IAB Transparency and Consent Framework (TCF v2.2)

Warum hat das IAB Änderungen am Transparency and Consent Framework vorgenommen?

Am 2. Februar 2022 stellte die belgische Datenschutzbehörde fest, dass das Transparency and Consent Framework (TCF) des IAB mehrere Bestimmungen der Datenschutz-Grundverordnung nicht einhält. Die belgische Datenschutzbehörde forderte das IAB deshalb auf, einen Aktionsplan zur Umsetzung von Abhilfemaßnahmen vorzulegen, um die Verstöße zu beheben und das TCF in Einklang mit der DSGVO zu bringen.

Als Reaktion auf das Feedback im Markt sowie auf die sich entwickelnde Rechtsprechung und die Leitlinien verschiedener nationaler Datenschutzbehörden hat das IAB TCF v2.2 eingeführt. Das neue Framework zielt darauf ab, die Standardisierung der Informationen, die den Nutzern präsentiert werden, zu verbessern und ihnen mehr Kontrolle darüber zu geben, wie ihre personenbezogenen Daten verarbeitet werden.

TCF v2.2 enthält einige der Maßnahmen im Zusammenhang mit dem Aktionsplan, den das IAB bei der belgischen Datenschutzbehörde eingereicht hat.

Was hat sich mit IAB Transparency and Consent Framework v2.2 (TCF v2.2) geändert?

TCF v2.2 ist ein bedeutendes Update der Vorgängerversion. Die Änderungen zielen darauf ab, die Transparenz zu erhöhen und den Nutzern mehr Kontrolle über ihre Einwilligungsentscheidungen zu geben.

Abschaffung des berechtigten Interesses

TCF v2.2 erlaubt nicht mehr das berechtigte Interesse als Rechtsgrundlage für die Datenverarbeitung im Zusammenhang mit Werbung und personalisiertem Content. Vendors können jetzt nur noch die ausdrückliche Einwilligung als akzeptable Rechtsgrundlage für diese Zwecke wählen.

Verbessertes User Interface (UI)

Die im User Interface der Consent Management Platform (CMP) erforderlichen Informationen wurden verbessert und umfassen nun benutzerfreundliche Standardtexte, neue Verarbeitungsfunktionen und reale Anwendungsfälle, damit die Nutzer leichter verstehen, wozu sie ihre Einwilligung erteilen und welche Optionen sie haben.

Leichterer Widerruf der Einwilligung

Nutzer können nun ihre Meinung über die Weitergabe ihrer Daten an Vendors ändern und müssen in der Lage sein, das User Interface der CMP jederzeit erneut aufzurufen, um ihre Einwilligung zu ändern oder zu widerrufen. Das Verfahren zum Widerruf der Einwilligung muss genauso einfach sein wie das Verfahren zur Erteilung der Einwilligung. In der Praxis bedeutet dies, dass das User Interface der CMP für die Nutzer leicht zugänglich sein muss und nicht auf der Website oder in der App versteckt sein darf, wo die Nutzer sie mühsam suchen müssen.

Mehr Transparenz bei den Vendors

Detaillierte Angaben über Vendors zu Datenkategorien und Aufbewahrungsfristen sind unter TCF v2.2 standardisiert und müssen den Nutzern im/in den sekundären Layer(n) des CMP User Interfaces zur Verfügung gestellt werden.

Verbesserte Compliance-Programme

Es werden neue Audit-Mechanismen und differenzierte Durchsetzungsverfahren eingeführt, einschließlich proaktiver Audits bei einer größeren Anzahl zufällig ausgewählter CMPs und Vendors pro Monat.

Erfahren Sie hier mehr über TCF v2.2. Weitere Informationen über die technischen Änderungen in TCF v2.2 finden Sie auf der IAB Tech Lab Website.
Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Testen Sie Ihre Website mit dem kostenlosen Cookiebot CMP Compliance-Check.

Die Cookiebot CMP und das neue IAB Framework (TCF v2.2)

CMPs müssen die neuen Richtlinien und speziellen Angaben von TCF v2.2 bis zum 20. November 2023 umsetzen. Die IAB-Integration der Cookiebot CMP unterstützt das neue IAB Framework (TCF v2.2).

Die Cookiebot CMP bietet weiterhin die Integration von IAB Transparency and Consent Framework v2.2 als optionale Ergänzung zum zentralen Consent Framework der Cookiebot CMP-Lösung.

Wie oben abgebildet, besteht die Cookiebot CMP-Integration aus einem zusätzlichen Panel im Consent-Banner von Websites, die beim IAB registriert sind.

Das Panel heißt „Ad Settings“, und dort können die Endnutzer zwischen IAB Purposes und Vendors wählen, bevor sie ihre Einwilligung erteilen.

Wir empfehlen, die IAB Framework-Integration als Ergänzung und nicht als Ersatz für die reguläre Cookiebot CMP-Lösung zu verwenden.

Denn das Consent-Modell des IAB funktioniert über die Signalisierung der Einwilligung des Nutzers an die Advertising Vendors, während das Consent-Modell der Cookiebot CMP über die Blockierung von nicht-eingewilligten Vendors funktioniert.

Dies ist ein entscheidender Unterschied, denn laut der DSGVO ist der Publisher (d.h. Sie, der Inhaber der Website) für das Tracking und die Erfassung personenbezogener Daten verantwortlich, die auf seiner Domain stattfinden – auch durch Dritte.

Die Cookiebot CMP beseitigt die Abhängigkeit von der Gutgläubigkeit der Vendors und gibt dem Website-Betreiber die echte Kontrolle. Indem Sie die Cookiebot CMP als Integration in das IAB Framework (TCF v2.2) nutzen, stellen Sie die Einhaltung der DSGVO für Ihr Unternehmen sicher.

Um sicherzustellen, dass die Einwilligung der Nutzer von den Advertising Vendors beachtet wird, überwacht die patentierte Scan-Technologie der Cookiebot CMP alle Cookies und ähnliche Tracker, die von den Vendors auf der Website verwendet werden, und kennzeichnet sie im Scan-Bericht als nicht einvernehmlich.

Lesen Sie unseren technischen Support-Artikel hier, wenn Sie mehr über die Implementierung und die technischen Details des IAB Frameworks (TCF v2.2) und der Cookiebot CMP erfahren möchten.

Die Cookiebot CMP unterstützt auch das IAB CCPA Compliance Framework. Erfahren Sie hier mehr.

Die unübertroffene Scan-Technologie der Cookiebot CMP

Die Cookiebot CMP ist eine der wenigen Consent Management Platforms auf dem Markt, die vollständig datenschutzkonform sind.

Die unübertroffene Scan-Technologie der Cookiebot CMP identifiziert alle Cookies und Tracker und übernimmt dann automatisch die Kontrolle, bis die Nutzer ihre Einwilligung erteilt haben, was die Einhaltung der DSGVO und der ePrivacy-Richtlinie der EU ermöglicht.

Die Cookiebot CMP führt monatliche Tiefen-Scans Ihrer Domain durch, um sicherzustellen, dass Sie stets Bescheid wissen, welche Third-Party-Tracking-Technologien und -Trojaner auf Ihrer Website geladen werden.

Werfen Sie einen Blick auf die alarmierenden Fakten über Website-Tracking hier.

Die Cookiebot CMP bietet Ihren Nutzern dann eine echte Wahlmöglichkeit mit unserem Consent-Banner.

Ihr Scan-Bericht kann als Cookie-Erklärung auf Ihrer Website veröffentlicht werden, z. B. als integrierter Bestandteil der Datenschutz- oder Cookie-Richtlinie Ihrer Website.

Die Einwilligung muss jährlich erneuert werden. Einige nationale Datenschutzleitlinien empfehlen jedoch eine häufigere Erneuerung, z. B. alle 6 Monate. Prüfen Sie daher Ihre lokalen Datenschutzleitlinien.

Was ist das IAB Framework und inwiefern erfüllt es die Anforderungen der DSGVO?

Das IAB Europe (Interactive Advertising Bureau) ist eine Organisation für Online-Advertiser und -Marketer, die Branchenstandards und Best Practices entwickelt und regelt, Forschung betreibt und rechtliche Unterstützung bietet.

In Vorbereitung auf die Durchsetzung des EU-Gesetzes zum Datenschutz, der Datenschutz-Grundverordnung (DSGVO) im Mai 2018, hat das IAB Tech Lab in Zusammenarbeit mit dem IAB Europe ein Framework entwickelt.

Das Framework trägt den Namen „IAB Europe Transparency & Consent Framework“.

Das IAB Framework schafft eine gemeinsame Basis für die Zusammenarbeit zwischen Publishern, Advertisern und Consent Management Providers, die dazu beitragen kann, den Prozess der Erfüllung der DSGVO-Anforderungen zu vereinfachen.

Das Framework dient vor allem als standardisiertes Mittel für die Übermittlung des Einwilligungsstatus der Nutzer zwischen ersten Parteien wie Publishern, dritten Parteien wie Advertisern und dem auf der Website der ersten Partei verwendeten Consent Management-System.

Was sind die Anforderungen der DSGVO und was bedeuten sie für Advertiser?

Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an die Erfassung, Speicherung, Nutzung und Weitergabe personenbezogener Daten.

DSGVO-Anforderungen an eine datenschutzkonforme Einwilligung

Damit Ihr Consent Management datenschutzkonform ist, muss die Einwilligung…

• Informiert erteilt werden: Welche Daten werden verarbeitet und zu welchem Zweck? Es muss für den Nutzer klar sein, wozu die Einwilligung erteilt wird.
• Auf einer echten Wahl beruhen: Der Nutzer darf nicht dazu gezwungen werden, die Cookies zu akzeptieren.
• Durch eine bestätigende und unmissverständliche Handlung erteilt werden.
• Vor der Datenverarbeitung erteilt werden.
• Widerrufbar sein: Es muss für den Nutzer genauso einfach sein, die Einwilligung zu widerrufen, wie es für ihn war, sie zu erteilen.

Außerdem…

• Hat der Nutzer das Recht darauf, vergessen zu werden. Auf Verlangen des Nutzers müssen alle seine personenbezogenen Daten ordnungsgemäß gelöscht werden.
• Müssen alle erteilten Einwilligungen aufgezeichnet werden, um zu dokumentieren, dass die Einwilligung erteilt wurde.

Mit der DSGVO dürfen Unternehmen, Organisationen und Websites die Daten ihrer Nutzer nur dann verarbeiten, wenn sie deren ausdrückliche Einwilligung dazu haben oder wenn der Zweck unter eine der anderen Kategorien der sechs rechtmäßigen Gründe für die Datenverarbeitung fällt.

Die DSGVO ist sowohl in geografischer Hinsicht als auch in Bezug auf ihren Geltungsbereich und ihre Schwere extrem weitreichend.

Geografisch, weil sie nicht nur für alle Organisationen gilt, die innerhalb der EU tätig sind, sondern auch für alle Organisationen außerhalb der EU, die EU-Bürger als Nutzer haben.

In Bezug auf den Geltungsbereich, weil die Definition von personenbezogenen Daten sehr weit gefasst ist.

Personenbezogene Daten im Sinne der DSGVO sind nicht nur Daten, die sich direkt auf eine Person beziehen, wie etwa ein Name oder eine Identifikationsnummer, sondern auch Daten, die herausgegriffen oder mit anderen Daten verbunden werden können, um eine konkrete Person zu identifizieren.

Dazu gehören beispielsweise Standortdaten in Verbindung mit Daten über persönliche oder berufliche Interessen oder Daten über die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität einer Person.

Diese weit gefasste Definition bedeutet in der Praxis, dass Marketing-Cookies und alle anderen Arten von Tracking, die z. B. das Verhalten und die Präferenzen der Nutzer aufzeichnen, speichern oder weitergeben, unter die DSGVO fallen.

Dies betrifft praktisch die gesamte Branche der Online-Advertiser und -Marketer sowie alle in diesem Ökosystem Beteiligten, einschließlich Publisher im Internet, die Werbenetzwerke als wichtige Einnahmequelle nutzen.

Die Strafen für die Nichteinhaltung sind sehr hoch: 4% des weltweiten Jahresumsatzes oder 20 Mio. EUR – je nachdem, welcher Betrag höher ist.

Was ist der Zweck des IAB Frameworks?

Der Zweck des IAB Frameworks ist es, eine standardisierte Zusammenarbeit zwischen Online-Publishern, Advertisern und den Technologieunternehmen, die das Consent Management bereitstellen, zu schaffen, wenn es darum geht, die DSGVO-Anforderungen an Transparenz und die Nutzereinwilligung zu erfüllen.

Innerhalb des Frameworks werden diese drei Gruppen als „Publisher“, „Vendors“ und „CMP’s“ (Consent Management Providers) bezeichnet.

Was sind Publisher, Vendors und CMP’s im IAB Framework und in welchem Verhältnis stehen sie zueinander?

• Publisher im IAB Framework sind digitale Medien, die Content im Internet veröffentlichen. Im Allgemeinen stellen die Publisher die erste Partei dar, d.h. die Website, zu der der Nutzer Zugang gesucht hat. In der digitalen Werbebranche sind die Publisher oft darauf angewiesen, auf ihren Websites Werbung von Dritten anzuzeigen, um die Aufrufe zu monetarisieren. Dies wird in der Regel durch den Einsatz eines Werbenetzwerks gelöst, das relevante Werbung an die Nutzer weiterleitet, die auf den Content der Publisher zugreifen. Im Zusammenhang mit dem IAB Framework werden Werbenetzwerke und Advertiser als „Vendors“ bezeichnet.
• Vendors im IAB Framework sind die Drittanbieter, mit denen der Publisher eine Partnerschaft eingegangen ist. Die Vendors zeigen Inhalte Dritter auf der Website des Publishers an. Sie sind es, die Marketing-Cookies im Browser des Endnutzers setzen, um potenziellen Kunden relevante Werbung anzuzeigen.
• Consent Management Providers (CMP) liefern die Technologie, die die Einwilligung der Nutzer zur Datenverarbeitung auf der Website der Publisher ermöglicht. Im IAB Framework signalisieren sie den Vendors, die auf der aktuellen Website tätig sind, die Einwilligungseinstellungen der Endnutzer.

Wie funktioniert das IAB Framework?

In der Praxis funktioniert das IAB Framework als System für die Kommunikation des Einwilligungsstatus der Nutzer zwischen den ersten Parteien (d. h. den Publishern), den Dritten (d. h. den Advertisern) und dem Consent Management Provider, der auf der Website der ersten Partei verwendet wird.

Im IAB Framework wählen die Publisher die Vendors ihrer Wahl aus einer Liste von Vendors aus, die sich für das Framework angemeldet haben.

Diese Liste wird als Global Vendor List oder „GVL“ bezeichnet.

Um am Framework teilnehmen zu können, muss der Vendor einer Reihe von Bedingungen zustimmen, wie z. B.

• Der Aktualisierung des Codes, sodass keine Cookies gesetzt werden, es sei denn, sie haben ein Einwilligungssignal von einer CMP erhalten oder verfügen über eine anwendbare Rechtsgrundlage für das Setzen von Cookies.
• Personenbezogene Daten nicht für einen Zweck zu verarbeiten, der von einer Einwilligung abhängt, bis sie ein Einwilligungssignal direkt von einer CMP oder in einer bestimmten Online-Anfrage für diesen Zweck erhalten haben.

Die Global Vendor List kann also als eine Art Register von Vendors angesehen werden, die auf einer „Whitelist“ stehen und sich an die Regeln des Frameworks gehalten haben.

Wenn sich ein Publisher für das IAB Framework anmeldet, wählt er einen oder mehrere Vendors aus der Global Vendor List aus, mit denen er zusammenarbeiten möchte.

Der Einwilligungsstatus des Nutzers wird in einem First-Party-Cookie im Browser des Nutzers gespeichert und in der Informationskette des IAB Frameworks weitergegeben.

Sobald der Nutzer seine Auswahl getroffen hat, haben diese Vendors (und nicht andere) Zugang zur Verarbeitung der Nutzerdaten für die entsprechenden Zwecke.

Die Cookiebot CMP – DSGVO- und CCPA-Konformität mit dem IAB

Durch den Einsatz der Cookiebot CMP als Consent Management Platform für Ihre Website können Sie die Einhaltung der DSGVO (EU) und des CCPA (Kalifornien) sicherstellen.

Mit der Integration der Cookiebot CMP in das IAB Framework (TCF v2.2) stellen Advertiser und Publisher außerdem sicher, dass die Datenerfassung und -verarbeitung durchgängig datenschutzkonform ist.

FAQ

Ressourcen

Pressemitteilung des IAB zum Update des Frameworks (in Englisch)

ClearCode: How the IAB’s GDPR Transparency and Consent Framework Works From a Technical Perspective (in Englisch)

Digiday.com: IAB Europe’s GDPR guidelines, explained (in Englisch)

IAB Europe: Transparency & Consent Framework specification launches global as industry participation increases (in Englisch)

IAB Tech Lab: GDPR TRANSPARENCY AND CONSENT FRAMEWORK (in Englisch)

IAB Tech Lab: Proposal for data transparency framework and automation standards across the data supply-chain (in Englisch)

Allgemeine Datenschutz-Grundverordnung (DSGVO)

Informationen zur DSGVO im Überblick