CASE STUDIES

Kaufbereite Nutzer
+13%

logo

Conversion Rate
gesteigert

logo

Kaufabsicht
+27%

logo

Markenbekanntheit
+38%

logo

Markenbekanntheit
+14%

logo

Anteil optimale Kontaktklasse
x8

logo

Zielgruppenanteil
+168%

logo

Markenbekanntheit
+50%

logo

Zielgruppenanteil
+47%

logo

Zielgruppenanteil
+95%

logo

Markenbekanntheit
+42%

logo

Cost per lead
-27%

logo

Zielgruppenanteil
+129%

logo

Markenbekanntheit
+41%

logo

Kaufabsicht
+20%

logo

Markenbekanntheit
+50%

logo

Markenbekanntheit
+35%

logo

Kampagnenwirkung 
+218%

logo

Kampagnenwirkung 
+186%

logo

Kampagnenwirkung 
X3

logo

Markenbekanntheit
+59%

logo

Zertifizierungen

 

tl_files/media/Datenschutz/Europrise2012.png                            tl_files/media/Datenschutz/nuggad_seal_uld.jpg

 

 

EuroPriSe

Product/Version

Predictive Targeting Networking
(PTN)
Version 2.1

View the nugg.ad PTN v2.1 Certificate

 

Cert. No.

DE-090007


Validity

29/02/2012 until 28/02/2014

Initial Certification on September 10, 2009

Monitoring

10/2012 - 06/2013

 

Public report

nugg.ad
PTN v2.0 Short Public Report

 

Manufacturer/Provider

nugg.ad
AG
Rotherstraße 16
10245 Berlin

Germany

 

BEST

 

Data minimisation:

IP addresses of Internet users visiting a website that makes use of PTN 2.1 technology are anonymised by an independent third party who serves as a proxy.

 

Transparency:

nugg.ad provides its customers with guidance on how to implement PTN 2.1 in line with data protection requirements.

 

Data Subjects' Rights:

nugg.ad offers a so-called topic monitor to Internet users. By means of this new feature, users can learn about the categories they have been classified in by PTN as well as to opt-out from / opt-in to being tracked by means of PTN 2.1. The topic monitor is available at https://mtm.nuggad.net/en.

 

ATTENTION:

Recertification 02/2012:

The results of the re-evaluation demonstrated that PTN 2.1 meets the EuroPriSe interim requirements for OBA (Online Behavioural Advertising) services as stipulated in the EuroPriSe position paper on the impact of the new “Cookie Law” on certifiability of behavioural advertising systems according to EuroPriSe and the follow-up paper on this. Both documents are available at  www.european-privacy-seal.eu/results/Position-Papers.

The new "Cookie Law", Article 5(3) of the amended ePrivacy Directive, requires prior informed consent to be collected from users as a precondition for the legitimate storage of OBA tracking cookies on users' devices. EuroPriSe's interim requirements that take account of the announcement of a "discussion period" by the Article 29 Working Party only call for first steps towards prior opt-in (amongst others). Consequently, the recertification does not confirm compliance of PTN 2.1 with the prior opt-in requirement of Article 5(3). 

 

Summary

 

PTN v2.0 is a service that offers predictive behavioural targeting to publishers and advertisers in the area of online marketing. The purpose of PTN 2.0 is to support customers in optimising effectiveness of advertisements.

Predictive behavioural targeting as offered by nugg.ad is based on a method that links web-browsing behaviour and survey results with algorithms derived from the field of machine learning. With the implementation of PTN-technology into a website, the click behaviour of a website visitor is analysed by means of http cookies and tracking pixels.

Detailed Information on PTN 2.1's mode of operation is provided via the topic monitor (https://mtm.nuggad.net/en) and the privacy policy for the nugg.ad system on nugg.ad's website (www.nugg.ad).

Details


Recertification 02/2012

Since the initial certification of PTN in 2009, important legal changes have taken place: Artikel 5(3) of the ePrivacy Directive (2002/58/ED) was amended to the extent that (inter alia) OBA tracking cookies may only be used on condition that prior informed consent of users has been collected. The Article 29 Working Party provided guidance on how to interpret this legal provision in its opinion 2/2010 on online behavioural advertising. In this opinion, the working party announced a "discussion period" with the OBA industry. In response to this announcement, EuroPriSe defined interim requirements for OBA services that are valid as long as the discussion period lasts (details on these requirements are provided below).

Compared with PTN version 2.0 that was subject to the initial certification version 2.1 comes with some new features (details on these are provided in the Short Public Report):

The (amended) Target of Evaluation includes:

 

- nugg.ad PTN 2.1 services

  • Processing activities on behalf of customers (website owner and publisher): Tracking of users by means of tracking pixels and cookies
  • Processing activities as controller: Conduct of surveys towards Internet users and maintenance + improvement of statistic model (aggregated data) for predictions
  • Provision of privacy functionalities for Internet users on the website www.nugg.ad: Landing page, topic monitor, opt-out + (ex post) opt-in functionality

 

- Technical and legal interfaces with customers, sub-processor (server hosting + operation of IP address anonymiser) and Internet users

- Optional features of PTN 2.1

  • Standard Plus (cross publisher/ad-network use of data for statistical model)
  • Campaign Management
  • Use of special interest categories besides the standard interest category taglist


The ToE does not include:

  • Server hosting + operation of IP address anonymiser
  • Display of ads via the respective ad server
  • Processing of customers' (website owners', publishers' and advertisers') as well as sub-processor's data for the purpose of performance of the respective contract
  • Transmission of data via third-party networks (mobile network, Internet)
  • Customer hardware (servers)
  • Customer services (websites)
  • Internet users' hardware and software

PTN 2.1 meets the EuroPriSe interim requirements for OBA:

  • nugg.ad offers its customers the possibility to display an icon at the edge of an ad. The icon links to a nugg.ad landing page (cf. below). First implementations of this icon solution are already in place. 
  • The landing page (ad-choices.nuggad.net/index.html.en) provides users with the possibility to opt-out from or opt-in to being tracked by PTN 2.1. In addition, it links to the topic monitor as well as to nugg.ad's privacy policy.
  • nugg.ad's privacy policy for the nugg.ad system informs users about relevant aspects of PTN 2.1. It is available at www.nugg.ad/en/company/privacy
  • nugg.ad's customers are contractually pledged to inform users about the utilisation of PTN 2.1 on their websites.
  • Users are provided with the possibility to opt-out on nugg.ad's homepage, on the landing page and by means of the topic monitor. Opting out results in nugg.ad's tracking cookies being deleted.
  • Users are provided with the possibility to opt-in on nugg.ad's homepage, on the landing page and by means of the topic monitor.
  • Life time of tracking cookies is limited to 26 weeks. If a user opts in, s/he is tracked for a maximum of 52 weeks.
  • IP addresses of users are anonymised by means of a third party anonymisation service.
  • nugg.ad dispenses with the use of categories that qualify as sensitive data under Art. 8 of Directive 95/46/EC and with the use of categories that are specifically designed to target children.
  • The topic monitor (https://mtm.nuggad.net/en) allows users to learn about the categories they have been classified in by PTN 2.1 according to their surfing behaviour. The topic monitor is prominently linked on nugg.ad's homepage and the landing page.
  • nugg.ad makes use of controller - processor agreements that comply with the requirements of Art. 17(2) - (4) of Directive 95/46/EC (as well as with the requirements of § 11 Abs. 2 S. 2 BDSG - German Federal Data Protection Act).


Initial Certification 09/2009

PTN v2.0 is provided to operators or publishers of websites. Customers can implement the service in order to gain a better and user optimised delivery of advertisements on the website.
A customer who wants to use PTN implements a web-bug on his website that is used to track basic user behaviour on the website. Each webpage of the website is classified to a certain category (e.g., sports or culture). If a user visits a webpage, the category the webpage belongs to is counted and stored in in a user cookie. This cookie has a maximum lifetime of 26 weeks.
Click behaviour data of users is enriched with information on demographics, product interests and potential lifestyle. To gain the latter information, a small, random sample of website visitors is presented an online questionnaire containing questions to pinpoint demographics, lifestyle and product interests.
Questionnaire information is stored in the nugg.ad system along with a hash code. Furthermore, the click statistics of the respective user are also stored with this hash code in the nugg.ad system. No personal data such as name or address of users is stored in the system. nugg.ad uses the above-mentioned data to build statistical models about general user behaviour based on interests.


Technical
Evaluator

Andreas Bethke

Papenbergallee 34
25548
Kellinghusen
Germany

andreas@b3-gruppe.de

 

Legal
Evaluator

Stephan Hansen-Oest

Neustadt 56
24939
Flensburg
Germany

sh@hansen-oest.com



Formerly Certified Versions

PTN 2.0

 

ULD Datenschutz Gütesiegel

Rechtliches und technisches Gutachten

Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

- PTN 2.0 -

 der

nugg.ad AG
Rotherstr. 16
10245 Berlin

erstellt von:

Andreas Bethke
Dipl. Inf. (FH)

Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein
anerkannter Sachverständiger für IT-Produkte (technisch)

Papenbergallee 34
25548 Kellinghusen

tel 04822 – 37 89 05
fax 04822 – 37 89 04
mob 0179 – 321 97 88

email ab@datenschutzkontor.de


Stephan Hansen-Oest

Rechtsanwalt

Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein
anerkannter Sachverständiger für IT-Produkte (rechtlich)

Neustadt 56
24939 Flensburg

tel 0461 – 90 91 356
fax 0461 – 90 91 357
mob 0171 – 20 44 98 1

email sh@hansen-oest.com


Stand: 16.09.2009

A. Einleitung

Der Produkthersteller hat am 25.09.2007 eine Zertifizierung für seine Software „Predictive Targeting Network (PTN)“ in der Version 2.0 erhalten. Die Zertifizierung läuft aufgrund der Befristung zum 16.09.2009 demnächst ab. Der Produkthersteller hat in der Zwischenzeit einige Verbesserungen an dem Service vorgenommen, die im Zuge der erfolgreichen EuroPriSe-Zertifizierung des Produktes implementiert worden sind. Das Produkt trägt jedoch immer noch die Versionsnummer 2.0, da ansonsten keine Änderungen an dem Verfahren vorgenommen wurden, die für die datenschutzrechtliche Bewertung von Belang sind. Mit dem vorliegenden Gutachten beabsichtigt der Produkthersteller das IT-Verfahren PTN 2.0 für das Gütesiegel für IT-Produkte des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) rezertifizieren zu lassen.

Dem Gutachten wird der Anforderungskatalog in der Version 1.2 zu Grunde gelegt.


B. Zeitpunkt der Prüfung

Die Prüfung des Produktes fand am 10.09.2009 und 16.09.2009 statt.

C. Änderungen und Neuerungen des Produktes

Das Produkt PTN 2.0 hat im Zuge der Zertifizierung für das EuroPriSe Änderungen erfahren, die zu Verbesserungen des Produktes geführt haben, die als datenschutzfreundlich bezeichnet werden können.

In der überarbeiteten Version des Produktes sind folgende Änderungen vorgenommen worden:

- die Speicherdauer („Lifetime“) von Cookies wurde von 12 Monaten auf maximal 26 Wochen abgesenkt. Ebenfalls sind die Speicherzeiten in der nugg.ad eigenen Datenbank, in der nicht personenbezogene Daten für die Berechnung statistischer Modelle verarbeitet und genutzt werden, weiter abgesenkt worden (ebenfalls auf 26 Wochen)

- die Privacy Policy auf der Website von nugg.ad (http://www.nugg.ad) wurde angepasst, um der europarechtlichen Auslegung des Begriffs des „Personenbezugs“ und den damit verbundenen Implikationen der Personenbeziehbarkeit von "Cookies“ Rechnung getragen. Die Privacy Policy von nugg.ad ist unter http://www.nugg.ad/de/produkte/datenschutz.html abrufbar.

- Der für die Auslieferung von Werbemitteln genutzte Kriterienkatalog ist überarbeitet worden. So sind die nachfolgenden Kategorien „Reproduction“ (sex life + health)“, „Pregnancy fashion“, „doctors“, „opticians“ und „Man seeks / woman seeks“ gelöscht worden, um einen vermeintlichen Bezug zu sensitiven Daten i.S.d. § 3 Abs. 9 BDSG von vornherein zu vermeiden.

- Der von nugg.ad verwendete Mustervertrag für die Verarbeitung von Daten im Auftrag wurde verbessert und umformuliert.

Weitere Funktionalitäten, die für die datenschutzrechtliche Bewertung des Produktes relevant wäre, sind nicht hinzugekommen.

D. Datenschutzrechtliche Bewertung

In rechtlicher Hinsicht hat es zwischenzeitlich eine Änderung des Bundesdatenschutzgesetzes geben, die seit dem 01.09.2009 in Kraft getreten ist. Die in den §§ 28, 29 BDSG vorgenommen Änderungen sind für das IT-Verfahren PTN 2.0 nicht relevant, da sie in inhaltlicher Sicht keine neue rechtliche Bewertung implizieren.

Relevant ist jedoch die Änderungen des § 11 BDSG, da hierdurch strengere Anforderungen an die Erteilung schriftlicher Weisungen an den Auftragsdatenverarbeiter einhergehen. Nach §11 Abs. 2 BDSG n.F. muss der schriftliche Auftrag an den Auftragsdatenverarbeiter Folgendes beinhalten:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

nugg.ad bietet seinen Kunden einen Musterauftragsdatenverarbeitungsvertrag zum Abschluss an, der als Annex zum sog. Hauptvertrag abgeschlossen wird. Dieser beinhaltete schon zuvor die nun in § 11 BDSG n.F. festgelegten Punkte.

Bezüglich der Laufzeit verweist der Vertrag zulässigerweise auf den Hauptvertrag. Umfang, Art und Zweck der Verarbeitung sind in Ziff. 2 des Vertrages geregelt. Die Kontrollrechte des Auftraggebers sind in Ziff. 6 des Vertrages geregelt. Ferner sind auch die Rückgabe von Daten/Datenträgern im Vertrag geregelt und Hinweispflichten des Auftragnehmers bei Verstößen enthalten.

Das Vertragsmuster erfüllt insgesamt die Anforderungen des § 11 BDSG in der seit dem

01.09.2009 geltenden Fassung.


Ferner enthält § 11 BDSG in der neuen Fassung nunmehr eine konkrete Pflicht des Auftraggebers, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren. Dieses neue Erfordernis, kann ebenfalls durch das nugg.ad Verfahren eingehalten werden.

Auch das Telemediengesetz (TMG) ist mit Wirkung zum 01.09.2009 geändert worden. Die dort vorgenommen Änderungen waren jedoch mit Ausnahme des neuen § 15a TMG nur redaktioneller Art. Der neue § 15a TMG ist im vorliegenden Fall für die datenschutzrechtliche Bewertung des Verfahrens nicht relevant.

Die Änderungen an dem Verfahren führen zu keiner anderen Bewertung des Verfahrens in datenschutzrechtlicher Hinsicht. Es lässt sich eher feststellen, dass das Produkt durch die verbesserte Anwendung sich auch aus Sicht der Datenschutzfreundlichkeit noch weiter verbessert hat.


E. Zusammenfassung

Das Produkt „PTN 2.0“ der nugg.ad AG lässt sich nach wie vor als insgesamt vorbildlich bewerten. Gegen eine Rezertifizierung bestehen keine Bedenken.

Hiermit bestätige ich, dass das oben genannte IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht.

Andreas Bethke / Dipl. Inf. (FH) Rechtsanwalt

Beim Unabhängigen Landeszentrum für Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Datenschutz Schleswig-Holstein anerkannter Sachverständiger für anerkannter Sachverständiger für IT-Produkte (technisch)

Stephan Hansen-Oest / Rechtsanwalt

Beim Unabhängigen Landeszentrum für Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein Datenschutz Schleswig-Holstein anerkannter Sachverständiger für anerkannter Sachverständiger für IT-Produkte (rechtlich)