IAB Tech Lab schlägt Vision eines Post-Cookie-„Benutzer-Token“ für die webbasierte Identität vor

Da Browser und Datenschutzbehörden mit Cookies von Drittanbietern zunehmend unzufrieden sind, hat das Tech Lab des Interactive Advertising Bureau (IAB) diese Woche einen Pitch für eine neue branchenweite Initiative abgegeben, um eine andere, datenschutzkonforme Methode zur Verfolgung der Identität auf dem Netz.

In einem Blogbeitrag und in einer Präsentation vor dem W3C forderte das Tech Lab digitale Vermarkter auf, „das Cookie zu überdenken [und] ein neues Paradigma klarer Datenschutzeinstellungen und Verbraucherkontrollen, die an eine standardisierte Kennung gebunden sind, anzunehmen“.

Der Grund dafür, sagte Jordan Mitchell, SVP des IAB Tech Lab, gegenüber ClickZ, ist, dass „die Identität heute nicht dem Verbraucher gehört“.

Ein Weg ohne Cookies

Obwohl dem Aufruf zu den Waffen einige wichtige Details fehlen, bietet er einen Pitch für eine neue, Cookie-freie Art der zugestimmten Identität mit mehreren Schlüsselfunktionen:

• Ein standardisiertes Benutzertoken . Das Token wird von den Verbrauchern kontrolliert und enthält die Datenschutzeinstellungen und -präferenzen des Benutzers und wird an alle teilnehmenden Parteien gesendet. Mitchell sagte, dass mit den Browser-Herstellern und anderen Parteien genau ausgearbeitet werden soll, wie und wo dieser Token funktioniert. Aber die Hauptidee ist, dass es im Gegensatz zu Cookies nicht ohne Zustimmung des Benutzers aktualisiert wird, es nur einen gibt und nicht Dutzende oder Hunderte, und es enthält Datenschutzeinstellungen.
• Der Token wäre nur für Unternehmen zugänglich, die das sind, was Mitchell als „ gute Akteure “ bezeichnet und die ihre Einhaltung der Datenschutzpräferenzen und -regeln nachgewiesen haben.
• Ein „ standardisierter, kontrollierter Container für die Anzeigenlieferung “ würde Anzeigen umgeben, die den Nutzern von Websites präsentiert werden, um sicherzustellen, dass kein unerwünschter clientseitiger Code oder nicht genehmigte Nutzerverfolgung stattfindet.
• Und die Standards würden als zu bestimmende „ öffentliche Versorgungsunternehmen “ aufgestellt, die staatlichen Regulierungen unterliegen und gemeinsam von den Browser-Herstellern sowie der digitalen Medien- und Marketingindustrie geregelt werden.

Mitchell sagte, dass das Tech Lab zwar „keine bestimmte Technologie vorschlägt“, aber sich vorstellt, dass jedes System oder jede Technologie einfach ist, ziemlich schnell implementiert werden könnte und Datenschutzeinstellungen enthält.

Geräteübergreifende Identität

In Bezug auf die Frage, ob das Benutzertoken als geräteübergreifende Identität fungieren würde, sagte Mitchell, er glaube nicht, dass die Browserhersteller geräteübergreifende Identität unterstützen.

Obwohl die Zustimmung von Browsern zu einem Token-basierten Identitätssystem unerlässlich ist, ist es angesichts des häufigen Mischens zwischen Geräten durch Benutzer schwer vorstellbar, wie eine globale Identität ohne eine geräteübergreifende Vereinheitlichung funktionieren würde.

Es ist auch schwer vorstellbar, dass Datenanbieter nicht sofort jedes gerätebasierte Token einander zuordnen, sodass ein einzelnes individuelles Profil erstellt werden kann, indem dieselbe Anmeldung geräteübergreifend oder auf andere Weise abgeglichen wird. Darüber hinaus sagte Mitchell, dass der Token die Geräte-ID oder ein gemeinsames Login teilen könnte, was auch den geräteübergreifenden Abgleich unterstützen würde.

Das Token soll zwar das Drittanbieter-Cookie ersetzen, fügte er hinzu, aber es ist nicht als Ersatz für eine Anmeldung gedacht. Obwohl es diese Funktion natürlich gut erfüllen könnte.

Es wäre auch eine gewisse Integration mit dem Consent String des IAB Tech Lab erforderlich, der während einer Inventar-Gebotsanfrage ausgestellt wird. Tatsächlich ist es möglich, dass ein Benutzertoken schließlich die Zustimmungszeichenfolge ersetzt, die im Rahmen des jüngsten Transparenz- und Zustimmungs-Frameworks des IAB gerade erst Einzug hält.

Vergleichbar mit AMP-Seiten

Mitchell verwies auf die von Google entwickelten mobilen AMP-Seiten als Modell für die Einschränkungen, die auf das gesamte digitale Anzeigensystem angewendet werden könnten, insbesondere mit dem vorgeschlagenen Anzeigencontainer. Wie AMP könnte es Grenzen setzen, sagte er, wie die Beschränkung der Verwendung von JavaScript, die Größe von Dateien oder die Ausgabe von Anfragen Dritter, bei denen Werbe-/Datenunternehmen andere Werbe-/Datenunternehmen anrufen.

Mitchell wies darauf hin, dass dieses neue System wahrscheinlich Drittanbieter-Cookies ersetzen würde, es jedoch nicht beabsichtigt, Erstanbieter-Cookies zu beeinträchtigen. Er stimmte jedoch zu, dass ein solches neues digitales Werbeuniversum First-Party-Cookies helfen könnte, insbesondere wenn es Third-Party-Cookies reduziert.

First-Party-Cookies sind Code-Schnipsel, die von Websites verwendet werden, um die Präferenzen und das Verhalten ihrer eigenen Besucher und Kunden zu verfolgen und wie jedes Cookie nur von der Domain gelesen werden können, die es hinterlegt hat. Cookies von Drittanbietern werden von externen Parteien, wie z. B. Anzeigenbörsen, hinterlegt und können von diesen Anbietern auf vielen Websites gelesen werden.

Anfang des Jahres, so Mitchell, habe die DigiTrust-Arbeitsgruppe des Tech Lab zwei weitere Wege für eine Nicht-Cookie-Identität in Betracht gezogen: ein gemeinsames Anmeldesystem und ein Geräteidentitätssystem für Computer, ähnlich der IDFA-ID für IOS-basierte Mobiltelefone Apps.

Er sagte, dass das neue Benutzer-Token-Konzept das Geräte-ID-Konzept umfassen könnte, aber dass gemeinsame Anmeldungen ein separates Konzept seien, das für Gruppen von Herausgebern gelten würde. Darüber hinaus wies er darauf hin, dass dieses User-Token-Konzept derzeit nur für das Web gedacht ist, nicht für mobile Apps oder neuere Plattformen wie Smart-TVs oder Connected Cars.