So funktioniert der Transparency & Consent String (TC String) des IAB Transparency and Consent Frameworks

Die DSGVO hat für Digitalpublisher, Werbetreibende und Technologieanbieter viel Verwaltungsaufwand mit sich gebracht. Um das digitale Werbeökosystem zu unterstützen und Richtlinien wie die DSGVO und die geplante ePrivacy-Verordnung zu erfüllen, hat das Interactive Advertising Bureau (IAB) 2018 das Transparency and Consent Framework ins Leben gerufen – eine Einwilligungsschnittstelle für Endverbraucher, Publisher und Werbetreibende. 

In der digitalen Werbung greifen viele Technologien ineinander – sowohl aufseiten der Werbetreibenden als auch aufseiten der Publisher. Viele der angebundenen Plattformen nutzen die Daten der Webseitenbesucher, um die Werbeerfahrung persönlicher zu gestalten. Dafür benötigen sie allerdings zuerst die Zustimmung der Nutzer. Nachdem der Consent, meistens durch eine Consent Management Platform (CMP), abgefragt wurde,  muss sichergestellt werden, dass Publisher, Werbetreibende und jede der angeschlossenen Technologieplattformen den Wunsch des Nutzers respektieren. Dazu dient der IAB TC String, eine codierte Zeichenkette, die alle relevanten Informationen rund um den Consent des Nutzers enthält und an sämtliche Parteien weitergereicht wird. Damit dient er als Kommunikationsmittel innerhalb des IAB Frameworks.

Im TC String werden drei wesentliche Informationen gespeichert: 

1. Metadaten rund um den Consent (Version des TC Strings, letztes Update, Version der Anbieter-Liste usw.)
2. Den Zweck, zu dem die Anbieter die Daten verwenden dürfen.
3. Welche Anbieter den Consent des Nutzer erhalten haben.

Für die Einkaufskette sind vor allem die letzten beiden Punkte relevant. Das IAB gibt fünf Arten vor, zu dessen Zweck die Nutzerdaten gebraucht werden können: 

1. Speichern von Informationen 
2. Personalisierung
3. Messung 
4. Auswahl, Auslieferung und Report von Werbemitteln 
5. Auswahl, Auslieferung und Report von Inhalten 

Das IAB verfügt darüber hinaus über eine Liste aller globalen Technologieanbieter im digitalen Marketing, die im Transparency and Consent Framework registriert sind. Der TC String enthält die jeweils in die Einkaufskette eingebundenen Anbieter und weist aus, ob sie die Daten des Nutzers verwenden dürfen. Diese Information wird in Binärcode gespeichert: “1” steht für vorhandenen Consent, “0” steht für Ablehnung. 

Dekodiert verbergen sich alle Informationen hinter einer Abfolge von Einsen und Nullen, die ausweisen, zu welchen Zwecken und welchen Anbietern der Nutzer seinen Consent gegeben hat. All diese Angaben werden daraufhin in einer Zeichenkette von der verwendeten Consent Management Platform kodiert. Das Ergebnis sieht zum Beispiel so aus: 

BOSSotLOSSotLAPABAENBc-AAAAgR7

Der TC String wird von Publisherseite aus mit Hilfe der CMP an alle Technologieanbieter der Wertschöpfungskette bis hin zur Demand-Side-Plattform weitergegeben. Dabei ist der jeweilige Consent-Status für alle Teilnehmer der Kette offen einsehbar. Der Datenverwendungszweck der anderen Teilnehmer kann jedoch nicht eingesehen werden.

Die im Consent String gespeicherten Informationen werden nach der Consent-Abfrage in einem First-Party-Cookie lokal auf dem Gerät des Nutzers gespeichert. Beim erneuten Betreten der Webseite liest ein durch die CMP verbautes Java-Script den Cookie aus und gibt die Informationen an die Technologieanbieter in der Wertschöpfungskette weiter. Hat der Nutzer oder sein verwendeter Browser seit seinem letzten Seitenbesuch jedoch die Cookies gelöscht, muss die Abfrage erneut durchgeführt werden. 

Um sicherzugehen, dass ein Consent String auch wirklich legitim ist und Publisher keine veränderten Consent-Informationen an ihre Technologieanbieter weitergeben, wird der Consent String auch in Form eines Cookies auf einer Domain der CMP gespeichert. Jede beim IAB registrierte CMP erhält dafür eine eigene Subdomain unter mgr.consensu.org, z.B. usercentrics.mgr.consensu.org. Sobald ein Consent String erstellt wurde, setzt die CMP hier einen Cookie. So können Tech-Anbieter jederzeit überprüfen, ob ein bestimmter Consent String in einem Cookie auf der CMP-Subdomain zu finden und damit gültig ist. 

Allerdings gibt es trotz dieser Absicherung immer noch Betrugsmethoden im Consent Management. Diese finden meist dort statt, wo der Consent String erstellt wird: auf der Seite des Publishers. Die Schuld trifft dabei nicht unbedingt die CMP, denn dem Publisher ist es möglich, die Abfragebanner der CMP-Anbieter zu modifizieren. Ob nun absichtlich oder durch technische Fehler, kann es passieren, dass der Consent String schon bei der Abfrage verfälscht wird. So hat eine aktuelle Studie ermittelt, dass 12 Prozent der mehr als 1.400 untersuchten Webseiten bereits im Consent String die Datenverwendungszwecke angelegt haben, bevor der Nutzer eine Auswahl getroffen hat. Auf 7,5 Prozent von 508 untersuchten Webseiten wurden sogar Verwendungszwecke via Consent String erlaubt, obwohl der Nutzer eindeutig sein Opt-out gegeben hat.

Auf dem Weg zu mehr Selbstbestimmung über persönliche Daten der Nutzer hat das IAB mit dem Transparency and Consent Framework einen wichtigen Schritt getan. Aber noch immer gibt es im Framework Lücken, die Betrug möglich machen. Der TC String ist hiervon nicht ausgenommen. Ausreichend gesichert bietet der TC String jedoch  die Möglichkeit eines zentralen “Point of Proof” für das Consent Management entlang der gesamten Wertschöpfungskette. 

Kurz und knapp:

• Der TC String ist eine codierte Zeichenkette, die alle relevanten Informationen rund um die Consent-Entscheidung des Nutzers enthält.
• Der TC String erhält Informationen darüber, welche Anbieter den Consent vom Nutzer erhalten haben und zu welchem Zweck sie dessen Daten verwenden dürfen.
• Er wird von der CMP erstellt und an alle Anbieter in der Advertising-Wertschöpfungskette weitergereicht. 
• Die Informationen im TC String werden als Cookie lokal auf dem Rechner gespeichert. Gleichzeitig wird ein Cookie auf einer exklusiven Domain der CMP beim IAB angelegt. So können alle Parteien die Echtheit des Consent Strings verifizieren. 
• Sicher vor Betrug ist das System dennoch nicht. Bereits bei der Erstellung des Strings kann es – mutwillig oder nicht – zu Veränderungen kommen, die nicht dem Willen des Nutzers entsprechen.