Kurzgutachten
"wunderloop Integrated Targeting Platform"
in der Anwendung als "wunderloop connect" und "wunderloop custom"

1. Kurzgutachten

wunderloop Produkt „Integrated Targeting Platform“ (ITP) in den Ausprägungen "wunderloop connect" und "wunderloop custom"

2. Zeitpunkt der Prüfung

1. November 2007 bis 28. April 2008 

3. Adresse des Antragstellers

wunderLOOP S.A., 8 rue Jean Monnet, L-2180 Luxemburg, Luxemburg

4. Adresse der Sachverständigen

Birger Andre Fritzowski,
Diplom - Informatiker, Technische Unternehmensberatung
Kattenbek 33
24248 Mönkeberg
birger@fritzowski.de

Prof. Dr.jur.Ralf B.Abel,
Chemnitzstr.80
24837 Schleswig
Prof.abel@t-online.de und abel@fh-sm.de

 

5. Kurzbezeichnung

Das IT–Produkt „Integrated Targeting Platform“ besteht in Verbindung mit den Softwareoberflächen „wunderloop connect“ und „wunderloop custom“ aus Verfahren, die es ermöglichen, insbesondere im Bereich der Online Werbung Internetnutzer gezielt anzusprechen. Diese Ansprache erfolgt auf der Basis von deren Nutzerverhalten.

Die hier eingesetzte Technologie kann aus dem Verhalten des Anwenders Rückschlüsse auf möglicherweise passende Angebote bzw. Werbebotschaften ziehen. Basis ist hierfür eine Analyse der Daten des Nutzers und die Zuordnung seiner Interessen im World Wide Web. Dabei erfolgt dies durch das hier angewandte Verfahren auf Basis von Merkmalen, die für wunderloop weder personenbezogen noch -beziehbar sind.

 

6. Detaillierte Bezeichnung

Das IT-Produkt „Integrated Targeting Platform“ in Verbindung mit den Softwareoberflächen „wunderloop connect“ und „wunderloop custom“ wird Betreibern von Internet-Seiten angeboten, um die Anzeige von verhaltensbezogenen Informationen oder Werbung für Nutzer zu ermöglichen. Die zur Auslieferung der Werbemittel notwendige externe Ad-Server-Technologie ist nicht Bestandteil der Zertifizierung.
Zu zertifizieren waren der Kern der Anwendungen, die „Integrated Targeting Platform,  ITP“, sowie die auf dieser technischen Plattform basierenden Targeting-Angebote von wunderloop: das Produkt „wunderloop connect“ und das Produkt „wunderloop custom“.

Die Applikationsschicht „wunderloop custom“ wird, ausgehend von einer Standardkonfiguration des wunderloop custom, auf der Basis von ASP (Application Service Providing) oder im Rechenzentrum des Kunden zur Verfügung gestellt. Dabei wird die wunderloop ITP-Technologie, basierend auf dem wunderloop custom-Produkt, individuell auf die Bedürfnisse des Kunden zugeschnitten. Für alle kundenindividuellen Änderungen wird keine Zertifizierung beantragt. Die Applikationsschicht „wunderloop custom“ nutzt die gleiche Kerntechnologie wie „wunderloop connect“, daher ist es ausreichend, eine der beiden Softwarelösungen detailliert technisch zu beschreiben.
Das auf der wunderloop-Technologie basierende „Behavioural Targeting (BT)“ ermöglicht eine Art der Zielansprache von Internetnutzern auf der Basis deren Nutzerverhaltens. Marketingtechnischer Zweck des Verfahrens ist die Sicherstellung, dass Online-Werbung die richtige Person zur richtigen Zeit mit der richtigen Anzeige erreicht. Dabei erfolgt die Adressierung auf Basis von Merkmalen, die durch für wunderloop nicht personenbezogene oder -beziehbare Cookies zugeordnet werden.

Der Cookie wird durch einen Algorithmus erzeugt, der den Wert aus einer Zufallszahl und dem Datum berechnet, der Cookie selbst enthält keine weiteren Daten außer diesem Wert. Insofern wird hier mit einem Cookie gearbeitet, der keinen direkten Bezug zu einer Anwenderperson zulässt. Die Technologie kennt weder Namen noch Adresse eines potenziellen Käufers, kann aber aus dem Verhalten Rückschlüsse auf möglicherweise passende Angebote bzw. Werbebotschaften ziehen.

Beim BT wird ein Nutzer, der sich auffallend häufig für ein bestimmtes Produkt oder bestimmte Themen interessiert, durch eine Analyse der gewählten Interessen im World Wide Web markiert. Die Technologie von wunderloop verfolgt das Nutzerverhalten und erfasst es in einem standardisierten Datenformat. Das System lernt dabei aus den Gemeinsamkeiten im Nutzerverhalten und baut damit Zielgruppenprofile auf, mit denen qualitative Daten und Nutzerprofilen erzeugt werden.

Die Echtzeit Online-Nutzungsdaten werden auf Wunsch durch Marktforschungs-Daten angereichert. Durch berechnete Ergänzung passender Interessen und sozio-demographischer Merkmale der Nutzergruppen werden bei gleichzeitig präziserer Zielgruppen- und Interessens-Definition möglich.

Website-Betreiber behalten bei wunderloop connect die volle Kontrolle über die von ihnen gebildeten und genutzten Daten. Sie können bestimmen, welche der vom System vorgegebenen Kriterien verwendet werden, wie sie gesammelt und ob und wie sie mit anderen connect-Mitgliedern zusammenarbeiten wollen. (Dies betrifft die Website – Betreiber, nicht den surfenden Endkunden)

Bei wunderloop connect können registrierte Werbetreibende („Advertiser“) ihre Werbung auf angemeldeten Webseiten von registrierten Website-Betreibern („Publisher“) zielgruppenspezifisch in Echtzeit platzieren und veröffentlichen. Eine Nutzung von wunderloop connect setzt die Anmeldung und Registrierung des Teilnehmers als Werbetreibender ("Advertiser") oder Website-Betreiber ("Publisher") auf der wunderloop-Plattform voraus.

Die Applikationsschicht „wunderloop custom“ wird, ausgehend von einer Standardkonfiguration des „wunderloop custom“, auf der Basis von ASP (Application Service Providing) oder im Rechenzentrum des Kunden zur Verfügung gestellt. Dabei wird die wunderloop ITP-Technologie (ITP = Integrated Targeting Platform) individuell auf die Bedürfnisse des Kunden zugeschnitten. Die Applikationsschicht „wunderloop custom“ nutzt die gleiche Kerntechnologie (ITP) wie „wunderloop connect“.

Bemerkenswert ist die Tatsache, dass die Software zunächst lediglich Cookies an die User gibt, eine eindeutige Relation zwischen IP – Adresse und Anwender aber nicht hergestellt wird, da im vorgelagerten technischen Bereich diese Relation durch Trennung der Bereiche IP und Cookies aufgelöst wird: Das Cookie wird an wunderloop als http-Request zurück übermittelt. Die Rückübermittlung erfolgt technisch notwendigerweise zunächst zusammen mit der IP-Adresse des Surfers, allerdings nicht an wunderloop, sondern an einen externen Dienstleister („Anonymisierer“). Dieser externe „Anonymisierer“ ist von wunderloop rechtlich und wirtschaftlich unabhängig und wird (zwangsweise) als Auftragnehmer im Auftrag ausschließlich der Seitenbetreiber tätig. Der „Anonymisierer“ trennt - noch vor der Schnittstelle zwischen Transportmedium und „Plattform“ - die IP-Adresse von der dem Cookie zuzuordnenden Information, wandelt diese in einem separaten Verfahren in eine Länder- und/oder Regionenangabe um und löscht sie anschließend, so dass keine Nutzeradresse mehr vorhanden ist. Die so umgewandelte Information zum Land (z. B. BR Deutschland) und/oder Region (Bundesland, z. B. Schleswig-Holstein) wird den vom jeweiligen Cookie übermittelten Informationen (ID-Nummer, besuchte Webseite, ggf. Einzelheiten des Interesses) wieder zugeordnet, an das wunderloop-System weitergeleitet und dort in einer Datenbank abgelegt. Die Umwandlung der ursprünglichen IP-Adresse des Users in eine bloße Länder- oder Regionenklassifizierung ist nicht umkehrbar, da die ursprüngliche IP-Adresse von dem Anonymisierer mit der Umwandlung gelöscht wurde. Daher ist kein Rückschluss auf den Nutzer möglich. Die gelöschten IP-Adressen werden dort lediglich gezählt, aber nicht gespeichert, auch nicht zu Dokumentations-, Sicherungs- oder Nachweiszwecken.

Das IT-Produkt „Integrated Targeting Platform“ in Verbindung mit den Softwareoberflächen „wunderloop connect“ und „wunderloop custom“ basiert somit auf einem System „informationeller Gewaltenteilung“, in dem keine der beteiligten Parteien alle Informationen kennt, um ein Persönlichkeits- oder Nutzerprofil zu erstellen. wunderloop fehlt es stets schon an der Information, die einen Personenbezug möglich macht. Und die Diensteanbieter (Advertiser und Publisher) erhalten als Empfehlung oder Schätzung für den auszuliefernden Inhalt bzw. die auszuliefernde Werbung stets nur eine Einzelinformation, aus der kein Persönlichkeits- oder Nutzerprofil hervorgeht.

Die Integrated Targeting Platform (in den Ausprägungen "custom" und "connect") liefert als Ergebnis der technischen Analyse einen Wert zurück, der die Zuordnung des Cookies zu einer Zielgruppe beschreibt. Dieser Wert wird in ein Cookie ("RCMD-Cookie") geschrieben und von einem ausliefernden System (beispielsweise Ad-Server) zur Zuordnung des passenden Werbemittels oder Inhalts zum jeweiligen Cookie benutzt.

Durch die Zwischenschaltung des „Anonymisierers“ erhält wunderloop somit sowohl unter „Connect“ als auch unter „Custom“ lediglich identitätsentkleidete Daten, die wunderloop unter keinen Umständen mehr zu einer konkreten Person in Beziehung bringen kann. 

Bei "wunderloop custom" ist es darüber hinaus möglich, vorhandene Userdaten des Diensteanbieters für das "Behavioral Targeting (BT)"-System nutzbar zu machen ("User Customer Data").

Wird dieses Verfahren eingesetzt, ist dies eine kundenindividuelle Anpassung und nicht von der Zertifizierung umfasst. Für solche Anwendungen müssen gegebenenfalls Verwendungsverbote und besondere Anforderungen wie Einwilligungserklärungen ("Opt-in") beachtet werden, insbesondere bei Telekommunikationsanbietern (§ 15 III TMG). Der Kunde wird hierauf durch wunderloop hingewiesen.

Der Kunde kann die hier verwendete Funktionalität (Setzen des Cookies) dadurch vermeiden bzw. deaktivieren, dass er entweder keine Cookies akzeptiert, Cookies in seinem Rechner löscht oder - im Rahmen des Produktes „Connect“ - das Cookie in der Rubrik “privacy” aktiv ausschaltet (Siehe https:// connect.wunderloop.net/connect/privacy/ settings) Dann findet kein Tracking statt. 

Die Alterungszeiten der Profile sind maximal 10 Slots, dabei ist ein Slot als ein Benutzertag zu verstehen. Bei den Profilen werden pro Profile maximal 10 Slots gespeichert. Alle Daten werden bei Inaktivität gelöscht. Für die Anwendung „connect“ werden die Daten nach 60 Tage Inaktivität bei validierten Profilen und nach 30 Tagen Inaktivität bei nicht validierten Profilen gelöscht. Wenn User laufend aktiv sind, werden nur die Daten aus den letzten 10 Slots gespeichert. Für die Anwendung „custom“ werden die Daten als Standard nach 50 Tagen Inaktivität bei validierten Profilen und ebenfalls nach 50 Tagen Inaktivität bei nicht validierten Profilen gelöscht.

Die dazugehörigen Logfiles werden nach unterschiedlich langer Dauer, bedarfsabhängig, jeweils nach Beendigung der Rechnungsperiode, Rechnungsstellung und Nachfragen zwischen 28 und 120 Tagen gehalten und dann gelöscht.

Die Speicherdauer für Slot – Profile beträgt die letzten (10) zehn Besuchstage, bei Änderung der Interessengebiete werden hier auch nach 10 Tage die Profile gespeichert.

 

7. Tools, die zur Herstellung des IT-Produktes verwendet wurden

Client – seitig wird keine spezielle Hardware notwendig, weiterhin wird kein spezielles Betriebssystem oder ein Betriebssystem Zusatz benötigt.
Als Server – Betriebssystem können eingesetzt werden Suse SLES 8, SLES 9 oder Redhat. Da alle Targeting-relevanten Daten in Datenbanken gespeichert werden, muss die Datenbank für maximale Auslastung konfiguriert werden.

8. Zweck und Einsatzbereich

Der Einsatzbereich der Software liegt in der Auslieferung und Kontrolle von Webseiten basierend auf den Interessen-Profilen von Usern.

Grundsätzlich ist das Produkt "Integrated Targeting Platform“ (ITP) für den Einsatz bei öffentlichen Stellen des Landes Schleswig – Holstein geeignet, dabei können Behörden oder sonstige öffentliche Stellen, die verhaltensbezogene Informationen an Nutzer ausliefern möchten, dieses Produkt einsetzten.

 

9. Modellierung des Datenflusses

Im Falle der wunderloop Integration durch ein „Empfehlungscookie (RCMD-Cookie)“ wird der Anwender (1) über ein Cookie (2) identifiziert, seine zugehörige IP Adresse gelangt nur bis zum zwischengeschalteten Anonymisierer (3) und kann daher nicht an wunderloop (4) weitergereicht werden, so dass keine Zuordnung von User zu IP möglich ist. Alle Tracking - Anfragen werden über 1x1 Zählpixel ausgelöst, die Zielgruppeninformationen werden über ein Empfehlungscookie (5) auf den Ad-Server (6) übertragen.

Bei Nutzung der Applikationsschicht „wunderloop connect“ wird der User (1) über einen Anonymisierer (2) verbunden. Durch entsprechende organisatorische und technische  Maßnahmen ist anschließend bei wunderloop (3) keine Zuordnung zwischen User und IP möglich. Der Ad–Server (4) ist in diesem Fall in der Verantwortung von wunderloop. Die Weiterverarbeitung der Klickdaten erfolgt grundsätzlich ohne eine originale IP-Adresse des Users.

 

10. Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog Version 1.2

 

11. Zusammenfassung der Prüfungsergebnisse

Das Produkt „Integrated Targeting Platform (ITP)“ in Verbindung mit den Softwareoberflächen „wunderloop connect“ und „wunderloop custom“ kann datenschutzrechtlich in zulässiger Weise bei öffentlichen Stellen des Landes Schleswig-Holstein sowie im nichtöffentlichen Bereich eingesetzt werden.
Das Produkt erfüllt die Anforderungen an den Datenschutz in insgesamt vorbildlicher Weise. Beim Einsatz des Produktes kommen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zum Einsatz. Die Erhebung von Nutzerinformation erfolgt im Wege einer zulässigen Auftragsdatenverarbeitung. Vorbildlich ist, dass der Personenbezug durch eine bestimmte Gestaltung des Verfahrens frühzeitig beseitigt wird.
Die eigenverantwortliche Verarbeitung und Nutzung der anonymen Nutzungsdaten durch wunderloop zur Generierung einer Einzelempfehlungs- oder Einzelschätzungsinformation sowie deren Übermittlung an die beteiligten Diensteanbieter (Advertiser, Publisher) erfolgt in ebenfalls zulässiger Weise.

Das System arbeitet auf der Basis von Cookies, die für die Zuordnung des jeweiligen Nutzers verwendet werden, ohne dass es dabei zu einer Speicherung oder Auswertung personenbezogener Daten kommt. Durch das konsequente Trennen der Front–End–Systeme von den Produktionssysteme wird eine Relation bzw. ein Rückschluss auf einen konkreten Anwender unmöglich gemacht.
Die Vorgaben des BDSG und des Telemediengesetzes (TMG) werden durch die jeweils verantwortlichen Stellen eingehalten. Zu wesentlichen Teilen sind die konkreten datenschutzrechtlichen Vorgaben von BDSG und TMG von der jeweils verantwortlichen Stelle, also dem Diensteanbieter, einzuhalten. wunderloop hat organisatorische Maßnahmen dafür getroffen, dass auf die Einhaltung der datenschutzrechtlichen Vorgaben durch die verantwortliche Stelle hingewirkt wird.

 

12. Beschreibung, wie das IT-Produkt den Datenschutz fördert

Durch die im Geschäftsprozess sehr frühzeitig erfolgende Trennung der Anwenderdaten von den IP Informationen wird eine Verhinderung des Personenbezugs bereits am Front–End des Datenempfangs vor jeder weiteren Verarbeitung erreicht. Es werden weder im Primär- noch im Sekundärdaten-Bereich Daten mitgeführt, die auf einen konkreten, personenbezogenen Anwender rückschließen lassen. Damit trägt das IT-Produkt dem Grundsatz der Datenvermeidung und Datensparsamkeit Rechnung. Bemerkenswert ist, dass es sich um ein Produkt aus einem Produkt- bzw. Dienstleistungssektor handelt, der ansonsten eher durch eine intensive Erhebung, Verarbeitung und Nutzung personenbezogener Daten geprägt ist.

Damit liegt hier ein Software–Produkt vor, das den Datenschutz in besonderer Weise fördert.