Verstehen Sie das IAB Framework in 15 Minuten (oder weniger!)

Im folgenden Artikel wollen wir uns genauer mit dem IAB Transparency and Consent Framework (TCF) befassen. Dieses wurde 2018 von dem internationalen Wirtschaftsverband der Onlinewerbebranche Interactive Advertising Bureau (IAB) ins Leben gerufen, um das digitale Werbe-Ökosystem dabei zu unterstützen, die Richtlinien der DSGVO und ePrivacy-Verordnung zu erfüllen.

Bevor wir tiefer ins Thema einsteigen, sei gesagt, dass dieses Framework auf den ersten Blick aufgrund seiner Komplexität ziemlich überwältigend wirken kann, da es zwei Faktoren verbindet:

1. Es ist zugleich eine Einwilligungs-Schnittstelle für Endverbraucher, Publisher und Werbetreibende und
2. es sorgt für DSGVO-Konformität.

Glücklicherweise kommen an dieser Stelle Consent Management Plattformen (kurz CMPs) wie Usercentrics ins Spiel, die einiges an Komplexität herausnehmen. So wird es für Sie als Anwender wesentlich einfacher, das Transparency & Consent Framework des IAB zu verstehen und zu nutzen.

Innerhalb der nächsten maximal 15 Minuten, werden Sie:

• nicht nur beschreiben können, was das TCF ist und
• verstanden haben, welches Problem das Framework zu lösen versucht

Sondern auch:

• gelernt haben, wie das Framework funktioniert und wie eine CMP hierbei Abhilfe schaffen kann

Das IAB Transparency & Consent Framework (TCF) wurde mit der Absicht geboren, den Kommunikationsprozess beim Thema Einwilligungs-Management zwischen einem Publisher und den Werbetreibenden zu standardisieren und zu vereinfachen. Dies löst auch die Frage nach dem Umgang mit Piggybacking, also weiteren Technologien, die von auf der Seite eingebunden Technologien aufgerufen werden.

Nach dem TCF muss der Publisher jederzeit einsehen können, ob der Nutzer damit einverstanden ist, dass bestimmte Technologien seine Daten verarbeiten. Genauer gesagt geht es um „die Zwecke, wie personenbezogene Daten von welchem Unternehmen konkret verarbeitet werden können“, z.B. mittels Tracking-Tools oder eindeutiger Identifizierung der einzelnen User durch Cookies.

Denken Sie daran: Seit dem Inkrafttreten der DSGVO reicht es nicht mehr aus, den Nutzer einfach nur darüber zu informieren, was mit seinen Daten passiert. Entscheidend ist, dass der Nutzer auch die Möglichkeit haben muss, der Verarbeitung seiner personenbezogenen Daten zuzustimmen oder diese abzulehnen. Falls Sie sich nun fragen, was genau „personenbezogene Daten” sind – Es handelt sich dabei im Grunde um jede persönliche ID (einschließlich der IP-Adresse). Lesen Sie auch unseren Artikel: Was sind personenbezogene Daten?

Was bedeutet das also für Ihre Webseiten und Apps? Im Grunde dürfen alle auf der Webseite eingebundenen Technologien die Daten der Webseiten-Benutzer nur dann nutzen, wenn tatsächlich eine Einwilligung vorliegt. Aber wie bekommen die entsprechenden Technologien, der Werbetreibende oder auch andere Technologien, die von Dritt-Technologien aufgerufen werden, diese Informationen und wissen demnach, dass sie dazu berechtigt sind, bestimmte Daten zu verwenden?

Der Schlüssel zum Erfolg liegt wie immer in der Kommunikation!

Und genau da kommt das IAB TCF ins Spiel: Es hilft bei der Kommunikation und dem Austausch von Einwilligungs-Informationen zwischen Drittanbietern, Ihrer Website und dem Endnutzer, damit jeder Stakeholder in der Technologiekette genau weiß, ob eine Zustimmung vorliegt oder nicht. So gibt es keinerlei Unklarheiten mehr.

Die kurze Antwort ist, dass viele verschiedene Stakeholder involviert sind. Auf der einen Seite müssen alle Dritt-Technologien und Publisher Bescheid wissen, ob sie die erhaltenen Benutzerdaten nutzen dürfen oder nicht. Auf der anderen Seite muss auch der Nutzer wissen, was mit seinen Daten passiert. Deshalb hat das IAB eine Reihe von Standardzwecken definiert (z.B. „Informationsspeicherung und -zugang” oder “Personalisierung“) und führt eine Liste der registrierten Drittanbieter (“Vendoren”). Die Registrierung als Vendor erfolgt über ein Bewerbungsverfahren. Die Vendoren müssen dabei die Zwecke der Datenverarbeitung und weitere Merkmale angeben. Sie müssen dabei auch den Link zu ihrer Datenschutzerklärung hinterlegen, welche wiederum DSGVO-konform sein muss. Das IAB verwaltet und regelt das TCF und überprüft, ob eine Bewerbung den Richtlinien entspricht. CMPs wie Usercentrics bieten eine effiziente und einfache Lösung, da sie dem Benutzer die registrierten Vendoren und die vom Publisher gewählten Zwecke übersichtlich präsentieren.

Sie fragen sich vielleicht, wie es überhaupt möglich ist, mit mehreren Technologien und Websites gleichzeitig erfolgreich zu kommunizieren? Die Antwort ist einfach: indem alle dieselbe Sprache sprechen. Das IAB bietet ein einheitliches Verfahren zur Erstellung, Kodierung und Dekodierung der Informationen in Form einer einzelnen Zeichenkette, dem sogenannten „consent string“. Dieser sieht beispielsweise wie folgt aus:

„BObFBzjObFBzjAFABBDECD-AAAAjyABAGqA“

Diese kurze Zeichenkette enthält viele Informationen wie die Verwendungszwecke oder die Vendoren, zu denen der Benutzer seine Zustimmung gegeben hat. Sie enthält darüber hinaus auch zusätzliche Informationen, z.B. die Version der Zeichenkette oder die Information, wann sie aktualisiert wurde. Auch wenn dies auf den ersten Blick sehr kompliziert und unverständlich aussehen mag, brauchen Sie sich keine Sorgen zu machen, denn Sie als Publisher müssen mit der Zeichenkette nicht arbeiten. Ein gültiger “consent string” kann nur von einer IAB zertifizierten CMP erstellt werden.

Wenn Ihnen nun Fragen wie „Was, wenn der Publisher selbst einen consent string erstellt?“, „Woher weiß ein Vendor, dass eine bestimmte Zeichenfolge nicht von einer zertifizierten CMP erstellt wurde?“ in den Kopf kommen, sind Sie damit nicht alleine. Die Antwort lautet jeweils: Durch die Verwendung von Cookies. Jede registrierte CMP erhält eine eigene Subdomain unter mgr.consensu.org, z.B. usercentrics.mgr.consensu.org. Die CMP setzt jedes Mal einen Cookie auf dieser Domain, sobald ein consent string erstellt wurde. Andere Websites können keine Cookies für diese spezifischen Subdomains setzen. So kann der Vendor jederzeit überprüfen, ob ein bestimmter consent string in einem Cookie auf der CMP-Subdomain zu finden ist. Wenn dieser dort nicht zu finden ist, ist der consent string ungültig.

Es tut sich aktuell viel. Eine neue Version des IAB Transparency and Consent Framework (TCF 2.0) wird derzeit ausgearbeitet. Nachdem in den letzten 12 Monaten hierzu das Feedback der Stakeholder aus der Publisher-Community eingeholt wurde, gab es bis zum 25. Mai 2019 auch die Möglichkeit, seine Anregungen im Rahmen eines Public Comments anzubringen. Sobald die technischen Spezifikationen und Richtlinien final umgesetzt wurden, werden alle betroffenen Parteien (Vendoren, Publisher und CMPs) mithilfe eines Implementierungs-Manuals darüber informiert. Bisher gibt es dafür allerdings noch kein konkretes Datum.

• Verstärkter Fokus auf legitimes Interesse: Vendoren können sich für bestimmte Verwendungszwecke (“Purposes”) standardmäßig auf “legitimes Interesse” berufen. Dem kann der User widersprechen.
• Purposes: Die Anzahl der Purposes wurde deutlich erweitert (von bisher 5 auf 10). Zudem gibt es zwei sog. Special Purposes, denen man als User nicht widersprechen kann (z.B. aus Sicherheits- und/oder Fraud Detection Gründen)
• Special Features: Diese Features benötigen einen eigenen Opt-In, z.B. die Nutzung von Geolocation-Daten
• Technische Beschreibungen im Mobile Umfeld Wie werden Einwilligungen bei Apps standardisiert gespeichert?

• 7 Kriterien einer DSGVO-konformen Einwilligung
• TCF 2.0 kurz erklärt – die wichtigsten Neuerungen im Blick