SlideShare ist ein Scribd-Unternehmen logo
1Reader-Version
THE COOKIE CRUMBLES (Auszug)
Browser Tracking Präventionen, DSGVO & Adblocking
Frankfurt, November 2019
2Reader-Version
Diese Lizenz erlaubt es Dritten, das Werk
zu verbreiten, zu remixen, zu verbessern
und darauf aufzubauen, auch kommerziell,
solange der Urheber des Originals genannt
wird und die auf seinem Werk basierenden
neuen Werke unter denselben Bedingungen
veröffentlicht werden.
Diese Lizenz gilt nur für den Inhalt der
Präsentation. Alle Bilder und Icons
unterliegen weiterhin dem Urheberrecht und
der angewandten Lizenz des jeweiligen
Erstellers.
Dies ist somit ein „Mitmach-Hand-Out“ und
der Urheber freut sich auf Feedback sowie
Verbesserungen & Anregungen, so dass
diese Impulse für unsere Branche gibt.
3Reader-Version
Dieses Dokument stellt eine allgemeine unverbindliche Information dar. Die Inhalte spiegeln die Auffassung des
Autors zum Zeitpunkt der Erstellung wider. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden,
besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann dieses
Dokument nicht den besonderen Umständen des Einzelfalles Rechnung tragen. Dies Dokument stellt somit weder
eine Rechtsberatung noch eine Handlungsanweisung dar! Eine Verwendung liegt daher in der eigenen
Verantwortung des Empfängers und sollte vom jeweiligen zuständigen DPO und Rechtsabteilung explizit
freigegeben werden. Jegliche Haftung wird ausgeschlossen.
4Reader-Version
Source: https://www.docks-ffm.de/media/pressebilder-20180713.zip
Mögliche Cookie-Substitutionen
Wettrüsten auf OnSite, AdTech
und Publisher Seite
5Reader-Version
Auf OnSite, AdTech und Publisher Seite (in Web)
Tracking-Methode Pros Cons DSGVO & ePR
Fingerprinting
(errechnete ID)
Keine Domainbindung. Mit dem gleichen Algorithmus vollständig
"synchronisierbar". Kann nur durch Deaktivierung von Javascript
verhindert werden. Kann browserunabhängig konfiguriert werden. Stand
Okt 2019 kommen Fingerprints auch bei Inkognito-Fenstern & aktiven
Blocking durch!
Mehrere Benutzer können den gleichen Fingerabdruck erzeugen, insbesondere auf
mobilen Geräten. Tor-Browser und ein paar Plugins erzeugen zufällige Browserwerte
und sind nicht trackbar. Erfordert aktives Javascript. Je mehr Tests durchgeführt
werden, desto länger ist die Dauer des Fingerprintings und die Belastung der
Hardware des Benutzers. FireFox und Chrome haben angekündigt, Fingerabdrücke
zu blockieren.
Fingerabdrücke werden in der DSGVO nicht erwähnt, solange keine
personenbezogenen Daten verwendet werden! Mit einer kommenden
ePrivacy-Verordnung ändert sich dies. Fingerabdrücke werden
bereits in der e-Privacy-Richtlinie erwähnt. Der DSK wertet dies
bereits jetzt als Profiling, was einer expliziten Zustimmung bedarf.
eTags
(übertragene ID; kann auch
Fingerprint, UnifiedID,
LoginID,… sein)
Die Eindeutigkeit eines Browsers ist sehr hoch. Funktioniert auch ohne
JavaScript. Hohe Kompatibilität, schwer zu enttarnen. Für ein einfaches
Referrer-Tracking und Attribution ist keine Datenbank und keine große
Server-Rekonfiguration notwendig. Die RAW-Logdateien enthalten alles,
was benötigt wird. Noch nicht stark im Blockierungs-Scope.
Kann durch Leeren oder Deaktivieren des Caches gelöscht werden. Herkunftsbindung
wie Cookies; Browser & Plugins können Domains blockieren.
Eine eindeutige zugewiesene ID wird als Pseudonym betrachtet.
Unter Umständen Art6.1.f - TMG §15. Seit dem 30.09.19 (EuGH-
Urteil) eher nur mit Zustimmung. Bei ePR ist eine Zustimmung
erforderlich.
Authentication Cache
(übertragene ID; kann auch
Fingerprint, UnifiedID,
LoginID,… sein)
Die Einzigartigkeit eines Browsers ist sehr hoch. Kann nur durch Leeren
des Passwort-Cache oder Verlassen der Browser-Sitzung gelöscht
werden. Die Sitzung kann mit Tricks wiederhergestellt werden.
Werden mit JavaScript erstellt und sind daher leicht zu umgehen. Mögliche
Warnmeldung des Browsers. Herkunftsbindung wie z.B. Cookies. Browser & Plugins
können Domains blockieren.
Eine eindeutige zugewiesene ID wird als Pseudonym betrachtet.
Unter Umständen Art6.1.f - TMG §15. Seit dem 30.09.19 (EuGH-
Urteil) eher nur mit Zustimmung. Bei ePR ist eine Zustimmung
erforderlich.
Login-Alliances /
Walled-Gardens /
Social-Logins /
Consent-Frameworks
(LoginID could kann auch eine
UnifiedID sein)
Eindeutig vergebene LoginID, die im Netzwerk gemeinsam genutzt wird,
kann mit einem zentralen Server oder S2S erfolgen; bei Bedarf auch über
Blockchain-Account, Browser-Plugins oder sogar VPN- und DoH (DNS)
verbunden. Einfaches geräteübergreifendes Tracking. Die
Nutzeranpassung erfolgt durch Anreize (Free Content / Payed for Data).
Login trade-off, weil 3rd Party Cookie blockiert ist und Local-Storage eine Zustimmung
benötigt. Langwieriger, hoher Implementierungs- und Anpassungsaufwand.
Beschränkt auf Allianzmitglieder oder WalledGarden. IAB-TCF müsste mit einer
UnifiedID verknüpft und als eine Art Login-Allianz neu aufgebaut werden oder eine
UnifiedID müsste mit NetID Foundation, Verimi, Mobile Connect, Advertising ID
Consortium, DigiTrustID, OpenAdID, ID5, etc. gefunden werden. FireFox wird
UnifiedID-Anfragen zukünftig blockieren!
Eindeutige Vertragslage auf Wunsch des Betroffenen. Explizites
Login ggf. zu jeder Session. Es kann sich auf Art. 6.1.b DSGVO
berufen werden.
Tracking-Wall
(proaktive Tracking-Zustimmung)
Trackings können im Browser nach Whitelisting oder proaktiver Senkung
der Sicherheitseinstellungen durch den Benutzer erneut ausgelöst werden.
Wird nur für 1st Party Cookies akzeptiert, Mainstream-Benutzer werden die Seite eher
verlassen, als die Standardeinstellungen des Browsers zu ändern.
Eine eindeutige zugewiesene ID wird als Pseudonym betrachtet.
Unter Umständen Art6.1.f - TMG §15. Seit dem 30.09.19 (EuGH-
Urteil) eher nur mit Zustimmung. Bei ePR ist eine Zustimmung
erforderlich.
Haushalts-Graph /
Meta-Segment-ID
(Meta-Data) wie zB. Havas-
Converge
Daten (auch CRM) und Tracking mit Consent führen zu einer anonymen
SegmentID, in der eine große Anzahl von Benutzern zusammengefasst ist.
Der Segmentabgleich kann über S2S erfolgen.
Zu starre Segmentierung; der Benutzer hat entweder mehrere Segmentkennungen
oder wechselt durch Hinzufügen von Signalen von einem Segment zum anderen.
Wenn die Segmente zu granular sind, können diese IDs wieder als
personenbezogene Daten betrachtet werden. Netzwerk, WalledGarden oder Fullstack
Stand-alone-Lösung. Id-Synch und Fullstack-Server können von Browsern leicht
blockiert werden.
Wenn die erhobenen Taxonomien aggregiert nicht auf eine
Einzelperson schließen lassen bzw. die Segmentgröße hoch genug
ist, sind keine PII vorhanden und die DSGVO kommt nicht zur
Anwendung. Solange die Zustimmung eingeholt wurde und die
Rechte der Betroffenen bei der Datenerhebung gewahrt sind.
Standardisierte
Verbraucher-
Taxonomie
(Meta-Daten) u.A. lt. Google
Proposal Aug. ´19
Durch ein standardisiertes Verfahren werden dem Benutzer nur
Taxonomien, wie z.B. Interessen, als Metadaten oder IDs zugeordnet.
Eine individuelle Benutzerkennung wird nicht angelegt. Zielgruppen-
Targeting und DCO wären somit ohne personenbezogene Daten möglich,
nicht nur bei kontextbezogenen Platzierungen. Alle Daten liegen in den
Händen des Benutzers, er hat volle Transparenz, Auswahl und Kontrolle
über seine Daten und damit GDPR Art. 12 - 23!
Der Cookie von Drittanbietern wird blockiert und Local-Storage benötigt eine
Zustimmung. Alternativ müsste von den Browserherstellern ein Profil zur Verfügung
gestellt werden, um die Taxonomien / Metadaten zu speichern, dies ist jedoch derzeit
in keinem Browser vorgesehen.
Wenn die gesammelten Taxonomien nicht zu einer einzigen Person
zusammengefasst werden können oder wenn die Segmentgröße
hoch genug ist, gibt es keine PII und die DSGVO ist nicht anwendbar!
[Icons are from FlatIcon.com]
MÖGLICHE COOKIE-SUBSTITUTIONEN
6Reader-Version
Nicht so ganz. Da ist ja noch die DSGVO!
Wie in der Tabelle aufgeführt, reicht ein einfaches "Verschieben der Daten" oder
"Verschieben eines Identifikators an einen anderen Ort" nicht aus. Leider ist das
größte Missverständnis, dass sich das Thema nur um Cookies dreht.
Es geht um personenbezogene Daten sowie um Transparenz, Auswahl und Kontrolle
der Empfänger und Inhalte durch den Nutzer.
D.h. mit einem "alternativen Speicherplatz" umgeht man zum einen nicht die
Einwilligung nach Art. 6.1.a DSGVO noch lassen sich Browser oder AdBlocker lange
täuschen (Browser War 3.0).
Aber das bedeutet auch, dass Online-Werbung, programmatische Planung und Kauf,
Targeting, Attribution, etc. nicht tot sind - es ist halt nicht mehr so einfach wie mit
dem veralteten Cookie.
COOKIE SUBSTITUTION & ALLES IST GUT?
7Reader-Version
Um die verlorenen Signale zu kompensieren
 Nicht blockierte Cookie-Substitution mit Zustimmung
 Aggregation & Anonymisierung von (1st Party, nicht nur online,) PII mit
Zustimmung zu Haushaltsgraphen oder Metasegmenten
 "Reanimation" der klassischen kontextuellen, redaktionellen Umfeld Planung
 Nutzung von semantischer NLP, Brand-Save, in der programmatischen Schaltung
 Schließung der Lücken in der Journey durch fortschrittliche statistische Methoden
und maschinelles Lernen (KI)
SHORT TERM
8Reader-Version
Transparentes Targeting in den Händen des Nutzers
Zusätzlich zu den Short Terms:
 Standardisierte Verbraucher-Taxonomie über den Browser (MetaDaten)
 Pay-with-Data / Login Alliance Modelle
LONG TERM (IN EINER PERFEKTEN WELT)
9Reader-Version
Robert Reßmann
Director Scaling Strategies, Product Development,
MarTech; Data Protection Consultant
Email
Robert.Ressmann@havasmedia.com

Weitere ähnliche Inhalte

Ähnlich wie Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles

Ist Google Analytics noch zu retten?
Ist Google Analytics noch zu retten?Ist Google Analytics noch zu retten?
Ist Google Analytics noch zu retten?
📊 Markus Baersch
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
Lead Inspector
 
ITP 2.1 und Webanalyse
ITP 2.1 und WebanalyseITP 2.1 und Webanalyse
ITP 2.1 und Webanalyse
📊 Markus Baersch
 
Server-Side: Lösung für alles? [OMX]
Server-Side: Lösung für alles? [OMX] Server-Side: Lösung für alles? [OMX]
Server-Side: Lösung für alles? [OMX]
📊 Markus Baersch
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
Digitallotse
DigitallotseDigitallotse
Digitallotse
Felix Escribano
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
eBusiness-Lotse Potsdam
 
FU Berlin, Praesentation zu LegalTech - Tom Braegelmann
FU Berlin, Praesentation zu LegalTech - Tom BraegelmannFU Berlin, Praesentation zu LegalTech - Tom Braegelmann
FU Berlin, Praesentation zu LegalTech - Tom Braegelmann
Tom Braegelmann
 
Blockchain & Insurance
Blockchain & InsuranceBlockchain & Insurance
Blockchain & Insurance
Dr. Markus Hablizel
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?HOB
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
DNUG e.V.
 
SAP Identity Management in Zeiten der DSGVO
SAP Identity Management in Zeiten der DSGVOSAP Identity Management in Zeiten der DSGVO
SAP Identity Management in Zeiten der DSGVO
IBsolution GmbH
 
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Michael Kirst-Neshva
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
UC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der CloudUC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der Cloud
Viktoria Dethlefsen
 
UC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der CloudUC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der Cloud
UCExpertTalk
 
eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013
TechDivision GmbH
 
BITKOM - Signieren mit iPad & Co.
BITKOM - Signieren mit iPad & Co.BITKOM - Signieren mit iPad & Co.
BITKOM - Signieren mit iPad & Co.
Joerg Lenz
 
Cloud Computing
Cloud Computing Cloud Computing

Ähnlich wie Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles (20)

Ist Google Analytics noch zu retten?
Ist Google Analytics noch zu retten?Ist Google Analytics noch zu retten?
Ist Google Analytics noch zu retten?
 
Lead Inspector und Datenschutz
Lead Inspector und DatenschutzLead Inspector und Datenschutz
Lead Inspector und Datenschutz
 
ITP 2.1 und Webanalyse
ITP 2.1 und WebanalyseITP 2.1 und Webanalyse
ITP 2.1 und Webanalyse
 
Server-Side: Lösung für alles? [OMX]
Server-Side: Lösung für alles? [OMX] Server-Side: Lösung für alles? [OMX]
Server-Side: Lösung für alles? [OMX]
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
Digitallotse
DigitallotseDigitallotse
Digitallotse
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
 
FU Berlin, Praesentation zu LegalTech - Tom Braegelmann
FU Berlin, Praesentation zu LegalTech - Tom BraegelmannFU Berlin, Praesentation zu LegalTech - Tom Braegelmann
FU Berlin, Praesentation zu LegalTech - Tom Braegelmann
 
Blockchain & Insurance
Blockchain & InsuranceBlockchain & Insurance
Blockchain & Insurance
 
Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?Wie finde ich die beste VPN Lösung für mein Unternehmen?
Wie finde ich die beste VPN Lösung für mein Unternehmen?
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
 
SAP Identity Management in Zeiten der DSGVO
SAP Identity Management in Zeiten der DSGVOSAP Identity Management in Zeiten der DSGVO
SAP Identity Management in Zeiten der DSGVO
 
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
Irm and dlp_and_security_in_office_365_(de)_share_point-konferenz-wien-2013_a...
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
UC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der CloudUC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der Cloud
 
UC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der CloudUC Expert Talk 2016 - Conferencing aus der Cloud
UC Expert Talk 2016 - Conferencing aus der Cloud
 
Windows 8 im Unternehmen
Windows 8 im UnternehmenWindows 8 im Unternehmen
Windows 8 im Unternehmen
 
eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013eStrategy Magazin Ausgabe 04 / 2013
eStrategy Magazin Ausgabe 04 / 2013
 
BITKOM - Signieren mit iPad & Co.
BITKOM - Signieren mit iPad & Co.BITKOM - Signieren mit iPad & Co.
BITKOM - Signieren mit iPad & Co.
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing
 

Mehr von Robert Ressmann

Possible cookie substitutions (cookieless tracking) - The Cookie Crumbles
Possible cookie substitutions (cookieless tracking) - The Cookie CrumblesPossible cookie substitutions (cookieless tracking) - The Cookie Crumbles
Possible cookie substitutions (cookieless tracking) - The Cookie Crumbles
Robert Ressmann
 
Studie social media_governance_2010_-_studienergebnisse
Studie social media_governance_2010_-_studienergebnisseStudie social media_governance_2010_-_studienergebnisse
Studie social media_governance_2010_-_studienergebnisseRobert Ressmann
 
Theplannersurvey2010
Theplannersurvey2010Theplannersurvey2010
Theplannersurvey2010
Robert Ressmann
 
Harris09presentationfinal
Harris09presentationfinalHarris09presentationfinal
Harris09presentationfinal
Robert Ressmann
 
Pm Langzeitstudie 3 Quartal 09
Pm Langzeitstudie 3 Quartal 09Pm Langzeitstudie 3 Quartal 09
Pm Langzeitstudie 3 Quartal 09
Robert Ressmann
 
Predicting the Present with Google Trends
Predicting the Present with Google TrendsPredicting the Present with Google Trends
Predicting the Present with Google Trends
Robert Ressmann
 

Mehr von Robert Ressmann (6)

Possible cookie substitutions (cookieless tracking) - The Cookie Crumbles
Possible cookie substitutions (cookieless tracking) - The Cookie CrumblesPossible cookie substitutions (cookieless tracking) - The Cookie Crumbles
Possible cookie substitutions (cookieless tracking) - The Cookie Crumbles
 
Studie social media_governance_2010_-_studienergebnisse
Studie social media_governance_2010_-_studienergebnisseStudie social media_governance_2010_-_studienergebnisse
Studie social media_governance_2010_-_studienergebnisse
 
Theplannersurvey2010
Theplannersurvey2010Theplannersurvey2010
Theplannersurvey2010
 
Harris09presentationfinal
Harris09presentationfinalHarris09presentationfinal
Harris09presentationfinal
 
Pm Langzeitstudie 3 Quartal 09
Pm Langzeitstudie 3 Quartal 09Pm Langzeitstudie 3 Quartal 09
Pm Langzeitstudie 3 Quartal 09
 
Predicting the Present with Google Trends
Predicting the Present with Google TrendsPredicting the Present with Google Trends
Predicting the Present with Google Trends
 

Mögliche Cookie-Substitutionen (cookieless tracking) - The Cookie Crumbles

  • 1. 1Reader-Version THE COOKIE CRUMBLES (Auszug) Browser Tracking Präventionen, DSGVO & Adblocking Frankfurt, November 2019
  • 2. 2Reader-Version Diese Lizenz erlaubt es Dritten, das Werk zu verbreiten, zu remixen, zu verbessern und darauf aufzubauen, auch kommerziell, solange der Urheber des Originals genannt wird und die auf seinem Werk basierenden neuen Werke unter denselben Bedingungen veröffentlicht werden. Diese Lizenz gilt nur für den Inhalt der Präsentation. Alle Bilder und Icons unterliegen weiterhin dem Urheberrecht und der angewandten Lizenz des jeweiligen Erstellers. Dies ist somit ein „Mitmach-Hand-Out“ und der Urheber freut sich auf Feedback sowie Verbesserungen & Anregungen, so dass diese Impulse für unsere Branche gibt.
  • 3. 3Reader-Version Dieses Dokument stellt eine allgemeine unverbindliche Information dar. Die Inhalte spiegeln die Auffassung des Autors zum Zeitpunkt der Erstellung wider. Obwohl die Informationen mit größtmöglicher Sorgfalt erstellt wurden, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität, insbesondere kann dieses Dokument nicht den besonderen Umständen des Einzelfalles Rechnung tragen. Dies Dokument stellt somit weder eine Rechtsberatung noch eine Handlungsanweisung dar! Eine Verwendung liegt daher in der eigenen Verantwortung des Empfängers und sollte vom jeweiligen zuständigen DPO und Rechtsabteilung explizit freigegeben werden. Jegliche Haftung wird ausgeschlossen.
  • 5. 5Reader-Version Auf OnSite, AdTech und Publisher Seite (in Web) Tracking-Methode Pros Cons DSGVO & ePR Fingerprinting (errechnete ID) Keine Domainbindung. Mit dem gleichen Algorithmus vollständig "synchronisierbar". Kann nur durch Deaktivierung von Javascript verhindert werden. Kann browserunabhängig konfiguriert werden. Stand Okt 2019 kommen Fingerprints auch bei Inkognito-Fenstern & aktiven Blocking durch! Mehrere Benutzer können den gleichen Fingerabdruck erzeugen, insbesondere auf mobilen Geräten. Tor-Browser und ein paar Plugins erzeugen zufällige Browserwerte und sind nicht trackbar. Erfordert aktives Javascript. Je mehr Tests durchgeführt werden, desto länger ist die Dauer des Fingerprintings und die Belastung der Hardware des Benutzers. FireFox und Chrome haben angekündigt, Fingerabdrücke zu blockieren. Fingerabdrücke werden in der DSGVO nicht erwähnt, solange keine personenbezogenen Daten verwendet werden! Mit einer kommenden ePrivacy-Verordnung ändert sich dies. Fingerabdrücke werden bereits in der e-Privacy-Richtlinie erwähnt. Der DSK wertet dies bereits jetzt als Profiling, was einer expliziten Zustimmung bedarf. eTags (übertragene ID; kann auch Fingerprint, UnifiedID, LoginID,… sein) Die Eindeutigkeit eines Browsers ist sehr hoch. Funktioniert auch ohne JavaScript. Hohe Kompatibilität, schwer zu enttarnen. Für ein einfaches Referrer-Tracking und Attribution ist keine Datenbank und keine große Server-Rekonfiguration notwendig. Die RAW-Logdateien enthalten alles, was benötigt wird. Noch nicht stark im Blockierungs-Scope. Kann durch Leeren oder Deaktivieren des Caches gelöscht werden. Herkunftsbindung wie Cookies; Browser & Plugins können Domains blockieren. Eine eindeutige zugewiesene ID wird als Pseudonym betrachtet. Unter Umständen Art6.1.f - TMG §15. Seit dem 30.09.19 (EuGH- Urteil) eher nur mit Zustimmung. Bei ePR ist eine Zustimmung erforderlich. Authentication Cache (übertragene ID; kann auch Fingerprint, UnifiedID, LoginID,… sein) Die Einzigartigkeit eines Browsers ist sehr hoch. Kann nur durch Leeren des Passwort-Cache oder Verlassen der Browser-Sitzung gelöscht werden. Die Sitzung kann mit Tricks wiederhergestellt werden. Werden mit JavaScript erstellt und sind daher leicht zu umgehen. Mögliche Warnmeldung des Browsers. Herkunftsbindung wie z.B. Cookies. Browser & Plugins können Domains blockieren. Eine eindeutige zugewiesene ID wird als Pseudonym betrachtet. Unter Umständen Art6.1.f - TMG §15. Seit dem 30.09.19 (EuGH- Urteil) eher nur mit Zustimmung. Bei ePR ist eine Zustimmung erforderlich. Login-Alliances / Walled-Gardens / Social-Logins / Consent-Frameworks (LoginID could kann auch eine UnifiedID sein) Eindeutig vergebene LoginID, die im Netzwerk gemeinsam genutzt wird, kann mit einem zentralen Server oder S2S erfolgen; bei Bedarf auch über Blockchain-Account, Browser-Plugins oder sogar VPN- und DoH (DNS) verbunden. Einfaches geräteübergreifendes Tracking. Die Nutzeranpassung erfolgt durch Anreize (Free Content / Payed for Data). Login trade-off, weil 3rd Party Cookie blockiert ist und Local-Storage eine Zustimmung benötigt. Langwieriger, hoher Implementierungs- und Anpassungsaufwand. Beschränkt auf Allianzmitglieder oder WalledGarden. IAB-TCF müsste mit einer UnifiedID verknüpft und als eine Art Login-Allianz neu aufgebaut werden oder eine UnifiedID müsste mit NetID Foundation, Verimi, Mobile Connect, Advertising ID Consortium, DigiTrustID, OpenAdID, ID5, etc. gefunden werden. FireFox wird UnifiedID-Anfragen zukünftig blockieren! Eindeutige Vertragslage auf Wunsch des Betroffenen. Explizites Login ggf. zu jeder Session. Es kann sich auf Art. 6.1.b DSGVO berufen werden. Tracking-Wall (proaktive Tracking-Zustimmung) Trackings können im Browser nach Whitelisting oder proaktiver Senkung der Sicherheitseinstellungen durch den Benutzer erneut ausgelöst werden. Wird nur für 1st Party Cookies akzeptiert, Mainstream-Benutzer werden die Seite eher verlassen, als die Standardeinstellungen des Browsers zu ändern. Eine eindeutige zugewiesene ID wird als Pseudonym betrachtet. Unter Umständen Art6.1.f - TMG §15. Seit dem 30.09.19 (EuGH- Urteil) eher nur mit Zustimmung. Bei ePR ist eine Zustimmung erforderlich. Haushalts-Graph / Meta-Segment-ID (Meta-Data) wie zB. Havas- Converge Daten (auch CRM) und Tracking mit Consent führen zu einer anonymen SegmentID, in der eine große Anzahl von Benutzern zusammengefasst ist. Der Segmentabgleich kann über S2S erfolgen. Zu starre Segmentierung; der Benutzer hat entweder mehrere Segmentkennungen oder wechselt durch Hinzufügen von Signalen von einem Segment zum anderen. Wenn die Segmente zu granular sind, können diese IDs wieder als personenbezogene Daten betrachtet werden. Netzwerk, WalledGarden oder Fullstack Stand-alone-Lösung. Id-Synch und Fullstack-Server können von Browsern leicht blockiert werden. Wenn die erhobenen Taxonomien aggregiert nicht auf eine Einzelperson schließen lassen bzw. die Segmentgröße hoch genug ist, sind keine PII vorhanden und die DSGVO kommt nicht zur Anwendung. Solange die Zustimmung eingeholt wurde und die Rechte der Betroffenen bei der Datenerhebung gewahrt sind. Standardisierte Verbraucher- Taxonomie (Meta-Daten) u.A. lt. Google Proposal Aug. ´19 Durch ein standardisiertes Verfahren werden dem Benutzer nur Taxonomien, wie z.B. Interessen, als Metadaten oder IDs zugeordnet. Eine individuelle Benutzerkennung wird nicht angelegt. Zielgruppen- Targeting und DCO wären somit ohne personenbezogene Daten möglich, nicht nur bei kontextbezogenen Platzierungen. Alle Daten liegen in den Händen des Benutzers, er hat volle Transparenz, Auswahl und Kontrolle über seine Daten und damit GDPR Art. 12 - 23! Der Cookie von Drittanbietern wird blockiert und Local-Storage benötigt eine Zustimmung. Alternativ müsste von den Browserherstellern ein Profil zur Verfügung gestellt werden, um die Taxonomien / Metadaten zu speichern, dies ist jedoch derzeit in keinem Browser vorgesehen. Wenn die gesammelten Taxonomien nicht zu einer einzigen Person zusammengefasst werden können oder wenn die Segmentgröße hoch genug ist, gibt es keine PII und die DSGVO ist nicht anwendbar! [Icons are from FlatIcon.com] MÖGLICHE COOKIE-SUBSTITUTIONEN
  • 6. 6Reader-Version Nicht so ganz. Da ist ja noch die DSGVO! Wie in der Tabelle aufgeführt, reicht ein einfaches "Verschieben der Daten" oder "Verschieben eines Identifikators an einen anderen Ort" nicht aus. Leider ist das größte Missverständnis, dass sich das Thema nur um Cookies dreht. Es geht um personenbezogene Daten sowie um Transparenz, Auswahl und Kontrolle der Empfänger und Inhalte durch den Nutzer. D.h. mit einem "alternativen Speicherplatz" umgeht man zum einen nicht die Einwilligung nach Art. 6.1.a DSGVO noch lassen sich Browser oder AdBlocker lange täuschen (Browser War 3.0). Aber das bedeutet auch, dass Online-Werbung, programmatische Planung und Kauf, Targeting, Attribution, etc. nicht tot sind - es ist halt nicht mehr so einfach wie mit dem veralteten Cookie. COOKIE SUBSTITUTION & ALLES IST GUT?
  • 7. 7Reader-Version Um die verlorenen Signale zu kompensieren  Nicht blockierte Cookie-Substitution mit Zustimmung  Aggregation & Anonymisierung von (1st Party, nicht nur online,) PII mit Zustimmung zu Haushaltsgraphen oder Metasegmenten  "Reanimation" der klassischen kontextuellen, redaktionellen Umfeld Planung  Nutzung von semantischer NLP, Brand-Save, in der programmatischen Schaltung  Schließung der Lücken in der Journey durch fortschrittliche statistische Methoden und maschinelles Lernen (KI) SHORT TERM
  • 8. 8Reader-Version Transparentes Targeting in den Händen des Nutzers Zusätzlich zu den Short Terms:  Standardisierte Verbraucher-Taxonomie über den Browser (MetaDaten)  Pay-with-Data / Login Alliance Modelle LONG TERM (IN EINER PERFEKTEN WELT)
  • 9. 9Reader-Version Robert Reßmann Director Scaling Strategies, Product Development, MarTech; Data Protection Consultant Email Robert.Ressmann@havasmedia.com