Datenschutzprüfungen in Ads Data Hub

Der Datenschutz für Endnutzer spielt bei Ads Data Hub eine zentrale Rolle und bildet gewissermaßen die Grundlage dieser Google-Plattform. Um die Privatsphäre von Nutzern zu schützen und unseren Kunden zu helfen, die gesetzlichen Vorschriften einzuhalten, sind bestimmte Prüfungen und Einschränkungen erforderlich. So lässt sich verhindern, dass beim Datenabruf von der Plattform Informationen zu einzelnen Nutzern1 gesendet werden.

Hier finden Sie einen Überblick über die Datenschutzfunktionen von Ads Data Hub. Weitere Informationen finden Sie in den folgenden Abschnitten:

  • Bei statischen Prüfungen werden die Anweisungen in Ihren Abfragen auf offensichtliche und unmittelbare Bedenken im Hinblick auf den Datenschutz geprüft.
  • Mit Kontingenten für den Datenzugriff wird beschränkt, wie oft Sie auf bestimmte Daten zugreifen können.
  • Durch Aggregationsprüfungen wird sichergestellt, dass die Daten in jeder Zeile von genug Nutzern stammen, um die Privatsphäre der Endnutzer zu schützen.
  • Bei Differenzprüfungen (oder „Diff-Prüfungen“) werden Ergebnismengen verglichen, um zu verhindern, dass Sie Daten aus mehreren Nutzergruppen vergleichen, um Informationen zu einzelnen Nutzern zu erheben.
  • Noise Injection (Einfügen von Rauschen) ist eine Alternative zu Differenzprüfungen. Wenn Sie einer SELECT-Anweisung für die Aggregation einer Abfrage zufälliges Rauschen hinzufügen, schützen Sie die Privatsphäre der Nutzer, können dabei aber relativ genaue Ergebnisse erzielen. Es sind dann keine Differenzprüfungen mehr nötig und der erforderliche Aggregationsschwellenwert für die Ausgabe wird reduziert.

Wenn Ergebnisse die Datenschutzprüfungen nicht bestehen, werden Sie in Ads Data Hub benachrichtigt, dass eine Zeile herausgefiltert wurde. Dabei kann es sich um eine einzelne Zeile oder einen ganzen Ergebnissatz handeln. Damit das Gesamtergebnis in Ihren Berichten weiterhin korrekt ist, sollten Sie eine Zusammenfassung herausgefilterter Zeilen verwenden, um Daten aus entfernten Zeilen zu berücksichtigen2.

Statische Prüfungen

Bei statischen Prüfungen werden die Anweisungen in Ihren Abfragen auf offensichtliche und unmittelbare Bedenken im Hinblick auf den Datenschutz geprüft, z. B. den Export von Nutzerkennungen. Außerdem wird geprüft, ob andere Funktionen für Nutzerkennungen verwendet oder nicht zulässige Funktionen für Felder mit Daten auf Nutzerebene eingesetzt werden. Um Abfragefehler durch statische Prüfungen zu vermeiden, sollten Sie sich die Best Practices ansehen und wissen, welche Funktionen zulässig sind.

Kontingent für den Datenzugriff

Damit wird beschränkt, wie oft Sie auf bestimmte Daten zugreifen können. Nutzer, die das Limit bald erreichen, erhalten eine Datenschutzmitteilung vom Typ DATA_ACCESS_BUDGET_IS_NEARLY_EXHAUSTED. Sie können den Grenzwert für den Datenzugriff über den entsprechenden Einstiegspunkt oder die zugehörigen Benachrichtigungen auf der Benutzeroberfläche im Blick behalten.

Aggregationsanforderungen

Der Schwellenwert für die Nutzeraggregation spielt bei den Datenschutzprüfungen von Ads Data Hub eine zentrale Rolle. Bei den meisten Abfragen erhalten Sie nur Berichtsdaten für 50 oder mehr Nutzer. Werden nur Daten zu Klicks und Conversions abgefragt, liegt die Untergrenze bei 10 Nutzern.

Best Practice: Konfigurieren Sie eine Zusammenfassung herausgefilterter Zeilen, um Berichte zu Daten zu erstellen, die ausgelassen wurden. Das trägt zu einheitlichen Berichten bei.

Im folgenden Beispiel würde die Zeile mit Kampagne 125 aus den Endergebnissen herausgefiltert werden, weil dort Ergebnisse von 48 Nutzern aggregiert werden. Das liegt unter der Mindestanzahl von 50 Nutzern.

Kampagnen-ID Nutzer Impressionen
123 314 928
124 2718 5772
125 48 353

Datenschutzmodi

Ads Data Hub bietet zwei Datenschutzmodi: Unterschiedsprüfungen und Einschleusung von Rauschen. In den folgenden Abschnitten werden diese Modi beschrieben und verglichen.

Differenzprüfungen verwenden

Mithilfe von Differenzprüfungen kann sichergestellt werden, dass Nutzer nicht durch den Vergleich verschiedener ausreichend aggregierter Ergebnisse identifiziert werden können. Das geschieht auf folgende Weise:

  • Hierbei werden die Ergebnisse des Jobs, den Sie gerade ausführen, mit den vorherigen Ergebnissen verglichen.
  • Dabei werden Zeilen innerhalb desselben Ergebnissatzes verglichen.

Verstöße bei der Differenzprüfung können durch Änderungen an den zugrunde liegenden Daten zwischen zwei Jobs verursacht werden. Werden die Ergebnisse eines Jobs mit früheren Ergebnissen verglichen, sucht Ads Data Hub nach Sicherheitslücken auf Einzelnutzerebene. Daher werden eventuell auch Ergebnisse aus verschiedenen Kampagnen oder Ergebnisse mit der gleichen Anzahl von Nutzern herausgefiltert, wenn sich viele Nutzer überschneiden.

Andererseits kann es sein, dass zwei aggregierte Ergebnissätze die gleiche Anzahl von Nutzern enthalten und daher identisch erscheinen. Wenn sich einzelne Nutzer aber nicht überschneiden, sind die Datenschutzanforderungen erfüllt und die Ergebnisse werden nicht herausgefiltert.

In Ads Data Hub werden Daten aus Ihren bisherigen Ergebnissen im Hinblick auf mögliche Sicherheitslücken in einem neuen Ergebnis herangezogen. Wenn also dieselbe Abfrage immer wieder ausgeführt wird, stehen mehr Daten für Differenzprüfungen und die Ermittlung von Sicherheitslücken für ein neues Ergebnis zur Verfügung. Die zugrunde liegenden Daten können sich aber auch ändern, was bei vermeintlich konstanten Abfragen zu Verstößen gegen die Datenschutzanforderungen führt.

Wenn sich die Ergebnisse auf Jobebene ausreichend unterscheiden, aber eine einzelne Zeile der eines vorherigen Jobs ähnelt, wird die ähnliche Zeile in Ads Data Hub herausgefiltert. In diesem Beispiel wird die Zeile mit Kampagne 123 in den Ergebnissen des zweiten Jobs herausgefiltert, da die Anzahl der Nutzer im Vergleich zum vorherigen Ergebnis um einen Nutzer abweicht.

Job 1
Kampagnen-ID Nutzer
123 400
124 569
Job 2
Kampagnen-ID Nutzer
123 401
224 1325

Wenn die Summe der Nutzer in allen Zeilen eines Ergebnissatzes der eines vorherigen Jobs ähnelt, wird in Ads Data Hub der gesamte Ergebnissatz herausgefiltert. In diesem Beispiel ist das beim zweiten Job der Fall.

Job 1
Kampagnen-ID Nutzer
123 400
124 1367
Job 2
Kampagnen-ID Nutzer
123 402
124 1367

Noise Injection verwenden

„Noise Injection“ ist eine Technik, die zum Schutz der Privatsphäre der Nutzer beim Abfragen von Datenbanken eingesetzt wird. Dabei wird einer SELECT-Anweisung für die Aggregation einer Abfrage zufälliges Rauschen hinzugefügt. Dieses Rauschen schützt die Privatsphäre des Nutzers und liefert dabei relativ genaue Ergebnisse. Die Notwendigkeit von Differenzprüfungen entfällt und der erforderliche Aggregationsschwellenwert für die Ausgabe wird reduziert. Die meisten vorhandenen Abfragen können im Rauschmodus ausgeführt werden. Es gibt aber einige Einschränkungen. Weitere Informationen zum Rauschmodus und dazu, wie sich das Einfügen von Rauschen auf die Datenschutzanforderungen auswirkt, finden Sie unter Einfügen von Rauschen.

Differenzprüfungen mit Noise Injection vergleichen

Tatsächliche Daten
Kampagnen-ID Anzahl an Impressionen
101 35
102 63
201 142
202 21
301 56
302 99
Ergebnisse mit Differenzprüfungen
Kampagnen-ID Anzahl an Impressionen
101 35
102 63
201 142
202 21
301 56
302 99
Ergebnisse mit Noise Injection
Kampagnen-ID Anzahl an Impressionen
101 37.8373
102 60,9104
201 182.0955
202 26.2332
301 58.0871
302 97.5018
Beispiel für Kampagne 101 im Rauschmodus
Kampagnen-ID Tatsächliche Impressionen Geräusche hinzugefügt Zurückgegebene Impressionen (ANON_COUNT)
101 35 2,8373 37.8373

Zusammenfassung herausgefilterter Zeilen

Zusammenfassungen herausgefilterter Zeilen enthalten Daten, die aufgrund von Datenschutzprüfungen herausgefiltert wurden. Die Daten aus herausgefilterten Zeilen werden summiert und in eine universelle Zeile eingefügt. Auch wenn die entsprechenden Daten nicht weiter analysiert werden können, erhalten Sie einen Überblick, wie viele Daten aus den Ergebnissen herausgefiltert wurden.

Ausdrückliche Datenschutzfilterung

Wenn Sie Ihre Abfrage aufteilen, die aggregierten Ergebnisse aber kombinieren möchten, können Sie Datenschutzprüfungen explizit auf mehrere kleinere Abfragen anwenden und diese Ergebnisse dann datenschutzkonform zusammenfassen.

Beispiele für Anwendungsfälle:

  • Sie sind Werbetreibender und möchten alle Conversions nach Attributionsereignistyp in Ihrem verknüpften Google Ads-Konto abrufen, einschließlich Daten aus dem EWR.
  • Sie sind ein Analysepartner und möchten alle Conversions in Ihrem verknüpften Google Ads-Konto nach Attributions-Ereignistyp abrufen.

Wenn Sie die Summe der Conversions für Ihr Google Ads-Konto ermitteln möchten, können Sie die Abfrage mit einer OPTIONS(privacy_checked_export=TRUE)-Klausel umschreiben, um Datenschutzprüfungen für jeden Google-Dienst einzeln anzuwenden.

Bei der Beispielumformulierung in diesem Abschnitt geschieht Folgendes:

  1. Dabei werden die einzelnen Google-Dienste einzeln abgefragt und für jeden Zwischenergebnissatz werden explizit Datenschutzprüfungen angewendet.
  2. Es wird eine separate temporäre Tabelle für die datenschutzkonformen Ergebnisse der einzelnen Google-Dienste erstellt: YouTube, Gmail und Network.
  3. Hier werden die nach Datenschutzprüfungen gezählten Conversions aus den temporären Tabellen zusammengefasst und addiert.
CREATE TEMP TABLE youtube_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_youtube
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

CREATE TEMP TABLE network_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_network
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

CREATE TEMP TABLE gmail_agg OPTIONS(privacy_checked_export=TRUE) AS
SELECT
 impression_data.campaign_id,
 attribution_event_type,
 COUNT(1) AS num_convs
FROM adh.google_ads_conversions_policy_isolated_gmail
WHERE impression_data.campaign_id IN UNNEST(@campaign_ids)
 AND conversion_type IN UNNEST(@conversion_type_list)
GROUP BY campaign_id, attribution_event_type;

SELECT
 campaign_id,
 attribution_event_type,
 SUM(num_convs) AS num_convs
FROM (
 SELECT * FROM youtube_agg
 UNION ALL
 SELECT * FROM network_agg
 UNION ALL
 SELECT * FROM gmail_agg
)
GROUP BY campaign_id, attribution_event_type

In dieser Abfrage wird keine JOIN verwendet, um Daten direkt zwischen den Tabellen zu kombinieren. Stattdessen wird die Abfrage zuerst für jede Tabelle ausgeführt, Datenschutzprüfungen auf jede Zwischentabelle angewendet und dann mit einer UNION die Werte der Datenschutzprüfungen summiert.

Query Advisor

Wenn Ihre SQL-Abfrage zwar gültig ist, aber eventuell dazu führt, dass zu viel herausgefiltert wird, werden im Query Advisor umsetzbare Empfehlungen angezeigt, mit denen sich unerwünschte Ergebnisse vermeiden lassen.

Zu den Triggern gehören die folgenden Muster:

So verwenden Sie den Query Advisor:

  1. Mit Ausnahme von Daten, deren Freigabe zugestimmt wurde. Beispiel: Panelmitglieder. 

  2. Sofern dies nicht durch Datenschutzeinschränkungen verhindert wird, weil z. B. die Anzahl der Nutzer in der Zusammenfassung herausgefilterter Zeilen nicht den Aggregationsanforderungen entspricht.