IX Perspectives

California Consumer Privacy Act (CCPA) – IX ist bereit!

Neues Jahr, neues Datenschutzgesetz. Seit dem 1. Januar 2020 erlaubt es der CCPA (California Consumer Privacy Act) Web-Usern, sich gegen die Verwendung ihrer persönlichen Daten durch Unternehmen zur Schaltung digitaler Werbung zu entscheiden. Obwohl dieses neue Gesetz Ähnlichkeiten mit der Datenschutzgrundverordnung (DSGVO) aufweist, gibt es einige Unterschiede, die beide Seiten des Ökosystems berücksichtigen müssen.

Bei Index Exchange implementieren wir das CCPA-Framework für OpenRTB des IAB (die Spezifikationen finden Sie hier) und wir ermutigen unsere Publisher-Partner (sowie alle Publisher des Adtech-Ökosystems), dies ebenfalls zu tun. Wir verstehen uns als Dienstleister (Service Provider) im Rahmen des CCPA, der personenbezogene Daten im Auftrag und zum Nutzen unserer Publisher-Partner verarbeitet.

Um unsere Mediaeinkaufs- und Publisher-Partner bei dieser neuen Gesetzgebung zu unterstützen, haben wir die folgenden FAQs zusammengestellt. Wir möchten unseren verschiedenen Partner aufzeigen, was sie in Bezug auf die kommenden Veränderungen erwartet:

FAQ

Was ist das CCPA-Gesetz?

Der CCPA ist ein neues Datenschutzgesetz, das es Web-Benutzern in Kalifornien ermöglicht, sich gegen die Verwendung ihrer persönlichen Daten (Opt-Out) durch Unternehmen zu entscheiden (das beinhaltet auch die Schaltung digitaler Werbung). 

Es betrifft jedes Unternehmen, das persönliche Daten von Einwohnern Kaliforniens verwendet. Der Gesetzestext nutzt den Begriff „sells“ (verkauft) im Bezug auf persönliche Informationen. Jedoch ist dieser Begriff sehr weit gefasst und schließt auch andere Bereiche ein – namentlich:

„collecting, gathering, accessing, receiving, disclosing, making available, transferring and communicating it from a business to a third party for value consideration.” Also das Sammeln, Erfassen, Zugreifen, Empfangen, Offenlegen, Verfügbarmachen, Übertragen und Kommunizieren von einem Unternehmen an Dritte gegen Bezahlung.

Um den Gesetzesanforderungen nachzukommen, müssen Unternehmen, die die persönlichen Daten von den Einwohnern Kaliforniens sammeln und „verkaufen“, ein Banner mit dem Text „Do Not Sell My Personal Information” auf ihre Website stellen. Dieses Banner muss es Usern ermöglichen, den „Verkauf“ ihrer persönlichen Daten an Dritte abzulehnen. Alternativ können Unternehmen sich dafür entscheiden, keine personalisierte Werbung für kalifornische Nutzer anzubieten. Sie müssen den Verbrauchern aber dennoch auch das Recht geben, auf ihre persönlichen Daten zuzugreifen oder diese zu löschen.

Wann tritt der CCPA in Kraft?

Das Gesetz trat am 1. Januar 2020 in Kraft. Die kalifornische Staatsanwaltschaft hat jedoch angegeben, dass die Umsetzung erst am 1. Juli 2020 beginnt.

Was ist das US Privacy Framework des IAB?

Das US Privacy Framework des IAB ist ein Versuch der Werbeindustrie, eine standardisierte Methode zu schaffen, um die Anforderungen des CCPA-Gesetzes und allen anderen zukünftigen US-Datenschutzgesetzen zu erfüllen. Dieses Rahmenwerk definiert, wie das Signal über die Entscheidung eines Kunden auf standardisierte Weise gesammelt und weitergeleitet werden kann.

Publisher können für sich entscheiden, das Framework nicht zu nutzen und einen nicht standardisierten Weg einzuschlagen. So oder so muss das Signal aber an die Exchanges weitergeleitet werden, die es dann ihrerseits an die DSPs weiterleiten.

Was ist ein Limited Service Provider?

Das US Privacy Framework des IAB beinhaltet auch ein Limited Service Provider Agreement. Dabei handelt es sich um eine Möglichkeit für nachgelagerte Parteien, etwa Ad Exchanges, ihre Beziehung zum Publisher zu standardisieren und sich als Dienstleister (Service Provider) für den Publisher zu identifizieren.

Durch die Unterzeichnung dieses Vertrags werden alle Downstream-Parteien zu Limited Service Providern, die personenbezogene Daten nur für bestimmte Geschäftszwecke wie Frequency Capping, Anzeigenmessung und -auslieferung, Betrugsprävention und andere Zwecke, die keine personalisierte Werbung beinhalten, nutzen können.

Index Exchange beabsichtigt, die Vereinbarung des IAB als Limited Service Provider zu unterzeichnen, sobald diese verfügbar ist. Wir ermutigen alle unsere Partner, diese ebenfalls zu unterschreiben, um den Verwaltungsaufwand und die Notwendigkeit weiterer Änderungen unserer Verträge zu minimieren.

Was passiert beim Opt-Out eines Users?

  • Der Opt-Out gilt mindestens für die Webseite sowie Gerät und Browser, von dem aus die Opt-out-Option gewählt wurde. Wenn ich mich zum Beispiel auf XYZ.com auf dem Desktop abmelde, gilt mein Opt-Out *nicht* für die mobile App von XYZ. Allerdings wird dies in der Praxis nicht immer der Fall sein, da einige Publisher die Wahl des Users über alle ihre Kanäle synchronisieren werden.
  • Das Opt-Out bedeutet nicht, keine Werbung für den User, sondern nur, dass keine persönlichen Informationen mehr für die Personalisierung verwendet werden.
  • Die folgenden Anzeigentypen können auch dann noch geschaltet werden, wenn ein Nutzer sich gegen den „Verkauf“ entschieden hat:
    • Nicht personalisierte Anzeigen
    • Anzeigen, die auf den Daten des Publishers basieren, z.B. Daten, die CNN selbst über Sie gesammelt hat
    • Anzeigen, die auf Daten Dritter basieren, die vor dem CCPA erworben wurden.

Was heißt das für mich?

Für Library-Partner:

  • Wir implementieren das CCPA Compliance Framework des IAB für unser Library-Produkt und können die Opt-in- oder Opt-out-Präferenz der Kunden über den us_privacy-String empfangen, bearbeiten und weiterleiten.
  • Die technischen Spezifikationen des IAB für Publisher finden Sie hier.
  • Es sind keine Code-Updates für Ihre Implementierung der Index Exchange Library erforderlich. Solange Sie den us_privacy-String gemäß den IAB-Spezifikationen sammeln und weitergeben, wird die Index Exchange Library das Signal automatisch empfangen. Bitte wenden Sie sich an Ihren Index Exchange Kundenbetreuer, um Ihre Library im Bedarfsfall zu konfigurieren.
  • Es liegt in der Verantwortung des Publishers, die Consent-Signale des Users genau zu erfassen und weiterzuleiten. Sie können eine CMP nutzen, um die Consent Präferenz-Einstellungen zu verwalten, aber dies ist nicht zwingend erforderlich.
  • Die IX Library teilt den us_privacy-String der US Privacy API auch mit allen zertifizierten Adapter-Partnern, die in Ihrer Library konfiguriert sind. Alle Adapter, die CCPA unterstützen, können das Signal ab diesem Zeitpunkt an die jeweiligen Plattformen weiterreichen.
  • Für Publisher, die das Limited Service Provider Agreement des IAB unterschreiben, sind keine weiteren Vertragszusätze zwischen ihnen und uns erforderlich.

Für Prebid-Partner:

  • Wir haben unsere Integration mit der Prebid Library aktualisiert, um die Verarbeitung des us_privacy-Strings zu integrieren.
  • Publisher, die die Prebid-Library verwenden, müssen ihre Integrationen aktualisieren und auf ihren Webseiten bereitstellen.
    • Informationen über CCPA-Updates für den Prebid-Adapter finden Sie hier, wo Index Exchange auch als ein CCPA-unterstützender Adapter gelistet ist.

Für DSP- und Agenturpartner:

  • Wir implementieren das CCPA-Compliance-Framework des IAB für unser Library-Produkt und können die Opt-in- oder Opt-out-Präferenz der User über den us_privacy-String empfangen, bearbeiten und weiterleiten.
  • Wir werden das us_privacy-Feld im Regulations Object übergeben – weitere Details finden Sie in unserer Knowledge Base.

Sollten Sie weitere Fragen haben, zögern Sie bitte nicht, sich direkt mit Ihrem Account-Teamleiter in Verbindung zu setzen.