key: cord-0058415-7pz3sdj4
authors: Gradow, Lisa; Greiner, Ramona
title: Das IAB Transparency & Consent Framework – eine Branche rettet sich selbst
date: 2021-03-20
journal: Quick Guide Consent-Management
DOI: 10.1007/978-3-658-33021-7_2
sha: 6973eeb5a2cbb75815328de72a05bc2d52874f20
doc_id: 58415
cord_uid: 7pz3sdj4

Was Sie aus diesem Kapitel mitnehmen Was das IAB Transparency & Consent Framework (TCF) ist und welche Rolle CMPs darin spielen. Was die Versionen TCF 1.0, 1.1 und insbesondere TCF 2.0 beinhalten. Wie Sie als Werbetreibender oder Publisher die Anforderungen für TCF 2.0 erfüllen. Welche Auswirkungen das TCF auf die Werbeumsätze hat;

in Zeiten der DSGVO erhalten. Wie? Indem man einen Industriestandard entwickelt, der eine DSGVO-konforme Datenverarbeitung zu Werbezwecken gewährleistet und vor allem eine Möglichkeit darstellt, die Einwilligung zu kodifizieren und über alle Teilnehmer:innen der programmatischen Werbekette hinweg durchzureichen. Der USamerikanische Technologie-Provider Quantcast sah wohl vor allem sein eigenes Geschäftsmodell wegen der neuen Nebenbedingung "Einwilligung" in Gefahr und war als aktives IAB-Mitglied einer der Haupttreiber und maßgeblicher Entwickler des ersten TCF 1.0-Standards. Deswegen obliegt es notwendigerweise den Websitebetreibern, also den Publishern und Brands, initial die Einwilligung von ihren Nutzer:innen einzuholen. Sowohl für sich selber, aber auch explizit für die nachgelagerten (unsichtbaren) Vendoren. Auf die dann gegebene Präferenz der Nutzer:innen, also den Opt-in oder Opt-out, müssen die Provider aber auch entsprechend reagieren können. Deswegen müssen alle Player dieselbe (programmatische) Sprache sprechen, wenn es um Nutzer:innenpräferenzen geht. So ist die Idee entstanden, einen universellen Einwilligungscode zu entwickeln, der von allen, die sich dazu verpflichten, unterstützt wird. Diese Idee fand ihre Geburt im sogenannten "Consent String", der Dreh-und Angelpunkt des TCF 1.0 und 1.1 wurde (Abb. 2.1). Der Umstieg von V1 auf V2 war eine große Herausforderung für die Branche, aber unbedingt nötig. Nicht nur die Implementierung an sich, die personelle Ressourcen bei jedem einzelnen Publisher, Werbetreibenden etc. fordert, verursacht den großen Aufwand, sondern auch der Umstand, dass bisher eingeholte Einwilligungen nicht transferiert werden konnten und somit neu eingeholt werden mussten. Da kann es passieren, dass Nutzer:innen, die erneut gefragt werden, dann keine Einwilligung mehr geben. Das hat sofortige monetäre Konsequenzen für den Publisher und Werbetreibenden (siehe unten zur Thematik "Frequenz und Speicherdauern" ).

• Detailliertere Datenverarbeitungszwecke müssen angegeben werden, sodass die Nutzer:innen ein besseres Gefühl dafür haben, welche ihrer Daten verarbeitet werden und warum. In der ersten Version hieß eine Kategorie z. B. nur "Personalisierung"; in 2.0 ist "Personalisierung" in zwei Varianten unterteilt: "personalisiertes Anzeigenprofil erstellen" (eng. create personalized ads profile) oder "personalisiertes Inhaltsprofil erstellen" (eng. create personalized content profile). 

Das TCF 2.0 beinhaltet sogenannte "Stacks". Damit will das IAB erreichen, dass der/die durchschnittliche Verbraucher:in gut informiert wird, aber auch granularere Informationen verfügbar sind, sofern von Interesse für die einzelne Person.

Der Stack "Personalisierte Anzeigen und Anzeigenmessung" deckt vier Zwecke auf einmal ab: "Grundlegende Anzeigenauswahl", "Erstellung eines personalisierten Anzeigenprofils", "Auswahl personalisierter Anzeigen" und "Messung der Anzeigen Performance". Benutzer:innen können sich mit einem weiteren Klick eine benutzerfreundliche Definition für jeden Zweck anzeigen lassen. Besonders Interessierte können auch die vollständige rechtliche Definition für jeden Anwendungsfall einsehen (Abb. 2.3). Was genau eine CMP erfüllen muss, um TCF 2.0-konform zu sein, führen wir weiter unten im Kapitel Anforderungen an eine CMP gemäß TCF 2.0 (Abschn. 4.6) auf.

Für den umgekehrten Fall, dass ein Werbetreibender oder Publisher keine TCF 2.0-konforme CMP implementieren will, stellt Google auch eine neue API "Consent Mode" (noch in der beta Version, Stand Januar 2021), bereit (Google 2021) . Darüber kann gesteuert werden, wie sich bestimmte Google-Tags basierend auf dem Zustimmungsstatus der Nutzer:innen verhalten. Nur wenn die Einwilligung vorliegt, werden die entsprechenden Tags dann dynamisch ausgespielt. Die API funktioniert sowohl für Webseiten als auch Apps. Aus diesem Feature könnte sich langfristig eine eigene Google-CMP entwickeln, was eine tatsächliche Alternative für Webseitenbetreiber wäre, die ausschließlich Google-Tags einsetzen. Ein anderes Szenario könnte sein, dass sich CMP-Anbieter neben der TCF 2.0-konformen CMP auch eine Google-Consent-Mode-konforme CMP bereitstellen, die dann unter Umständen wieder freier individualisierbar ist. Einige CMP-Anbieter haben auf Google reagiert und stellen ihren Kunden eine Kompatibilität mit der API bereit (Usercentrics 2020) . Es lässt jedenfalls vermuten, dass das TCF Framework langfristig wohl nicht der einzige Consent Standard bleiben wird.

Ja, das ist die 1-Million-Euro-Frage. Die europäischen Aufsichtsbehörden haben dem TCF bisher noch nicht ihren Segen gegeben. Wenn man sich einige bereits ausgesprochene Verwarnungen anschaut, wie z. B. die von CNIL gegen VECTAURY, kann man sich nicht sicher sein, ob TCF 2.0, oder vielmehr programmatische Werbung an sich, als DSGVO-konform abgenickt werden würde. Um Rechtssicherheit zu schaffen, unterzieht sich das IAB nach eigenen Angaben einem offiziellen Zertifizierungsprozess. Damit will es sich einen offiziellen "DSGVO-konform-Stempel" sichern. Dieser Prozess ist langwierig und beinhaltet eine strenge Überprüfung durch verschiedene nationale Aufsichtsbehörden sowie schlussendlich auch durch das Europäische Datenschutzamt selbst. Auf das Ergebnis sind wir alle gespannt. Im schlimmsten Fall sind aller guten Dinge wie immer drei und die Branche freut sich auf ein TCF 3.0. Hipp, hipp, hurra.

TCF 2.0 Siehe Abb. 2.4 Die Überschrift "Kostenlos weiterlesen -Wir benötigen Ihre Zustimmung" kommt vom Tagesspiegel selbst und ist keine IAB-Vorgabe. Der erste Absatz, der darüber informiert, dass personenbezogene Daten auch von Partnern, also Dritten, verarbeitet werden und dass hierfür Cookies verwendet werden, leitet sich aus den IAB-Policy-Anforderungen an den Initial Layer ab. Auch die Call-to-Actions "OK" und "Einstellungen" ergeben sich aus der IAB Policy. Hier zeigt sich eventuell ein Fenster für Individualisierung: Die Policy sagt eigentlich, dass die zwei primären Call-to-Actions im Initial Layer in der Schriftart, Schriftgröße und im Schriftstil sowie im Mindestkontrastverhältnis von 5 zu 1 übereinstimmen müssen. Obwohl der Hinweis auf "Einstellungen" hier im Text aber eher versteckt ist, scheint das IAB das aber durchgehen zu lassen. Ob das so bleibt, wird sich zeigen. Aus heutiger 

Sie in Ihrer Online-Marketing-Abteilung für ein tiefgreifendes Verständnis der Absichten von TCF 2.0 und den Anforderungen

Abb. 2.8 Secondary Layer Path "Funktionen

Consent mode (beta)

Google's GDPR Consent Tool Will Limit Publishers To 12 Ad Tech Vendors

10 Secondary Layer Path

GDPR Transparency and Consent Framework

IAB Europe's Transparency and Consent Framework -Deep Dive on the Technical Specification

IAB Europe & IAB Tech Lab release updated Transparency & Consent Framework

IAB Europe Transparency & Consent Framework Policies. Version 2020-08-24-3-2. Chapter II: Policies for CMPs. 6. Working with Vendors

The Transparency & Consent Framework (TCF) v2.0. Training 8. (2020)

Our Story

Simplify Consent & Compliance Management

Usercentrics supports Google Consent Mode