Ende letzter Woche stellte sich heraus, dass Google beabsichtigt, einen Aufruf des World Wide Web Consortium (W3C) zu ignorieren – das internationale Gremium, das an der Entwicklung von Webstandards arbeitet –, die Topics API zu überdenken: eine wichtige Ad-Targeting-Komponente von Google sogenannten Privacy-Sandbox-Vorschlag zur Weiterentwicklung des Adtech-Stacks, den Chrome für gezielte Werbung unterstützt.
Themen bezieht sich auf eine Ad-Targeting-Komponente des Sandbox-Vorschlags, die auf der Verfolgung der Interessen von Webbenutzern über ihren Browser basiert.
Die W3C Technical Architecture Group (TAG) eine Reihe von Bedenken geäußert nach einer Anfrage von Google im vergangenen März nach einer „frühen Designüberprüfung“ der Topics-API – in der letzten Woche geschrieben, dass ihre „erste Ansicht“ die von Google vorgeschlagene Topics-API ist, die Benutzer nicht vor „unerwünschtem Tracking und Profiling“ schützt und den Status quo beibehält „Unangemessene Überwachung im Internet.“
„Wir wollen nicht, dass es weitergeht“, fügte Amy Guy stellvertretend für die TAG hinzu.
Die Einstellung der TAG ist nicht die erste pessimistische Einschätzung von Topics. Browser-Engine-Entwickler WebKit und Mozilla hat kürzlich auch den Ansatz von Google abgelehnt – wobei die erstere Warnung vor bereits bestehenden Datenschutzmängeln im Internet als „Entschuldigung für Datenschutzmängel in neuen Spezifikationen und Vorschlägen“ verwendet wird und die letztere der Meinung ist, dass Themen „eher den Nutzen der Informationen für Werbetreibende, als dass sie einen sinnvollen Schutz der Privatsphäre bieten.“
Und das Risiko einer Fragmentierung des Webbenutzererlebnisses, wenn die Browser nur begrenzte Unterstützung für Themen bieten – was dazu führen könnte, dass Websites implementiert werden, die versuchen, Besucher zu blockieren, die Nicht-Chromium-Browser verwenden – ist ein weiteres Anliegen, auf das der TAG hinweist.
Trotz des zunehmenden Widerstands aus der Welt der Webinfrastruktur gegen den Ansatz von Google ist die britische Datenschutzbehörde – eine wichtige Aufsichtsbehörde in diesem Zusammenhang als Information Commission’s Office (ICO) – aktiv an der Bewertung der Einhaltung der Datenschutzgesetze durch die Sandbox nach einem großen kartellrechtlichen Eingriff beteiligt von der britischen Competition and Markets Authority (CMA), die es beigetreten – scheint damit zufrieden zu sein, daneben zu stehen und Google mit einem Vorschlag fortfahren zu lassen, dass technische Experten des W3C vor Risiken warnen, die die Art von Eingriffen in die Privatsphäre (und Versagen der Benutzeragentur und Transparenz) verewigen, die die Adtech-Branche in regulatorisches (und Reputations-)heißes Wasser gestürzt haben jahrelang.
Auf die Frage, ob es Bedenken hinsichtlich der Auswirkungen von Topics auf den Datenschutz hat, auch im Lichte der Einschätzung der TAG, brauchte das ICO mehrere Tage, um die Frage zu prüfen, bevor es eine Stellungnahme ablehnte.
Die Regulierungsbehörde teilte uns mit, dass sie weiterhin mit Google und der CMA zusammenarbeitet – als Teil ihrer Rolle im Rahmen der Verpflichtungen, die Google im vergangenen Jahr gegenüber der Wettbewerbsaufsicht eingegangen ist. Der Sprecher des ICO wies auch auf a zurück Stellungnahme 2021veröffentlicht vom früheren britischen Informationsbeauftragten zum Thema (ha!) der sich entwickelnden Online-Werbung – die eine Reihe von „Prinzipien“ und „Empfehlungen“ für die Adtech-Branche enthält, einschließlich der Festlegung, dass Benutzern die Möglichkeit gegeben wird, Anzeigen zu erhalten ohne Nachverfolgung, Profilerstellung oder Verarbeitung personenbezogener Daten – und die der Sprecher sagte, legt jetzt seine „allgemeinen Erwartungen“ in Bezug auf solche Vorschläge dar.
Aber eine aussagekräftigere Antwort des ICO auf eine ausführliche Topics-Kritik des W3C TAG gab es nicht.
Ein Google-Sprecher bestätigte unterdessen, dass er die Regulierungsbehörde über Themen informiert habe. Und auf Fragen zu den Bedenken der TAG teilte uns das Unternehmen auch mit:
Obwohl wir den Beitrag von TAG zu schätzen wissen, stimmen wir ihrer Charakterisierung nicht zu, dass Topics den Status quo beibehält. Google engagiert sich für Topics, da es eine erhebliche Verbesserung der Privatsphäre gegenüber Cookies von Drittanbietern darstellt, und wir kommen voran.
Topics unterstützt interessenbezogene Anzeigen, die das Web frei und offen halten, und verbessert den Datenschutz im Vergleich zu Cookies von Drittanbietern erheblich. Das Entfernen von Cookies von Drittanbietern ohne praktikable Alternativen schadet den Publishern und kann zu schlechteren Ansätzen wie verdecktem Tracking führen. Viele Unternehmen testen aktiv Themen und Sandbox-APIs, und wir verpflichten uns, die Tools bereitzustellen, um den Datenschutz zu verbessern und das Web zu unterstützen.
Darüber hinaus ging Googles Senior Director of Product Management, Victor Wong, am Freitag zu Twitter (im Folgenden Presseberichterstattung zu den Auswirkungen der Bedenken der TAG) zu twittern eine Thread-Version von Stimmungen in der Erklärung (in der Wong auch behauptet, dass Benutzer „einfach kontrollieren können, welche Themen geteilt werden, oder sie ausschalten“) – und endet mit der Bedingung, dass der Adtech-Riese „zu 100 % diesen APIs als Bausteinen verpflichtet ist“. ein privateres Internet.“
Also, TL;DR, Google ist nicht dafür da, Themen zu aktivieren.
Es kündigte diese Komponente von Sandbox vor einem Jahr an und ersetzte einen viel kritisierten früheren interessenbasierten Ad-Targeting-Vorschlag namens FLoCs (alias Federated Learning of Cohorts), der vorgeschlagen hatte, Benutzer mit vergleichbaren Interessen in zielgerichtete Buckets zu gruppieren.
FloCs war bald als schreckliche Idee angegriffen – mit Kritikern, die argumentieren, dass dies bestehende Adtech-Probleme wie Diskriminierung und räuberisches Targeting verstärken könnte. Google hatte also vielleicht keine große Wahl, um FloCs zu töten – aber dies bot ihm eine Möglichkeit, PR-Kopfschmerzen über sein angebliches Projekt zur Entwicklung von datenschutzfreundlichen Anzeigen in einen schnellen Gewinn zu verwandeln, indem es das Unternehmen als reaktionsschnell erscheinen ließ.
Die Sache ist, dass die schnelle Stapelung von Kritiken zu Themen auch nicht gut für Googles Behauptungen von „fortschrittlicher“ Adtech ist, die ein „privates Internet“ liefert.
Im Rahmen des Topics-Vorschlags verfolgt Chrome (oder ein chrombasierter Browser) die Webaktivitäten der Benutzer und weist ihnen Interessen zu, basierend auf dem, was sie sich online ansehen, die dann mit Entitäten geteilt werden können, die die Topics-API aufrufen, um sie anzusprechen mit Werbung.
Es gibt einige Einschränkungen – wie viele Themen zugewiesen werden können, wie viele geteilt werden können, wie lange Themen gespeichert werden und so weiter – aber im Grunde sieht der Vorschlag vor, dass die Webaktivitäten des Benutzers von seinem Browser beobachtet und dann geteilt werden Ausschnitte aus der Taxonomie der Interessen, die von Websites abgeleitet werden, die nach den Daten fragen.
Dies ist dem Webnutzer nicht zu 100% klar (und kontrollierbar), wie die Einschätzung der TAG argumentiert:
Die vorgeschlagene Themen-API versetzt den Browser in die Lage, Informationen über den Benutzer, die aus seinem Browserverlauf stammen, mit jeder Site zu teilen, die die API aufrufen kann. Dies geschieht so, dass der Benutzer keine genaue Kontrolle darüber hat, was in welchem Kontext oder an welche Parteien weitergegeben wird. Es scheint auch wahrscheinlich, dass ein Benutzer Schwierigkeiten haben würde zu verstehen, was überhaupt passiert; Daten werden ziemlich undurchsichtig hinter den Kulissen gesammelt und gesendet. Dies widerspricht dem Prinzip der Verbesserung der Kontrolle des Benutzersund wir glauben, dass dies kein angemessenes Verhalten für Software ist, die vorgibt, ein Agent eines Webbenutzers zu sein.
…
Dem Webbenutzer Zugriff auf Browsereinstellungen zu gewähren, um zu konfigurieren, welche Themen beobachtet und gesendet werden können und von/an welche Parteien, wäre eine notwendige Ergänzung zu einer API wie dieser und würde einen Teil dazu beitragen, die Entscheidungsfreiheit des Benutzers wiederherzustellen, ist es aber keineswegs ausreichend. Menschen können auf unerwartete Weise und ohne Vorankündigung angreifbar werden. Von den Menschen kann nicht erwartet werden, dass sie alle möglichen Themen in der Taxonomie in Bezug auf ihre persönlichen Umstände oder die unmittelbaren oder Folgeeffekte des Teilens dieser Daten mit Websites und Werbetreibenden vollständig verstehen, und es kann auch nicht erwartet werden, dass sie dies kontinuierlich tun ihre Browsereinstellungen ändern, wenn sich ihre persönlichen oder globalen Umstände ändern.
Es besteht auch das Risiko, dass Websites, die die API aufrufen, in der Lage sind, die von Topics gesammelten benutzerspezifischen Interessendaten durch andere Formen der Nachverfolgung – wie z ätzende, Anti-Web-Benutzer-Weise, die Tracking und Profiling immer tun.
Und obwohl Google gesagt hat, dass „sensible“ Kategorien – wie Rasse oder Geschlecht – nicht über die Verarbeitung von Themen in zielgerichtete Interessen umgewandelt werden können, hindert dies Werbetreibende nicht daran, Proxy-Kategorien zu identifizieren, die sie verwenden könnten, um geschützte Merkmale anzusprechen, wie dies bei vorhandenem Tracking der Fall war. basierte Ad-Targeting-Tools (siehe zum Beispiel „ethnische Affinität“ Ad-Targeting auf Facebook – was bereits 2016 zu Warnungen vor dem Potenzial diskriminierender Anzeigen führte, die Personen mit geschützten Merkmalen davon ausschließen, Stellen- oder Wohnungsanzeigen zu sehen).
(Erneut greift die TAG dieses Risiko auf – und weist weiter darauf hin: „[T]Ob ein Thema „sensibel“ ist oder nicht, lässt sich hier nicht binär beurteilen. Dies kann je nach Kontext und den Umständen der Person, auf die es sich bezieht, variieren und sich im Laufe der Zeit für dieselbe Person ändern.“)
Ein Zyniker könnte sagen, dass die Kontroverse über FLoCs und Googles ziemlich schnelles Abhaken dem Unternehmen einen nützlichen Deckmantel lieferte, um Topics als schmackhafteren Ersatz voranzutreiben – ohne das gleiche Maß an feinkörniger Prüfung auf einen Vorschlag zu lenken, der schließlich versucht, Webbenutzer weiter zu verfolgen – angesichts der ganzen Aufmerksamkeit, die bereits auf FLoCs verwendet wird (und mit etwas regulatorischem Pulver, das für kartellrechtliche Überlegungen zur Datenschutz-Sandbox aufgewendet wird).
Wie bei einer Verhandlung kann die erste Frage unverschämt sein – nicht, weil die Erwartung darin besteht, alles auf der Liste zu bekommen, sondern um die Erwartungen zu verzerren und später so viel wie möglich zu bekommen.
Googles hochtechnischer Plan zum Aufbau eines neuen (und angeblich) „besseren Datenschutz“-Adtech-Stacks wurde bereits im Jahr 2020 offiziell angekündigt – als es seine Strategie darlegte, die Unterstützung für Tracking-Cookies von Drittanbietern in Chrome einzustellen, nachdem es verschoben wurde durch weitaus frühere Anti-Tracking-Maßnahmen konkurrierender Browser in die Tat umgesetzt. Der Vorschlag wurde jedoch von Verlegern und Vermarktern erheblich kritisiert, da er Bedenken hatte, Googles Dominanz in der Online-Werbung weiter zu festigen. Das wiederum hat eine Reihe von behördlichen Untersuchungen und Reibungen von Kartellbehörden nach sich gezogen, was zu einigen Verzögerungen gegenüber dem ursprünglichen Migrationszeitplan geführt hat.
Großbritannien hat hier die Anklage angeführt, wobei seine CMA vor knapp einem Jahr eine Reihe von Zusagen von dem Technologieriesen herausgeholt hat – darüber, wie es den Ersatz-Adtech-Stack entwickeln würde und wann es einen Wechsel vornehmen könnte.
Im Wesentlichen geht es bei diesen Verpflichtungen darum, sicherzustellen, dass Google das Feedback der Branche einholt, um Wettbewerbsbedenken auszuräumen. Aber die CMA und ICO kündigten auch an, gemeinsam an dieser Aufsicht zu arbeiten – angesichts der klaren Auswirkungen auf die Privatsphäre von Webbenutzern, wenn sich Änderungen bei der Ausrichtung von Anzeigen ergeben. Hier müssen Wettbewerbs- und Datenschutzaufsichtsbehörden Hand in Hand arbeiten, wenn der Webnutzer nicht ständig im Namen „relevanter Werbung“ versteift werden soll.
Das Thema Adtech für das ICO ist jedoch ein heikles Thema.
Dies liegt daran, dass es – in der Vergangenheit – versäumt hat, Durchsetzungsmaßnahmen gegen die systematischen Verstöße von Adtech der aktuellen Generation gegen das Datenschutzrecht zu ergreifen. Also die Vorstellung, dass das ICO Google jetzt hart macht, über das, was das Unternehmen von Anfang an als datenschutzfreundlichen Fortschritt gegenüber dem schmutzigen Status quo gebrandmarkt hat, selbst wenn die Regulierungsbehörde zulässt, dass Adtech, das die Privatsphäre verletzt, unrechtmäßig Webnutzer verarbeitet ‚ Daten – könnten sozusagen ein bisschen „Arsch über Titten“ aussehen.
Das Ergebnis ist, dass das ICO in der Klemme ist, wie proaktiv es die Details von Googles Sandbox-Vorschlag regulieren kann. Und das spielt natürlich Google in die Hand – da die einzige Datenschutzbehörde, die diese Dinge aktiv im Auge hat, gezwungen ist, auf ihren Händen zu sitzen (oder bestenfalls Däumchen zu drehen) und Google die Erzählung für Themen formen und fundierte Kritiken ignorieren zu lassen – also Sie könnte sagen, dass Google der Aufsichtsbehörde in seiner eigenen Untätigkeit das Gesicht reibt. Daher die unerschütterliche Rede davon, „voranzukommen“ bei einer „signifikanten Verbesserung der Privatsphäre gegenüber Cookies von Drittanbietern“.
„Verbesserung“ ist natürlich relativ. Für die Nutzer ist es also in Wirklichkeit immer noch Google, wenn es darum geht zu entscheiden, wie viel von einem inkrementellen Datenschutzgewinn Sie wie gewohnt mit seinem People-Tracking-Geschäft erzielen. Und es hat keinen Sinn, sich darüber beim ICO zu beschweren.