Was Identitätsauflösung tatsächlich tut

Identitätsauflösung ist die Schicht zwischen den Datenquellen des Publishers und seinen Mess- und Personalisierungswerkzeugen. Sie nimmt die Eingaben entgegen — First-Party-Cookies, serverseitige Sitzungs-IDs, gehashte E-Mail-Adressen aus eingeloggten Sitzungen, mobile Werbe-IDs aus der App des Publishers, Smart-TV-Geräteidentifikatoren und eine Konstellation probabilistischer Signale wie IP-Adresse, User-Agent und Verhaltens-Fingerabdruck — und erzeugt eine Ausgabe: einen stabilen internen Identifikator, der einen einzelnen Verbraucher über alle Oberflächen hinweg repräsentiert, auf denen der Publisher tätig ist.

Deterministische Verknüpfung

Der sauberste Weg ist die deterministische Verknüpfung: Wenn sich der Verbraucher auf zwei Oberflächen einloggt, weiß der Publisher, dass beide Geräte derselben Person gehören, und führt den Identifikatorgraphen entsprechend zusammen. Newsletter-Abonnenten, registrierte Leser und zahlende Abonnenten erzeugen auf natürliche Weise deterministische Verknüpfungen. Die Daten sind hochzuverlässig, die Rechtsgrundlage ist klar (der Publisher hat eine direkte Beziehung) und Einwilligungsentscheidungen, die auf einer Oberfläche getroffen werden, können ohne probabilistische Schätzungen auf die andere übertragen werden.

Probabilistische Verknüpfung

Der schwierigere Weg ist die probabilistische Verknüpfung: die Schlussfolgerung, dass zwei Geräte ohne authentifizierten Link derselben Person gehören. Die Signale sind IP-Adressen-Kookkurrenz, Verhaltensähnlichkeit, Tageszeitmuster, geografisches Clustering und proprietäre Modelle, die all das oben Genannte kombinieren. Die probabilistische Verknüpfung gibt Publishern eine weitaus größere Reichweite — die meisten Leser sind bei den meisten Besuchen ausgeloggt — aber die Rechtsgrundlage ist wesentlich schwächer, und EU-Regulatoren sind zunehmend aktiv dabei, probabilistische Identitätsschichten zurückzudrängen, die ohne ausdrückliche Einwilligung arbeiten.

Vom Anbieter bereitgestellte Identitätsgraphen

Der dritte Weg ist der Kauf oder die Lizenzierung eines Identitätsgraphen von einem Anbieter — LiveRamp, ID5, The Trade Desks Unified ID 2.0 oder einen der vielen kleineren Anbieter. Der Anbieter pflegt den Graphen, der Publisher stellt gehashte Identifikatoren bereit und der Anbieter gibt einen zusammengeführten Identifikator zurück, den der Publisher nachgelagert verwenden kann. Die Rechtsposition ist hier gemischt: Sie hängt vollständig von den eigenen Datenquellen des Anbieters und den vertraglichen Bedingungen ab, und die Durchsetzungsmaßnahmen der EU im Jahr 2025 gegen mehrere große Identitätsanbieter haben Publisher vorsichtiger gemacht, welche Graphen sie integrieren.

Die Einwilligungsfrage bei der geräteübergreifenden Auflösung

Die schwierige Frage, die Identitätsauflösung aufwirft, ist, ob der Verknüpfungsakt selbst eine Einwilligung erfordert — getrennt von der nachgelagerten Werbung oder Personalisierung, die der zusammengeführte Identifikator ermöglicht.

Die Verknüpfung selbst

Gemäß GDPR ist Identitätsauflösung die Verarbeitung personenbezogener Daten. Die erforderliche Rechtsgrundlage hängt vom Zweck ab: Für die Betrugsprävention oder den grundlegenden Dienstbetrieb können manchmal berechtigte Interessen gelten; für Werbung, Personalisierung oder Zielgruppenerweiterung ist eine Einwilligung erforderlich. ePrivacy fügt eine separate Schicht für jeden Cookie oder Geräteidentifikator hinzu, der auf dem Gerät des Nutzers gelesen wird, und der Cookie oder der gelesene Identifikator benötigt eine Einwilligung, unabhängig davon, was der Publisher anschließend mit dem Ergebnis macht.

Die Weitergabe der Einwilligung

Die interessantere Frage ist, wie die auf einem Gerät getroffene Einwilligungsentscheidung auf das andere übertragen wird. Wenn ein Leser Werbe-Cookies auf dem Laptop ablehnt und der Laptop-Identifikator durch deterministisches E-Mail-Matching mit dem Smartphone-Identifikator verknüpft wird, muss das Smartphone beim nächsten Besuch die Ablehnung des Laptops berücksichtigen? Die veröffentlichten Leitlinien des European Data Protection Board machen deutlich, dass die Antwort ja lautet — Einwilligungsentscheidungen haften an der betroffenen Person, nicht am Gerät, und ein zusammengeführter Identitätsgraph, der es dem Publisher ermöglicht, die betroffene Person zu erkennen, ist auch ein Graph, der den Publisher verpflichtet, ihre Entscheidungen zu respektieren.

Der Widerrufsweg

Auch der Widerruf muss weitergegeben werden. Ein Leser, der sich in die Kontoeinstellungen des Publishers auf dem Laptop einloggt und „alle Werbung ablehnen“ anklickt, muss denselben Status beim Öffnen der Smartphone-App vorfinden — auch wenn die Smartphone-App-Sitzung anonym ist und einen anderen Cookie verwendet. CMP und Identitätsschicht müssen den Status teilen, und die Weitergabe muss nahezu in Echtzeit erfolgen — ein Widerruf, der erst eine Woche später berücksichtigt wird, gilt nicht als berücksichtigt.

Das Architekturmuster

Die geräteübergreifend bewusste CMP und der Identitäts-Stack verfügen über eine kleine Anzahl wiederholbarer Elemente, die sich bei reifen Publishern bis 2026 etabliert haben.

Die einzige Quelle der Wahrheit

Der Einwilligungsstatus lebt in einem publisher-eigenen Einwilligungsdienst, nicht in der Datenbank des CMP-Anbieters. Der Dienst ist auf den aufgelösten Identifikator verschlüsselt, nicht auf den Cookie, der die jüngste Einwilligungsentscheidung ausgelöst hat, und jeder einwilligungsbewusste nachgelagerte Dienst liest aus dieser einzigen Quelle. Die CMP füllt den Dienst bei jeder Einwilligungsänderung und der Dienst stellt eine Echtzeit-API bereit, die der Ad-Stack und die Personalisierungsschicht bei jedem Seitenaufruf und jedem Ereignis aufrufen können.

Der Einwilligungsindex der Identitätsschicht

Die Identitätsauflösungsschicht führt einen bidirektionalen Index: Jeder Geräteidentifikator wird einer aufgelösten Identität zugeordnet und jede aufgelöste Identität wird zurück zur Menge der Geräteidentifikatoren zugeordnet, mit der sie in Kontakt war. Wenn auf einem Gerät eine Einwilligungsänderung erfolgt, ermöglicht der Index dem Publisher, die Änderung mit angemessener Abkühlung und Weitergabe-Protokollierung auf jedes andere Gerät auszubreiten, das dieselbe Identität verwendet hat.

Benutzeroberfläche für Einwilligung pro Oberfläche

Die Einwilligungs-Benutzeroberflächen auf jedem Gerät sollten den geräteübergreifenden Status widerspiegeln. Ein Leser, der auf dem Laptop eingewilligt hat, sollte auf dem Smartphone kein neues Banner sehen, wenn die Identitätsverknüpfung erfolgreich war. Ein Leser, der noch nie gesehen wurde, sollte das Banner mit Standardablehnungseinstellungen sehen. Die CMP muss in der Lage sein, den Status der Identitätsschicht zu lesen und die Benutzeroberfläche entsprechend zu rendern — was eine echte technische Integration ist, aber eine einmalige Investition.

Die Sonderfälle

Mehrere Oberflächen und Kontexte erzeugen Grenzfälle, die die Architektur explizit behandeln muss.

Connected TV und Over-the-Top-Apps

Der Smart-TV- und OTT-App-Kontext ist ungewöhnlich, weil das Gerät oft von einem Haushalt geteilt wird — mehrere Personen nutzen denselben Fernseher, aber nur eine von ihnen hat das App-Konto des Publishers auf ihrem Smartphone. Die deterministische Verknüpfung vom Smartphone zum Fernseher ist unzuverlässig, und probabilistische Verknüpfungen auf einem haushaltsgeteilten Gerät erzeugen Einwilligungsverwirrung. Das konforme Muster ist, die TV-App standardmäßig als nicht authentifizierte Oberfläche zu behandeln, beim ersten Start ein eigenes Einwilligungsbanner anzuzeigen und nur dann mit einem bekannten Konto zu verknüpfen, wenn der Nutzer eine explizite Verknüpfungsaktion vornimmt.

Inkognito und privates Surfen

Eine Inkognito-Sitzung lehnt per Definition die Identitätsauflösung ab. Die CMP sollte die Sitzung jedes Mal als brandneuen Besucher behandeln, das Banner mit Standardablehnung rendern und nicht versuchen, die Sitzung mit einem bekannten Identifikator zu verknüpfen — auch wenn die IP-Adresse und das Verhaltensmuster sonst eine probabilistische Übereinstimmung ergeben würden. Der Nutzer hat signalisiert, dass er Isolation wünscht, und der Publisher respektiert dieses Signal.

Kinder-Oberflächen

Jede Oberfläche, bei der das Publikum Minderjährige einschließen könnte — Kindercontent-Bereiche, familienorientierte Apps, Konten mit selbst deklariertem Alter unter achtzehn Jahren — sollte standardmäßig ohne Identitätsauflösung arbeiten und Einwilligungsstandards haben, die für Werbung und Personalisierung auf Ablehnung gesetzt sind. Das Minderjährigen-Targeting-Verbot des DSA und die COPPA-Beschränkungen in den USA sind absolut und überschreiben jede geräteübergreifende Weitergabe vom Erwachsenenkonto eines Haushaltsmitglieds.

Häufige geräteübergreifende Fehler, die Befunde auslösen

Geräteübergreifende Deployments, die Regulierungsbefunde erzeugen, scheitern tendenziell an Mustern, die die Durchsetzungsentscheidungen der EU konkretisiert haben. Der probabilistische Identitätsgraph arbeitet ohne ausdrückliches Einwilligungsgate mit der Theorie, dass probabilistisches Matching unterhalb der GDPR-Schwelle liegt — eine Position, die in jüngsten Urteilen nicht standgehalten hat. Der Widerrufsweg auf einem Gerät braucht eine Woche, um durch einen Batch-Prozess auf das andere übertragen zu werden, und hinterlässt ein Fenster, in dem die Wünsche des Nutzers nicht respektiert werden. Die Integration des Anbieter-Identitätsgraphen geht ohne Datenschutz-Folgenabschätzung (DPIA) und ohne vertragliche Klauseln live, die die Rechtsgrundlage des Publishers auf die Verarbeitung des Anbieters ausdehnen. Die Connected-TV-App verknüpft deterministisch mit dem primären Smartphone-Konto des Haushalts ohne explizite Nutzeraktion und importiert die Einwilligungsentscheidung eines Nutzers auf einen anderen Nutzer. Die CMP rendert ein Banner, das den geräteübergreifenden Status nicht widerspiegelt, frustriert zurückkehrende Leser, die bereits auf einer anderen Oberfläche eingewilligt haben, und erzeugt die Einwilligungs-Ermüdungsbefunde, denen das EDPB seit 2025 nachgeht.

Fazit

Geräteübergreifende Einwilligung ist kein Technologieproblem und kein Rechtsproblem — es ist der Ort, an dem beide konvergieren. Die Identitätsauflösungsschicht, die Publisher aufgebaut haben, damit Zielgruppenerweiterung und Frequency Capping funktionieren, schafft auch die Verpflichtung, Einwilligung und Widerruf über alle Oberflächen hinweg konsistent zu machen. Die Architektur ist bis 2026 ausgereift: ein publisher-eigener Einwilligungsdienst auf Basis aufgelöster Identität, ein bidirektionaler Index in der Identitätsschicht, nahezu Echtzeit-Weitergabe, pro Oberfläche eine Einwilligungs-Benutzeroberfläche, die den geräteübergreifenden Status widerspiegelt, sowie explizite Behandlung der Grenzfälle bei geteilten Haushalten, Inkognito und Minderjährigen. Nichts davon ist dramatisches Engineering. Alles ist betrieblich spezifisch. Die Publisher, die dies während des Abklingens von Third-Party-Cookies aufgebaut haben, arbeiten jetzt sauber über Smartphones, Laptops und Fernseher hinweg; die Publisher, die geräteübergreifend als Messupgrade ohne die Einwilligungsschicht behandelt haben, verbringen 2026 damit, dem EDPB zu erklären, warum der Widerruf eines Lesers auf dem Laptop den Smart-TV erst am darauffolgenden Dienstag erreicht hat.