Alles, was Sie über das IAB Transparency and Consent Framework (TCF) v2.2 wissen müssen.

Das IAB Transparency and Consent Framework (TCF) v2.2 ist zu einem der wichtigsten Orientierungspunkte geworden, wenn es um Datenschutz geht. Gerade bei digitaler Werbung für Webseiten oder Apps ist es besonders wichtig, verantwortungsvoll mit den persönlichen Daten der Nutzern umzugehen. Wir erklären Ihnen, was das IAB TCF ist, wie es bei Ihrer Webseite Anwendung findet und was Sie aus dessen Geschichte lernen können.

Das ursprüngliche Ziel war es 2018, eine Richtlinie für die Einhaltung der DSGVO für Unternehmen zu finden, die im Netz personalisierte Werbung schalten oder persönliche Daten auswerten wollten. Die Datenschutz-Grundverordnung (DSGVO) wurde 2018 von der Europäischen Union (EU) für dessen Staaten und den Europäischen Wirtschaftsraum (EWR) eingeführt. Zusammen mit der ePrivacy-Richtlinie wurden umfassende Regelungen für den Umgang mit persönlichen Daten im Netz festgelegt, an welche sich Seitenbetreiber halten mussten.

Das Interactive Advertising Bureau (IAB) ist ein Wirtschaftsverband von Unternehmen, die in der digitalen Werbebranche aktiv sind. In Deutschland heißt der Verband, der deutsche Unternehmen vertritt, Online-Vermarkterkreis (OVK). Der Verband will die Praktiken von Online-Marketing-Anbietern mit den Vorgaben der europäischen Gesetzeslage regulieren und hat dafür das sogenannte Transparency and Consent Framework (TCF) erstellt.

Die Datenschutz-Grundverordnung (DSGVO), oder auf Englisch General Data Protection Regulation (GDPR), hat 2018 viele Veränderungen für den Umgang mit Nutzerdaten mit sich gebracht. Das TCF sollte Webseiten einen Leitfaden bieten, um mit diesen neuen Regelungen datenschutzkonform im Internet agieren zu können. Es ging dabei um das Sammeln und Verarbeiten von Einwilligungen von Nutzern zur Verwendung derer persönlichen Daten.

Es sollte Werbetreibenden eine Richtlinie vorgeben, mit deren Einhaltung das Betreiben von personalisierter Werbung einfacher und sicherer gestaltet werden sollte. Dabei sollten die Vorgaben der DSGVO und auch der neuen ePrivacy Richtlinie vollumfänglich berücksichtigt werden.

Im August 2020 veröffentlichte das IAB eine erneuerte Richtlinie: Das TCF v.2.1. Hier ging es vor allem darum, neuere technische Entwicklungen zu berücksichtigen und Schwachstellen bei der Anwendung von Gesetzen zu beseitigen. Ein wichtiger Auslöser war dabei das Urteil zum Online-Wettanbieter „Planet49” des Bundesgerichtshofs. Hierbei ging es darum, dass die Einwilligung zur Verwendung von Cookies, die sich persönlicher Daten bedienen, nicht per Opt-Out geschehen darf, sondern ausschließlich als Opt-In.

Am 16. Mai 2023 wurde die neueste Version des IAB Framework veröffentlicht. In dessen Inhalt wurde noch einmal stärker auf die Datenschutzprinzipien eingegangen und auch die Rückmeldung von den Mitgliedern des IAB verarbeitet. Nach einem Rechtsstreit hat auch die Belgische Datenschutzbehörde diese Version in ihren Vorgaben bestätigt, was die Relevanz und den Einfluss des TCF 2.2 nochmal verstärkt hat.

Das TCF 2.2 entwickelt sich allerdings auch immer weiter. Die rechtliche Lage verändert sich durch weitere Rechtsprechungen und technologische Einflüsse stetig weiter und so müssen sich auch die Vorgaben ändern. Das letzte Update hat einige weitere Veränderungen mit sich gebracht, die größere Flexibilität und Transparenz für Werbetreibende, App-Entwickler und sogenannte Drittanbieter („Vendoren”) versprechen.

Einige der wichtigsten Anpassungen sind:

• Strengere Kontrollen für Technologie: Wenn ein Drittanbieter Nutzerdaten sammeln möchte, stehen den Nutzern mehr Möglichkeiten zur Verfügung, diese zu kontrollieren und zu prüfen. Dadurch kann sichergestellt werden, dass diese auch wirklich DSGVO-konform sind. Betreiber können dadurch auch bessere Entscheidungen hinsichtlich der Technologien treffen, die zum Einsatz kommen sollen.
• Erweiterung der Anwendungsfälle: Da sich Werbetreibende und deren Anwendungen von Technologien stark unterscheiden, wurde mit dem Update eine größere Bandbreite an Szenarien abgedeckt, als es bisher der Fall war. Das betrifft Werbeanbieter, Werbetreibende und jeglichen App- oder Webseite-Betrieb, der digitale Werbemaßnahmen betreibt.
• Verbesserte Nutzererfahrung: Das TCF v2.2 legt mehr Wert darauf, dass Nutzer Ihre Einwilligung zur Datenverarbeitung einfacher geben und entziehen können. Die Vorgaben sehen eine größere Menge an Auswahlmöglichkeiten vor, mit denen Nutzer sich schneller ein besseres Bild machen können, welche Daten sie mit welchem Dienst teilen möchten.

Im TCF werden CMPs als Lösung für das Einholen und Informieren von Nutzern bezüglich deren Einwilligung zu bestimmten Datenverarbeitungen genannt. Consent Management Platforms setzen dabei vor allem auf ein sogenanntes Cookie-Banner (auch Consent Banner genannt). In diesem Dialogfenster wird der Nutzer über die Technologien informiert, die verwendet werden sollen und explizit um Zustimmung oder Ablehnung gebeten. Im Anschluss schaltet die CMP die Technologie dann frei oder blockiert sie für den jeweiligen Nutzer.

Damit eine CMP eine TCF-Zertifizierung erhält, müssen sich die Plattformen für eine jährliche Mitgliedschaft bewerben. Das IAB prüft dann, ob die CMP alle gültigen Auflagen des TCF v2.2 erfüllt. Insbesondere geht es hierbei um die Einhaltung von Standards bei der Transparenz der Datenverarbeitung, der DSGVO entsprechenden Datenspeicherung, sowie der Einhaltung von Standards beim Einholen der Einwilligung zur Verarbeitung persönlicher Daten.

Alle von Usercentrics und Cookiebot angebotenen CMP Lösungen besitzen eine solche TCF Zertifizierung und zudem auch eine Google Zertifizierung.

Die Richtlinien für Publisher zusammengefasst:

• „Legitimes Interesse” ist kein Argument mehr. App- und Web-Publisher müssen eine explizite Einwilligung Ihrer Nutzer einfordern, bevor sie Inhalte und Werbung personalisieren
• Haftungsausschlüsse sind Pflicht. Diese müssen Nutzern Datenverarbeitungs- und Speicherungs-Hinweise anzeigen, anstatt nur an anderer Stelle darauf zu verweisen
• Informationen zu Drittanbieter Technologien müssen detailliert geteilt werden. Dies muss schon in der ersten Stufe der CMP, wie beispielsweise dem Cookie Banner, geschehen.
• Haftungsausschlüsse müssen bestimmte Informationen beinhalten. Dazu gehören die Länge der Datenspeicherung, die Kategorisierung der Daten und der Grund für das Interesse an der Datenverarbeitung.
• CMPs müssen strenge Auflagen erfüllen. Die Anwendungsfläche der CMP muss für die Nutzerfreundlichkeit, die gegebenen Informationen und den Opt-In optimiert sein.

Für Webseitenbetreiber oder Betreiber von webbasierten Anwendungen gilt, dass die geforderten Informationen zu Technologien und deren Anwendung klar und transparent dargestellt werden müssen. Das TCF Framework v2.2 fordert klar von allen Betreibern, dass sie transparent sein müssen und immer den Nutzer und dessen Interessen in den Mittelpunkt stellen müssen. Der TCF Consent ist geprägt von Selbstbestimmung und Nutzerinteresse, die beide vom CMP-Betreiber gewährleistet werden müssen.

• Verbesserung von Informationstexten für Endnutzer

Betreiber müssen nun möglichst nutzerfreundliche Texte mit spezifischen Inhalten formulieren. Diese Inhalte gehen über die rechtlich relevanten Beschreibungen hinaus, da es hier darum geht, dem Nutzer möglichst genau zu erklären, warum eine Technologie bestimmte Daten verarbeiten möchte und was mit diesen passiert.

• Zusätzliche Informationen sind standardisiert

Für Transparenz sollen verpflichtende zusätzliche Informationen sorgen. Diese beziehen sich auf den gesamten Datenverarbeitungsprozess, also vom Sammeln bis hin zum Abspeichern. Damit soll sicher gegangen werden, dass Nutzer vollständig verstehen, was mit den eigenen Informationen passiert.

• Der Entzug von Einwilligungen muss einfach zugänglich sein

Betreiber müssen sichergehen, dass das Cookie Banner leicht zugänglich ist, auch nachdem die ursprüngliche Abfrage schon geschehen ist. Das dient dazu, dass Nutzer sich im Nachhinein auch wieder gegen eine Einwilligung entscheiden können und diese Präferenz möglichst einfach ausdrücken können.

Das TCF v2.2 gibt strenge Regelungen vor, wie Nutzerdaten für personalisiertes Marketing und Remarketing verwendet werden können. Insbesondere für das Werben in mobilen Anwendungen gibt es rigide Vorgaben für die Transparenz. Besonders wichtig sind dabei die folgenden Komponenten des TCF v2.2:

1. Auflistung aller Drittanbieter Technologien

App-Betreiber müssen die Gesamtmenge an Drittanbieter Technologien schon in der ersten Stufe der CMP aufzählen. Zu viele dieser Technologien können bei Nutzern für Unsicherheit und Unübersichtlichkeit sorgen. Es empfiehlt sich folglich, die Menge so gut wie möglich zu reduzieren.

2. Zweckbeschreibungen

Da das Argument des „legitimen Interesses” als Grund für die Datensammlung im TCF v2.2 wegfällt, muss die Einwilligung der Nutzer explizit als rechtliche Grundlage für die Datenverarbeitung eingeholt werden.

Besonders wichtig ist dies bei:

• der Erstellung personalisierter Werbeprofile- und Anzeigen
• der Erstellung von personalisierten Inhalten und Inhaltsprofilen

Das TCF v2.2 verlangt darüber hinaus auch nutzerfreundliche Haftungsausschlüsse und erklärende Illustrationen in der zweiten Stufe jeder CMP. Die neueste Version des TCF fördert dadurch eine deutlich bessere Informationsgrundlage der Nutzer.

3. Einwilligung muss auch für nicht-personalisierte Werbung eingeholt werden

Das TCF 2.2 fordert, dass neben personalisierter Werbung, auch für nicht-personalisierte Werbung eine Einwilligung notwendig ist. Dadurch wird in erhöhtem Maße auf Nutzerpräferenzen und rechtliche Vorgaben eingegangen.

4. Einheitliche Richtlinien

Vor dem TCF v2.2 gab es separate Anforderungen von Google an die Signalübermittlung und digitale Marketingplattformen. Dadurch kam es häufig zu Verwirrungen und Funktionalitätseinschränkungen. Inzwischen unterstützt Google allerdings das TCF v2.2 und diese Probleme sind Geschichte. Es gibt nur noch eine Richtlinie, an die sich alle halten sollen.

Wer heute mit Google AdSense, Google Ads oder AdMob arbeiten möchte, braucht eine TCF v2.2 zertifizierte CMP. Dazu gehören die Usercentrics CMP oder die Cookiebot Web CMP von Usercentrics. Dadurch können die Google Ad Tags und SDKs besonders einfach den Transparency und Consent (TC) String von der CMP übermittelt bekommen.

5. Auflagen für Demand-Side-Plattformen

Demand-Side-Plattformen bekommen im TCF v2.2 zusätzliche Pflichten auferlegt:

• Alle Anbieter müssen sich als solche registrieren lassen.
• Der TC-String muss Anwendung finden. Das bedeutet, dass die Anbieter eine Möglichkeit bieten müssen, die Einwilligungsentscheidungen von Nutzern in die Echtzeit-Gebote miteinfließen zu lassen.
• Rechtliche Vorgaben beachten: Es muss immer eine rechtliche Grundlage für die Verarbeitung von Nutzerdaten vorhanden sein.

6. Auflagen für Werbeanbieter

Werbeanbieter müssen bei der Registrierung bei dem IAB einige Informationen hinterlegen, die für mehr Transparenz sorgen sollen. Dazu gehören die Kategorien der Daten, die der Anbieter verarbeiten möchte, sowie die Länge der Periode, für welche die Daten gespeichert werden sollen. Zudem müssen die Anbieter auf einer Webseite auflisten, für welchen Zweck welche Daten verwendet werden sollen.

Für Werbeanbieter, die auf Ihrer Plattform digitale Werbung schalten wollen und damit eine Monetarisierung anstreben, ist die Einhaltung des TCF nicht nur eine Pflichtaufgabe, sondern ein wichtiger Hebel. Besonders wichtig ist das aus folgenden Gründen:

1. Vertrauen aufbauen: Die Einhaltung des TCF signalisiert einen besonderen Einsatz für die Privatsphäre von Nutzerdaten und zeigt, dass auf nachhaltige Unternehmensstrategien gesetzt wird.
2. Monetarisierungpotentiale maximieren: Wer die Richtlinien des TCF implementiert, hat eine größere Auswahl an Werbepartnern zur Auswahl. Viele der Werbeplattformen fordern die Einhaltung der TCF 2.2 Standards, um in deren Portfolio mit aufgenommen werden zu können. Dazu gehört zum Beispiel Google Adsense.
3. Anpassungsfähigkeit: Der rechtliche Rahmen wird sich weiterhin verändern und auch Auswirkungen auf den TCF haben. Indem man diesen allerdings adaptiert, können granulare Veränderungen leichter vorgenommen werden und verlangen einen geringeren Verwaltungsaufwand.
4. Nutzerorientierte Monetarisierung: Das TCF stellt den Nutzer in den Mittelpunkt, möchte aber trotzdem weiterhin attraktive Monetarisierungsmöglichkeiten bieten. Indem das TCF implementiert wird, kann immer sichergestellt werden, dass beide Interessen effizient berücksichtigt werden.

Die Möglichkeit, mit Anzeigen nachhaltig Umsatz zu generieren, hängt maßgeblich von der Fähigkeit ab, effizient Einwilligungen für Datenverarbeitungen einzuholen und Nutzerentscheidungen zu respektieren. Je höher die Einwilligungsrate (Opt-In Rate) ist, desto besser und effizienter lassen sich Anzeigen schalten.

Die meisten Werbeanbieter und Werbeplattformen nutzen schon einen sogenannten Transparency and Consumer (TC) String, der die Informationen über die Einwilligungen der Nutzer überträgt. Dieser wird von einer installierten CMP an die Werbedienstleister weitergegeben. In diesem werden die Informationen dazu übertragen, welche Einwilligungen durch den Nutzer erfolgt sind und welche Technologien aktiviert werden dürfen.

Besonders Google verlangt schon seit Januar 2024, explizit für Google Adsense, Google Ads oder Admob, dass eine Consent Management Platform verwendet wird, die bestimmten Anforderungen gerecht wird. So muss die Plattform mit dem IAB Transparency and Consent Framework v2.2 kompatibel sein, wenn Anzeigen in der EU oder in Großbritannien geschaltet werden.

Wenn folglich eine CMP verwendet wird, die diese Anforderungen nicht erfüllt, besteht ein großes Risiko für alle, die auf ihrer Seite Werbung schalten wollen oder für ihr Angebot werben wollen. Das Problem besteht zum Einen darin, dass bei Nichteinhaltung der Vorgaben eine Sperre für die Plattformen verhängt werden könnte und zum Anderen darin, dass durch fehlende Opt-Ins auch keine Daten übermittelt werden können. Daher ist es wichtig, eine von Google zertifizierte CMP zu verwenden, die auch die Vorgaben des IAB TCF 2.2 erfüllt.

Nochmal zusammenfassend: Es ist äußerst wichtig, eine CMP auszuwählen, welche die oben genannten Voraussetzungen erfüllt und idealerweise auch übertrifft. Folgende Dinge sind bei der Auswahl einer CMP aus technischer Sicht zu beachten:

1. Mit dem IAB TCF v2.2 integriert: Eine gute CMP ist vollständig mit den Richtlinien kompatibel. So wird die Datenqualität maximiert und gleichzeitig der Schutz der Nutzerdaten in den Vordergrund gestellt.
2. CMP mit Google-Zertifizierung: Jegliche Betreiber, die Google Adsense, Google Ads oder AdMob verwenden möchten, müssen eine Google IAB TCF zertifizierte CMP verwenden, die mit dem IAB TCF v2.2 kompatibel ist.
3. Kompatibel mit der zusätzlichen Einwilligung bei Google: Die zusätzliche Einwilligung bei Google sollte von der CMP unterstützt werden. Das ist zwar keine Vorgabe des TCF, steht aber in der Liste von Anzeigentechnologie-Anbietern (ATP) von Google.

Neben den technischen Integrationen gibt es aber weitere Faktoren, die eine CMP auszeichnen sollten. Zum Einen erleichtern diese Qualifikationen die Arbeit derer, welche die CMP in ihr Angebot integrieren, zum Anderen sind sie aber auch aus Nutzersicht sinnvoll. Dazu gehören:

1. Die Nutzererfahrung: Das IAB TCF v2.2 stellt hohe Anforderungen an das User Interface einer CMP und besonders dem Cookie-Banner. Eine CMP sollte ein benutzerfreundliches UI bieten, das den Prozess für Nutzer möglichst einfach gestaltet.
2. Flexible Gestaltungsmöglichkeiten: Ein Cookie-Banner und jegliche Hinweise für den Datenschutz sollten in den Farben und in der CI des Integrationspartners verfügbar sein.
3. Integrationsmöglichkeiten: Je mehr Integrationen eine CMP bietet, desto sicherer ist die Datenqualität und Datenübertragung zwischen Seite und Anbieter. Besonders wichtig bei der Auswahl sollte sein, dass die CMP mit allen auf der Seite verbauten technischen Drittanbietern, CMS, Analytics Tools etc. kompatibel sein sollte, um den Einbau so einfach wie möglich zu gestalten.
4. Detaillierte Einstellung für Einwilligungsmöglichkeiten: Nutzer sollten möglichst granular entscheiden können, welchen Diensten sie ihre Daten überlassen sollten. Je besser diese Dienste kategorisiert und erklärt sind, desto besser.
5. Datenspeicherung: Eine CMP sollte neben der Abfrage und Weitergabe von Einwilligungen, diese auch möglichst sicher und sortiert abspeichern. So können diese auf Anfrage abgerufen oder gelöscht werden. So schützen Sie sich selbst vor eventuellen rechtlichen Konsequenzen und können auf Löschanfragen Ihrer Nutzer schnell reagieren.

Bei der Einhaltung der neuesten Richtlinie TCF v2.2 geht es um mehr als nur um Datenschutz. Sie maximieren Ihre Möglichkeiten für die Monetarisierung Ihrer Seite oder Ihrer Anzeigen und bauen Vertrauen zu Ihren Nutzern auf. Nur so ist nachhaltiges und langfristiges Wachstum in der Branche möglich.

Eine von Google zertifizierte CMP wie die von Usercentrics oder Cookiebot wird diesen Anforderungen gerecht und übertrifft sie in vielen Bereichen. Sei es eine bessere Abstimmungsmöglichkeit des User Interfaces oder eine möglichst hohe Anzahl an Partnerintegrationen, das Angebot wird stetig erweitert. Es ist besonders wichtig, dass die CMP sich an die stetig ändernden Vorgaben anpassen kann und das Angebot auf Ihr Bedürfnis zugeschnitten ist.