Update des IAB Europe: Das Transparency and Consent Framework 2.0

Wer auf seiner Webseite Besucherdaten erhebt, muss die Nutzer darüber informieren, wie und wofür diese verwendet werden. Um das technisch sicher darzustellen, hat der Branchenverband IAB Europe das „Transparency and Consent Framework“ entwickelt. Im September wurde die ergänzte Version 2.0 veröffentlicht.

Durch die Europäische Datenschutzgrundverordnung (DSGVO) werden alle Profildaten, die über Cookies oder mobile Ad Identifier in Online-Kampagnen erhoben werden, als personenbezogen definiert. Auch wenn es sich dabei eigentlich um sogenannte pseudonyme Daten handelt, die nur mit großem Aufwand einer natürlichen Person zugeordnet werden können. Damit fallen Tracking- und Targeting-Daten in den Regelbereich des Bundesdatenschutzgesetzes (BDSG). Das bedeutet: Wer personenbezogene Daten erhebt, muss diese unter anderem vor unbefugtem Zugriff ausreichend schützen und hat gegenüber dem Nutzer die Pflicht zur allgemeinverständlichen Information über Art der Daten und Zweck der Datenverarbeitung.

Strittig ist allerdings, ob auch schon mit der DSGVO eine vorherige Zustimmung zur Datenverarbeitung in der Online-Werbung erforderlich ist. Im gern zitierten Artikel 6.1. der DSGVO wird das Erheben und Verarbeiten von Daten für Werbezwecke über das sogenannte „berechtigte Interesse“ ausdrücklich erlaubt – auch ohne explizite Zustimmung des Konsumenten. Doch welche Formen von Tracking und Targeting damit abgedeckt sind, bleibt umstritten. Die europäische E-Privacy-Richtlinie wiederum, die nicht die Datenverarbeitung, aber den Zugriff auf das Gerät regelt (das sogenannte „Cookie setzen“) wurde nie in deutsches Recht umgesetzt. Daher wird hier in der Praxis weiterhin die Widerspruchslösung (Opt-Out) genutzt.

Klar ist aber, dass unter der DSGVO in der komplexen technischen Kette, in welcher die Online-Werbung zwischen Publisher und Advertiser abgewickelt und mit Daten angereichert wird, an jeder Stelle und zu jedem Zeitpunkt bekannt sein muss, welche Tracking- und Targeting-Vorgänge bei der Ad Impression eines Nutzers erlaubt sind – und welche unterlassen werden müssen. Unter dem Mantel des Industrieverbandes IAB Europe entstand deshalb als Marktinitiative das „Transparency and Consent Framework“ (TCF). In seiner ursprünglichen Fassung eher rudimentär, ist die Version 2.0, die im September 2019 offiziell veröffentlicht wurde, ein ausgewogener Standard, der für alle Marktpartner Sicherheit schafft.

So sieht das TCF 2.0 im Detail aus

Das Framework kennt grundsätzlich drei Kategorien von Akteuren: Vendoren, Publisher und Consent Management-Plattformen (CMPs).

Vendoren sind alle Dienstleister der Auslieferungskette, die eine eigene Domain nutzen und Daten verarbeiten wollen. Normalerweise nutzen sie dafür aber nicht die Domain der Website, sondern werden unter ihrer eigenen Domain aufgerufen, sind also ein sogenanntes Third Party-System. Darunter fallen beispielsweise Websitetrackingsysteme, Adserver und Adverification-Anbieter, Demand Side-Plattformen (DSPs), Sell Side-Plattformen (SSPs) sowie Data Management-Plattformen (DMPs). Vendoren können sich beim TCF registrieren, müssen aber erklären, zu welchen Zwecken sie Daten verarbeiten wollen. Mit dieser Information sind sie dann über die sogenannte Global Vendor List einsehbar.

Publisher stellen Content bereit und stehen in direktem Kontakt mit dem Konsumenten. Im Sinne des TCF sind auch Werbetreibende „Publisher“, wenn sie auf ihren Webseiten Daten durch Vendoren erheben lassen. Meist geschieht das, um die Leistung der Webseite oder Werbekampagne zu messen, Cookies für das Retargeting einzusammeln oder Content zu personalisieren. Publisher und Werbetreibende erklären den Konsumenten gegenüber, welche Vendoren aus der Global Vendor List auf ihren Webseiten zu welchen Zwecken Daten erheben und holen, falls erforderlich, die Zustimmung der Nutzer ein.

Consent Management-Plattformen (CMPs) sind eine relativ neue Kategorie von Marktteilnehmern, die erst durch die DSGVO an Bedeutung gewonnen haben.  Sie sind Spezialdienstleister, die für Publisher und Werbetreibende die Privacy Center und Consent Screens auf den Webseiten betreiben und dort dem Nutzer Gelegenheit zur Zustimmung oder Widerspruch geben. Im Rahmen des TCF sind sie für das Bereitstellen des Consent-Status der User an die Auslieferungskette zuständig.

Für die Kommunikation zwischen den verschiedenen Parteien in dieser Kette, das sogenannte Signalling, legt das TCF eine standardisierte Nomenklatur fest. Dabei wird für jeden, von einem Publisher oder Werbetreibenden auf den Seiten integrierten, Vendor zu den einzelnen Verarbeitungszwecken übertragen, ob die Datenverarbeitung erlaubt ist und ob der User ein explizites Opt-out vorgenommen hat oder nicht. In seiner Version 2.0 unterscheidet das TCF zehn unterschiedliche Zwecke (Purposes) für die Verarbeitung der Tracking-Daten.

Diese Liste der Verarbeitungszwecke versucht alle aktuell in den relevanten Geschäftsmodellen des Online Marketings vorkommenden Verarbeitungsprozesse personenbezogener Daten zu erfassen. Sowohl beim rein technischen Targeting der Kampagnenauslieferung, als auch im Profil-Targeting und in der Marktforschung. Einen Sonderstatus nimmt allerdings der erste Zweck ein, der den bereits beschriebenen Fall des Zugriffs auf das Endgerät unter der ePrivacy-Verordnung umfasst.

Die zehn Verarbeitungszwecke werden ergänzt durch insgesamt sieben weitere Verarbeitungsmöglichkeiten und -zwecke, die spezielle Anwendungsfälle und deren Rechtsgrundlagen regeln. So wird zum Beispiel für das Hyperlocal Targeting, aufgrund der einfacheren Repersonalisierbarkeit solcher Daten, ausdrücklich nur Consent als Rechtsgrundlage vorgesehen. Bei Verarbeitungsprozessen, die der Betrugsvorbeugung oder der rein technischen Werbemittelauslieferung dienen, hat der Nutzer wiederum zwar ein Informations- aber kein Widerspruchsrecht.

Die Verarbeitungszwecke sind in Titel und Beschreibung so spezifisch, dass es kaum möglich ist, dies einem normalen, also fachfremden Konsumenten zu erklären. Daher sind im TCF die Zwecke, die Publisher oder Werbetreibender gemäß ihren Geschäftsmodellen verfolgen, gruppiert.

In der Praxis sieht das dann wie folgt aus: Will beispielsweise ein Werbetreibender, der auf seiner Webseite personalisierte Inhalte anbietet, die Auswirkungen seiner Werbekampagnen messen und Nutzer für Retargeting-Kampagnen markieren, benötigt er drei Schieberegler. Diese stehen in der Voreinstellung auf „Grün“. Falls der Werbetreibende berechtigtes Interesse als Rechtsgrundlage geltend macht, kann der Nutzer also der erlaubten Datenverarbeitung widersprechen.

Wie geht es nun weiter?

Das TCF in seiner zweiten Version soll ab Ende Februar 2020 für den Markt verbindlich sein. Bis dahin müssen auch Werbekunden in der Lage sein, das Signalling des TCF zu unterstützen, im Regelfall wohl mit der Hilfe eines Consent Management Providers. Auch Google arbeitete an der Initiative mit und wird sich ihr nach eigenem Bekunden demnächst offiziell anschließen. Dies dürfte zu seiner endgültigen Akzeptanz als Marktstandard führen.

Zwar kann das Framework grundlegende Probleme des Marktes lösen, eine Reihe von Herausforderungen bleibt aber weiterhin bestehen. So stellt das TCF zwar technische Lösungen bereit, ist aber nicht unter einer wirklich paritätisch, nur vom europäischen Markt gesteuerten Körperschaft aufgehängt. Bis es soweit ist, besitzt es gegenüber den europäischen Datenschutzbehörden eine sehr angreifbare Position. Auch ist das TCF kein vollwertiges Compliance-Werkzeug, da die Themen Auskunft und Korrektur von Profildaten außerhalb des Frameworks noch ungeregelt sind.

Die größte operative Herausforderung bleibt aber sicherlich, dass Webbrowser wie Safari und Firefox, die in ihrer Grundeinstellung über Blocking-Listen oder algorithmische Verfahren Cookies blockieren, aktuell die auf dem Framework beruhenden Signale an die Vendoren ignorieren. Das führt dazu, dass ein Tracking-Dienstleister selbst bei ausdrücklicher Zustimmung des Nutzers unter Umständen keine technische Möglichkeit zur Anwendung der Datenverarbeitung hat, was natürlich nicht hinnehmbar ist.