt-outs unter Verwendung der IP-Adresse eines Geräts);
- Ersetzen der Funktionalität des Cross-Site-Tracking durch erstellte APIs;
- Auslöschen der Third-Party-Cookies;
- Stärkung von First-Party-Data-Strategien.
Doch wie könnte eine offene, transparente und Privatsphäre wahrende digitale Welt aussehen, die zwar zum Großteil auf personalisierte Werbungen angewiesen ist, aber ohne den Einsatz von Third-Party-Cookies auskommen muss? Gibt es tatsächlich einen Weg die Privatsphäre der Nutzer gleichermaßen zu schützen und dennoch gezielt Werbung auszuspielen? Bevor diesen Fragen nachgegangen wird, sollte zuerst die Bedeutung von Third-Party-Cookies näher betrachtet werden.
Die Rolle von Third-Party-Cookies bei der Google Chrome Privacy Sandbox
Grundsätzlich können Cookies in First-Party-Cookies und Third-Party-Cookies eingeteilt werden.
First-Party-Cookies werden von Webseitenbetreibern selbst beim Webseitenbesuch der Nutzer (Verbraucher) eingesetzt. Dabei handelt es sich im Wesentlichen um Cookies, die für eine reibungslose Benutzererfahrungen eingesetzt werden, da diese Kennwörter, einfache Daten über den Webseitenbesucher und andere Einstellungen speichern. Ein First-Party-Cookie enthält Informationen darüber, was ein Benutzer beim Besuch Ihrer Website getan hat, wie oft er sie besucht, und weitere grundlegende analytische Daten.
Bei den Third-Party-Cookies handelt es sich um Tracking-Cookies, die von anderen Parteien, als dem Webseitenbetreiber selbst, auf der Webseite eingesetzt werden. Third-Party-Cookies ermöglichen dem Werbetreibenden das detaillierte Kennenlernen des allgemeinen Online-Verhaltens ihrer Nutzer, wie häufig besuchte Webseiten, Käufe und Interessen. Diese Art von Cookies werden seit Jahren von Werbetreibenden eingesetzt, um Webseitenbesucher zu tracken und Daten zu sammeln, mit denen die Anzeigen an die richtigen Personen ausgespielt werden können.
Google Chrome Privacy Sandbox greift mit seinen vorgesehenen fünf Maßnahmen genau in diesen Bereich ein und ersetzt die Third-Party-Cookies mit fünf neu entwickelten APIs.
Unter diesen fünf APIs befinden sich:
- “Trust Token API” (Bekämpfung von Spam, Betrug und DoS);
- “Federated Learning of Cohorts API” (interessenbasiertes aggregiertes Targeting über Clustering);
- “Fledge API” (Retargeting);
- “Click through Conversion Measurement Event-Level API” (Konversions-Bemessung; derzeit in Entwicklung);
- “Aggregated Reporting API”(Konversions-Bemessung; derzeit in Entwicklung).
Während Third-Party-Cookies aussterben, sind First-Party-Cookies von diesen Maßnahmen nicht betroffen. Third-Party-Cookies gehören der Vergangenheit an und die Zukunft der digitalen Werbebranche besteht aus First-Party-Cookies und APIs.
Werbetreibende vs. Nutzer: Wie lassen sich die unterschiedlichen Interessen vereinbaren?
Laut Google wird der Wunsch der Nutzer nach mehr Datenschutz, Transparenz, Auswahl und Kontrolle in Bezug auf die Verarbeitung ihrer Daten mit Einführung der APIs erfüllt. Eine digitale Welt völlig ohne Werbung klingt allerdings nach Utopie, wird diese doch zum Großteil durch diese finanziert.
Während nach dem Aussetzen der Third-Party-Cookies die individuelle Nachverfolgung der Nutzer zwar unmöglich wird, bedeutet dies jedoch nicht das Ende personalisierter Werbung im Netz. Denn durch den Einsatz der verschiedenen APIs wird Nutzern die Einhaltung ihrer Privatsphäre versprochen, gleichzeitig werden aber auch Ergebnisse für Werbetreibende geliefert – und zwar ohne dass diesen die selbe Menge an Nutzerdaten, wie in der Vergangenheit, durch Third-Party-Cookies zur Verfügung gestellt werden.
Somit zielt Google darauf ab, die Privatsphäre der Nutzer zu schützen, während weiterhin den Interessen der Werbetreibenden, Webseitenbetreibern und Non-Google Ad Tech entgegengekommen wird. Dieses Ziel wird in Zusammenarbeit mit den Werbetreibenden durch die Einführung der APIs, die das Tracking der Nutzer durch Werbetreibende und Webseitenbetreiber unmöglich machen, erreicht.
4 Dinge, die Werbetreibende und Webseitenbetreiber nun im Blick haben sollten
1. Die Einführung der Google Chrome Privacy Sandbox-Maßnahmen betrifft nur die Third-Party- Cookies, First-Party-Cookies bleiben davon unberührt:
Wenn Sie also vorhaben nur das Verhalten, die Vorlieben und einfache demographische Daten Ihrer Nutzer auf Ihrer eigenen Webseite zu tracken, handelt es sich um First-Party-Cookies und Sie können diese Daten weiterhin unbeschränkt verarbeiten.
Sollten Sie aber Third-Party-Cookies einsetzen, um zuverlässige Ergebnisse über das allgemeine Online-Verhalten ihrer Nutzer zu erhalten, raten wir Ihnen die Neuigkeiten in diesem Bereich in den nächsten Monaten regelmäßig zu verfolgen. Alle Neuigkeiten dazu finden Sie im Google Ad Manager Blog.
2. Das Aussterben der Third-Party-Cookies kommt nicht überraschend, denn spätestens seit der Einführung der DSGVO im Mai 2018 rückt das Thema Datenschutzes immer mehr in den Vordergrund. Die Umsetzung der Vorschriften in der Praxis waren also nur eine Frage der Zeit. Unternehmen, die diesen Entwicklung im Blick haben, könnte sich durch vorausschauendes Handeln einen klaren Wettbewerbsvorteil sichern.
3. Das Tracking der Nutzer wird zwar auf individueller Basis aufhören, aber durch die Einführung der FloC-API kann weiterhin auf Gruppenbasis (in “Clustern”) getrackt werden.
4. Durch APIs werden Maßnahmen zur Erkennung und Verhinderung von Betrug bei Online-Werbungen eingeführt wie z.B. Bots, die auf Anzeigen klicken, anstatt echte Nutzer.
Denken Sie innovativ und planen Sie heute schon Ihre zukunftsträchtige, gesetzeskonforme Datenstrategie.
Durch den Einsatz der Maßnahmen, die mit der Google Chrome Privacy Sandbox eingeführt werden, wird Online-Werbung an große Personengruppen ausgespielt – und das ohne jeglichen Zugriff auf Nutzer identifizierende Daten aus dem Browser.
Zudem erhalten Nutzer auch weiterhin Informationen über ihre weitergegebenen Daten. Dabei werden dem Datenminimierung Grundsatz der DSGVO entsprechend nur so viele Informationen weitergegeben, wie notwendig sind, um die Nutzer einer Werbezielgruppe (“Cluster”) zuzuordnen. Somit sind auch Konversions-Messungen ohne individuelles Nutzertracking für Werbetreibende möglich. Die Sammlung der Nutzerdaten erfolgt durch Browser APIs, die die Anonymität der einzelnen Nutzer Aufrecht erhalten.
So schön sich das alles anhört und obwohl das Motto “Beachtung der Privatsphäre” bei vielen Nutzern gut ankommt, kann die Lage für konkurrierende Werbetreibende durchaus auch kritisch betrachtet werden. Denn immer mehr Stimmen werden seitens anderer Marktteilnehmer laut, die Google Chrome Privacy Sandbox dahingehend kritisieren, dass Google durch das Speichern im Browser die Daten in seiner eigenen Macht hat und das bestehende Datenimperium so stetig vergrößert.
Google wird seine Tracking-Alternative FLoC zunächst doch nicht in Europa einführen – das gab der Konzern anlässlich eines Treffens der Improving Web Advertising Business Group (IWABG) beim World Wide Web Consortium (W3C) am 23. März 2021 bekannt. Man wolle erst die rechtliche Basis klären, hieß es. Geprüft werde soll nun, ob FLoC nicht doch gegen die Grundsätze der DSGVO und eventuell auch die ePrivacy-Richtlinie verstößt.
Die Umsetzung einer datenschutzkonformen Implementierung einer CMP liegt letztlich im Ermessen des jeweiligen Datenschutzbeauftragten bzw. der Rechtsabteilung.
Diese Ausführungen stellen somit auch keine Rechtsberatung dar. Sie dienen lediglich dazu, Sie mit Informationen über die aktuelle Rechtslage bei der Umsetzung einer CMP Lösung zu unterstützen. Bei rechtlichen Fragen, sollten Sie sich an einen Fachanwalt wenden.
Autorin: Sibel Bayrak, Legal Team Usercentrics
Werden Sie jetzt Teil unserer wachsenden Gemeinschaft von Datenschutz-Enthusiasten. Abonnieren Sie den Usercentrics-Newsletter und erhalten Sie die neuesten Updates direkt in Ihren Posteingang.
