• Kurzgutachten der Rezertifizierung 2009
• Kurzgutachten der Erstzertifizierung 2007 nachfolgend:

Kurzgutachten
nugg.ad - Predictive Targeting Networking (PTN)

Zeitpunkt der Prüfung

12.03.2007 bis 20.09.2007

Adresse des Antragstellers

nugg.ad AG
Rotherstr. 16
10245 Berlin

Adressen der Sachverständigen

Rechtsanwalt Stephan Hansen-Oest
Speicherlinie 40
24937 Flensburg
sh@datenschutzkontor.de

Dipl. Inf. (FH) Andreas Bethke
Papenbergallee 34
25548 Kellinghusen
ab@datenschutzkontor.de

Kurzbezeichnung

„Predictive Targeting Networking“ (PTN) Version 2.0 ist ein IT-Produkt der nugg.ad AG für Betreiber von Telemediendiensten (Web-Sites), mit dem für den jeweiligen Nutzer des Internetangebotes statistische Annahmen bzgl. inhalts- oder werberelevanter Informationen auf Basis von Nutzerverhalten generiert werden. Durch den Einsatz von PTN 2.0 wird es dem Betreiber der Web-Site möglich, den Besuchern des Internetangebotes jeweils für diese angepasste Inhalte oder Werbung zu liefern.

Detaillierte Bezeichnung

Das IT-Produkt PTN 2.0 der nugg.ad AG wird Betreibern von Internet-Seiten angeboten, um die Auslieferung von verhaltensbezogenen Informationen oder Werbung für Nutzer zu ermöglichen.

Dabei wird über ein sog. Web-Bug auf der Internetseite des Betreibers das nugg.ad-System aufgerufen und eine Information über eine Inhaltskategorie der jeweiligen Seite übergeben. Ein sog. Cookie-Mess-System zeichnet in verschlüsselter und komprimierter Form im Cookie des Nutzers auf, welche Kategorien wie oft aufgesucht wurden. Dieses Cookie ist nur dem Nutzer selbst und dem nugg.ad-System zugänglich. Dieses Cookie hat eine absolute Lebensdauer von 12 Monaten. Die Erhebung dieser Informationen erfolgt im Wege einer Auftragsdatenverarbeitung. nugg.ad wird als Auftragsdatenverarbeiter für den Telemediendiensteanbieter, der verantwortliche Stelle bleibt, tätig. nugg.ad hat organisatorische Vorkehrungen dafür getroffen, dass der Nutzer von der verantwortlichen Stelle über Zweck, Art und Umfang der Erhebung, Verarbeitung und Nutzung personenbezogener Daten informiert wird.

nugg.ad erhält zu keiner Zeit Informationen über IP-Adressen der Nutzer. Dies wird durch die „Zwischenschaltung“ eines sog. „Anonymizers“ in Form einer unabhängigen dritten Stelle gewährleistet. Der „Anonymizer“ wird als Auftragsdatenverarbeiter für nugg.ad und als Unterauftragnehmer der verantwortlichen Stelle tätig. Soweit Informationen über den Nutzer bzw. das Nutzerverhalten in dieser Form erhoben werden, wird der Personenbezug durch die Löschung der IP-Adresse vor der Weitergabe der Informationen an nugg.ad entfernt. Der „Anonymizer“ protokolliert keine Nutzungsdaten, so dass es auch im Nachhinein nicht möglich ist, Informationen mit IP-Adressen zu verknüpfen. Es sind hinreichende vertragliche Vorkehrungen getroffen worden, die verhindern, dass nugg.ad Zugriff auf die betreffenden Datenverarbeitungssysteme des „Anonymizers“ bekommt. Das Auftragsdatenverarbeitungsverhältnis zwischen nugg.ad und dem Telemediendiensteanbieter ist auf die Erhebung dieser Nutzungsinformationen beschränkt. nugg.ad verarbeitet und nutzt Daten stets getrennt nach Auftraggebern. 
 
nugg.ad verarbeitet und nutzt die Informationen dann in eigener Verantwortung, um unter Verwendung eigener entwickelter Algorithmen statistische Berechnungen vorzunehmen, mit denen eine Empfehlungsinformation für den Telemediendiensteanbieter generiert wird, aus der dieser ersehen kann, welche Information oder Werbung für den jeweiligen Nutzer „passend“ sein könnte. Wichtig ist, dass nugg.ad selbst keine Kenntnis von der jeweiligen Person des Nutzers hat. Es liegen keine Informationen vor, die nugg.ad einer Person zuordnen könnte.
 
Über das Produkt PTN 2.0 verarbeitete Daten werden anonymisiert und aggregiert in einer Datenbank gespeichert, um Prognosemodelle erstellen zu können.

Die Empfehlungsinformation wird dann wieder über den Unterauftragnehmer als „Anonymizer“ via Java-Script oder „Redirect“ an den Betreiber der Internetseiten übermittelt. Für diesen Telemediendiensteanbieter sind diese Informationen wiederum nur eine Einzelempfehungsinformation bzw. eine Einzelschätzung. Die Information beinhaltet kein Nutzer- oder Persönlichkeitsprofil.

Das Produkt PTN 2.0 basiert auf einem System „informationeller Gewaltenteilung“, in dem keine der beteiligten Parteien alle Informationen kennt, um ein Persönlichkeits- oder Nutzerprofil zu erstellen. nugg.ad fehlt es stets schon an der Information, die einen Personenbezug möglich macht. Und der Telemediendiensteanbieter erhält als Empfehlung oder Schätzung für den auszuliefernden Inhalt bzw. die auszuliefernde Werbung stets nur eine Einzelinformation, aus der kein Persönlichkeits- oder Nutzerprofil hervorgeht.

Nutzer können den Einsatz des PTN 2.0-Verfahrens durch den Einsatz eines sog. Block-Cookies unterbinden. nugg.ad weist seine Kunden darauf hin, dass diese den Nutzer auf diese Möglichkeit hinweisen sollen. Bei einem gesetzten Block-Cookie, das eine Gültigkeit von 10 Jahren hat, unterbleibt jegliche Erhebung, Verarbeitung und Nutzung von Daten aus dem Nutzerverhalten.

Tools, die zur Herstellung des IT-Produktes verwendet wurden

Ruby, C, Java als Programmiersprachen
Mongrel WebServer
Apache WebServer
Mysql Datenbanken

Zweck und Einsatzbereich

Zweck und Einsatzbereich des Produktes ist die verhaltensbezogene statistische Ermittlung von Empfehlungen für die Auslieferung von Inhalten oder Werbung in Telemediendiensten. Das Produkt ist sowohl bei nichtöffentlichen Stellen wie auch bei öffentlichen Stellen einsetzbar. Der Einsatz des IT-Produktes „PTN 2.0“ ist auch für Behörden oder sonstige öffentliche Stellen möglich, die verhaltensbezogene Informationen an Ihre Nutzer ausliefern wollen. Das IT-Produkt ist jedenfalls grundsätzlich auch für den Einsatz bei oder durch öffentliche Stellen des Landes Schleswig-Holstein geeignet.

Modellierung des Datenflusses

(1) Web-Bug 
Ein Web-Bug ist eine kleine Grafik (unsichtbares Zählpixel oder Javascript-Code), welche die vom User besuchte Website auf dem nugg.ad-System aufruft. So wird die Information weitergegeben, welcher Content (z.B. „Sport“) aktuell angezeigt wird. Die Grafik liest dabei keine System- oder Browserinformationen aus und verarbeitet auch nicht den Referer (die zuvor besuchte Seite). Es wird einzig die Information zur aktuell besuchten Webseite an das nugg.ad-System übermittelt. 
 
(2) Cookie-Mess-System 
Das Cookie-Mess-System zeichnet in verschlüsselter und komprimierter Form im Cookie des Users auf, welche Kategorien wie oft aufgesucht wurden. Dieses Cookie ist nur dem User selbst und dem nugg.ad-System zugänglich.  
 
(3) Cookie setzen 
Das nugg.ad-Cookie wird mit einer Lebensdauer von einem Jahr gesetzt und nicht automatisch verlängert. Löscht der User das Cookie, sind alle entsprechenden Informationen für das nugg.ad-System ebenfalls verloren. 
 
(4) Anonymizer 
Der Anonymizer wird von einer unabhängigen Partei betrieben und stellt sicher, dass nugg.ad zu keiner Zeit Zugriff auf die originalen IP-Adressen der User hat. Der Anonymizer produziert keine Logfiles, somit können auch im Nachhinein originale IP-Adressen der User nicht mit irgendwelchen Profil-Informationen verknüpft werden. Entsprechende Verträge stellen sicher, dass dieser Schutz nicht ausgehebelt werden kann. 
 
(5) Empfehlungen/Schätzungen 
Das nugg.ad-System gibt keine Klick-Historie an das Kundensystem weiter, sondern nur statistische Aggregate und Empfehlungen. Es ist demnach nie möglich, aus dem nugg.ad-Profil die reale Klick-Historie abzulesen. Die realen Daten stehen nur den automatisierten Statistik-Prozessen des nugg.ad-Systems zur Verfügung. 
 
(6) Statistik-System 
Das nugg.ad-Statistik-System verarbeitet die Klick-Historie eines Users und vergleicht diese mit aggregierten Klick-Historien in der Datenbank (sog. Prognose-Modelle). Ein automatisierter machine learning Algorithmus leitet aus diesen Vergleichen Schätzmodelle ab, die grobe Zuordnungen zu bestimmten werberelevanten Informationen und Segmenten enthalten. 
 
(7) Datenbank 
Die Datenbank des nugg.ad-Systems dient den machine learning Prozessen des Statistik-Systems als Lernbasis für die Ableitung von Prognose-Modellen. Die Daten werden hier in anonymisierter und aggregierter Form abgelegt. Es ist kein Rückschluss von der Datenbank auf User-Cookies oder IP-Adressen von Usern des Systems möglich. 
 
(8) Weiterverarbeitung ohne IP-Adresse 
Die Weiterverarbeitung der Klickdaten erfolgt grundsätzlich ohne die originale IP-Adresse des Users.

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog Version 1.2

Zusammenfassung der Prüfungsergebnisse

Das Produkt „PTN 2.0“ kann datenschutzrechtlich in zulässiger Weise bei öffentlichen Stellen des Landes Schleswig-Holstein sowie im nichtöffentlichen Bereich eingesetzt werden. Das Produkt erfüllt die Anforderungen an den Datenschutz in insgesamt vorbildlicher Weise. Beim Einsatz des Produktes kommen technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zum Einsatz. Die Erhebung von Nutzerinformation erfolgt im Wege einer zulässigen Auftragsdatenverarbeitung. Vorbildlich ist, dass der Personenbezug durch eine bestimmte Gestaltung des Verfahrens beseitigt wird.

Die eigenverantwortliche Verarbeitung und Nutzung der anonymen Nutzungsdaten durch nugg.ad zur Generierung einer Einzelempfehlungs- oder Einzelschätzungsinformation sowie deren Übermittlung an den Betreiber der Internetseite erfolgt in ebenfalls zulässiger Weise.

Die Vorgaben des Telemediengesetzes (TMG) werden durch nugg.ad eingehalten. Zu wesentlichen Teilen sind die konkreten datenschutzrechtlichen Vorgaben des TMG von der jeweils verantwortlichen Stelle, also dem Telemediendiensteanbieter, einzuhalten. nugg.ad hat organisatorische Maßnahmen dafür getroffen, dass auf die Einhaltung der datenschutzrechtlichen Vorgaben des TMG durch die verantwortliche Stelle hingewirkt wird.

Beschreibung, wie das IT-Produkt den Datenschutz fördert

Das Produkt PTN 2.0 fördert den Datenschutz in besonderer Weise, da es sich um ein Produkt handelt, das dem Grundsatz der Datenvermeidung und Datensparsamkeit Rechnung trägt. Der Produkthersteller hat ein System zur Ermittlung von verhaltensbezogenen Empfehlungen und Schätzungen entwickelt, für das ein konkreter Personenbezug nicht erforderlich ist. Konsequent wurden daher technische und organisatorische Maßnahmen dafür getroffen, den Personenbezug zu vermeiden bzw. zu vermindern. Bemerkenswert ist, dass es sich um ein Produkt aus einem Produkt- bzw. Dienstleistungssektor handelt, der ansonsten eher durch eine intensive Erhebung, Verarbeitung und Nutzung personenbezogener Daten geprägt ist.