Geschrieben von

Privacy Sandbox

Analytics

Status Quo

An dieser Stelle halte ich die wichtigsten Infos zum aktuellen Status der Privacy Sandbox fest. Wenn du zuerst über die Privacy Sandbox im Allgemeinen erfahren möchtest, dann geht es hier entlang.

In einer Meldung vom 24. Juni 2021 teilte Google mit, dass die Privacy Sandbox nicht vor 2023 kommen wird.

Aktuell wird FLoC in der freien Wildbahn getestet. Konkret zunächst in den Ländern USA, Australien, Brasilien, Kanada, Indien, Indonesien, Japan, Mexiko, Neuseeland und Philippinen. Ab Chrome 89 können diese Nutzer die entsprechenden Einstellungen im Browser vornehmen.

Für alle anderen Nutzer ist die Funktion als Flag (Flag sind experimentelle Einstellungen in Google Chrome) schon aktivierbar. Dazu geht man in Chrome auf chrome://flags/#privacy-sandbox-settings (das einfach in die Chrome-Adresszeile eingeben) und aktiviert die Privacy Sandbox-Einstellungen:

Danach muss der Browser nochmal neu gestartet werden. Im Anschluss kann man unter “Einstellungen” in den Bereich “Datenschutz und Sicherheit” wechseln. Im unteren Bereich ist dann die entsprechende Einstellung zur Privacy Sandbox zu finden:

Mittlerweile haben sich viele Browser-Hersteller zu Wort gemeldet und haben (vor allem zu FLoC) folgenden Status gemeldet:

  • Safari bzw. John Wilander sagt auf Twitter: “We have not said we will implement and we have our tracking prevention policy.”
  • Firefox plant aktuell nicht eine der Techniken aus der Privacy Sandbox zu unterstützen (Quelle)
  • Unter der gleichen Quelle ist zu lesen, dass Microsoft in Edge aktuell FLoC nicht implementiert. Das Edge-Team möchte die Entwicklung zunächst weiterhin beobachten.
  • Vivaldi blockiert FLoC
  • Brave blockiert FLoC

Neben den Browser-Herstellern hat sich auch WordPress gemeldet und angekündigt FLoC zu blockieren. Das wäre besonders hart, da WordPress einen großen Anteil im Web hat. Mitte Juni 2021 wurde herausgefunden, dass nun auch Amazon bei mehreren Domains die Nutzung von FLoC blockiert. Dabei wird der Header “permissions-policy: interest-cohort=()” auf vielen Amazon-Websites benutzt.

Was ist die Privacy Sandbox?

Die Privacy Sandbox ist ein Projekt von Google (gestartet von Chrome in 2019), welches mehrere Maßnahmen bündelt, um personalisierte Werbung bei gleichzeitigem Schutz der Privatsphäre von Nutzern zu ermöglichen. Anstatt gegen Tracking komplett vorzugehen, sucht Google mit dem Privacy Sandbox-Projekt nach einem Kompromissvorschlag. Ziel von Google ist es, dass es standardisierte Lösungen für personalisierte Werbung bei gleichzeitigem Schutz der Privatsphäre gibt. Diese Lösungen sollten dann im besten Fall von allen Browsern implementiert werden (als Web Standard), damit es zu keinen Alleingängen der einzelnen Browsern kommt (siehe ITP bei Safari, ETP bei Firefox, etc.).

Grob gesagt, werden unter der Privacy Sandbox viele Techniken zusammengefasst, die es ermöglichen, dass Nutzer-Profile und einige persönliche Daten direkt im Browser gespeichert werden. Also direkt lokal auf dem Gerät des Nutzers. Websites und Werbenetzwerke können dann einen Teil der Daten über verschiedene APIs abrufen, um über die Nutzer-Interessen zu erfahren und um auf dieser Basis passende Werbung auszuspielen. Großer Vorteil ist, dass die Datenhoheit nicht mehr bei Websites und den Werbenetzwerken liegt, sondern der Nutzer hat mehr Kontrolle über die geteilten Daten.

Hintergrund zur Privacy Sandbox

Im Web gibt es auf der einen Seite Werbenetzwerke, die verschiedene Informationen über Nutzer sammeln möchten. Die Informationen sollten so spezifisch wie möglich sein, um Streuverluste bei der Ausspielung von Werbung zu vermeiden und um die Zielgruppe mit Werbung genauer zu treffen. Zudem gibt es Plattformen, die sich größtenteils über die platzierte Werbung finanzieren. Oft werden diese Plattformen je Klick auf die Werbeanzeige vergütet. Je passender die Werbung ausgespielt wird, desto eher klickt der Nutzer. Zudem wirkt die Werbung nicht so störend, je passender sie ist. Die Nutzeridentifizierung (vor allem über Third-Party-Cookies) spielt hier also eine wichtige Rolle. Jedoch haben hier viele Firmen in der Vergangenheit auch den Bogen überspannt, indem sie versucht haben die Nutzeridentifizierung sehr eindeutig durchzuführen.

Auf der anderen Seite gibt es jedoch Nutzer, die nicht eindeutig identifiziert werden möchten. Deshalb gibt es mittlerweile unter anderem die DSGVO, etc. Neben dem Gesetz gehen aber auch verstärkt viele Browser auch selbst gegen ein Nutzer-Tracking vor. Wie oben schon erwähnt hat Safari eine Technik namens Intelligent Tracking Prevention (ITP) oder Firefox eine Technik mit dem Namen Enhanced Tracking Prevention (ETP). Am Ende des Tages ist es aktuell eher ein Katz-und-Maus-Spiel:

  • Während ein Cookie-Tracking erschwert wird, kommen Techniken wie Fingerprinting zum Vorschein.
  • Während im Anschluss gegen Fingerprinting vorgegangen wird, werden andere Techniken eingesetzt.
  • usw.

Auf der Strecke bleiben zum einen die Nutzer, die glauben, sie wären privat im Web unterwegs. Zum anderen fehlen den Plattformen wichtige Werbeeinnahmen. Google beziffert diesen Verlust an Werbeeinnahmen auf ca. 52 Prozent. Und da Google eines der größten Werbenetzwerke besitzt, hat Google auch ein großes Interesse daran sinnvolle Lösungen für alle Beteiligten zu finden: Nutzer, Browserhersteller, Gesetze und werbefinanzierte Plattformen. Diese Lösungen werden im Projekt “Privacy Sandbox” angegangen.

Ziele der Privacy Sandbox

Google fasst die Ziele wie folgt zusammen:

  • Beim Surfen im Internet soll das Tracking verhindert werden: Nutzer sollen sich im Internet bewegen können, ohne Angst zu haben, dass persönliche Informationen über sie gesammelt werden. Dabei soll das Third-Party-Cookie-Tracking eliminiert und Techniken wie Fingerprinting sollen blockiert werden.
  • Publisher sollen weiter Geld verdienen können: Dabei sollen die Nutzer ohne aufdringliches Tracking erreicht werden können. Die Schaltung von Anzeigen soll auf alternativen Technik-Lösungen stattfinden.
  • Freien Zugang zu Informationen weiterhin ermöglichen: Das Internet als Informationsquelle ist für alle offen. Die Lösungen aus der Privacy Sandbox sollen Nutzer schützen, aber auch gleichzeitig den freien Zugang zu Informationen ermöglichen.

Kein Tracking mehr mit Third-Party-Cookies?

Ja genau, du hast richtig gelesen. Google möchte Third-Party-Cookies aus Chrome schaffen. Das Blocken von Third-Party-Cookies z.B. in Safari durch ITP war schon hart, aber nicht katastrophal für die Werbe-Branche, da Safari mit einem Browser-Marktanteil von 20 % nicht an der Spitze ist. Chrome jedoch besitzt einen Anteil von 60 %, was viele zu spüren bekommen würden. Deshalb kommt stattdessen die Privacy Sandbox ins Spiel.

Grobe Funktionsweise der Privacy Sandbox

Die grundlegende Funktionsweise der Privacy Sandbox kann wie folgt beschrieben werden:

  • Daten bzw. gesammelte Nutzer-Daten werden an einem sicheren Ort im Browser gespeichert.
  • Dieser sichere Ort ist isoliert und von Zugriffen von außen geschützt, eine Art Sandbox.
  • Die Daten können nur über bestimmte APIs nach außen gelangen.
  • Wenn diese Daten ihren Weg nach außen finden, dann landen sie nur in Zielgruppensegmenten oder Interessensgruppen (Kohorten).
  • Dadurch gibt es keine Möglichkeit mehr, dass man Nutzer einzeln erfasst, sondern nur noch über Gruppen (und entsprechend darüber nur Werbung ausspielen kann).

Vorschläge aus der Privacy Sandbox

Auf Basis der Ziele schlägt Google verschiedene Maßnahmen vor:

Tracking im Web beschränken
Um das Tracking mittels Third-Party-Cookies und Fingerprinting zu beschränken gilt das grundlegende Prinzip der Privacy Sandbox: Das Prinzip des “Protected Environment”. Der Browser erstellt einen geschützten Bereich, der die persönlichen Daten des Nutzers enthält. Der Nutzer kann selbst wählen, welche Daten er im geschützten Bereich haben möchte. Diese werden wiederum auch mit anderen Websites geteilt. Dazu schlägt Google vor, Techniken wie “Differential Privacy”, “k-Anonymität” und “On-device Processing” einzusetzen. Durch diese Techniken sollen Third-Party-Cookies ersetzt werden können. Auf der anderen Seite soll Fingerprinting mittels eines Datenschutzbudgets (Privacy Budget) limitiert werden.

Spam und Betrug bekämpfen
Da Publisher und Werbetreibende mit steigenden Spam-Fällen zu kämpfen haben, ist es immer schwieriger echte Nutzer von Bots zu unterscheiden. Eine Möglichkeit einen echten Nutzer zu identifizieren geht über Fingerprinting. Jedoch kann Fingerprinting auch zu Tracking-Zwecken missbraucht werden. Um auch hier Privatsphäre und Spam-Schutz zu vereinen, schlägt Google Trust Tokens vor.

Weiterhin relevante Anzeigen und Inhalte zeigen
Um passende und relevante Anzeigen auf einer Website auszuspielen wurden oft Third-Party-Cookies eingesetzt. Dadurch konnte die Browser-Historie getrackt werden, um im Anschluss darauf basierend passende Anzeigen auszuspielen. Damit das weiterhin möglich ist, sollen Techniken wie FLoC (Federated Learning of Cohorts) und FLEDGE (First Locally-Executed Decision over Groups Experiment) zum Einsatz kommen.

Das Messen von Anzeigen und Werbung ermöglichen
Damit weiterhin gemessen werden kann, ob und wie erfolgreich eine Anzeige war, sollen die Daten nur in aggregierter Form den Publishern und Werbetreibenden vorliegen.

Privacy Sandbox-Techniken: Übersicht

  • Privacy Budget: Die Anzahl an Informationen, die eine Website über einen Nutzer sammeln kann, soll damit begrenzt werden. Dabei muss die Website genau angeben, welche Informationen sie aus dem Browser des Nutzers benötigt. Werden zu viele Informationen angefragt, wird die Anfrage komplett abgelehnt. (Details: Combating Fingerprinting with a Privacy Budget)
  • Willful IP Blindness: IP-Adressen können für Fingerprinting benutzt werden. Um diese Gefahr zu minimieren, kommt diese API zum Einsatz. Sie ermöglicht auch einen Opt-Out für Websites, um generell keine IP-Adressen zu sehen, damit das Privacy Budget “nicht umsonst” aufgebraucht wird. (Details: Willful IP Blindness)
  • Trust Token API: Dabei soll auf Basis eines wiederkehrenden Verhaltens des Nutzers (z.B. wiederkehrender Login), ein Trust Token der Website im Browser gesetzt werden können. Das gleiche Token kann dann von anderen Websites ausgelesen werden, um zu prüfen, ob es sich um einen echten Nutzer handelt (dient der Spam-Bekämpfung). (Details: Trust Token API Explainer)
  • First-Party Sets: Dient der Deklaration von verwandten Domains als First-Party. (Details: First-Party Sets)
  • Aggregated Reporting API: Über diese API soll weiterhin ein Reporting wichtiger Kennzahlen möglich sein. (Details: Aggregated Reporting API)
  • Conversion API (Click Through Conversion Measurement Event-Level): Hierüber soll eine Klick-Conversion-Messung ermöglicht werden. (Details: Click Through Attribution Reporting API Explainer)
  • FLoC (Federated Learning of Cohorts): Bei FLoC sollen Nutzer mit ähnlichen Surf-Verhalten in Gruppen geclustert werden, sogenannten “Kohorten”. Diese Gruppe ist groß genug, damit Einzelne nicht identifiziert werden können. Die Gruppen-Mitglieder sind aber sehr ähnlich, sodass die Wahrscheinlichkeit hoch ist, dass sie sich alle für die gleichen Inhalten oder Anzeigen interessieren könnten. Die Surf-Historie bleibt aber dabei immer im Browser, da alles lokal bearbeitet wird (“On-device Computation”). Mit FLoC soll interessensbasierte Werbung ermöglicht werden (Details: Federated Learning of Cohorts (FLoC)).
  • FLEDGE (“First Locally-Executed Decision over Groups Experiment”): Damit weiterhin Anzeigen ausgespielt werden können, die sich auf zuletzt besuchte Websites beziehen, soll FLEDGE eingesetzt werden. Dabei informiert die Website den Browser, dass Anzeigen in Zukunft geschaltet werden möchten.
  • TURTLEDOVE: Diese Abkürzung steht für “Two Uncorrelated Requests, Then Locally-Executed Decision On Victory” und ersetzt den vorherigen Vorschlag “Pingin” (Private Interest Groups, Including Noise). Mit TURTLEDOVE sollen Werbenetzwerke zu der im Browser gespeicherten Zielgruppe passende Anzeigen ausspielen können. Die Daten über die Zielgruppe und Informationen zum Seitenkontext, auf der sich der Nutzer gerade bewegt, werden an das Werbenetzwerk geschickt. Im Browser läuft parallel ein Bidding-Skript, welches dann entscheidet ob eine kontextabhängige oder zielgerichtete Anzeige (Remarketing) geschaltet wird. (Details: TURTLEDOVE)

Links

Last modified: 28. Juni 2021