In einer dreiteiligen Serie werden Sarah Birkhäuser und Martin Krieg auf Basis von Branchenmeldungen und Beschreibungen der Organisationen, die diese Projekte betreiben, die W-Fragen (wer, wie, was, wann, warum, …) zu North Star der WFA, Privacy Sandbox von Google und und Rearc vom IAB Tech Lab beantworten.
Den letzten Teil unserer dreiteiligen Serie bildet das Projekt Rearc vom IAB Tech Lab.
Von Sarah Birkhäuser und Martin Krieg
Das dritte Projekt stellt weniger eine technische Neuentwicklung dar, sondern Konzepte für die Kommunikation zwischen Publisher und AdTech. Also die Frage, wie die verschiedenen ID-Lösungen als Alternative zu Third-Party-Cookies zusammenspielen. Es wird mit Rearc keinen neuen #Identifier geben, sondern Schnittstellen, über die die Anbieter sich austauschen. Dafür schafft das IAB Tech Lab Standards und sorgt auch für die #Compliance, also für die Einhaltung der rechtlichen Vorschriften.
Genau an diesem Punkt starteten wir mit unserer dreiteiligen Serie für die Post-Cookie-Ära:
Datenschutzrechtliche Situation
Mit der Verkündung des Urteils zu „planet49“, am 28.05.2020, hatte der BGH deutlich gemacht, dass § 15 TMG als Umsetzung der Cookie-Richtlinie gesehen werden muss, sofern es um die Verwendung von #Cookies oder ähnlichen Identifiern auf Online-Angeboten geht. Bislang ungeregelt war jedoch der in der Cookie-Richtlinie ebenfalls unter Einwilligungsvorbehalt gestellte Zugriff auf das Endgerät des Nutzers. Obwohl die Bundesregierung seit Inkrafttreten des TMG 2007, d. h. über einen Zeitraum von mehr als 10 Jahren keinen Grund gesehen hatte die bestehende Gesetzgebung zur Online-Messung des Nutzerverhaltens anzupassen, soll nun ein Gesetz beschlossen werden, dass die Cookie Richtlinie vollständig umsetzt.
Das Bundeskabinett hat am 10.02.2021 einen „Entwurf eines Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG)“ zur Lesung im Bundestag eingebracht. Es ist davon auszugehen, dass dieser Gesetzesentwurf noch innerhalb des Jahres 2021 verabschiedet und damit unmittelbar geltendes Recht wird. Das TTDSG fordert zwingend bereits für die Nutzung des Gerätespeichers eines Endgerätes des Nutzers dessen Einwilligung. Hierbei kommt es auf einen Personenbezug der Daten nicht an.
Sofern das TTDSG in der bislang vorliegenden Fassung in Deutschland rechtswirksam wird determiniert dies auch die Zensus-Messung der IVW und die damit die Erhebung der Kennziffern PageImpression und Visit. Eine PageImpression könnte für eine Übergangsphase, bis die ePrivacy-Verordnung mit der Ausnahmeregelung für Audience #Measurement in Kraft tritt, erhoben werden – ein Visit wäre allerdings nicht ermittelbar ohne Platzierung einer Information beim Nutzer.
Abschließend nochmals einen Blick auf eine weitere europäische Regelungen, die das Audience Measurement beeinflussen können. Auszüge aus dem Vorschlag für die Verordnung des Europäischen Parlaments und des Rates zu wettbewerbsfähigen und fairen Märkten im digitalen Sektor (Digital Markets Act) – Article 6:
- (g) Werbetreibenden und Publishern auf Anfrage und kostenlos Zugang zu den Leistungsmessinstrumenten des Gatekeepers und den Informationen zu gewähren, die Werbetreibende und Publisher benötigen, um ihre eigene unabhängige Überprüfung des Anzeigeninventars durchzuführen;
- (i) Geschäftsbenutzern oder von einem Geschäftsbenutzer autorisierten Dritten kostenlos einen effektiven, qualitativ hochwertigen, kontinuierlichen und Echtzeitzugriff und die Verwendung von aggregierten oder nicht aggregierten Daten, die in bereitgestellt oder generiert werden, zur Verfügung stellen den Kontext der Nutzung der relevanten Kernplattformdienste durch diese Geschäftsbenutzer und die Endbenutzer, die sich mit den von diesen Geschäftsbenutzern bereitgestellten Produkten oder Dienstleistungen beschäftigen; Stellen Sie für personenbezogene Daten nur dann Zugriff und Nutzung bereit, wenn dies in direktem Zusammenhang mit der Nutzung durch den Endbenutzer in Bezug auf die Produkte oder Dienstleistungen steht, die der betreffende Geschäftsbenutzer über den relevanten Kernplattformdienst anbietet, und wenn sich der Endbenutzer für eine solche Freigabe entscheidet mit Zustimmung im Sinne der Verordnung (EU) 2016/679;
- (j) Drittanbietern von Online-Suchmaschinen auf Anfrage Zugang zu fairen, angemessenen und nicht diskriminierenden Bedingungen für das Ranking, die Abfrage, das Klicken und das Anzeigen von Daten in Bezug auf kostenlose und bezahlte Suche zu gewähren, die von Endbenutzern am erstellt wurden Online-Suchmaschinen des Gatekeepers, vorbehaltlich der Anonymisierung für die Abfrage, klicken und anzeigen Daten, die personenbezogene Daten darstellen.
Wer steckt dahinter?
Das IAB Tech Lab, welches seit August 2020 auch die technischen Standards der branchenübergreifenden Initiative „Partnership for Responsible Adressable Media“ überwacht, zu der unter Anderem auch der Verband der nationalen Werbetreibenden (ANA) gehört. IAB Tech Lab Präsident Dennis Buchheim beschreibt das Projekt Rearc dabei als Grundlage für die „nächste Generation der Adressierbarkeit“. Sein formuliertes Ziel: die „Privatsphäre als auch das werbe- basierte Geschäftsmodell schützen, das die digitale Wirtschaft unterstützt.“
Was ist das?
Ein neuer Standard für Werbetreibende ihre Zielgruppe zu erreichen – quasi die Restrukturierung der Internetwerbung. Tracking soll damit datenschutzkonform werden. Identifier als Cookie-Ersatz sollen die Antwort auf die Abschaffung der Third-Party-Cookies sein und den datenschutzrechtlichen Änderungen und Geräte-Identifieren, die die Privatsphäre der Nutzer und das Ausspielen von personalisierter Werbung beeinflussen, entgegenwirken. „Rearc“ steht dabei für „Rearchitect“ und spielt auf die Umgestaltung der Prozesse in der Digitalwerbung an.
Wer sind die Kooperationspartner?
Die European NetID Foundation unterstützt das Projekt mit ihren Erfahrungen aus den Launches des netID Single Sign-ons und der Consent-Produkte netID Professional und netID Enterprise. Die strategische Allianz stellt die Kompatibilität dieser Produkte mit den technischen Standards und Programmen sicher, die im Rahmen des Project Rearc entwickelt werden. „Die bereits entwickelten Lösungen dienen als wichtiger Input“, so Dennis Buchheim, Präsident des IAB Tech Lab. Denn die beiden Consent-Produkte bieten Unternehmen ein rechtskonformes Einwilligungs-Management und können – gemeinsam mit dem netID Single Sign-on – mit allen gängigen Consent-Management-Providern kombiniert werden, die das Transparency and Consent Framework 2.0 (TCF 2.0), den neuen Industrie Standard des IAB Europe und des Tech Lab, unterstützen. Auch nachhaltige Compliance-Regeln sollen für die Verwendung von Nutzerdaten im weltweiten Online-Marketing definiert werden. Laut Buchheim werden großen Marken, Agenturen, Verlage und Technikkonzerne an der neuen Identifikations-Lösung arbeiten, bei der die Privatsphäre im Vordergrund steht. Regierungen, Datenschutzbehörden oder andere Organisationen seien hingegen nicht dabei.
Was ist das Ziel?
Weltweit gültige technische Standards: Ein offenes, adressierbares und nachhaltiges Internet, das Verbraucher und Unternehmen weltweit über Geräte und Kanäle hinweg unterstützt. Digitalmarketing soll datenschutzkonform werden. Das heißt, das #Tracking und #Datenschutz im Einklang funktionieren sollen.
Nach dem Ende der Dritt-Anbieter-Cookies soll die Adressierbarkeit von Marketingmaßnahmen im internationalen Branchenkonsens vor allem personalisierte Werbung im Web ermöglichen. Im Fokus der Nutzer steht die Kontrolle und Transparenz über die Verwendung seiner Daten und die Einhaltung aller regionalen rechtlichen und technischen Vorgaben. Für Werbungtreibende, Publisher und E-Commerce-Anbieter geht es um Unabhängigkeit und Neutralität.
Die IAB wirbt für das Projekt mit dem Vorhaben, Privatsphäre, Personalisierung und die Gemeinschaft harmonisieren zu wollen. Letztlich kann man das Projekt auch als Entgegenwirken zum Google-Ansatz wahrnehmen.
Was wird gemacht?
Identifier statt Cookies: Im Kern soll das Tracking durch Dritt-Anbieter-Cookies durch eine Art Nutzerkennung (IDs) ersetzt werden, die beispielsweise auf der Telefonnummer oder der E-Mail-Adresse einer Person basieren soll. In der Praxis würde das einen einheitlichen bzw. universellen Login auf den unterschiedlichsten Websites erfordern.
Im Vordergrund des Projekt stehe die Privatsphäre, so IAB-Tech-Lab-CEO Buchheim: „Die Third-Party-Cookies-Situation hat einen unordentlichen und angsteinflößenden Marktplatz geschaffen, der auf der Sammlung und Nutzung persönlicher Daten beruht und der vielen Menschen Angst einjagt, weil sie diese nicht verstehen und nicht kontrollieren können. […] Der bevorstehende Tod des Cookies von Drittanbietern ermöglicht es uns, all dies zu beheben.“ So könne man in mehreren Stufen dafür sorgen, dass die E-Mail-Adresse hinter der ID nicht identifizierbar ist. Eine verschlüsselte Adresse oder Telefonnummer könne dann auf den auch bisher genutzten Wegen weitergeleitet werden – vom Publisher zu Einkaufs- (SSP) und Verkaufsplattformen (DSP). Die Technologie müsse allerdings erst noch entwickelt werden.
Das Prinzip erinnert stark an das Produkt, das mit der NetID in Deutschland entwickelt wurde: Der Login-Standard netID bietet eine datenschutzkonforme Authentifizierung von Nutzern sowie deren geräteübergreifende Kontrolle über die Datenverwendung. Wie bei der Idee der deutschen Medienanbieter (netID), soll auch das Projekt Rearc am Ende sicherstellen, dass die Verbraucher bis zu einem gewissen Grad die Kontrolle behalten: Nutzer sollen bestimmte Datenschutzeinstellungen vornehmen können, an die sich die Werbeindustrie anschließend halten soll (zentrale Anlaufstelle für die Privatsphäre- Einstellungen jedes einzelnen Nutzers, mittels der ein User die Kontrolle über den Datenfluss an die Marktteilnehmer behält). „Für diese Zusammenarbeit müssen Branchenführer aus der Marken-, Agentur-, Publisher-, Plattform- und Technologiebranche zusammenarbeiten und die Anforderungen der Verbraucher nach Personalisierung und Datenschutz durch Verhaltensstandards, Verhaltenskodizes, rechtliche Vereinbarungen und unterstützende Technologien erfüllen.“, so Buchheim.
Was meint die Branche?
Kann ein solches Werkzeug datenschutzkonform sein? Welche weitergehenden Informationen werden mit der ID verknüpft? Wie weitreichend könnte sie eingesetzt werden? Dass neue Entwicklungen nötig sind, darin sind sich alle einig. Doch Tracking-Cookies in Browsern sind ein bekanntes Thema und Datenschützer kritisieren das Datenhamstern (Tracking-Cookies in Browsern) der Werbetreibenden schon länger. User werden durch die Cookies wiedererkannt und „getrackt“, daher auch der alternative Name Tracking-Cookies. Anonymität und Privatsphäre werden durch sie beschnitten. Ohne dass der User es überhaupt bemerkt.
Da die Telefonnummer oder auch E-Mail lediglich als Identifikationsmerkmal dienen können, ist noch lange nicht geklärt, wie die Infrastruktur um den Datenfluss in der Kette herum aufgebaut sein könnte. Der IAB-Ansatz scheint nur eine Übergangslösung zu sein, fragwürdig bleibt auch, wie die geräteübergreifende Identifikation der User funktionieren soll. Zudem müssten Nutzer ihre Daten erst selbst aktiv angeben (Mail-Adresse oder Telefonnummer). Daraus ergeben sich vor allem für Webseitenbetreiber und Werber mit einem kleinen Kundenkreis oder einem, der aus nicht angemeldeten Usern besteht, Probleme. Webseiten mit einer Paywall, die schon viele Nutzerdaten gesammelt haben, profitieren hingegen (…). Dieser Druck könnte dazu führen, dass mehr Betreiber ihren Webseiten eine Bezahlschranke hinzufügen. Und das wiederum könnte dazu führen, dass diese Webseiten User verlieren, (…). Eine Zwickmühle.
Ob Identifier in dieser Form die Third-Party-Cookies auf Dauer ersetzen können bleibt unklar. Zumal es schon jetzt Kritik hagelt. Denn auch die Identifier reizen den Rahmen der DSGVO empfindlich weit aus. Es wird Kreativität gefragt sein.
Wie könnte es sich auf den deutschen Werbemarkt auswirken?
Das Projekt ist die Antwort der Werbetreibenden auf die Abschaffung der Third- Party-Cookies. Andere Browser wie Firefox und Safari bieten bereits seit vergangenem Jahr die Option, das Tracking durch dritte Parteien über den Browser zu unterbinden. Google will die kritisch beäugten Cookies in eine Sandbox sperren.
Laut OMG werden die Browser-Hersteller zum Gatekeeper der Privacy Einstellungen seitens der Nutzer. Gerade kleinere Webseitenbetreiber, die Schwierigkeiten haben, User-Daten zu sammeln, könnten sich so gezwungen sehen, sich mit Werbenetzwerken zusammenzuschließen. Das zumindest suggerierte ein anonymer Mitarbeiter eines Storage-Service-Providers gegenüber Digiday. Das Problem: Werbenetzwerke seien oft intransparent und es sei nicht immer eindeutig, wo genau eine Werbung ausgespielt werde. Für Brand Advertiser sei das unpraktisch, weil der Kontext, in dem ihre Werbung erscheint, wichtig ist. Für Performance Advertiser könne der Schritt zurück zu Werbenetzwerken jedoch durchaus attraktiv sein, weil sie sich um den Kontext, in dem ihre Werbung gezeigt wird, weniger sorgen machen.
Was bedeutet es für Deutschland (JICs)?
Die Tatsache, dass die zunächst vorgebrachte Lösung der NetID ähnelt, beweist, dass wir auf nationaler Ebene in der Frage schon weiter vorangekommen sind.
So kommentiert Sven Bornemann, Vorstandsvorsitzender der European NetID Foundation, das Projekt selbstbewusst: „Das ‘Project Rearc’ ist ein weiterer Beleg für das Ende der Third-Party Cookies. Faktisch steht die Initiative allerdings noch ganz am Anfang. Standards werden jetzt erst gemeinsam mit der Industrie erarbeitet.“
Immerhin sind die entsprechenden Strukturen auf Verbandsebene geschaffen und eine erste Idee liegt vor. Jetzt ist es an der Branche selbst, aktiv zu werden.
Was bedeutet es für Europa?
Einen neuen Identifikationsstandard für die Online-Werbung einzuführen, der international funktioniert, ist ein Mammut-Projekt, an dem man sich scheinbar sogar auf höchster Ebene die Zähne ausbeißt. Denn inwieweit die DSGVO dabei eingehalten wird, sei noch völlig offen, so Bornemann (NetID): „Mit NetID haben wir bereits einen datenschutzkonformen Login-Standard, der schon jetzt europaweit einsatzbereit ist.“ Offen bleibt jedoch auch hier, ob die Aufklärung der Endverbraucher so erfolgreich sein kann, dass sie einen Anreiz sehen, um sich universell einloggen. Schließlich durchschauen die wenigsten die komplexen Prozesse im Online Advertising und verstehen die Cookie-Problematik, mit der sich die Branche konfrontiert sieht.
Wie ist der aktuelle Stand?
Das Projekt wirkt bisher eher wie eine Absichtserklärung: Mehr als eine grob skizzierte Idee steckt dahinter aber bislang nicht. Vonseiten des Verbandes sind nur die Forderungen an den Markt klar, wobei die konkrete Lösung schwammig bleibt.
IAB-CEO Rothenberg gab den IAB-Mitgliedern fünf Tipps mit auf den Weg, um die Suche nach der Lösung voranzutreiben:
- Der Chief Data Officer eines jeden Mitgliedsunternehmens tritt der Arbeitsgruppe des Project Rearc bei. Falls kein CDO vorhanden ist, wird jetzt einer eingestellt.
- Der CTO oder Chief Product Officer, besser beide, treten dem IAB Tech Lab bei und unterstützen die Arbeit des Labs mit ihren Teams.
- Die Unternehmen verpflichten sich den Best Practices und technischen Standards, die aus dem Projekt geboren werden. Insbesondere Marken und Agenturen sind damit gemeint, da sie das Geld mit in das Ökosystem einbringen und somit eine gewichtige Stimme haben.
- Die Best Practices und Standards werden in Prozesse und Verträge eingearbeitet. Business wird nur mit Unternehmen gemacht, die sich daran halten.
- Das Project Rearc ist Chef-Sache und wird an die CEOs herangetragen.
Wie kann die IVW sich positionieren?
Die IVW kann sich nur schwer im Projekt Rearc positionieren, da es sich hier um eine Standardisierung beim Zusammenspiel von Identifiern zwischen Publishern und Werbetreibenden geht. Auch hier spricht vieles dafür, dass eine Organisation die Einhaltung dieser Standards prüft, allerdings nicht im klassischen Sinne einer IVW-Prüfung von erhobenen Nutzungsdaten, sondern iim schon mehrfach beschriebenen Sinne einer Zertifizierung der Standards, wie es bspw. ein MRC macht.
Diese Zusammenfassung basiert größtenteils auf Branchenmeldungen, aktuellen Artikeln und Beschreibungen der Organisationen, die diese Projekte betreiben. Da die zusammengetragenen Passagen teilweise kopiert wurden, haben wir die Quellen im Text verlinkt.
Zum Abschluss dieser dreiteiligen Serie können Sie sich hier die gesamte Recherche zu den drei Projekten North Star, Privacy Sandbox und Rearc als PDF-Zusammenfassung herunterladen.
