Werbe-Selbstregulierer: Kein Fingerprinting erlaubt
Ein Selbstaufsichtsorgan der US-Werbewirtschaft sagt, wenn Nutzer sich nicht selbst identifizieren, dürfen deren Geräteeigenschaften nicht ausgeforscht werden.
Das Digital Advertising Accountability Program (DAAP) – ein Selbstaufsichtsorgan der amerikanischen Werbewirtschaft – stellt klar, dass Werbedienstleister keine Geräteeigenschaften heranziehen dürfen, um Nutzern pseudonymisierte ID-Kennungen zuzuweisen. Letztere sind die zentrale Werbung im heutigen Werbegeschäft. Über Third-Party-Cookies und ähnliche Techniken weisen Werbedienstleister Nutzern meist kryptische Kennungen zu, mit denen deren Aktivitäten über tausende Websites und Apps, teilweise auch in Geschäften, verfolgt werden können.
Kennungen nur mit Genehmigung
In einer aktuellen Warnung macht das DAAP darauf aufmerksam, dass es illegitim sei, mehrere Eigenschaften von Nutzern zu kombinieren, um ihnen eine solche eindeutige Kennung zu Werbezwecken zuzuweisen. Die Organisation beaufsichtigt im Auftrag mehrerer Werbeorganisationen die zulässigen Werbepraktiken in den USA und Kanada. Weiterhin möglich ist aber das transparente Zuweisen von Benutzer-IDs.
Das sogenannte "Fingerprinting" hatte sich schon vor über zehn Jahren etabliert. Kurz gefasst: Anhand der Daten, die eine Website vom Browser oder einer App abrufen kann – etwa die installierten Plugins oder verfügbaren Schriftarten – kann ein bestimmtes Gerät oft eindeutig identifiziert werden. Mit den Jahren sind immer neue Parameter hinzugekommen, die zum Fingerprinting herangezogen werden könnten: Etwa der Batteriestand, abgespeicherte Favicons oder die Eigenschaften der eingesetzten Grafik-Chips.
Wettlauf um die ID
Gleichzeitig unterbinden Plattformanbieter wie Apple und Google immer weiter den Zugriff auf diese Daten, Third-Party-Cookies werden immer öfters unterdrückt oder eingeschränkt. Dies führt zu einer Ausweichbewegung der Werbeindustrie, die mit immer neuen Methoden versucht, insbesondere die Blockaden von Apple zu umgehen, statt "Fingerprinting" wird der Begriff "probabilistische Zuordnung" genutzt. Parallel wächst auch der Login-Zwang: Viele Dienste werden nur noch kostenfrei angeboten, wenn Endnutzer ihre Daten zur Werbe-Verarbeitung und Weitergabe freigeben. Initiativen wie Unified ID wollen quasi ein Login-Netz über alle Internetangebote errichten, bei denen die E-Mail-Adresse und Handynummer der Endnutzer verschlüsselt ausgetauscht werden können.
Neben den Einschränkungen durch große Plattformen müssen sich Werbeanbieter auch an immer mehr Gesetze anpassen, die den bisher kaum regulierten Datentransfer mitunter empfindlich einschränken. Hierzu soll die Cross-Border Privacy Rules (CBPR) einen internationalen Mindeststandard bei der Verarbeitung von Werbedaten zu etablieren, der dann nur noch in einzelnen Punkten an nationale Gesetzgebung angepasst werden muss.
(mack)