Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
BlokID ist eine datenschutzorientierte Identitäts und Einwilligungslösung für die Werbeauslieferungskette, vermarktet als geeignet für an Kinder gerichtete Inventare. Die Plattform kombiniert deterministische und probabilistische Identitätsauflösung mit IAB TCF 2.2 Signalen sowie COPPA konformen Kontrollen, sodass Publisher und Werbetreibende adressierbare oder kontextuelle Kampagnen ausspielen können und dabei DSGVO, ePrivacy Richtlinie und US Kinderschutzgesetze einhalten. Die Einbindung erfolgt typischerweise serverseitig oder per prebid.js Wrapper und verarbeitet damit IP Adressen, gehashte E Mail Adressen sowie TCF Consent Strings im Auftrag des Publishers.
BlokID ist eine Identitäts und Einwilligungsschicht für die programmatische Werbeauslieferungskette. Auf Publisher Seite löst der Dienst Besucher in einen stabilen gehashten Identifikator auf (bevorzugt aus einer eingeloggten E Mail Adresse, sonst aus einem probabilistischen Signal aus IP Adresse, User Agent und First Party Cookies). Auf Werbetreibenden Seite wird dieser Identifikator über prebid.js, serverseitige Header Bidding Adapter und einige DSP Integrationen zusammen mit dem IAB TCF 2.2 Consent String bereitgestellt. Der Anbieter vermarktet die Lösung als geeignet für Kinder und Jugendinventare, da der Identifikator bei Inhalten für Minderjährige auf ein rein kontextuelles Token herabgestuft werden kann.
Aus datenschutzrechtlicher Sicht ist der Publisher Verantwortlicher, BlokID Auftragsverarbeiter nach Art. 28 DSGVO, und die nachgelagerten DSPs sind je nach Vertrag eigenständige oder gemeinsame Verantwortliche. Das EuGH Urteil IAB Europe (C 604/22, März 2024) bestätigt, dass der TCF String ein personenbezogenes Datum ist, sodass jeder Schritt der Kette eine gültige Rechtsgrundlage benötigt.
Ein typischer Rollout schreibt ein First Party Cookie auf der Publisher Domain (häufig bk_id oder bkuid) mit dem gehashten Identifikator, ein TCF Cookie mit dem euconsent v2 String und ein kurzlebiges Sync Cookie zur Kopplung des BlokID Identifikators mit Partner Identifikatoren. Im Cookieless Modus wird der Identifikator im localStorage abgelegt, die Datenkategorien bleiben identisch. §25 TTDSG bzw. Art. 5 Abs. 3 ePrivacy Richtlinie verlangen in jedem Fall eine vorherige Einwilligung, unabhängig vom Personenbezug, da der Zugriff auf die Endeinrichtung das auslösende Element ist.
Die einzige praktikable Rechtsgrundlage für BlokID ist die Einwilligung nach Art. 6 Abs. 1 a DSGVO, eingeholt über ein CMP mit IAB TCF 2.2. Berechtigtes Interesse scheidet für personalisierte Werbung aus, wie die EDSA Leitlinien und der Beschluss der belgischen APD zu IAB Europe bestätigen. Ist der Nutzer minderjährig (in Deutschland und den Niederlanden 16 Jahre, in Frankreich 15 Jahre, in Italien und Spanien 14 Jahre, im Vereinigten Königreich und unter COPPA 13 Jahre), ist eine nachweisbare elterliche Einwilligung nach Art. 8 DSGVO einzuholen.
Die Ablehnung muss genauso einfach gestaltet sein wie die Annahme (DSK Beschluss zu Cookie Bannern; EDSA Leitlinien 03/2022 zu Dark Patterns), die Einwilligung muss zweckgranular sein. BlokID selbst sammelt keine Einwilligung, sondern konsumiert das vom Publisher CMP erzeugte Signal.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
BlokID betreibt EU Regionen (Irland) und US Regionen (Virginia). Wird der US Endpunkt genutzt, verlassen gehashter Identifikator, IP Adresse und Consent String den EWR. Die Übermittlung ist durch den Angemessenheitsbeschluss zum EU US Data Privacy Framework vom 10. Juli 2023 gedeckt, soweit die US Entität zertifiziert ist, sowie ergänzend durch die SCC Modul 2 mit einer Transfer Folgenabschätzung. Publisher sollten den Nachweis der aktiven DPF Zertifizierung (prüfbar unter dataprivacyframework.gov) führen und das Transfer Impact Assessment mindestens jährlich überprüfen, insbesondere angesichts der laufenden Klagen gegen das DPF.
AVV mit BlokID einschließlich TCF Anhang abschließen; BlokID und alle nachgelagerten Vendoren in der Datenschutzerklärung listen; DSFA nach Art. 35 DSGVO erstellen; das CMP so konfigurieren, dass BlokID vor Einwilligung geblockt wird und Global Privacy Control sowie CPRA Opt Out Signale respektiert werden; sicherstellen, dass der BlokID Tag auf an Minderjährige gerichteten Seiten nur nach nachweisbarer elterlicher Einwilligung lädt; Aufbewahrungsfristen dokumentieren (90 Tage Identifikator, 13 Monate für TCF Einwilligungsnachweise gemäß CNIL Empfehlung); Widerruf End to End testen, einschließlich Löschung aus dem BlokID Identitätsgraph binnen 30 Tagen nach Art. 17 DSGVO.
Lässt sich BlokID nicht datenschutzkonform betreiben, können Publisher auf rein kontextuelle Lösungen (Seedtag, Weborama Contextual, GumGum Verity) zurückgreifen, einen ausschließlich auf eingeloggte einwilligende Nutzer beschränkten First Party Graph aufbauen oder Audiences über Clean Rooms aktivieren, wobei Roh Identifikatoren beim Publisher verbleiben. Beim Ausstieg sollte eine schriftliche Löschbestätigung des Auftragsverarbeiters für sämtliche Identifikatoren und Einwilligungsprotokolle eingeholt und der BlokID Vendor ID im nächsten GVL Update aus dem CMP entfernt werden.
Websites using BlokID must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz Folgenabschätzung nach Art. 35 DSGVO wird vor jedem Einsatz von BlokID dringend empfohlen. Die Kombination aus großflächiger Identitätsauflösung, verhaltensbasierter Werbung und der ausdrücklichen Ausrichtung auf an Kinder gerichtete Inventare löst die EDSA Kriterien 1 (Bewertung und Scoring), 3 (systematische Überwachung), 4 (sensible oder hochpersonenbezogene Daten, einschließlich Daten von Minderjährigen), 7 (schutzbedürftige Personen) und 8 (innovative Technologie) aus. Die DSFA sollte das Identitätsgraph Modell sowie den TCF Signalfluss beschreiben, das Re Identifikationsrisiko gehashter Identifikatoren bewerten, die Inanspruchnahme des EU US Data Privacy Framework begründen und die Workflows für elterliche Einwilligung, Aufbewahrung und Löschung festlegen. Bei Angeboten, die sich an Minderjährige richten, sind zusätzlich der UK Age Appropriate Design Code, die JuSchG Bestimmungen und die DSK Orientierungshilfe zu Telemedien zu berücksichtigen. Eine vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO kann erforderlich werden, wenn ein hohes Restrisiko verbleibt.
Sample consent text
Wir setzen BlokID ein, einen Identitäts und Werbe Einwilligungsdienst, um Ihr Endgerät zu erkennen, einen gehashten Identifikator mit unseren Werbepartnern zu teilen und die auf dieser Website ausgespielten Anzeigen zu personalisieren. BlokID übermittelt zusätzlich Ihre IAB TCF 2.2 Präferenzen an diese Partner. Sind Sie unter dem geltenden Einwilligungsalter (in Deutschland gemäß §8 DSGVO i.V.m. §3 TTDSG 16 Jahre, in den USA gemäß COPPA 13 Jahre), wird BlokID nur mit nachweisbarer Einwilligung der Eltern aktiviert. Ihre Daten, einschließlich einer gehashten E Mail Adresse bei angemeldetem Konto sowie Ihrer IP Adresse, können in der Europäischen Union und in den Vereinigten Staaten auf Grundlage der EU Standardvertragsklauseln und des Data Privacy Framework verarbeitet werden. Sie können Ihre Einwilligung jederzeit annehmen, ablehnen oder über das Cookie Präferenzfenster widerrufen.
Third-party domains contacted
blokid.comcdn.blokid.comid.blokid.comsync.blokid.comeu.blokid.comus.blokid.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| bk_id | http_cookie | 90 days | First party cookie set on the publisher domain. Stores the hashed BlokID identifier used to recognise the visitor across sessions and to expose the id to prebid.js bidders and downstream DSPs. |
| bkuid | http_cookie | 90 days | Alternative first party identifier name used by some publisher integrations. Same purpose as bk_id, kept for backward compatibility with older prebid wrappers. |
| bk_consent | http_cookie | 13 months | First party cookie that mirrors the IAB TCF 2.2 euconsent v2 string so BlokID can verify on each request that the user has granted purposes 1, 3, 4 and 7. |
| bk_sync | http_cookie | 24 hours | Third party cookie set on blokid.com during cookie sync operations. Used to pair the BlokID identifier with partner SSP and DSP identifiers. |
| bk_optout | http_cookie | 5 years | Opt out cookie set on blokid.com when the user refuses or withdraws consent. Prevents the BlokID tag from setting any other identifier on subsequent visits. |
| bk_id_ls | local_storage | 90 days | localStorage key written when the publisher activates the cookieless mode. Stores the same hashed identifier as bk_id and is governed by the same consent requirement under ePrivacy art. 5(3). |
| bk_child_flag | http_cookie | 30 days | Internal flag indicating that the current page or audience has been declared child directed. Forces BlokID into contextual only mode and disables identity resolution. |
| bk_session | http_cookie | session | Short lived session cookie used for request signing and replay protection on the BlokID identity API. Expires when the browser tab is closed. |
BlokID setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Eine Standardimplementierung schreibt ein First Party Cookie auf der Publisher Domain, üblicherweise bk_id oder bkuid, mit einem gehashten Identifikator von bis zu 90 Tagen Laufzeit. Ein zweites First Party Cookie spiegelt den IAB TCF 2.2 Consent String (euconsent v2). Bei aktivem Cookie Sync setzt BlokID kurzzeitig ein Third Party Cookie auf blokid.com (häufig bk_sync) zur Paarung mit Partner Identifikatoren. Im Cookieless Modus wird der Identifikator im localStorage abgelegt. §25 TTDSG bzw. Art. 5 Abs. 3 ePrivacy Richtlinie verlangen für jeden dieser Vorgänge eine vorherige Einwilligung, auch für localStorage.
Ja. BlokID verarbeitet Identifikatoren zu Zwecken personalisierter Werbung, was nach Art. 6 Abs. 1 a DSGVO und nach den EDSA Leitlinien sowie der Entscheidung der belgischen APD zu IAB Europe ausschließlich auf Einwilligung gestützt werden kann. Der Tag muss bis zur freien, informierten, spezifischen und unmissverständlichen Opt In Erklärung blockiert bleiben; Ablehnen muss genauso einfach sein wie Annehmen (DSK Beschluss zu Cookie Bannern und EDSA Leitlinien 03/2022). Die Einwilligung ist nach 13 Monaten oder bei wesentlichen Änderungen der Zwecke bzw. der Vendor Liste erneut einzuholen.
Einwilligung nach Art. 6 Abs. 1 a DSGVO ist die einzige tragfähige Rechtsgrundlage für identitätsbasierte Werbepersonalisierung. Liegt der Nutzer unter dem Einwilligungsalter (16 in Deutschland und den Niederlanden, 15 in Frankreich, 14 in Italien und Spanien, 13 im Vereinigten Königreich), ist eine nachweisbare elterliche Einwilligung nach Art. 8 DSGVO Pflicht. Für US Nutzer unter 13 greift COPPA; der Publisher muss eine der FTC akzeptierten Methoden anwenden (unterzeichnetes Formular, Kreditkartenprüfung, wissensbasierte Authentifizierung, Videoverifikation). Der Child Directed Modus von BlokID deaktiviert die Identitätsauflösung und behält nur kontextuelle Signale, ersetzt aber keine elterliche Einwilligung, wenn Verhaltenswerbung angestrebt wird.
Ja, sobald der Publisher den US Endpunkt einbindet. Gehashte Identifikatoren, IP Adressen und der TCF Consent String werden an die BlokID Infrastruktur in den USA (Region Virginia) übermittelt. Die Übermittlung stützt sich auf den Angemessenheitsbeschluss zum EU US Data Privacy Framework vom 10. Juli 2023 für die zertifizierte US Entität, ergänzt um die EU Standardvertragsklauseln Modul 2 und ein Transfer Impact Assessment für etwaige Unterauftragsverarbeiter. Die Zertifizierung ist über dataprivacyframework.gov zu prüfen und das TIA jährlich zu aktualisieren. Publisher mit ausschließlich europäischem Traffic sollten die Integration auf den EU Endpunkt festlegen und dies im Verzeichnis der Verarbeitungstätigkeiten dokumentieren.
In nahezu allen Konstellationen ja. BlokID erfüllt mindestens fünf der neun EDSA Kriterien für eine verpflichtende DSFA: Bewertung/Scoring, systematische Überwachung, sensible bzw. hochpersonenbezogene Daten (Minderjährige), schutzbedürftige Betroffene und innovative Technologie. Die DSK Muss Liste 2018 nennt ausdrücklich das Profiling zu Werbezwecken. Die DSFA muss den Identitätsgraph, den TCF Signalfluss, die Aufbewahrungsdauern, den Widerruf, die Löschung, die Verifikation der elterlichen Einwilligung sowie die EU US Übermittlung abdecken. Verbleibt ein hohes Restrisiko, ist die vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO vor dem Go Live erforderlich.
Drei Muster sind verbreitet. Erstens lädt ein clientseitiger prebid.js Wrapper das BlokID userId Modul, das das bk_id Cookie liest oder setzt und den Identifikator den Biddern bereitstellt. Zweitens ruft eine Server to Server Integration die BlokID Identity API vom Publisher Edge auf, was performanter ist und den Identifikator aus dem Browser hält. Drittens feuert ein Template im Tag Manager den BlokID Pixel erst, nachdem das CMP die TCF Zwecke 1, 3, 4 und 7 freigegeben hat. In allen Varianten muss das Consent Gating im Tag Manager oder im prebid consentManagement Modul verdrahtet sein, damit vor dem Opt In keinerlei Netzwerkaufruf erfolgt.
Für an Minderjährige gerichtete Inventare sind rein kontextuelle Lösungen die sicherste Option (Seedtag, Weborama Contextual, GumGum Verity, Illuma). Für eingeloggte Audiences hält ein First Party Identitätsgraph mit Aktivierung über Clean Rooms (LiveRamp ATS, InfoSum, Habu) Roh Identifikatoren beim Publisher. Für den US Markt kann Universal ID 2.0 mit striktem Opt In erwogen werden. Keine dieser Alternativen erspart ein CMP oder eine DSFA, aber sie reduzieren die grenzüberschreitende Übermittlung und die Minderjährigen Exposition, die das Risikoprofil von BlokID prägen.
BlokID namentlich in der Cookie Sektion auflisten, bk_id, bk_sync und das TCF Cookie mit ihren Laufzeiten dokumentieren (90 Tage für bk_id, Sitzung für bk_sync, 13 Monate für den TCF Einwilligungsnachweis) und auf die IAB TCF 2.2 Zwecke 1, 3, 4 und 7 verweisen. Die Tabelle der Empfänger um die BlokID US Entität ergänzen und einen Link auf das EU US Data Privacy Framework setzen. Im CMP die BlokID Vendor ID auf der Global Vendor List registrieren, den Vendor nur nach explizitem Opt In aktivieren und auf die BlokID Datenschutzerklärung verlinken. Die Cookie Richtlinie mit Versionsdatum neu veröffentlichen, damit die in den EDSA Leitlinien zur Transparenz geforderte Änderungshistorie erkennbar bleibt.