Die Privacy Sandbox-APIs für Relevanz und Messung sowie die aktualisierten Nutzereinstellungen sind jetzt allgemein in Chrome verfügbar. Teilnehmer des Web-Ökosystems haben Fragen zum Ansatz von Chrome in Bezug auf die Einhaltung der Datenschutzanforderungen der Privacy Sandbox sowie zu ihren eigenen Pflichten gestellt. Wir können Ihnen zwar keine Rechtsberatung anbieten, aber unsere Antworten auf häufig gestellte Fragen und Informationen zu den APIs zur Verfügung stellen, die für die Einhaltung von Datenschutzgesetzen verantwortlich sind.
Fragen und Antworten
Haben Websites und andere Privacy Sandbox-API-Aufrufer für Relevanz und Messung Verpflichtungen im Hinblick auf die E‑Privacy-Verordnung?
Gemäß den Datenschutzrichtlinien für elektronische Kommunikation im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich ist die Einwilligung der Nutzer erforderlich, um Daten im Browser eines Nutzers zu speichern oder darauf zuzugreifen, es sei denn, dies ist unbedingt erforderlich. Dabei wird nicht zwischen älteren Technologien wie Drittanbieter-Cookies und neuen Datenschutztechnologien wie den Privacy Sandbox APIs unterschieden.
Die Verwendung der Privacy Sandbox APIs erfordert den Zugriff auf Daten, die auf dem Gerät des Nutzers gespeichert sind.
Als Referenz können sich Unternehmen ansehen, wie die Werbedienste von Google, die unabhängig von Chrome betrieben werden, Privacy Sandbox-Technologien im Rahmen ihrer Richtlinien zur Einwilligung von Nutzern in der EU einbinden.
Können Websites und API-Aufrufer von Ausnahmen von den Einwilligungsanforderungen der ePrivacy-Verordnung profitieren?
Ausnahmen von den Einwilligungsanforderungen in den Gesetzen zur Datenschutzrichtlinie für elektronische Kommunikation sind eng gefasst und in der Regel auf Anwendungsfälle beschränkt, die für die Bereitstellung eines Onlinedienstes, der vom Nutzer ausdrücklich angefordert wurde, „streng erforderlich“ sind. Unseres Erachtens ist die Verwendung der Privacy Sandbox APIs für interessenbezogene Werbung nicht von der Einwilligungspflicht ausgenommen.
Wir gehen davon aus, dass nur eine kleine Anzahl von Anwendungsfällen als streng erforderlich eingestuft wird, z. B. die Verwendung der Private State Tokens API zur Kontosicherheit oder Spamprävention oder die Verwendung der Federated Credential Management API zur Authentifizierung. Die Verwendung dieser APIs für andere Zwecke erfordert eine separate Analyse und wahrscheinlich auch die Einwilligung der Nutzer. Sie sind dafür verantwortlich, festzustellen, ob Ihr Anwendungsfall ausgenommen ist. Berücksichtigen Sie dabei gegebenenfalls lokale Vorschriften und datenschutzrechtliche Richtlinien. Auch wenn Sie zu dem Schluss kommen, dass Ihr Anwendungsfall von den ePrivacy-Anforderungen ausgenommen ist, müssen Sie Nutzern gemäß den europäischen Datenschutzgesetzen klare Informationen zur Verwendung der APIs zur Verfügung stellen.
Muss ich Nutzer informieren, wenn ich die Privacy Sandbox APIs verwende?
Wenn Sie die Privacy Sandbox APIs verwenden, sollten Sie dies fair und transparent tun. Transparenz und Fairness sind besonders wichtig, wenn Sie die Privacy Sandbox APIs verwenden, um die Interessen einer bestimmten Zielgruppe oder eines bestimmten Nutzers zu ermitteln, insbesondere um sein Verhalten zu beeinflussen. Nutzer verstehen nicht immer, wie ihre Daten auf diese Weise verwendet wurden. Daher müssen Sie möglicherweise zusätzliche Maßnahmen ergreifen, um sie darauf aufmerksam zu machen. Wenn Sie die Einwilligung von Personen für die Verwendung der APIs einholen, gelten bestimmte Informationsanforderungen. Auch wenn Ihr Anwendungsfall von den Einwilligungsanforderungen ausgenommen ist (z.B. weil er für die Bereitstellung eines vom Nutzer angeforderten Dienstes unbedingt erforderlich ist), müssen Sie Nutzern dennoch klare Informationen zur Verwendung der APIs zur Verfügung stellen.
Wie erhalte ich die Einwilligung der Endnutzer für die Privacy Sandbox APIs?
Die Nutzung jeder der Privacy Sandbox APIs erfordert den Zugriff auf Daten, die auf dem Gerät des Nutzers gespeichert sind. Gemäß den Gesetzen zum E-Privacy müssen Sie die Einwilligung des Endnutzers einholen, bevor Sie auf diese Daten zugreifen. Das gilt genauso wie für Cookies. Wir gehen davon aus, dass die meisten Unternehmen Plattformen zur Einwilligungsverwaltung nutzen werden, um die Einwilligung für die APIs einzuholen, ähnlich wie sie heute die Einwilligung für Cookies einholen. Sie sind dafür verantwortlich, eine Einwilligung für Ihren eigenen Zugriff und die Nutzung der Sandbox-APIs einzuholen, einschließlich Topics. Es reicht nicht aus, dass der Nutzer zugestimmt hat, Topics auf seinem Gerät zu aktivieren. Sie müssen Ihre eigene Einwilligung für Ihre Aktivitäten einholen. Wenn Sie um Einwilligung bitten, müssen Sie klar angeben, wie Sie die APIs verwenden werden. Es ist besonders wichtig, dass Sie jede Verwendung von Topics (oder der anderen APIs) zu nicht werbebezogenen Zwecken hervorheben, da Nutzer dies möglicherweise nicht erwarten. Außerdem sollten Sie dafür sorgen, dass Endnutzer ihre Einwilligung jederzeit einfach widerrufen können.
Können Nutzer die Einwilligung widerrufen oder die Privacy Sandbox-APIs für Relevanz und Messung anderweitig steuern?
Ja. Nutzer können auf chrome://settings/adPrivacy zugreifen. Dort finden sie individuelle, detaillierte Steuerelemente, mit denen sie Privacy Sandbox APIs deaktivieren und verhindern können, dass einzelne Themen und bestimmte Websites Interessengruppen festlegen. Nutzer können Daten zur Erfolgsmessung bei Anzeigen löschen, indem sie ihre Browserdaten löschen.
Betreiber von Websites müssen festlegen, welche Auswahlmöglichkeiten sie Nutzern anbieten, wie diese Einstellungen gespeichert werden, wie die Einstellungen eines Nutzers an die Anbieter von Anzeigentechnologien der Website gesendet werden, die die Privacy Sandbox APIs aufrufen können, und wie diese Anbieter zur Rechenschaft gezogen werden. Websites und ihre Anbieter müssen entscheiden, was die Entscheidung eines Nutzers in Bezug darauf bedeutet, ob und wie eine bestimmte Privacy Sandbox API verwendet wird.
Einige selbstregulierende Programme mit Opt-out-Funktion wie AdChoices basieren auf Drittanbieter-Cookies. Wir empfehlen Ihnen, diese Programme zu fragen, wie sie sich auf die Einstellung von Drittanbieter-Cookies vorbereiten.
Können die Einstellungen der Nutzer in Bezug auf die Privacy Sandbox websiteübergreifend gespeichert werden?
Nutzer können auf chrome://settings/adPrivacy zugreifen. Dort finden sie Steuerelemente, mit denen sie Privacy Sandbox-APIs vollständig deaktivieren oder einzelne Themen blockieren können. Nutzer können Daten zur Erfolgsmessung bei Anzeigen löschen, indem sie ihre Browserdaten löschen.
Betreiber von Websites müssen entscheiden, ob sie die Verantwortung übernehmen, die auf ihren eigenen Websites geäußerten Nutzerentscheidungen auf das gesamte Web auszuweiten. Einige selbstregulierende Programme wie AdChoices, die auf der Option zum Deaktivieren beruhen, sollen Nutzern die Möglichkeit geben, zu entscheiden, wie Anzeigentechnologie-Unternehmen Nutzerdaten auf Websites verarbeiten (z. B. interessenbezogene Werbung). Traditionell sind diese Programme auf AdTech-Unternehmen beschränkt, die sich zur Teilnahme entschließen, und nicht auf Websites. Wir empfehlen Ihnen, diese Programme zu fragen, wie sie sich auf die Einstellung von Drittanbieter-Cookies vorbereiten.
Können Nutzer Daten löschen, die mit den Relevanz- und Measurement APIs der Privacy Sandbox zusammenhängen?
Nutzer können auf chrome://settings/adPrivacy zugreifen. Dort finden sie individuelle, detaillierte Steuerelemente, mit denen sie Privacy Sandbox APIs deaktivieren und verhindern können, dass einzelne Themen und bestimmte Websites Interessengruppen festlegen. Nutzer können Daten zur Erfolgsmessung bei Anzeigen löschen, indem sie ihre Browserdaten löschen. Außerdem löscht Chrome nach einer bestimmten Zeit automatisch die Themen, Interessengruppen und Meldeereignisse der Nutzer.
Für Websites und andere Privacy Sandbox-APIs für Relevanz und Messung sind die folgenden technischen Funktionen verfügbar:
- Bei Protected Audience kann die Funktion
leaveAdInterestGroupauch von einer Website oder deren Anzeigentechnologie aufgerufen werden, die Interessengruppen von dieser Website hinzufügen kann. - Bei gemeinsam genutztem Speicher kann eine Website oder die zugehörigen Anzeigentechnologien die Methode
deletefür einen Schlüssel oder die Methodeclearzum Löschen aller Schlüssel aufrufen. - Für die Attribution Reporting API kann eine Website oder die AdTech-Lösung den
Clear-Site-Data-Header verwenden.
Betreiber von Websites und andere API-Aufrufer müssen prüfen, ob ihre aktuellen Mechanismen für das Löschen von Daten geeignet sind, wenn sie Daten speichern, die aus Privacy Sandbox APIs abgerufen wurden, oder Daten, die sich auf den Aufruf der APIs beziehen.
Wie geht die Privacy Sandbox mit der datenschutzkonformen Nutzung in Chrome um?
Topics ist eine neue Funktion für Chrome-Nutzer. Wir wollten ihnen die Möglichkeit geben, sich in Ruhe mit der Funktion vertraut zu machen und auszuwählen, was am besten zu ihnen passt. Topics ist eine neue Möglichkeit für Chrome, relevante Inhalte basierend auf dem Browserverlauf eines Nutzers bereitzustellen. Chrome fragt Nutzer im Vereinigten Königreich, im EWR und in der Schweiz um Einwilligung, bevor die API aktiviert wird.
Die Protected Audience API und die Measurement API sind datenschutzfreundlichere Versionen bestehender Verarbeitungsmechanismen, sowohl im Browser als auch in geschützten, vertrauenswürdigen Umgebungen. Insgesamt erhalten alle Nutzer umfassende Einstellungsmöglichkeiten und können die Privacy Sandbox jederzeit deaktivieren.
Weitere Informationen zu den Anzeigeneinstellungen für die Privacy Sandbox finden Sie in der YouTube-Hilfe.
Weitere API-Informationen
Weitere Informationen zu den Privacy Sandbox-APIs für Relevanz und Messung:
- Topics: Signale für interessenbezogene Werbung ohne Drittanbieter-Cookies oder andere Nutzer-IDs generieren, mit denen Nutzer auf Websites erfasst werden.
- Protected Audience: Mit dieser Funktion können Sie Anzeigen für Remarketing und benutzerdefinierte Zielgruppen auswählen, um das websiteübergreifende Tracking durch Dritte zu minimieren.
- Attributionsberichte: Sie können Anzeigenklicks oder Anzeigenaufrufe mit Conversions in Beziehung setzen. Anbieter von Anzeigentechnologien können Berichte auf Ereignisebene oder Zusammenfassungsberichte erstellen.
- Private Aggregation: Sie können Berichte mit zusammengefassten Daten erstellen, die auf Daten aus Protected Audience und websiteübergreifenden Daten aus dem freigegebenen Speicher basieren.
- Gemeinsamer Speicher: Ermöglicht unbegrenzten websiteübergreifenden Schreibzugriff auf den Speicher mit datenschutzfreundlichem Lesezugriff.
- Umzäunte Frames: Mit dieser Funktion können Sie Inhalte sicher auf einer Seite einbetten, ohne websiteübergreifende Daten zu teilen.