1. Situation
Der US-Konzern Oracle will nach eigenen Angaben keine Nutzerprofile von europäischen Kunden verarbeiten. Dieser Entscheidung ging eine immense Schutzverletzung von personenbezogen Daten voran. Das Datenleck enthüllte ein umfassendes Trackingnetzwerk mit detaillierten Nutzerprofilen inkl. Surfverhalten, das hauptsächlich von der Oracle-Tochter Blukai zusammengetragen wurde. Databroker wie Blukai arbeiten dabei mit Webseiten zusammen, auf denen ihre Trackingtechnik eingebunden wird.
Diese Datensammlungen bilden die Basis, wenn es darum geht, personalisierte Werbeanzeigen im Internet auszuliefern. Der Begriff personalisiert oder sein Synonym relevant sind kein Ausdruck von Wertschätzung gegenüber der jeweiligen Werbezielgruppe – der Nutzer ist noch nicht einmal das Mittel zum Zweck, sondern vielmehr dessen Daten. Es sind Marketingetiketten für eine Form von BigData, die Produkte wie Real Time Bidding (RTB) oder Retargeting an den Werbekunden bringen. Kaum ein Online-Werbeverkauf der ohne »Programmtic Advertising« getätigt wird.
Ich weiß, die Hälfte meiner Werbung ist hinausgeworfenes Geld. Ich weiß nur nicht, welche Hälfte.
Quelle: Henry Ford zugeschrieben
Die Vermeidung von Streuverlusten und Werbewirksamkeit. Das sind zwei entscheidende Prämissen des zahlenden Werbekunden. Er möchte sein Produkt nur bei relevanten Zielgruppen bewerben und die Gewissheit, dass sein Werbebudget effektiv eingesetzt wird. Das ist nichts Neues, allerdings befeuert Big Data die Kundenerwartungen. Die Menge an Daten und die Geschwindigkeit, in der diese Daten entstehen, sorgt für immer exaktere Nutzerprofile – zum Vorteil des Werbekunden.
Gastbeitrag von lacrosse
Lacrosse ist betrieblicher Datenschutzbeauftragter in der Konzerndatenschutzorganisation einer deutschen Unternehmensgruppe. In seiner Freizeit engagiert er sich ehrenamtlich, um gemeinnützigen Vereinen bei der Umsetzung der DSGVO zu helfen.
Feedback und Fragen können direkt an ihn gerichtet werden. Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.
2. Ungewöhnlich nur auf den ersten Blick
Das technische Prinzip sei kurz und allgemein erklärt: Bei Real Time Bidding wird in Echtzeit auf sogenannte Ad Impressions geboten und zwar anhand von Nutzerprofilen, -verhalten, Zielgruppensegmenten usw. Je mehr man über den Nutzer weiß, desto wertvoller die Ad Impression. Die fatale Grundlogik von Big Data wird auch hier deutlich: »Mehr Daten sind immer besser«.
Der Zusammenhang von RTB und eCommerce mag ungewöhnlich erscheinen. Gewöhnlich erwartet man solcherlei auf Webseiten, die sich über Werbeplatzvermarktung finanzieren und ihr Werbeinventar möglichst effektiv verkaufen möchten – dies ist im Grundsatz für die Anbieter-Seite auch richtig.
Webshop-Betreiber, auf der Nachfrageseite, optimieren mit dieser Technik ihre Werbeausgaben, wenn sie Besucher mittels Retargeting erneut werblich ansprechen möchten – um sozusagen einen Interessenten in einen Kunden umzuwandeln. Mit Produkten wie Predictive Bidding und Retargeting wird so der Kauf von Werbeplätzen auf anderen Webseiten optimiert.
It enables you to accurately target and re-engage your customer base with dynamic paid display ads across web, mobile browsers, and apps.
Quelle: Criteo-Webseite Audience Match
D.h. Werbeplätze werden nur dann gekauft, wenn z.B. der Preis eines Produkts (für das sich ein Verbraucher interessiert hat) in Relation zu den Kosten steht. Auch Nutzersegmente, Nutzerverhalten oder Wahrscheinlichkeitswerte – beispielsweise die Wahrscheinlichkeit, ob ein Interessent ein Produkt kaufen wird – können eine Rolle spielen.
3. Nutzer-Markierung
Nach dem Planet49-Urteil (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II) wird zwar allzu oft von der Cookiekalypse geschrieben, dennoch ist das Tracking mittels Cookies nach wie vor weit verbreitet. Allerdings ist Reichweite – auch in Form von Datenanreicherung und somit Datenaustausch – ein wesentlicher Faktor, um in der komplexen und globalisierten Wertschöpfungskette der Internetwerbewelt wirtschaftlich erfolgreich zu sein.
Man ahnt es schon, auch hier gilt: »Mehr ist immer besser«.
Cookies wiederum (und damit die im Value von Tracking-Cookies enthaltenen Onlinekennungen) können, aufgrund der Same Orgin Policy, nur an den Webserver übermittelt werden, der sie gesetzt hat. Um die Costumer Journey auch auf andere Webseiten nachverfolgen zu können, werden daher die Online-Kennungen verschiedener Tracking-Cookies in Matching-Datenbanken zusammengeführt. Das Ergebnis ist ein Netz aus Identifiern.
Quelle: Chrome-Erweiterung Orbis Eye – Hervorhebung durch den Autor
In obigem Überblick sehen wir die Drittverbindungen, die ein Besuch von nur zwei eCommerce-Seiten mit sich bringen kann. Ein großer Teil der Schnittmenge ist das Ergebnis eines Cookie-Matchings. Auf einigen eCommerce-Seiten fand sich dieses Cookie-Matching zum Zwecke des Retargeting, das am Beispiel des Criteo-Trackingcookies »uid« erläutert werden soll. Wir müssten nun eigentlich mit der Rechtsgrundlage beginnen, unter der dieser Cookie gesetzt werden darf. Insbesondere das Planet49-Urteil (Urteil vom 28. Mai 2020 – I ZR 7/16 – Cookie-Einwilligung II) hat gezeigt, dass gute Gründe für das Einholen einer Einwilligung bei einem Retargeting-Cookie sprechen. Das bringt uns unweigerlich zum Thema Consent-Banner und Opt-Out-Funktionen. Dies hier zu behandeln, würde den Umfang des Beitrags sprengen. An dieser Stelle nur so viel: Kaum ein Consent-Banner oder eine Opt-Out-Funktion entsprach wirklich den Anforderungen.
Vorneweg sei geklärt, dass »uid« dem Nutzer eine eindeutige Online-Kennung zuordnet – entgegen teilweise anderslautender Angaben in Cookie-Richtlinien oder Datenschutzerklärungen, dass »uid« anonyme Daten erhebe. Dies wird zunächst allgemein durch Criteo selbst erklärt :
[…] Does Criteo collect anonymous data? No. Criteo collects pseudonymous data, […]
Wir kommen im Laufe des Beitrages noch einmal auf die Online-Kennung zurück. Zunächst erklären wir allgemein und vereinfacht, wie die »Nutzer-Markierung« funktioniert. Meist ist auf den Webseiten ein JavaScript eingebunden, das ausgelöst wird, sobald ein bestimmtes Produkt auf der Webseite angeklickt wurde. Teils mussten mittels Consent-Banner auch alle Cookies akzeptiert werden, wobei in manchen Fällen »uid« bereits ohne Interaktion mit dem Consent-Banner gesetzt wurde. Der Prozess wird meist durch ein 1×1 großes transparentes Tracking-Pixel initiiert.
https://sslwidget.criteo.com/event?[...]
In obigem Skript sind diejenigen Drittanbieter enthalten, deren Cookies mit dem Criteo-Cookie »uid« synchronisiert werden sollen. Ein Beispiel aus dem Code, bei dem die Criteo-»uid« mit dem Real-Time-Bidding-Anbieter Taboola verknüpft wird:
Quelle: Chrome-Erweiterung Orbis Eye – Hervorhebung durch den Autor
Quelle: Skript der Firma Criteo. Anmerkung: Die Criteo-»uid« weicht in nachfolgenden Screenshots ab, da es sich um einen neuen Durchlauf mit geleertem Browser-Cache handelt. Sie ist für die weiter unten dargestellte Cookie-Matching-Auflistung identisch. Die Schwärzung erfolgte, da es sich um eine Online-Kennung handelt.
Die Online-Kennung des »uid«-Cookies fungiert dabei als zentraler Identifier. Mit dieser Kennung werden die Kennungen der übrigen Cookies verknüpft.
Quelle: Chrome-Browser-Entwicklerwerkzeuge. Die Schwärzung erfolgte, da es sich um eine Online-Kennung handelt
Mittels Browser-Entwicklerwerkzeugen oder einer entsprechenden Browser-Erweiterung, kann die »uid« Online-Kennung im Value des Cookies festgestellt werden. Eine Abfrage bei Criteo bestätigt, dass es sich keinesfalls um eine anonyme Datenerhebung handelt.
Quelle: Abfrage https://info.criteo.com/mycriteoid. Die Schwärzung erfolgte, da es sich um eine Online-Kennung handelt.
Eine nicht abschließende Aufstellung listet beispielhaft einige Akteure, deren verknüpfte Cookie-Kennungen sowie weiterführende Informationen auf.
Quelle: Selbst erstellte Übersicht des Autors. Die Schwärzung erfolgte, da es sich um Online-Kennungen handelt. Die Kennungen weichen von obigen Beispielen ab, da es sich um einen neuen Durchlauf mit geleertem Browser Cache handelt.
Auf einigen Webseiten findet durch das Criteo-Skript eine Verknüpfung von über zwanzig Onlinekennungen statt. Allerdings setzt nicht jedes Unternehmen nur einen Cookie, sondern teilweise mehrere. Eine Unbekannte ist zudem, wie Unternehmensgruppen die Informationen konzernintern verwenden In obiger Auflistung findet man beispielsweise Cookies von Advertising.com und Yahoo. Beide gehören zu Verizon Media.
4. Offensichtlich
Die offenkundigste Nutzererfahrung beim Besuch eines Publishers, wie z.B. einer Nachrichtenseite, ist, dass der Webseiten-Besucher eine »relevante« Werbung sieht. Natürlich gibt es auch Unterschiede im Detail. Auf der Publisher-Hauptseite – dem Premiuminventar – wird man RTB-Werbeslots vermutlich eher selten finden.
Quelle: Chrome-Browser. In der roten Markierung (Tab) ist die Produktauswahl erkennbar. Die Orange Markierung zeigt die Werbeauspielung beim Besuch der Publisher-Seite.
Wird ein Nutzer von einem besuchten Onlineshop markiert – wie im Bild gezeigt – und surft anschließend beispielsweise eine bekannte Nachrichtenseite an, kann man eine entsprechende Werbeausspielung auf den Unterseiten feststellen. Zu beachten (Markierung) ist die Verknüpfung zwischen Produktauswahl und anschließender Produktpräsentation zum Zwecke des Retargetings.
5. Hintergründig
Die Datenerhebungen, die mit den Nutzermarkierungen einhergehen, finden im Hintergrund statt – sie sind für den Nutzer kaum erkennbar. Zunächst ist natürlich die Nutzerverfolgung über Webseiten hinweg zu nennen. D.h. für jeden Akteur des Identifier-Netzwerkes ist der Nutzer identifizierbar.
Quelle: Onlineshop aufgerufen mit den Chrome-Browser-Entwicklerwerkzeugen. Die Schwärzung erfolgte, da es sich um eine Online-Kennung handelt. Die Kennungen weichen von obigen Beispielen ab, da es sich um einen neuen Durchlauf mit geleertem Browser Cache handelt.
Quelle: Publisher-Seite aufgerufen mit den Chrome-Browser-Entwicklerwerkzeugen. Die Schwärzung erfolgte, da es sich um eine Online-Kennung handelt. Die Kennungen weichen von obigen Beispielen ab, da es sich um einen neuen Durchlauf mit geleertem Browser Cache handelt.
Natürlich erhalten alle Akteure Geräte- und Verbindungsdaten, sprich IP-Adresse, Gerätetyp, Betriebssystem – und -version, Browsertyp, Sprach- und Bildschirmeinstellungen usw. Nun muss man sich vergegenwärtigen, dass im Internet meist jeder Inhalt über eine Identifikationsnummer verfügt. Publisher-Seiten (und Unterseiten) sind kategorisiert und die Produkte von Onlineshops katalogisiert. Mit dem Referrer und der URL wandert die Kenntnis, was genau ein Nutzer sich angesehen hat, an das Identifier-Netzwerk (u.U. ebenso an den Webshop). Dies schafft die Grundlage für eine anschließende Nutzer-Segmentierung.
6. Du kommst auf meine Liste
Wer sich ein Bild von Umfang und Art der Segmente machen möchte, dem sei ein Blick in die Taxonomy 2.1 des Interactive Advertising Bureau (IAB) empfohlen. Falls bei der Lektüre das Kürzel »SCD« auffällt, dies steht für Special Catagory Data oder besondere Arten von personenbezogenen Daten nach Art. 9 DSGVO.
Sexual Conditions / Medical Health / Diseases and Conditions / Sexual Health
Quelle: IAB Taxonomy 2.1. Siehe Link oben
Die Hintergründe dazu und zur Untersuchung der britischen Datenschutzaufsicht (ICO): siehe IAB-Blog, Antwort des IAB auf den ICO-Report. Die vorherigen Taxonomy-Versionen sind hier abrufbar. Man fragt sich, wie viele Nutzerprofile noch alte Audience-Zuordnungen haben?
Quelle: Online-Shop aufgerufen mit den Chrome-Browser-Entwicklerwerkzeugen. Das Beispiel zeigt ein Cookie-Matching mit einem Google-Double-Click-Cookie und personenbezogenen Daten nach Art. 9 DSGVO.
Auch die Art und Weise, wie die Daten erhoben werden, spielt eine Rolle. So ist es ein Unterschied, ob die Daten vom Betroffenen selbst aktiv angegeben werden oder sich aus seinem Verhalten ableiten.
[…] if a user visits a baby supplies website the system may assume the user has a baby. However, this inference may be incorrect in the case that the user is actually a grandparent or friend purchasing supplies for the true new parents. Accordingly, systems usually look for repeated patterns of activity to increase the accuracy of their inferences. […]
Quelle: IAB Data Lexicon. Siehe Link oben. Hervorhebung durch den Autor
Aus dem Nutzerverhalten abgeleitete (inferred) Daten – ohne Kenntnis das dahinterliegenden Mechanismus – sind für den Nutzer eine Blackbox. Er weiß weder, wer welche Daten nach welchen Maßstäben ableitet, noch welche Auswirkungen diese Daten haben könnten. Man beachte auch dort das Prinzip: Mehr ist immer besser (siehe Hervorhebung).
Unterstütze den Blog mit einem Dauerauftrag!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
7. Nachholbedarf beim Datenschutz
[…] Overall, in the ICO’s view the adtech industry appears immature in its understanding of data protection requirements. […]
Quelle: Britische Datenschutzaufsicht (ICO)
Man kann die Verarbeitungstätigkeit als datentechnisch umfangreich beschreiben, denn jeder Webseiten-Besuch, bei dem besagtes Skript zum Einsatz kommt, vergrößert das Wissen über den Nutzer. Was wissen wir aber über diejenigen, die dieses Wissen sammeln und daraus Zielgruppensegmente und Online-Werbeprodukte extrahieren? Die simple Frage »Wer weiß was über mich?«, kann ein komplexes, intransparentes System nicht beantworten – die Frage ist vielmehr ein Störfaktor.
It is (and always has been) the responsibility of companies themselves to be aware of any and all relevant laws and regulations, and to adjust their platforms and practices to be compliant.[…] OpenRTB represents protocol, not policy.
Quelle: Report from Dr. Johnny Ryan –Behavioural advertising and personal data: Antwort des Interactive Advertising Bureau (IAB) vom September 2018 »Feedback on the beta OpenRTB 3.0 specification«
Denn für eine Antwort müsste ein Nutzer jederzeit wissen, wem er diese Frage stellen muss, sprich wer der Verantwortliche ist.
Eine weitere kritische Frage ist die der Gültigkeit von Einwilligungen, wenn es sich um »besondere Arten personenbezogener Daten« nach Art. 9 DSGVO handelt. Denn zunächst muss sich die Einwilligung ausdrücklich, neben den Anforderungen (Freiwilligkeit, Informiertheit, Eindeutigkeit sowie ggf. Formerfordernisse usw.) in Art. 7 DSGVO, auf die Verarbeitung sensitiver Daten beziehen.
Des Weiteren ist die Aufzählung in Art. 9 (1) DSGVO nicht statisch, denn sie betrifft auch Daten, aus denen sensitive Daten mittelbar hervorgehen können. Damit dürften auch abgeleitete sensitive Daten selbst sowie die Datensätze, aus denen sie abgeleitet werden, betroffen sein.
Ein oft übersehener Punkt ist, inwieweit die Profilbildung mit dem ursprünglichen Zweck der werblichen Wiederansprache überhaupt vereinbar ist (und eine Einwilligung dies umfasst). Ist dem nicht so, handelt es sich um eine Zweckänderung nach Art. 6 (4) DSGVO. Technisch mag die Profilbildung für eine individuelle Werbeansprache erforderlich sein. Allein das mag die Verarbeitung aber noch nicht zu rechtfertigen, da insbesondere die Kombination von Taxonomie-Elementen noch weitere persönliche Merkmale erschließbar machen könnten. Auch eine Weiterverarbeitung durch die beteiligten Akteure sowie die Anreicherung mit anderen Datensätzen ist nicht ausgeschlossen.
Hieraus ergibt sich auch eine Schnittmenge datenschutzrechtlicher Fragestellungen. Sofern die Datenverarbeitung umfangreich ist sowie der Profilbildung dient – also das Bewerten und Einstufen umfasst – , den Abgleich und das Zusammenführen von Datensätzen beinhaltet und persönliche oder höchst vertrauliche Daten (besondere Kategorien personenbezogener Daten) betrifft, bedarf sie einer Datenschutz-Folgeabschätzung (DSFA) nach Art. 35 DSGVO. Und zwar schon dann, wenn nur zwei der Kriterien (nicht abschließende Aufzählung aus dem WP248) erfüllt sind.
[…] Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, muss der für die Datenverarbeitung Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist […].
Quelle: WP248 Rev.01 der Artikel-29-Gruppe, durch EDSA angenommene und überarbeitete Version
Wie dargestellt ist die Datenverarbeitung umfangreich, auch wenn der Begriff in der DSGVO nicht genau definiert ist. Aus ErwG 91 Satz 1 DSGVO ergeben sich zutreffende Hinweise (große Mengen, große Zahl von Personen, geografische Ausmaße).
Die Profilbildung oder das Bewerten und Einstufen umfasst nach ErwG 71 DSGVO Verarbeitungstätigkeiten, die Erkenntnisse über
[…] wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen […]
liefern. Dies trifft laut WP 248 beispielsweise zu, wenn
[…] ein Unternehmen, das anhand der Nutzung seiner Website bzw. der Navigation der Website durch die Nutzer Verhaltens- oder Marketingprofile erstellt.
Anhand dieser beiden Punkte wird bereits deutlich, dass der Vektor in Richtung einer DSFA geht. In Bezug auf das Zusammenführen von Daten sei hier kurz an Criteos Shopper Graph erinnert.
Die Durchführung einer DSFA führt unweigerlich wieder zu einem Kernpunkt. Wer ist / Wer sind die Verantwortlichen? Man kann sich der Beantwortung dieser Frage (wie im Facebook-Pixel-/ Fashion-ID-Urteil des EuGH) annähern, indem man die Verarbeitungen in verschiedene Phasen unterteilt und so die unterschiedlichen Akteure und Datenverarbeitungen erkennt. Allerdings war verschiedenen Datenschutzerklärungen oftmals zu entnehmen, dass lediglich weisungsgebundene Auftragsverarbeitungsverhältnisse mit Dienstleistern vorlägen. Wie gezeigt ist dies bei den skizzierten Verarbeitungstätigkeiten unwahrscheinlich. Viel eher scheint es sich um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu handeln – wie auch Criteo einräumt.
[…] What is the role of Criteo, as defined by GDPR? Criteo acts as co-data controller, together with our clients. […]
Quelle: Criteo-Webseite
Gewisse Wirtschaftsverbände (darunter das IAB Europe) vertraten 2019 die Ansicht, es sei, angesichts der gescheiterten Verhandlungen der E-Privacy VO, an der Zeit für »Rethink Privacy«. Statt der Aufforderung, das Grundrecht auf Privatsphäre neu zu denken, wäre es allerdings dringend geboten, das geltende Recht (DSGVO) und die daraus resultierende Rechtsprechung erst einmal umzusetzen. Lässt man das Vorgefundene Revue passieren, ist man davon aber offenbar noch meilenweit entfernt. Wen würde es überraschen, wenn Brancheninsider ausschließlich mit AdBlocker surfen? Es würde wohl auch peinlich werden, wenn ein Kollege oder Vertragspartner einen Blick in bestimmte Datenbanken werfen würde? Die Taxonomie-Kategorien lassen herzlich grüßen. Angesichts dessen, ist es daher an der Zeit, dass die Online-Branche endlich Verantwortung übernimmt. Und das nicht zuletzt schon aus purem Selbsterhaltungstrieb.
Online-Shops sind quasi öffentlicher digitaler Raum und damit für jeden mit etwas Fachkenntnis einsehbar. Das technische Verhalten einer Webseite kann damit jederzeit geprüft und dokumentiert werden – das vorgefundene Verhalten kann mit der Datenschutzerklärung des Shops verglichen werden. Dies sind keine guten Voraussetzungen, um nach dem Grundsatz zu agieren, dass schon niemand allzu genau hinsehen wird.
Bildquellen:
Cookie[s]: Freepik from www.flaticon.com is licensed by CC 3.0 BY
Über den Autor | Gastbeitrag
Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
eBay Kleinanzeigen: Datenschutz: Was letzte Preis? – App-Check Teil3
Der TC-String des Interactive Advertising Bureau (IAB) – Teil2
DB Navigator: Datenschutz fällt heute aus – App-Check Teil1
Firefox: First Party Isolation – Firefox-Kompendium Teil4
Tracking-Wettrüsten: Das CNAME-Cloaking
4 Ergänzungen zu “Cookie-Matching: Retargeting bei Online-Shops”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Das Retargeting anhand der Cookies ist hier sehr schön ausgeführt und nachverfolgt am Beispiel des cookie matchings. Vielen Dank dafür lacrosse.
Man sollte dabei aber nicht vergessen, daß das Retargeting anhand der cookies lediglich eine Säule von vielen ist, die Hand in Hand mit anderen Techniken einhergeht um ein retargeting möglichst „feingranuliert“ zu ermöglichen.
Daher ist das verweigern der Annahme von cookies oder das blocken von scripten dieser alleine nicht aussreichend um eine Nachverfolgung zu unterbinden.
Um ein retargeting möglichst effizient zu realisieren,bedienen sich die Werbeanbieter (bitte nicht mit dem werbekunden verwechsen) nicht nur des Retargeting anhand der Cookies, sondern u.a. auch grob erwähnt
– dem IP-targeting
Wiedererkennung durch die IP-adresse.Feingranuliert auch lokal- und ortsbezogen. Wer mal in einer WG gewohnt hat und Amazon- und ebay Seiten aufgerufen hat, der weiß, was das bedeutet ;-)
– social Media und accountbezogenes retargeting
(meist im hintergrund „dauereingeloggt) wie bei Facebooklikes, Twitter u.a., oder auch accountbezogen in shops (Stichwort „passend dazu“ oder „sie haben letztens folgendes angesehen“)
– email retargeting
unique-IDs in links, eingebetter,nachgeladener webcontent in Mails in verbindung mit all den hier aufgezähltenmaßnahmen (ja auch der Email-client speichert cookies :-( ) übergeordnet auch weitergabe/verkauf pers. Informationen, die mit der mailadresse verknüpft sind.
-kontext bezogenes Retargeting
kommt meißt harmlos daher in form von z.B. werbung passend zu einem Artikel auf einer Seite meist mit nachgeladenem 3rd-party inhalt zu identifizierung um ein bereits bestehendes profil mit interessensschwerpunkten zu verfeinern.
-browser- und Gerätefingerprinting
ob nun mit canvas-bildern, installierte Schriftarten, addons u.ä, useragents/header. Die liste um alles auszuführen wäre lang…
Wie bereits gesagt, cookie-matching ist nur ein werkzeug aus deren Werzeugkasten um ein retargeting zu ermöglichen.
Wer jetzt einfach die Cookierichtlinien immer abnickt, weil er ohnehin alle cookies deaktiviert hat ist meist unter umständen auf dem Holzweg und sollte auch das kleingedruckte dazu lesen, wie z.b. hier auf den bei heise weiterverlinkten Originalartikel bei techcrunch und deren „Policy“
Wie gesagt, cookies alleine sind es nicht, aber vielen Dank nochmal lacrosse für die darstellung, was genau für ein monströser Aufwand und eine gerade zu perfide Kalkulation im Hintergrund aufgefahren wird. Immer wieder erschreckend, wenn man darüber liest.
IP-Adresse halte ich für zu grob.
Geolokalisierung kann einen am anderen Ende des Landes vermuten.
Dank Privacy Extensions und öfter wechselnden IP-Adressen sowie Carrier Grade NAT wo sich mehrere 100 Leute eine Adresse teilen, halte ich das für unzuverlässig.
Bleibt das Fingerprinting, wo ich denke das Browser Hersteller noch einiges rausholen können.
Schriftarten scheint mir das größte Problem, aber es wird zumindest in TORBrowser und Firefox schon dran gearbeitet.
Du hast natürlich recht. Es gibt viele Retargeting-Methoden. Cookie-Matching und RTB zeigen dabei aber symptomatisch eine umfangreiche Datenübermittlung und intransparente Profilbildung.
Es würde mich überraschen, dass ein Nachholbedarf im Datenschutz nur bei den den von mir genannten Retargeting-Methoden existiert. Daher dürfte das Fazit ggf. auch auf die von Dir genannten Techniken anwendbar sein. Interessant oder erschreckend, wäre natürlich eine ganzheitliche Betrachtung. Sprich, wie werden unterschiedliche Retargeting-Maßnahmen, in einem Profil zusammengeführt.
Was mich interessieren würde ist ein Artikel eines Juristen, der erklären kann, warum nicht alle Beteiligten schon längst in Haft sind.
Im hier beschriebenen Fall https://www.wbs-law.de/medienrecht/bgh-grundsatzentscheidung-zur-gps-uberwachung-15195/ wurde die Strafbarkeit seitens des BGH ja eindeutig festgestellt. Die oben beschriebenen Vorgänge greifen aber meiner Ansicht nach noch wesentlich umfangreicher in geschützte personenbezogene Daten ein.
Besteht hier eine Rechts- oder eine Vollzugslücke? Oder worin besteht der Unterschied zu dem von mir verlinkten Fall?