Das Ende von Third-Party-Cookies: Browser übernehmen Online-Werbung

Folgendes bedeutet dies für die Privatsphäre der Benutzer und Ihr Unternehmen.

Cookies von Drittanbietern werden von Browsern schrittweise ausgemustert und ihnen werden immer mehr Beschränkungen auferlegt.

Die meisten Online-Analyse-, Werbe- und Attributionstools auf dem Markt bemühen sich, Alternativen zum Sammeln von Daten zu finden. Diese Kürzung wirkt sich auch auf unsere Berichterstattung aus.

Es ist jedoch wichtig zu verstehen, warum Browser Cookies einschränken und welche gesetzlichen Rahmenbedingungen auf Landes- und Länderebene gelten, bevor Sie nach Alternativen suchen.

Fangen wir also dort an…

Warum beschränken Browser Cookies?

Die Präsentation von Simo Ahava auf der Superweek 2020 unten zeigt eine Zeitleiste der Browseränderungen, die im Laufe der Zeit implementiert wurden.

Tech-Produkte machen jetzt kürzere Schritte, um Änderungen vorzunehmen. Die Durchsetzungsrate von Funktionen zur Verbesserung der Privatsphäre nimmt ebenfalls zu.

Wir haben 2019 mehr Datenschutzverbesserungen in Browsern gesehen als in den 5 Jahren davor.

In meinem Artikel „Plädieren Browser mit Safari ITP, Firefox ETP und Chrome Privacy Sandbox für eine Zukunft ohne Cookies? “, spreche ich ausführlich über die Gründe für diese Änderungen:

Browser wie Safari und Firefox (und in geringerem Maße Chrome) möchten ihre Benutzer auch vor dieser Art von Cookies schützen, die zum Erstellen von Benutzerprofilen und Kaufinteressen verwendet werden. Diese Informationen werden dann verkauft und verwendet, um Benutzer auf anderen Websites anzusprechen. Der Anzeigenverkäufer erzielt bei einer Anzeigenplatzierung mit verifizierter Absicht einen höheren Gewinn als bei einer reinen Anzeigenimpression. Führende Vertreter der Anzeigenbranche wissen, dass der Weg in die Zukunft weniger Tracking und mehr Anzeigenplatzierungen sind, die der Absicht des Benutzers auf der Seite entsprechen (durch Verwendung von Content Ad Matching).

Diese Idee stammt von John Wilander, der diesen Blogbeitrag für Webkit veröffentlicht hat. Laut Wilander wurde „Intelligent Tracking Prevention entwickelt, um die Privatsphäre der Benutzer zu schützen, indem Cross-Site-Tracking verhindert wird.“

Es geht darum, sich auf Websites zu konzentrieren, die eine engere Beziehung zu ihren EIGENEN Benutzern aufbauen (im Kontext einer einzelnen Website für ITP und im Kontext einer Organisation für Chrome) und zu verhindern, dass Dritte dies bereitstellen.

Webkit, die Organisation hinter ITP in Safari und eines der Projekte von John Wilander, erklärt dies weiter in ihrer Tracking-Präventionsrichtlinie:

Tracking WebKit verhindert jegliches verdecktes Tracking und jegliches Cross-Site-Tracking (selbst wenn es nicht verdeckt ist). Diese Ziele gelten für alle oben aufgeführten Tracking-Arten sowie für uns derzeit unbekannte Tracking-Techniken. Wenn eine bestimmte Tracking-Technik nicht ohne unangemessenen Schaden für den Benutzer vollständig verhindert werden kann, schränkt WebKit die Möglichkeiten zur Verwendung der Technik ein. Zum Beispiel die Begrenzung des Zeitfensters für die Nachverfolgung oder Reduzierung der verfügbaren Entropiebits – eindeutige Datenpunkte, die verwendet werden können, um einen Benutzer oder das Verhalten eines Benutzers zu identifizieren.

Webkit weiß, dass es einen unbeabsichtigten Nebeneffekt ihres ITP-Projekts gibt. Analytics und Publikumsmessung im Kontext einer einzelnen Website wollen sie nicht blockieren. Analytics- und A/B-Testing-Tools, die an der Verbesserung der Benutzererfahrung arbeiten, werden nicht bekämpft.

Das Thema ähnelt dem, was die neuen europäischen ePrivacy-Richtlinien (aktualisiert im Juli 2019) und die noch nicht umgesetzten ePrivacy-Verordnungen behandeln. Die neuen Regeln und Technologien schaffen eine rechtliche oder technologische Lücke, die wir noch nicht schließen können.

Wenn es um Browser geht, werden wir hoffentlich neue Funktionen wie isLoggedIn, Private Click Measurement und Chrome SameSite OrganizationID (First Party Sets) erhalten.

Aber da wir diese Alternativen noch nicht haben, was bleibt uns dann übrig? Sollten wir sie ignorieren, wie es die meisten Unternehmen tun, nach den Aktualisierungen der ePrivacy-Richtlinie durch ICO und CNIL?

Die europäische DSGVO ebnet den Weg für gesetzliche Beschränkungen

Das strengste Datenschutzgesetz der Welt ist Europas DSGVO.

Die kürzlich aktualisierten Richtlinien der ICO (britische Datenschutzbehörde) und der CNIL (französische Datenschutzbehörde) verurteilen auch das Platzieren der meisten Cookies auf Benutzergeräten vor der aktiven Zustimmung (und die Verwendung von Tricks wie „Alle akzeptieren“-Schaltflächen, vorab aktivierte Kontrollkästchen oder Radio Tasten). Die im Juli 2019 aktualisierten Richtlinien werden erst im Juli 2020 durchgesetzt. Gleichzeitig haben die ePrivacy-Verordnungen (noch im Entwurf) einige Ausnahmen für Cookies gemacht. Diese besagen alle, dass A/B-Tests, Analysen und die Messung der Wirksamkeit von Anzeigen (sogar das Testen von Anzeigen) erlaubt sind .

Am 8. November 2019 veröffentlichte die finnische Regierung einen überarbeiteten Vorschlag für die ePrivacy-Verordnung mit einigen Änderungen. In diesem Vorschlag können einige Cookies ohne Zustimmung platziert werden, wie der neueste Entwurf der ePrivacy-Verordnung (vom November 2019) in den Artikeln 8, 17aa und Artikel 21a unten feststellt :

Artikel 8: „Schutz der Endgeräteinformationen von Endnutzern, 1(d) ist für die Messung der Internetzuschauerzahl erforderlich , sofern diese Messung vom Anbieter des vom Endnutzer angeforderten Dienstes der Informationsgesellschaft oder von a Dritte im Namen eines oder mehrerer Anbieter von Diensten der Informationsgesellschaft, sofern die Bedingungen gemäß Artikel 28 oder gegebenenfalls Artikel 26 der Verordnung (EU) 2016/679 erfüllt sind. 2(c) für statistische Erhebungen erforderlich ist, die zeitlich und räumlich auf das hierfür erforderliche Maß begrenzt sind und die Daten anonymisiert oder gelöscht werden, sobald sie für diese Zwecke nicht mehr erforderlich sind.“

Artikel 17aa: „ Da Endnutzer großen Wert auf die Vertraulichkeit ihrer Kommunikation legen, einschließlich ihrer physischen Bewegungen, können solche Daten nicht verwendet werden, um die Art oder Merkmale eines Endnutzers zu bestimmen oder ein Profil eines Endnutzers zu erstellen, um beispielsweise zu vermeiden, dass die Daten zu Segmentierungszwecken verwendet werden, um das Verhalten eines bestimmten Endbenutzers zu überwachen oder um Rückschlüsse auf das Privatleben eines Endbenutzers zu ziehen. Aus dem gleichen Grund muss der Endnutzer über diese stattfindenden Verarbeitungstätigkeiten informiert werden und das Recht haben, dieser Verarbeitung zu widersprechen.“

Artikel 21a: „Cookies können auch ein legitimes und nützliches Instrument sein, beispielsweise um die Wirksamkeit eines bereitgestellten Dienstes der Informationsgesellschaft zu bewerten, beispielsweise des Website-Designs und der Werbung, oder indem sie helfen, die Anzahl der Endnutzer zu messen, die eine Website besuchen . bestimmte Seiten einer Website oder die Anzahl der Endnutzer einer Anwendung. Dies gilt jedoch nicht für Cookies und ähnliche Identifikatoren, die verwendet werden, um festzustellen, wer die Website nutzt, was immer die Zustimmung des Endbenutzers erfordert.“

Einfach gesagt, für die Messung des Webpublikums mit einem Analysetool oder einem Drittanbieter-Tool ist keine Cookie-Zustimmung erforderlich. Sie können Statistiken aus diesen Daten erhalten, aber Sie können sie nicht segmentieren, um „Rückschlüsse auf das Privatleben eines Endbenutzers zu ziehen“ – die Daten müssen anonym sein.

Die DSGVO eröffnet den Raum für A/B-Tests und Personalisierung (mit der Zurückhalteoption, um die Effektivität einer Erfahrung zu messen) für Inhalte, Anzeigen oder Design. Das macht mich zuversichtlich, dass wir auf dem richtigen Weg sind, die leistungsstarken A/B-Testlösungen, die wir jetzt haben, beizubehalten, uns aber auf die Effektivität der Botschaft und die Bereitstellung besserer Web-Erlebnisse zu konzentrieren. Wir sollten Praktiken wie das Herausgreifen kleiner Gruppen oder Einzelpersonen und die Segmentierung auf der Grundlage leicht identifizierbarer Merkmale wie Geschlecht, Rasse, Alter oder anderer personenbezogener Daten (wie in der DSGVO definiert) verurteilen.

Sowohl Browser als auch Datenschutzgesetze verfolgen dasselbe Ziel. Beide führen diese Bewegung an, was bedeutet, dass sie neuen alternativen Lösungen sogar einen Schritt voraus sind. Ihr Hauptziel ist nicht, Sie davon abzuhalten, Benutzer (auf Ihrer Website) zu analysieren oder A/B-Tests durchzuführen, um die Benutzererfahrung zu verbessern und zu optimieren. Sie sind hier, um zu verhindern, dass Identitäten ohne aktive Zustimmung des Benutzers an Standorten von Drittanbietern außerhalb des Kontexts einer einzelnen Website erstellt werden. Mehr dazu in diesem Artikel, den ich geschrieben habe.

Die Zukunft der Browser

Die drei derzeit am häufigsten verwendeten Browser sind Chrome, Safari und Firefox, aber datenschutzbewusstere Alternativen wie Brave nehmen schnell zu. Chrome wird laut dieser Zusammenfassung am häufigsten verwendet (64 % der Geräte weltweit), gefolgt von Safari mit 18 % (und Tablets mit bis zu 60 %) und Firefox mit etwa 4 % (weniger als 1 % auf Mobilgeräten). Was dieser Machtblock mit seinen Technologien macht, die 76 % – 85 % des weltweiten Verkehrs leiten, ist der Schlüssel zum Verständnis, was Sie für Ihr Online-Marketing verwenden sollten.

Mozilla-Firefox

Mozilla hat rund 4 % des Gesamtmarktanteils, mit einer geschätzten Bandbreite zwischen 8 % und 12 % auf dem Desktop und <1 % auf Mobilgeräten (Quellen Statcounter, NetmarketShare und WikiMedia). Es bietet Datenschutz gegen Fingerabdrücke und Cookies von Drittanbietern mit Enhanced Tracking Protection (ETP).

ETP blockiert alle Cookies von Drittanbietern, wenn sie sich auf dieser Liste von Disconnect befinden. First-Party-Cookies werden nicht blockiert und die Disconnect-Liste scheint über einen Zwischenschritt kategorisiert und möglicherweise ganz durch eine von Mozilla kuratierte Liste ersetzt zu werden, laut ihren Community-Gesprächen. Die Pflege dieser Liste ist ein ziemlich arbeitsintensiver Prozess, aber ein solider Schritt in Richtung Datenschutz. Sobald eine Quelle auf der Liste steht, können keine Drittanbieter-Cookies von dieser gesetzt werden. Es gibt keinen klaren Fahrplan, wohin Mozilla Firefox ETP steuert, aber die Priorität scheint die Verfeinerung, Kategorisierung und Erweiterung der Cookie-Liste und des Fingerprinting zu sein.

Apple-Safari

Der Standard-iOS-Browser hat laut Wikipedia (November 2019) einen Marktanteil zwischen 20 % und 60 % auf Mobilgeräten und Tablets. Der Gesamtmarktanteil beträgt 18 %. Safari ist der lautstärkste Browser zum Thema Datenschutz. 2019 kam es mit ITP 2.1, ITP 2.2 und ITP 2.3 heraus. Dies ist auch das Team von Webkit hinter ITP, das auf alternative Lösungen für die Probleme drängt, die ITP eingeführt hat.

Lassen Sie uns nun einen genaueren Blick auf LoggedIn, Private Click Measurement und Storage Access API werfen und sehen, wie sie einige der 2019 eingeführten Probleme lösen können.

ist eingeloggt

John Wilander von Apple Webkit schlug eine W3C-Verbesserung (im September 2019) zu einem Standard vor, der bei der Rechtsgrundlage eines Vertrags der DSGVO helfen kann. In Europa bietet diese Rechtsgrundlage die Freiheit, Cookies für Benutzer und vieles mehr zu verwenden, jedoch nur mit Zustimmung des Benutzers. Wilander schlägt vor, etwas Ähnliches auf Browserebene zu verwenden. Dies ist etwas, von dem ich denke, dass Browser es in Zukunft als Rechtsgrundlage akzeptieren werden.

isLoggedIn ist eine Browserfunktion, die den clientseitigen Zustand (z. B. Nicht-Sitzungscookies, localStorage) verweigern könnte, es sei denn, der Benutzer ist bei einem vertrauenswürdigen Anbieter angemeldet. Es besteht die Befürchtung, dass die Besessenheit, Benutzerdaten zu erhalten, zu sinnlosen Anmeldungen führen kann, nur um in den Status „isLoggedIn“ und den „Vertrag“ der DSGVO-Rechtsgrundlage zu gelangen, um Dinge wie Anzeigen-Retargeting durchzuführen. Ich habe das am eigenen Leib erfahren. Im Beispiel unten versucht die spanische Immobilienseite Habitaclia, mich anzumelden, während die Informationen durch Schließen des Pop-ups verfügbar sind. Der Wert der Anmeldung für mich als Benutzer ist null, daher ist diese Praxis scheinbar sinnlos (wohlgemerkt, dies stammt aus Spanien, wo die DSGVO durchgesetzt wird).

Aber wie ITP wird isLoggedIn erprobt und verbessert, und ich hoffe, es wird angepasst. Im W3C-Kanal wurde 2019 viel hin und her darüber geredet, aber seitdem wurden keine weiteren Maßnahmen ergriffen. Theoretisch könnte dies eine technische Lösung für die Rechtsgrundlage Klebrigkeit schaffen, die jetzt nur Cookies und Einwilligungen bieten können. In Europa würde dies allen Tools eine einfache Möglichkeit bieten, festzustellen, ob ein Benutzer auf einer Website angemeldet ist und ob es eine Rechtsgrundlage zum Sammeln personenbezogener Daten gibt.

Private Klickmessung

Die Messung privater Klicks (früher als Privacy-Preserving Ad Click Attribution bezeichnet) des Webkit-Teams ist ein W3C-Vorschlag, der eine einfache, aber effektive Zuordnung von Conversions ermöglichen würde. Es ist ein formellerer Vorschlag zur Verbesserung von isLoggedIn, wird aber noch nicht als W3C-Standard angesehen. Für A/B-Tests kann dies nützlich sein, wenn Sie in einer Warenkorbumgebung außerhalb des Standorts konvertieren. Es ist etwas, das wir erwägen werden, es zu implementieren, sobald es öffentlich verfügbar ist. Den Umsetzungsvorschlag können Sie in diesem Artikel nachlesen. Mitte Januar haben sich Apple Safari und Mozilla Firefox hinter diese Initiative gestellt, um sie auf einen formellen Standard zu heben. Das Limit liegt bei 64 Kampagnen und einem zufälligen Conversion-Trigger mit einer Verzögerung von 24 bis 48 Stunden (was es für Sie schwieriger macht, die Conversion zu lokalisieren, wodurch die Privatsphäre erhöht wird), aber mit der Unterstützung von Firefox und Safari scheint es an Fahrt zu gewinnen.

Die llimits sind auch etwas, das das Chrome (Chromium)-Team zu restriktiv findet, und das ist der Grund, warum sie die neue Conversion Measurement API vorgeschlagen haben.

Google Chrome

Chrome hält weltweit über 64 % des Marktanteils (mit 67 % allein auf Desktops). Chrome ist ein Kraftpaket in der Welt der Browser und ein umstrittener Akteur, bei dem die Haupteinnahmen aus den Werbeprodukten von Google stammen. Mit einem Anteil von 25 % bis 65 % für Mobilgeräte und 67 % für Desktops ist er der weltweit dominanteste Browser. Aber die Dinge ändern sich, und wir haben es schon einmal gesehen … Browser können in Ungnade fallen. Alle Android-Vorinstallationen speichern Google Chrome möglicherweise nicht, wenn sie ihren Fokus nicht auf den Datenschutz verlagern.

Digiday fasst das schön zusammen:

Die jüngsten Änderungen zur Einschränkung des Drittanbieter-Trackings in den Browsern Safari von Apple und Firefox von Mozilla haben sich als störend für Publisher, Ad-Tech-Anbieter und Agenturen erwiesen. Da der Datenschutz im Internet jedoch zunehmend zu einem Mainstream-Verbraucheranliegen wird, steht Google unter einem gewissen Wettbewerbsdruck, diesem Beispiel richtungsweisend zu folgen.

Ian Lowe, VP Marketing bei der Consent-Management-Plattform Crownpeak, erklärt:

Da der Druck zunimmt, versucht Google, immer mehr Möglichkeiten aufzuzeigen, sich positiv in Richtung Datenschutz zu bewegen und gleichzeitig das Einnahmemodell beizubehalten.

GleicheSite

Das SameSite-Update vom Februar 2020 in Bezug auf Chrome 80 verlangt von Website-Eigentümern, die Cookies von Drittanbietern, die auf anderen Websites verwendet werden können, explizit zu kennzeichnen. Digiday erklärt die Änderung wirklich gut:

Google hat erstmals im Mai letzten Jahres angekündigt, dass Cookies, die nicht die Labels „SameSite=None“ und „Secure“ enthalten, in Chrome-Version 80 und höher für Dritte, wie z. B. Ad-Tech-Unternehmen, nicht zugänglich sein werden. Das Secure-Label bedeutet, dass Cookies über HTTPS-Verbindungen gesetzt und gelesen werden müssen.

Derzeit ist der Cookie-Standardwert von Chrome SameSite: „None“, was es Cookies von Drittanbietern ermöglicht, Benutzer über Websites hinweg zu verfolgen. Aber ab Februar werden Cookies standardmäßig auf „SameSite=Lax“ gesetzt, was bedeutet, dass Cookies nur gesetzt werden, wenn die Domain in der URL des Browsers mit der Domain des Cookies übereinstimmt – ein Erstanbieter-Cookie.

Jedes Cookie mit dem Label „SameSite=None“ muss auch über ein sicheres Flag verfügen, was bedeutet, dass es nur durch Anfragen über HTTPs erstellt und gesendet wird. In der Zwischenzeit schränkt die Bezeichnung „SameSite=Strict“ die standortübergreifende gemeinsame Nutzung insgesamt ein, sogar zwischen verschiedenen Domains, die demselben Herausgeber gehören.“

Mozillas Firefox und Microsofts Edge gaben bekannt, dass sie ebenfalls den SameSite=Lax-Standard übernehmen werden. Ohne diese Kennzeichnung werden wir im Popup-Fenster der Chrome-Konsole immer mehr Warnungen wie die folgende sehen.

Laut Digiday:

Das SameSite- und Google Ads-Update von Google im Februar wird verhindern, dass Ad-Tech-Unternehmen, die keine primäre Beziehung zu einem Verbraucher haben, Anzeigenauktionen „mithören“, um anhand von Inhaltskategorien Benutzerprofile zu erstellen. Wenn ein Benutzer eine Website wie ESPN.com besucht, sendet der Austausch von Google unter dem aktuellen System Informationen im Gebotsstrom zurück, die das Kontextthema „Sport“ an potenzielle Bieter enthalten. Eine Demand-Side-Plattform und andere Ad-Tech-Unternehmen wie Datenverwaltungsplattformen sind in der Lage, diese Informationen zu sehen und könnten sie theoretisch verwenden, um verhaltensbezogene Benutzerprofile zu erstellen, ohne dass der Benutzer davon Kenntnis hat. Es ist nicht klar, ob dies in der Praxis regelmäßig vorkommt, aber die Möglichkeit stellt ein DSGVO-Risiko dar. Das Erstellen von Benutzerprofilen auf der Grundlage von Gebotsdaten ist auch durch die Werberichtlinien von Google verboten.

SameSite-Änderungen scheinen unter ein allgemeineres Projekt zu fallen, an dem Google Chrome mit dem Namen Privacy Sandbox arbeitet.

Datenschutz-Sandbox

Die Mission der Privacy Sandbox ist es, laut dieser Chromium-Seite, „ein florierendes Web-Ökosystem zu schaffen, das die Benutzer respektiert und standardmäßig privat ist“. Der allgemeine Ansatz von Chrome, genau wie der von Webkit, besteht darin, das Cross-Site-Tracking wieder zu aktivieren, jedoch ohne Auswirkungen auf die Privatsphäre der Benutzer. Das bedeutet, dass sie die Anzeigenfunktionen nicht verlieren möchten, aber auch sehen können, dass der Datenschutz zu einem Problem wird, das sie nicht länger ignorieren können.

Hier ist ein aufschlussreiches Statement des Teams:

Wir glauben, dass ein Teil der Magie des Internets darin besteht, dass Ersteller von Inhalten ohne Gatekeeper veröffentlichen können und dass die Benutzer des Internets frei auf diese Informationen zugreifen können, weil sich die Ersteller von Inhalten durch Online-Werbung finanzieren können. Diese Werbung ist für Publisher und Werbetreibende weitaus wertvoller und für Benutzer ansprechender und weniger störend, wenn sie für den Benutzer relevant ist. Wir planen, neue Funktionen einzuführen, um die Anwendungsfälle zu bedienen, die Teil eines gesunden Webs sind, das derzeit durch Cross-Site-Tracking (oder Methoden, die von Cross-Site-Tracking nicht zu unterscheiden sind) erreicht wird. Sobald diese Funktion verfügbar wird, werden wir die Verwendung von Cookies von Drittanbietern, die heute der häufigste Mechanismus für das Cross-Site-Tracking sind, immer mehr einschränken und sie schließlich vollständig ablehnen. Parallel dazu werden wir aggressiv gegen die aktuellen Techniken für nicht-Cookie-basiertes Cross-Site-Tracking vorgehen, wie z .

Michael Kleber, ein Google-Softwareentwickler, der an Datenschutz und Tracking-Prävention in Chrome arbeitet, skizziert den Plan des Unternehmens, auf ein Web ohne Tracking umzusteigen. Er schlägt vor, von Cookies auf „APIs mit besserer Größe“ umzusteigen, die keine uneingeschränkte Verfolgung von Personen im gesamten Web ermöglichen, und erörtert, wie Chrome die Verwendung von Federated Learning of Cohorts (FLoC) (Teil des Privacy Sandbox-Projekts) untersucht. weiterhin interessenbasierte Werbung im Web zuzulassen. Er ermutigt Entwickler, „uns dabei zu helfen, uns eine Welt ohne Cookies von Drittanbietern oder andere Tracking-Vektoren vorzustellen“.

Deklarieren von Erstanbieter-Cookies, die zur selben Organisation gehören

Ein weiteres Projekt, an dem Chrome im Rahmen der Privacy Sandbox-Initiative arbeitet, sind First Party Sets (Justin Schuh, Director of Chrome Engineering, begann im August 2019 darüber zu sprechen).

Dieses Projekt schlägt einen neuen Webplattformmechanismus vor, um eine Sammlung verwandter Domains als First-Party-Set zu deklarieren. Es ist eine Iteration von Wilanders „Single Trust and Same-Origin Policy v2“ und „Affiliate Domains“.

Hier betrachtet der Browser Domänen als Mitglieder eines Satzes, wenn sich die Domänen dafür entscheiden und der Satz die UA-Richtlinie erfüllt, um sowohl Benutzer- als auch Site-Anforderungen zu berücksichtigen. Domains melden sich an, indem sie ein JSON-Manifest unter https://<domain>/.well-known/first-party-set hosten. Die sekundären Domänen verweisen auf die besitzende Domäne, während die besitzende Domäne die Mitglieder des Satzes, eine Versionsnummer zum Auslösen von Aktualisierungen und eine Reihe signierter Zusicherungen zum Informieren der UA-Richtlinie auflistet. Hier ist ein Beispiel dafür:

 https://a.example/.well-known/first-party-set { "owner": "a.example", "version": 1, "members": ["b.example", "c.example"], "assertions": { "chrome-fps-v1" : "<base64 contents...>", "firefox-fps-v1" : "<base64 contents...>", "safari-fps-v1": "<base64 contents...>" }, } https://b.example/.well-known/first-party-set { "owner": "a.example" } https://c.example/.well-known/first-party-set { "owner": "a.example" }

Indem Sie Ihre Erstanbieterdomänen für die Browser deklarieren, können Sie alle Domänen Ihrer Organisation einbeziehen. Dies erleichtert es Browsern, Tools von Drittanbietern zu blockieren, die Cookies und Skripte von Erstanbietern verwenden. Wenn Sie über Personalisierung, A/B-Tests, Analysen, Attributionssysteme oder Empfehlungstools verfügen, bringen Sie diese unter die Domains Ihrer Organisation, wie serverseitige Cookies und CNAME. Stellen Sie sicher, dass Sie überprüfen, welche Parteien Sie unter Ihre Domains bringen, da sie in Ihre Verantwortung fallen (bald müssen Sie sie beim „Zoll“ des Browsers anmelden, bevor Sie das Besuchergerät betreten).

Conversion-Messungs-API

In Bezug auf die API-Spezifikationen zur Conversion-Messung sagte Steven Englehardt von Mozilla:

Ich möchte Mozillas Bedenken bezüglich der Einführung eines hochentropischen Cross-Site-Identifikators äußern, die ich auch auf dem oben erwähnten TPAC-Meeting geäußert habe. Die hochentropische „Impressionsdaten“-Kennung gibt der Publisher-Site die Möglichkeit, Informationen über die Aktivität eines einzelnen Benutzers auf einer anderen Site als der eigenen zu erhalten. Dies ist ein ausdrücklicher Verstoß gegen die Anti-Tracking-Richtlinie von Firefox, und wir werden keine API implementieren, die einen solchen Verstoß erleichtert, da sie ein Cross-Site-Tracking ermöglicht. Die Website des Herausgebers kann Informationen über Einzelpersonen erfahren, indem sie den Wert „Impressionsdaten“ mit einer Benutzerkennung zum Zeitpunkt der Konversionsregistrierung verknüpft (dh wenn der Benutzer auf eine Anzeige auf der Website des Herausgebers klickt). Anschließend können die durch den Wert „Conversion-Metadaten“ offenbarten Informationen über den durch den Wert „Impressionsdaten“ erstellten Link mit dem Konto dieses Benutzers verknüpft werden. In der Praxis können dies vertrauliche Informationen sein, z. B. ob dieser Benutzer auf der Zielwebsite einen Kauf getätigt oder ob er sich für ein Konto registriert hat. Um die Schwere des Risikos zu verstehen, das damit verbunden ist, dem Publisher zu erlauben, Aktivitätsdaten zu sammeln, die mit einer Person über diese API verbunden sind, bedenken Sie, dass der Publisher eine Suchmaschine oder ein soziales Netzwerk sein kann, das als primärer Zugangspunkt eines Benutzers zum Rest des Webs fungiert . Publisher in dieser Position werden wahrscheinlich etwas über die Aktivitäten eines einzelnen Benutzers auf einer großen Anzahl von Zielseiten erfahren und sich somit ein ziemlich umfassendes Bild von den Offsite-Kaufaktivitäten, Offsite-Registrierungsaktivitäten und so weiter dieses Benutzers machen.

Auch Safari (Webkit) äußert öffentliche Skepsis, insbesondere in Bezug auf die 64-Bit-Impressionsmetadaten.

Auf die eine oder andere Weise versuchen alle anderen Browser, das Zuordnungsproblem für Werbetreibende zu lösen, indem sie entweder die von Chrome vorgeschlagene Conversion Measurement API oder die von Safari vorgeschlagene Private Click Measurement API verwenden. Sobald dies eingerichtet ist, bieten alle Browser den Werbetreibenden genügend Anreize, mit ihnen zu arbeiten und gleichzeitig die Privatsphäre im Internet zu schützen.

Turteltaube oder föderiertes Lernen von Kohorten (FLoC)

Michael Kleber entwickelte einen neuen Vorschlag namens Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (TURTLE-DOV) oder TURTLEDOVE (aktualisierte Version von PIGIN).

Obwohl noch nicht klar ist, wie sich Turtledove oder Federated Learning of Cohorts (FLoC) entwickeln werden, stellt das Team von Chrome all diese Lösungen zur Diskussion und wird sehen, welche von den Datenschutzteams von Safari, Firefox und Brave Anklang finden. Der FLoC-Vorschlag bietet einen anderen Ansatz für die Anzeigenausrichtung, bei dem der Schwerpunkt auf den allgemeinen Interessen der Menschen und nicht auf bestimmten Aktionen liegt.

Beim FLoC-Modell haben Werbetreibende und Werbenetzwerke keine Kontrolle darüber, in welchen Gruppen sich Menschen befinden. Stattdessen ist der Browser selbst dafür verantwortlich, Scharen von „ähnlichen Menschen“ irgendwie zu gruppieren, mit großem Spielraum, wie er zu seinem Begriff der Ähnlichkeit kommt . Der Browser kann dann Maßnahmen ergreifen, um zu verhindern, dass seine Gruppierung die Verfolgung zulässt oder vertrauliche Merkmale preisgibt. PIGIN erfüllt diesen Anwendungsfall, und einige dieser Erläuterungen werden hier wiederverwendet. Bei diesem Vorschlag hatte der Browser die Kontrolle über die Mitgliedschaft in Interessengruppen (wie in diesem), aber eine kleine Menge an Interessengruppeninformationen wurde zusammen mit der regulären kontextbezogenen Anzeigenanfrage gesendet (und es gab keine In-Browser-Auktion).

Rückmeldungen von der W3C Web-Advertising Business Group und Privacy Interest Group sowie von den Browser- und Datenschutzforschungsgemeinschaften haben Schwachstellen in diesem Design aufgezeigt.

Die Möglichkeit, die Interessengruppenzuweisung eines Werbetreibenden mit der Erstanbieteridentität einer Person auf der Website eines Herausgebers zu verknüpfen, wird selbst mit den von diesem Explainer vorgeschlagenen Abhilfemaßnahmen als zu hohes Datenschutzleck angesehen. Die Analyse der Mitgliedschaften in realen Benutzerlisten zeigt, dass selbst die vorgeschlagene „kleine Menge an Interessengruppeninformationen“ zu viel des Datenschutzbudgets einer Seite verbrauchen würde. Das Hinzufügen einer In-Browser-Auktion in TURTLEDOVE ist eine Möglichkeit, beide Datenschutzschwächen zu beheben. Diskussionen mit Teilnehmern des Anzeigen-Ökosystems haben es plausibler erscheinen lassen, dass eine In-Browser-Auktionskomponente übernommen werden könnte.

Wie würde TURTLEDOVE funktionieren? Der Vorschlag ist eine neue API, die diesen Anwendungsfall adressiert und gleichzeitig einige wichtige Datenschutzfortschritte bietet:

• Der Browser, nicht der Werbetreibende, hält die Informationen darüber, was der Werbetreibende für eine Person interessiert.
• Werbetreibende können interessenbasierte Anzeigen schalten, können dieses Interesse jedoch nicht mit anderen Informationen über die Person kombinieren – insbesondere, wer sie ist oder welche Seiten sie besucht.
• Die Websites, die die Person besucht, und die Werbenetzwerke, die diese Websites verwenden, können nicht die Werbeinteressen ihrer Besucher erfahren.

Dies scheint eine gute Lösung für den Datenschutz zu sein und macht den Browser zu einem mächtigen Akteur in der Werbewelt. Auf diese Weise sehe ich Unternehmen wie Apple (Safari Webkit), Firefox und Brave als neue Einnahmemodelle dahinter, während sie gleichzeitig die Privatsphäre respektieren. Dies würde jedoch eine massive Machtverschiebung von Werbenetzwerken zu Browsern erfordern.

Die Serverseite wird uns alle retten

Einige Anbieter geben vor, dass die serverseitige Methode alle Probleme löst und Personalisierung oder A/B-Tests ermöglicht. Mit der serverseitigen Methode können Sie jedoch nicht viel tun, ohne den Status des Clients (Benutzer in einem Browser) zu verstehen. Dafür benötigen Sie noch First-Party-Cookies. Wie legen Sie diese Erstanbieter-Cookies fest? Sie müssen die gleichen Variationen für A/B-Tests und Personalisierung so präsentieren, dass sie über Sitzungen hinweg bestehen bleiben, damit dies funktioniert. Fingerabdrücke sind nicht legal und Browser verfolgen und deaktivieren diese Methoden. Es ist überhaupt nicht durchsichtig. Sie können nur First-Party-Cookies verwenden, die unter einer Subdomain der Hauptseite gesetzt wurden, und First-Party-Sets verwenden, um anzugeben, dass Sie Eigentümer dieser Subdomain sind.

Clientseitig vs. serverseitig ist keine Debatte, die in dieser Diskussion Sinn macht.

Man könnte die Client-Site-Personalisierung und A/B-Test-Tools Hybride nennen, da sie die Verantwortung für das Setzen von Cookies auf eine vertrauenswürdige Domäne (First Party Sets) innerhalb der Organisation verlagern. In diesem Fall wären jedoch alle Client-Site-Tools Hybride, da dies in Zukunft die einzige Möglichkeit sein wird.

Entfernung von Cookies von Drittanbietern. Was kommt als nächstes?

Die Zeichen sind klar, Kekse sind tot … naja, nicht wirklich. Die meisten Online-Artikel sprechen über den Tod von Cookies. Obwohl wir viele APIs gesehen haben, die einen Teil der Aufgabe der Cookies übernehmen können, gibt es noch keine Anzeichen dafür, dass Cookies irgendwohin gehen.

Cookies von Drittanbietern verschwinden vollständig, und das ist gut für die Privatsphäre.

Justin Schuh, Director bei Chrome Engineering, erklärte kürzlich: „Wir planen, die Unterstützung für Cookies von Drittanbietern in Chrome auslaufen zu lassen (und) wir beabsichtigen, dies innerhalb von zwei Jahren zu tun.“ Chrome wird mit den Conversion-Vermarktern beginnen, da sie planen, bis Ende 2020 die ersten Origin-Tests zu starten, beginnend mit der Conversion-Messung und anschließend mit der Personalisierung.

Webkit (Apple Safari) und Chrome (Google) werden dabei helfen, den Browser-Datenschutz voranzutreiben, Apple drängt Google, sich für mehr Datenschutz zu entscheiden, ohne viele der Datenschutzprobleme von iOS-Geldmachern anzugehen.

Ich gehe davon aus, dass sich immer mehr europäische Unternehmen darauf konzentrieren werden, Benutzer dazu zu bringen, sich anzumelden und zu registrieren (hoffentlich nicht mit Google- oder Apple-Diensten) und die Rechtsgrundlage für Verträge anzuwenden.

Das Interesse, die Zustimmung zu optimieren oder einen Vorteil in der Login-Phase zu präsentieren (wie Amazons One-Click) macht deutlich, dass sich der Kampf in Europa nur um Logins drehen wird.

Als Optimierer müssen wir sicherstellen, dass wir auf organisatorischer Ebene alle (Erstanbieter-)Domains bereit haben, um sie mit Browsern zu teilen. Ein Schritt in diese Richtung kann eine Bestandsaufnahme der datenschutzfreundlichen Skripte und Anbieter sein. Gewähren Sie dann diesem Erstanbieter-Cookie Zugriff über Ihre zentrale CNAME-Lösung, während Sie alle datenschutzrelevanten Tools beibehalten (Erstellen von standortübergreifenden Profilen).

Wir werden im Vereinigten Königreich (laut ICO) gesetzlich verpflichtet sein, um Zustimmung zu bitten, aber ich gehe davon aus, dass die CNIL-Richtlinien für Ausnahmen von A/B-Tests und eingeschränkten Analysen den Weg für eine europäische Ausnahme für diejenigen ebnen werden, da dies mit der übereinstimmen würde neue ePrivacy-Verordnung. Ohne sie haben wir nur sitzungsbasierte Analysen und können keine Verbindung zu einzelnen Benutzern herstellen. A/B-Tests mit dem standardmäßigen Monitor auf Benutzerebene und der Conversion-Schleife sind in diesem Fall nicht anwendbar, und wir müssen auf kontinuierliche Verbesserung zurückgreifen, diese Conversion-Verbesserungen überwachen und korrelieren.

Nicht-Europäer können auf die Verwendung von Erstanbieter-Cookies (die von Convert Experiences bereitgestellt werden) getestet werden und sollten mit einer Bestandsaufnahme aller Skripte und Anbieter beginnen, denen die Organisation vertraut, um diese mithilfe von CNAMEs in Subdomains zu bringen. Die Conversions können mit den verschiedenen Click- oder Conversion Attribution APIs verfolgt werden, die entwickelt werden. Vielleicht können A/B-Tests diese für die verschiedenen Variationen anheben und die Konsistenz wahren, wenn Browser nicht dem Denken von CNIL folgen und diese von Cookie-Blöcken ausschließen, obwohl dies in den aktuellen Formaten unwahrscheinlich erscheint. Konsistenz kommt von den vertrauenswürdigen Erstanbieter-Cookies.

Benutzerbasierte Analysen mit Techniken wie isLoggedIn werden wahrscheinlich auf alle Browser ausgeweitet und vereinheitlicht, sodass Datenschutzgesetze die Verantwortung für die Vertragsdefinition auf Browsermechanismen verlagern können. Dies gibt Browsern eine neue Macht. In Kombination mit neuen APIs für Absichtsmessungen, Anzeigenkategorien und Conversion-Tracking ist der Kampf um den größten Browser-Marktanteil und das Angebot der größten Werbenetzwerke der Welt eröffnet.

Interessante Zeiten stehen bevor… Ich hoffe wirklich, dass dieser Artikel Ihnen hilft, Klarheit darüber zu bekommen, wohin Datenschutzgesetze und Browser wahrscheinlich führen werden. Eines ist sicher. Bereiten Sie Ihr Optimierungs- und Analyseteam darauf vor, die Änderungen zu planen, wenn die Zeit gekommen ist (es wird früher sein, als Sie denken).

Haben Sie Fragen? Lassen Sie uns das Gespräch auf LinkedIn fortsetzen.