TCF 2.0: Richtig, aber nur der erste Schritt

Alleingänge US-amerikanischer Tech-Riesen in Sachen Datenschutz, das gekippte EU-US Privacy Shield, das BGH-Urteil im Fall Planet49, Cookie-Sterben auf breiter Front – all das verunsichert die Werbewirtschaft in Deutschland. Was darf man noch und was ist verboten? Und jetzt auch noch TCF 2.0 – die neue Version des Transparency and Consent Framework.

Die Lage scheint selbst für Insider so schwierig zu durchschauen wie für Politprofis die jüngsten Beschlüsse zu den EU-Rettungspaketen. Und auch bei TCF 2.0 lohnt es sich, ein bisschen auszuholen. Denn: So heiß das Thema gerade auch in der Branche diskutiert wird, eingeführt wurde TCF 2.0 bereits im Sommer 2019. Nach einer einjährigen Übergangsphase löste es am 15. August formal das TCF 1.1 ab, das noch vor der Datenschutzgrundverordnung (DSGVO) gelauncht wurde. Personalisierte Werbung ist laut DSGVO bekanntlich nur mit der Einwilligung des Nutzers erlaubt. Das TCF 2.0 berücksichtigt das und bildet dies noch detaillierter als der Vorgänger ab. Allerdings: Viele Unternehmen beziehungsweise ihre Consent-Management-Plattformen (CMP) sind darauf kaum vorbereitet. Das Consent-Thema stand bei vielen nicht ganz oben auf der Tagesordnung. Zwar urteilte der Bundesgerichtshof (BGH), dass das Telemediengesetz (TMG) europarechtskonform ausgelegt werden kann, über die Notwendigkeit von Einwilligungen wurde jedoch lang gestritten. Doch das ändert sich jetzt, mit dem Ergebnis, dass wir in Sachen Consent Management schrittweise einen einheitlichen europäischen Standard bekommen.

Das ändert sich durch TCF 2.0 wirklich

Ziel des TCF 2.0 ist es, eine datenschutzkonforme Datenverarbeitung zu Werbezwecken und das Ausspielen programmatischer Werbung weiterhin zu ermöglichen. Die augenscheinlichste Änderung ist, dass ab sofort bis zu zehn konkrete Verwendungszwecke zu Nutzerdaten abgefragt werden können, über die der Website-Besucher informiert werden muss und denen er zustimmen kann. Besonders der Bereich Marketing wird deutlich differenzierter behandelt. Der Datenerhebung, die auf der Rechtsgrundlage des „legitimen Interesses“ stattfindet, kann der Nutzer widersprechen. Zuvor war diese feststehend und der Nutzer konnte sich ihr kaum entziehen. Bestimmten Features, wie etwa der genauen Geolokalisierung, muss er darüber hinaus explizit zustimmen. Diese Features waren beim TCF 1.1 in der Marketing-Kategorie der Verwendungszwecke eingegliedert, müssen aber mit der Einführung der neuen Version gesondert abgefragt werden.

Ein Schritt in die richtige Richtung, aber nur der Anfang

Der Website-Besucher erhält mit dem TCF 2.0 also mehr Kontrolle und kann dediziert entscheiden, wer seine Daten zu welchem Zweck verarbeiten darf. Mehr Transparenz, mehr Datenschutz und damit auch mehr Vertrauen in das Online Marketing und vor allem die personalisierte Werbung. Doch insbesondere für Publisher bringt das TCF 2.0 deutlich mehr Benefits als die indirekten über die Nutzer: Sie erhalten mehr Kontrolle in der Zusammenarbeit mit Technologie-Partnern und können individuell entscheiden, welcher Anbieter welche Nutzerdaten wie verarbeiten darf. Das Interactive Advertising Bureau (IAB) Europe führt dazu eine Liste mit registrierten Drittanbietern, sogenannten Vendoren, die die Policy des IAB Europe akzeptiert haben. Publisher haben so eine permanent aktuelle Übersicht über alle Vendoren, die sich zu den Standards des IAB Europe committen.

Ist das TCF 2.0 also der Heilsbringer, eine Win-Win-Situation für Nutzer und Unternehmen? Nur zum Teil. Und das hat aus meiner Sicht drei wesentliche Gründe:

• Erstens: Die Implementierung neuer Systeme ist langwierig. Noch ist die Verunsicherung im Markt groß. Es wird gerade in den ersten Wochen und Monaten an Einheitlichkeit fehlen.
• Zweitens: Keiner weiß, wie die Nutzer reagieren. Wie groß ist der Anteil derjenigen, der sich konsequent der Datenverwendung zu Marketing-Zwecken verwehrt? Oder tritt der umgekehrte Fall ein, dass die höhere Komplexität der Abfrage dazu führt, dass sich der Großteil der Nutzer nicht alles durchliest und einfach allem zustimmt? Dadurch entstünde eine Pseudo-Transparenz.
• Und drittens: Einheitliche europäische Standards sind nur dann praxisrelevant, wenn die dauerhafte Speicherung der erhobenen Daten gewährleistet ist, sie geräteübergreifend nutzbar sind und Nutzer transparenten Zugriff haben. Dass dies nicht der Fall ist, zeigt sich angesichts der weiteren, bereits absehbaren regulatorischen und technischen Entwicklungen. Noch läuft die Speicherung der Daten zumeist über First und Third Party Cookies. Doch letztere sind ein Auslaufmodell. Schon jetzt blocken die meisten Browser Third Party Cookies und spätestens nächstes Jahr muss die Speicherung von Einwilligungen auf anderem Wege geschehen. Ein nicht Cookie-basierter Weg wäre der zukunftsweisende Ansatz.

Der europaweite Standard TCF 2.0 ist ein richtiger Schritt und ein wichtiges Signal für die Branche. Trotzdem steht er noch vor einigen Hindernissen, die er überwinden muss und das möglichst schnell. Denn nur wenn die weiteren Schritte in naher Zukunft getan werden, kann sich das TCF 2.0 dauerhaft im Markt etablieren, was zwingend notwendig ist, um Insellösungen in der Branche zu vermeiden.