FLEDGE ist eine Privacy Sandbox-Lösung für Anwendungsfälle mit Remarketing und benutzerdefinierten Zielgruppen, mit denen verhindert werden soll, dass Dritte das Browserverhalten von Nutzern auf Websites erfassen. Der Browser schützt vor Microtargeting, da eine Anzeige nur gerendert wird, wenn dieselbe Rendering-URL einer ausreichenden Anzahl von Nutzern angezeigt wird. Damit die Anzeige gerendert werden kann, ist pro Creative innerhalb der letzten 7 Tage eine Nutzermenge von 50 Nutzern erforderlich. Außerdem werden so Nutzer vor websiteübergreifendem Tracking geschützt, da gerenderte URLs, die unter dem Mindestwert liegen, nicht gemeldet werden.
Dieser Schutz wird als k-Anonymität bezeichnet und durch einen zentralen Server ermöglicht, der von Google betrieben wird und die globale Zählungen verwaltet. Sobald ein Creative die Mindestgrenze erreicht, darf es für Nutzer gerendert werden. Weitere Informationen zum k-Schwellenwert und zur Gestaltung des k-Anonymitätsdienstes in FLEDGE finden Sie in unserer erklärenden Erklärung.
Der k-Anonymitätsdienst bietet zwar einen wichtigen Datenschutz, könnte aber auch vertrauliche Nutzerdaten für diesen zentralen Server offenlegen, wie die IP-Adresse und den User-Agent-String des Browsers. Aus diesem Grund verbessern wir die Datenschutzmaßnahmen von Chrome durch eine Partnerschaft mit Fastly, einer Edge-Cloud-Plattform, die Inhaltsübermittlungs-, Edge-Computing-, Sicherheits- und Beobachtbarkeitsdienste bietet. Sie betreiben ein Oblivious HTTP-Relay (OHTTP-Relay) als Teil des k-Anonymitätsservers von FLEDGE.
Wenn Daten über ein OHTTP-Relay weitergeleitet werden, erhalten die k-Anonymitätsserver von Google keine IP-Adressen von Endnutzern. Der k-Anonymitätsserver ist ein inkrementeller Schritt hin zur vollständigen Implementierung von FLEDGE. Dies hat keine Auswirkungen auf IP-Adressen, die dem Publisher durch das übliche Browserverhalten zugeordnet werden.
Zur Implementierung von OHTTP haben wir uns mit Fastly zusammengetan, um in unserem Namen eine Relay-Ressource zu betreiben. Der Chrome-Browser des Nutzers sendet eine verschlüsselte Nutzlast im Text einer HTTP-POST-Nachricht für den k-Anonymitätsserver an dieses Relay. Die Nachricht wird vom Browser mit Schlüsseln verschlüsselt, die er direkt vom k-Anonymitätsserver in der Google-Domain abruft. Das Relay leitet die Anfrage an ein Gateway weiter, das auf Google-Servern ausgeführt wird. Das Relay sieht daher den Inhalt der Anfrage nicht, kennt aber die IP-Adresse des Nutzers. Im Gegensatz dazu erkennen der k-Anonymitätsserver (und das Gateway) die Identität des Nutzers nicht, können aber den Inhalt der Anfrage sehen.
Google möchte den k-Anonymitätsserver im Namen aller Chrome-Nutzer betreiben, die FLEDGE verwenden. Die Überprüfung der k-Anonymität gilt für alle Anzeigentechnologien von Drittanbietern und die Werbedienste von Google. Der Nutzer ist die Person, die von der k-Anonymität profitiert, und der Browser ist die Software, die sie implementieren und durchsetzen kann.
Die datenschutzfreundlichen Eigenschaften von FLEDGE gelten gleichermaßen für Google und die gesamte Plattform. Dieser Server wird über Chrome aufgerufen. Unterstützung für Android wird voraussichtlich Ende 2023 sein.
Foto von Ian Battaglia auf Unsplash