iab logo
Home Ressourcen Blog TCF 2.0 Transition Guide: Was Publisher jetzt wissen müssen

TCF 2.0 Transition Guide: Was Publisher jetzt wissen müssen

von Usercentrics
20. Jul 2020
iab logo
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Der Countdown läuft: Am 15. August 2020 tritt das Transparency and Consent Framework 2.0 (TCF 2.0) in Kraft. Was das für Publisher bedeutet, erklären wir hier.

TCF 2.0 – Das Wichtigste im Überblick

Mehr Transparenz, Kontrolle und Flexibilität für alle Akteure der Online- Werbewertschöpfungskette – das ist das erklärte Ziel des TCF 2.0

Die drei Akteure

PUBLISHERVENDORCMP
= Webseitenbetreiber bzw. Webseitenverantwortlicher im Sinne des TCF gelten auch Werbetreibende als Publisher, wenn sie auf ihren Webseiten Daten durch Vendoren erheben lassen – z.B. um die Webseitenperformance auszuwerten oder den Erfolg einer Kampagne zu messen, Cookies für Retargeting einzusammeln oder Content zu personalisieren. = alle Dienstleister der Auslieferungskette, die als Third Party-System Daten verarbeiten wollen. Das sind z.B. Website-Trackingsysteme, Adserver und Adverification-Anbieter, Demand Side Plattformen (DSPs), Sell Side-Plattformen (SSPs) sowie Data Management-Plattformen (DMPs). = technische Lösung um Nutzer Einwilligung zur Verarbeitung von persönlichen Daten allen Teilnehmern der Werbe- Wertschöpfungskette über eine Schnittstelle zugänglich zu machen. Die CMP fungiert als Bindeglied zwischen Publisher und Vendor und stellt sicher, dass Werbetreibende datenschutzkonform Daten erheben und weitergeben können.

Die Global Vendor List (GLV)

Wenn Vendoren IAB-konform Nutzerdaten sammeln und verarbeiten wollen oder auf Informationen auf Endgeräten von Nutzern zugreifen wollen, müssen sie sich für die sogenannte “Global Vendor List“ (GVL) registrieren. Für die Registrierung müssen sie alle Verarbeitungszwecke (Purposes) angeben, für die sie möglicherweise Nutzerdaten verwenden. 

⇨ Mit diesen Informationen aus der GVL erstellt der Publisher dann eine eigene Vendoren-Liste in seiner CMP. Die Informationen über die Vendoren der GVL werden von Usercentrics wöchentlich aktualisiert. Publisher können diese dann ggfs. übernehmen.

Zum Hintergrund: Der IAB veröffentlicht jeden Donnerstag eine neue Version der GVL. Diese aktualisiert Usercentrics in der Nacht von Donnerstag auf Freitag, sodass sie ab Freitag im Usercentrics Admin Interface zur Verfügung steht.

Im Verlauf der Woche können sich z.B. folgende Dinge ereignet haben, die eine Aktualisierung der GVL nötig machen:

  • Ein neuer Vendor ist hinzugekommen. ⇨ Der Publisher kann diesen nun seiner CMP-Konfiguration hinzufügen. 
  • Ein bereits bestehender Vendor hat einen neuen Purpose hinzugefügt. ⇨ In diesem Fall übernimmt Usercentrics die neuen Infos.
  • Ein bereits bestehender Vendor hat die Rechtsgrundlage eines bestehenden Purposes geändert. ⇨ In diesem Fall übernimmt Usercentrics die neuen Infos.
  • Ein bestehender Vendor ist aus dem IAB ausgetreten. ⇨ Usercentrics entfernt den Vendor aus der CMP-Konfiguration und gibt eine Nachricht im Admin Interface aus.

Die Rechtsgrundlage für die Datenverwendung durch Vendoren

Grundsätzlich gilt: Wer Daten für Marketingzwecke verwenden möchte, braucht eine entsprechende Rechtsgrundlage (Art. 6 DSGVO) um DSGVO-konform zu sein.

Pro Zweck, für den ein Vendor die Daten verwendet, muss er die Rechtsgrundlage angeben. Dies kann entweder explizite Einwilligung, berechtigtes Interesse oder beides sein:

Explizite Einwilligung bedeutet, dass der Verbraucher diesem Zweck in der CMP explizit (durch Opt-In) zustimmen muss.

Berechtigtes Interesse bedeutet, dass der Datenverarbeiter einen triftigen Grund hat, die Daten zu verarbeiten, der die möglichen Risiken des Einzelnen überwiegt – und daher nur eine Offenlegung erforderlich ist.

Bei TCF 1.1 hatte jeder Zweck eine von zwei erklärten Rechtsgrundlagen: berechtigtes Interesse oder explizite Einwilligung. Bei Version 2.0 können Vendoren nun aus drei Rechtsgrundlagen für die Datenverarbeitung auswählen:

1)  Zustimmung als alleinige Rechtsgrundlage

2) berechtigtes Interesse als alleinige Rechtsgrundlage  

3) Zustimmung oder berechtigtes Interesse (⇨ Wichtig zu wissen: Die Kombination aus beiden kann zwar durch den TC String abgefragt werden, diese Logik der Kombination von beiden Grundlagen liegt aber auf Seiten der Vendoren und ist nicht so direkt im TC String abgebildet.)

Bei der Anmeldung mit dem IAB gibt der Vendor an, welche Rechtsgrundlage für welchen Purpose für ihn als Vendor gilt. Daran müssen sich die Publisher zunächst einmal halten.

Mit den flexiblen Purposes kann der Vendor (er muss aber nicht!) angeben, dass er für gewisse Purposes flexibel ist und es dem Publisher überlässt, auf Basis welcher Rechtsgrundlage der Publisher den jeweiligen Purpose für diesen Vendor laufen lassen möchte.

Flexible Rechtsgrundlagen können von Vendoren für alle Zwecke angegeben werden, mit Ausnahme von Zweck 1, da er sich mit sensiblen Daten befasst und daher nur mit Einwilligung zulässig ist.

Ziel der „flexiblen“ Option ist es, der Tatsache Rechnung zu tragen, dass es innerhalb der EU verschiedene Rechtsprechungen gibt, die die DSGVO jeweils unterschiedlich auslegen. Publisher haben so die Möglichkeit, auf den verschiedenen Märkten auf unterschiedlichen Rechtsgrundlagen zu agieren.

Das letzte Wort, welche rechtliche Grundlage Publisher einem Vendor für einzelne Zwecke zugestehen, liegt allerdings beim Publisher. Allerdings nur für die Vendoren, die flexible Purposes angegeben haben und hierbei auch nur für die Purposes, die der Vendor bei der Registrierung mit dem IAB angegeben hat. So behält der Publisher letztlich die Kontrolle darüber, wie Vendoren auf seiner Webseite bzw. mit seinen Nutzern agieren dürfen.Das letzte Wort welche rechtliche Grundlage Publisher einem Vendor für einzelne Zwecke zugestehen, liegt allerdings beim Publisher. So behält er die volle Kontrolle darüber, wie Vendoren auf seiner Webseite bzw. mit seinen Nutzern agieren dürfen.

Das ist neu: Widerspruchsrecht bei berechtigtem Interesse als Rechtsgrundlage

Beim TCF 2.0 haben Nutzer nun zusätzlich die Möglichkeit auch der Datenerhebung auf der Rechtsgrundlage von “legitimem Interesse” zu widersprechen.

Während die Rechtsgrundlage für berechtigtes Interesse bisher standardmäßig aktiviert war, ist hierfür nun ein eigener value im TC String pro Purpose und Vendor vorgesehen. 

Widerspricht ein Nutzer seiner Datennutzung auf der Grundlage des berechtigten Interesses, wird der Widerspruch technisch wie ein Widerruf (Opt-Out) der Einwilligung behandelt und gespeichert. Dies geschieht automatisch ohne dass der Publisher manuelle Einstellungen vornehmen muss.

Als Publisher haben Sie die Möglichkeit die Standardeinstellungen beizubehalten und die Rechtsgrundlage des jeweiligen Vendors 1:1 zu übernehmen. Die Kombination aus flexiblen Purposes ist ebenfalls möglich.

Was ist der IAB TC String?

 folgende Infos enthält:

  • alle relevanten Informationen über die Einwilligung des Nutzers 
    • Consent Status für Rechtsgrundlage Einwilligung pro Purpose
    • Consent Status für Rechtsgrundlage berechtigtes Interesse pro Purpose)
    • Consent Status für Rechtsgrundlage Einwilligung pro Vendor
    • Consent Status für Rechtsgrundlage berechtigtes Interesse pro Vendor
    • Consent Status für Special Features
    • Scope (global oder service-specific)
  • Informationen über die Vendoren, die die Nutzer Einwilligung erhalten haben und zu welchem Zweck

Weitere Infos für Publisher zum Thema: IAB (Seite 25).

Der  TC String wird…

  • im Local Storage auf dem Endgerät des Nutzers gespeichert, wenn der service-specific scope ausgewählt ist
  • nur im “euconsent-v2” Cookie auf der consensu.org  Domain gespeichert, wenn der globale scope ausgewählt ist

Um der Dokumentationspflicht nachzukommen, wird der TC-String in beiden Fällen auch auf den Usercentrics-Servern gespeichert.  

⇨ Dies ermöglicht allen Beteiligten die Echtheit des TC Strings zu überprüfen.  

Dieser TC-String kann nur von einem IAB-zertifizierte Consent Management Plattform (CMP) erstellt werden!

Der Banner Text

Um die Anforderungen des IAB TCF 2.0 zu erfüllen, muss der Bannertext nun deutlich umfangreicher und spezifischer sein. Usercentrics stellt seinen Kunden eine vorgegebene Text-Version zur Verfügung, die allen Anforderungen aus den TCF-policies gerecht wird. 

Der Ablauf nach der Umstellung auf TCF 2.0:

Beim ersten Webseiten-Besuch nach der Umstellung auf TCF 2.0 wird allen Endnutzern ein neuer Banner gezeigt, um die Nutzer Präferenzen abzufragen.

Die CMP speichert die jeweiligen Nutzer Präferenzen bis zu 13 Monate lang. Danach werden sie erneut per Banner abgefragt.

Größere granulare Auswahl für Nutzer im First und Second Layer

Um den Vorgaben des IAB gerecht zu werden, muss der Banner sowohl auf der ersten Benutzerebene (First Layer) als auf auf der zweiten (Second Layer) bestimmten Kriterien gerecht werden:

⇨ First Layer: Die erste Benutzerebene dient dazu, dem Nutzer einen transparenten Überblick über die Nutzung seiner Daten für die verschiedenen Zwecke zu geben und seine Zustimmung bzw. den Widerruf abzufragen.

TCF Initial Layer - Usercentrics


⇨ Second Layer:
Auf der zweiten Benutzerebene muss dem Nutzer die Möglichkeit geben werden, weitere Informationen einzusehen und Opt-In-Entscheidungen auf einer detaillierte, granulare Weise zu treffen.

Purposes Tab:

TCF Secondary Layer - Purposes - Usercentrics


Vendors Tab:

TCF Secondary Layer - Vendors - Usercentrics

Die Datenverarbeitungszwecke

Beim TCF v1.1. wurden fünf verschiedene Datenverarbeitungszwecke (Processing Purposes) unterschieden. Beim TCF 2.0 wurden diese Zwecke (Purposes) auf zehn erweitert. So erhalten Nutzer detaillierte Optionen um fundiertere Entscheidungen darüber zu treffen, wie ihre Daten verwendet werden dürfen.

TCF 2.0 - New Purposes - Usercentrics

Special Purposes und Special Features – das ist neu:

⇨ Special Purposes: Beim TCF 2.0 gibt es nun zwei zusätzliche Verwendungszwecke, denen Nutzer u.a. aus Sicherheitsgründen nicht widersprechen können. Diese dienen zu Informationszwecken für den Endnutzer.

⇨ Special Features: Diese Features benötigen einen eigenen Opt-In. 

Dazu zählt zum Beispiel die Nutzung von Geolocation-Daten.

HINTERGRUNDWISSEN 

Vom TCF 1.0 zu TCF 2.0

Etwa einen Monat vor Inkrafttreten der DSGVO veröffentlichte das IAB im April 2018 sein Transparency Consent Framework (TCF) 1.0. Der Hintergrund: Das TCF 1.0 war eine Reaktion auf die neuen Anforderungen der DSGVO, die forderte, dass Ad Targeting Daten nur mit Nutzer Einwilligung verwendet werden dürfen. Da die Version 1.0 in einigen Schlüsselbereichen Mängel aufwies (beispielsweise die Vendoren zu stark bevorteilt waren und sich die größten Industry Player nicht angeschlossen hatten) wurde das Framework erneut überarbeitet und im August 2019 Version 2.0 veröffentlicht. Diese tritt nun ein Jahr später, im August 2020, in Kraft.

Die Vorteile des TCF 2.0

Mit dem TCF 2.0 erhalten Verbraucher nun mehr Transparenz und Kontrolle, ihre Einwilligung zu erteilen oder zu verweigern sowie das Widerspruchsrecht gegen die Verarbeitung ihrer persönlichen Daten auf der Grundlage des legitimen Interesses auszuüben. Den Publishern bietet das TCF 2.0 mehr Kontrolle und Flexibilität bei der Integration und Zusammenarbeit mit Technologiepartnern, da nun die Möglichkeit besteht, die Zwecke (Purposes), für die personenbezogene Daten verarbeitet werden, pro Anbieter einzuschränken.

Kurz & knapp

Die DSGVO verbietet die Erhebung von Daten ohne Rechtsgrundlage ⇨ Marketing ist nur mit Nutzer Einwilligung möglich

Das GDPR Transparency and Consent Framework (TCF) bietet einen technischen, branchenübergreifenden Standard zum Abrufen und Übertragen von Einwilligungssignalen eines Benutzers an Drittanbieter, die mit Publishern zusammenarbeiten, z. B. Google, Criteo, Quantcast, Taboola usw.

Wer weiterhin programmatische Werbung über Anbieter nutzen möchte, die dem Framework beigetreten sind, muss die Nutzer Einwilligung in Form einer TC-Zeichenfolge übermitteln. ⇨ Dieser TC String kann nur mit Hilfe einer IAB-zertifizierten Consent Management Platform (CMP) generiert werden!

FAZIT – Wie geht’s weiter?

Eines ist – vor allem nach der Ankündigung des Tech-Giganten Google das TCF 2.0 zu integrieren – klar: Das TCF 2.0 hat das Potenzial sich zum neuen Industriestandard zu entwickeln. Ob es sich allerdings wirklich durchsetzen wird, bleibt abzuwarten.
Publisher, die ihre Werbeeinahmen schützen wollen, sollten sich bereits heute auf alle Eventualitäten vorbereiten. Denn spätestens, wenn Vendoren die Übermittlung der Nutzer Einwilligung in Form eines TC Strings fordern, geht nichts mehr ohne eine IAB-zertifizierte CMP. 

Ähnliche Artikel

Südafrikas ‘Protection of Information Act’ (POPIA)

Südafrikas ‘Protection of Information Act’ (POPIA) – ein Überblick

POPIA ist das südafrikanische Datenschutzgesetz, das bereits fünf Jahre vor der DSGVO verfasst wurde. Wir untersuchen,...

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Chinas ‘Personal Information Protection Law’ (PIPL) – ein Überblick

Wir erläutern, was Chinas ‘Personal Information Protection Law’ für die Datenschutzrechte seiner Bürger bedeutet und...