Alle Blogbeiträge

IAB Transparency and Consent Framework (TCF 2.0) | Integration und Konformität mit Cookiebot

Die Datenschutz-Grundverordnung (DSGVO) und die ePrivacy-Richtlinie (ePR) haben Auswirkungen darauf, wie Sie als Website-Eigentümer die Zustimmung Ihrer Nutzer aus der EU einholen müssen.

Aktualisiert am 28. Oktober 2020.

Das IAB Europe (Interactive Advertising Bureau) hat das DSGVO “Transparency and Consent Framework (TCF)” (dt. Rahmen für Transparenz und Zustimmung) geschaffen, um Herausgeber, Technologieanbieter und Werbetreibende dabei zu unterstützen, die DSGVO- und ePrivacy-Richtlinie der EU zu erfüllen.

Am 1. Mai 2020 startete das IAB sein “Transparency and Consent Framework” in der Version 2.0 (kurz: TCF 2.0) und die Cookiebot-Integration ist automatisch überführt worden.

In diesem Artikel werfen wir einen Blick darauf, worum es im IAB-Framework geht, was im TCF 2.0 neu ist und wie Cookiebot als Integration funktioniert.

Was ist neu im IAB-Framework 2.0 (TCF 2.0)?

Das TCF 2.0 des IAB erweitert die Möglichkeiten der Nutzer, ihre Zustimmung zu erteilen oder zu verweigern und Einwände gegen die Verarbeitung ihrer Daten zu erheben.

Die Einverständniserklärung ist für die Nutzer nun auch genauer, da sie mehr Kontrolle darüber erhalten, ob Anbieter ihre persönlichen Daten verwenden dürfen.

Eine weitere Neuerung im “Transparency and Consent Framework” (TCF 2.0) des IAB ist die Möglichkeit für Publisher, die Zwecke, für die Anbieter personenbezogene Daten auf ihren Websites verarbeiten, einzuschränken.

Lesen Sie hier mehr über das neue IAB TCF 2.0 (Link auf Englisch).

Haben Sie Zweifel, ob Ihre Website DSGVO-konform ist? Prüfen Sie es mit dem kostenlosen Compliance-Test von Cookiebot.

Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Cookiebot und das neue IAB Framework (TCF 2.0)

Am 1. Mai 2020 wurde die IAB-Integration von Cookiebot automatisch vom alten auf das neue IAB-Framework (TCF 2.0) umgestellt.

Als Cookiebot-Kunde brauchen Sie nichts zu tun – der Übergang zum neuen Framework des IAB (TCF 2.0) erfolgt vollautomatisch.

Ihre Benutzer werden automatisch um eine neue Zustimmung gebeten, wenn sie Ihre Website zum ersten Mal nach der Umstellung besuchen.

Die Integration von Cookiebot in das IAB Transparency and Consent Framework 2.0 wird als optionale Ergänzung des zentralen Zustimmungsrahmens in der Cookiebot-Lösung weitergeführt.

Logo banner powered by Cookiebot by Usercentrics
Cookiebot’s Zustimmungs-Banner mit der neuen IAB TCF 2.0-Integration.

Die Integration von Cookiebot besteht aus einem zusätzlichen Abschnitt im Zustimmungsbanner von Websites, die beim IAB registriert sind, wie oben abgebildet.

Der Abschnitt heißt “Anzeigeneinstellungen”, und von dort aus können Endbenutzer zwischen IAB-Zwecken und Anbietern wählen, bevor sie ihre Zustimmung einreichen.

Wir empfehlen, die Integration des IAB-Frameworks als Ergänzung und nicht als Ersatz für die reguläre Cookiebot-Lösung zu verwenden.

Dies deshalb, weil das Einverständnismodell des IAB dadurch funktioniert, dass es die Zustimmung des Nutzers an Werbeanbieter übermittelt, während das Einverständnismodell von Cookiebot durch Blockieren nicht zugelassener Anbieter funktioniert.

Dies ist ein wesentlicher Unterschied, denn nach der DSGVO ist es der Publisher (d.h. Sie, der Website-Eigentümer), der für das gesamte Tracking und die Datensammlung auf seiner Domain – auch durch Dritte – verantwortlich ist.

Cookiebot eliminiert die Abhängigkeit vom guten Willen der Anbieter und gibt dem Website-Eigentümer tatsächliche Kontrolle. Durch die Verwendung von Cookiebot als Integration in das IAB-Framework (TCF 2.0) stellen Sie für sich echte DSGVO-Konformität sicher.

Um sicherzustellen, dass die Zustimmung der Benutzer von den Werbeanbietern respektiert wird, überwacht die Scan-Technologie von Cookiebot alle Cookies und ähnliche Tracker, die von den Anbietern auf der Website verwendet werden, und markiert sie im Scan-Bericht als nicht einvernehmlich.

Lesen Sie unseren technischen Support-Artikel auf Englisch hier, wenn Sie mehr über die Implementierung und technische Details des IAB-Frameworks (TCF 2.0) und Cookiebot erfahren möchten.

Cookiebot unterstützt ebenso das “IAB CCPA Compliance Framework”Lesen Sie hier mehr darüber (Link auf Englisch).

Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Cookiebot’s unübertroffene Scan-Technologie

Cookiebot ist eine der wenigen vollständig konformen Consent Management-Plattformen auf dem Markt.

Die unübertroffene Scan-Technologie von Cookiebot findet alle Cookies und Tracker und übernimmt dann die automatische Kontrolle, bis die Benutzer ihre Zustimmung gegeben haben, wodurch eine echte Einhaltung der Europäischen Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Richtlinie ermöglicht wird.

Cookiebot führt monatlich Tiefenscans Ihrer Domain durch, um sicherzustellen, dass Sie immer wissen, welche Tracker und Trojaner Dritter auf Ihrer Website geladen werden.

Werfen Sie hier einen Blick auf die alarmierenden Fakten zum Website-Tracking.

Cookiebot präsentiert Ihren Benutzern dann eine echte Wahl der Zustimmung durch unseren Zustimmungsbanner.

Logo banner powered by Cookiebot by Usercentrics
Cookiebot’s Standard-Cookie-Banner für vollständige DSGVO/ePR-Konformität.

Ihr Scan-Bericht kann als Cookie-Erklärung auf Ihrer Website veröffentlicht werden, z.B. als integrierter Teil der Datenschutzerklärung Ihrer Website oder der Cookie-Richtlinie.

Die Zustimmung muss jährlich erneuert werden. Einige nationale Datenschutzrichtlinien empfehlen jedoch eine häufigere Erneuerung, z.B. 6 Monate. Prüfen Sie Ihre lokalen Datenschutzrichtlinien auf Einhaltung.

Die Nutzer können ihren Einwilligungsstatus jederzeit leicht ändern.

Die Verwendung von Cookiebot ist kostenlos, wenn Sie weniger als 50 Unterseiten (eindeutige URLs) haben.

Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Was ist das IAB-Framework und wie erfüllt es die DSGVO-Anforderungen?

IAB Europe, das Interactive Advertising Bureau, ist eine Organisation für Online-Marketing und Werbetreibende, welche Industriestandards und bewährte Vorgehensweisen entwickelt und regelt, Recherchen durchführt und juristische Unterstützung für ihre Mitglieder bietet.

In Vorbereitung auf die Durchsetzung des EU-Datenschutzrechts, der Datenschutz-Grundverordnung (DSGVO) vom Mai 2018, entwickelte das IAB Tech Lab in Zusammenarbeit mit dem IAB Europe ein Framework (dt. Rahmenkonzept).

Das Framework heißt IAB Europe Transparency & Consent Framework.

Es wurde geschaffen, um eine gemeinsame Grundlage für die Zusammenarbeit zwischen Publishern, Werbetreibenden und Anbietern von Zustimmungsmanagement zu schaffen, die dazu beitragen soll, den Konformitätsprozess der DSGVO zu erleichtern.

Das Framework funktioniert insbesondere als standardisiertes Mittel zur Status-Kommunikation der Benutzerzustimmung zwischen ersten Parteien, wie etwa Publishern, Dritten, wie zum Beispiel Werbetreibenden, und dem Consent Management System, das auf der Website der ersten Partei verwendet wird.

Was sind die DSGVO-Anforderungen und was bedeuten sie für Werbetreibende?

Die Datenschutz-Grundverordnung (DSGVO) legt strenge Anforderungen fest, wie personenbezogene Daten aufgezeichnet, gespeichert, genutzt und weitergegeben werden dürfen.

DSGVO-Anforderungen an konforme Zustimmung 

Damit Ihr Einwilligungsmanagement den Vorgaben entspricht, muss es…

  • informieren: Welche Daten werden verarbeitet und zu welchem Zweck? Es muss für den Benutzer klar sein, wofür die Einwilligung erteilt wird.
  • auf einer echten Wahl basieren: Der Benutzer darf nicht gezwungen werden, die Cookies zu akzeptieren.
  • durch eine bejahende und eindeutige Handlung erteilt werden.
  • gegeben werden, bevor die erste Datenverarbeitung stattfindet.
  • Zurückziehbar sein: Es muss für den Nutzer so einfach sein, die Einwilligung wieder zu widerrufen, wie er sie von vornherein gegeben hat.

Darüber hinaus,

  • hat der Nutzer das Recht darauf, vergessen zu werden. Auf Verlangen des Benutzers müssen alle seine persönlichen Daten ordnungsgemäß gelöscht werden.
  • müssen alle Einverständniserklärungen als Dokumentation darüber festgehalten werden, dass die Zustimmung erteilt wurde.

Mit der DSGVO dürfen Unternehmen, Organisationen und Websites die Daten ihrer Nutzer nur dann verarbeiten, wenn sie ausdrücklich dazu berechtigt worden sind oder wenn der Zweck unter eine der sechs Bedingungen für die Rechtmäßigkeit der Verarbeitung von Daten fällt.

Die DSGVO ist extrem weitreichend, sowohl geografisch und in ihrem Umfang als auch in der Strafhärte.

Geografisch gesehen, weil es nicht nur alle Organisationen umfasst, die innerhalb der EU-Staaten tätig sind, sondern auch alle Organisationen außerhalb der EU, die EU-Bürger als Nutzer haben.

Im Umfang, weil sie eine breite Definition von personenbezogenen Daten mit sich bringt.

Personenbezogene Daten in der DSGVO beziehen sich nicht nur auf personenbezogene Daten wie ein Name oder eine Identifikationsnummer, sondern auch auf Daten, die herausgegriffen oder mit anderen Daten verknüpft werden können, um eine konkrete Person zu identifizieren.

Zum Beispiel, Standortdaten kombiniert mit Daten über persönliche oder berufliche Interessen, oder Daten in Bezug auf die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität eines Individuums.

Diese breite Definition bedeutet in der Praxis, dass solche Marketing-Cookies und alle anderen Arten von Tracking der DSGVO unterliegen, die Daten erfassen, speichern oder z.B. das Verhalten und die Präferenzen von Nutzern weitergeben.

Dies betrifft praktisch die gesamte Branche von Online-Werbetreibenden, sowie alle an diesem Ökosystem Beteiligten, darunter auch große Publisher im Internet, die Werbenetzwerke als wichtige Einnahmequelle nutzen.

In Bezug auf die Strafhärte weist die DSGVO ebenso klare Linien auf, weil die Geldstrafen für die Nichteinhaltung sehr hoch sind: 4% des globalen Jahresumsatzes oder pauschal bis zu 20 Millionen Euro, je nachdem, welcher Betrag höher ist.

Was ist der Zweck des IAB Framework?

Der Zweck des IAB Framework besteht darin, eine standardisierte Zusammenarbeit zwischen Online-Publishern, Anbietern bzw. Werbetreibenden und den Tech-Unternehmen, die das Zustimmungsmanagement anbieten, zu schaffen, wenn es um die Erfüllung der DSGVO-Anforderungen hinsichtlich Transparenz und Benutzereinwilligung geht.

Innerhalb des Frameworks werden diese drei Gruppen “Publisher”, “Anbieter” und “CMPs” (Consent Management Provider – dt. Zustimmungsmanagement-Anbieter) genannt.

Was sind Publisher, Anbieter und CMPs im IAB-Framework und welche Beziehung besteht zwischen ihnen?

  • Publisher im IAB Framework sind digitale Medien, die Inhalte im Internet veröffentlichen. Im Allgemeinen repräsentieren die Publisher die erste Partei: d.h. die Website, zu der der Benutzer Zugang gesucht hat. In der digitalen Werbeindustrie sind Publisher oft darauf angewiesen, auf ihren Websites Werbung von Dritten anzuzeigen, um Aufrufe zu monetarisieren. Dies wird normalerweise mithilfe eines Werbenetzwerks gelöst, das relevante Anzeigen an die Nutzer leitet, die auf den Inhalt des Publishers zugreifen. Im Rahmen des IAB-Frameworks werden Werbenetzwerke und Werbetreibende als “Anbieter” bezeichnet.
  • Anbieter im IAB-Framework sind die Drittanbieter-Werbetreibenden, mit denen der Publisher Partnerschaften geschlossen hat. Die Anbieter zeigen Inhalte von Drittanbietern auf der Website des Publishers an. Sie setzen Marketing-Cookies im Browser des Endbenutzers, um relevante Anzeigen für potenzielle Kunden anzuzeigen.
  • Consent-Management-Provider (CMPs) liefern die Technologie, die die Zustimmung des Nutzers zur Verarbeitung von Daten auf der Website des Publishers ermöglicht. Im IAB-Framework übermitteln sie die Zustimmungseinstellungen der Endnutzer an die auf der aktuellen Website tätigen Anbieter.

Wie funktioniert das IAB-Framework?

In der Praxis fungiert das IAB-Framework als ein System zur  Status-Kommunikation der Benutzerzustimmung zwischen ersten Parteien (d.h. Publishern), dritten Parteien (d.h. Anbietern bzw. Werbetreibenden) und dem auf der Website der ersten Partei verwendeten Consent-Management-Provider (CMP).

Im IAB-Framework wählen Publisher ihre bevorzugten Anbieter aus einer Liste von Anbietern aus, die sich im Framework angemeldet haben.

Diese Liste heißt “Global Vendor List” (dt. Globale Anbieter Liste) oder “GVL”.

Um am Framework teilnehmen zu können, hat der Anbieter einer Reihe von Bedingungen zugestimmt, wie…

  • der Aktualisierung ihres Codes, so dass Cookies nur dann gesetzt werden, wenn sie ein Zustimmungssignal von einem CMP erhalten haben oder wenn sie eine anwendbare Rechtsgrundlage für das Setzen eines Cookies haben.
  • dass keine Verarbeitung personenbezogener Daten für einen Zweck stattfindet, der auf einer Einwilligung beruht, bis sie ein Zustimmungssignal direkt von einem CMP oder in einer bestimmten Online-Anfrage zu diesem Zweck erhalten haben.

Daher kann man sich die Global Vendor List als eine Art Registrierung von “whitelisted”-Anbietern vorstellen, die sich an die Regeln des Frameworks gehalten haben.

Wenn sich ein Publisher im IAB-Framework anmeldet, wählt er einen oder mehrere Anbieter aus der GVL aus, mit denen er zusammenarbeiten möchte.

Der Zustimmungsstatus des Benutzers wird in einem Erstpartei-Cookie im Browser des Benutzers gespeichert und in der Werbeinformationskette im IAB-Framework freigegeben.

Sobald der Benutzer seine Auswahl getroffen hat, haben diese Anbieter (und nicht andere) Zugriff auf die Verarbeitung der Benutzerdaten für die relevanten Zwecke.

Cookiebot für DSGVO & CCPA-Konformität durch IAB

Durch die Verwendung von Cookiebot als Consent Management-Plattform für Ihre Website können Sie sicherstellen, dass sowohl die europäische DSGVO als auch der kalifornische CCPA eingehalten werden.

Mit der Cookiebot-Integration des IAB-Frameworks (TCF 2.0) stellen Werbetreibende und Publisher außerdem eine konforme Datenerfassung und -verarbeitung in allen Bereichen sicher.

Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

FAQ

Was ist das IAB-Framework für Transparenz und Zustimmung?

Das IAB Transparency and Consent Framework ist ein standardisiertes Mittel für Online-Werbetreibende und Vermarkter, um den Stand der Einwilligung des Nutzers zwischen Erstanbietern, Dritten und dem Consent Management-System, das auf der Website des Nutzers verwendet wird, zu kommunizieren.

Cookiebot’s IAB TCF-Integration kostenlos ausprobieren

Wie funktioniert das IAB TCF?

Das IAB Transparency and Consent Framework arbeitet als ein System zur Kommunikation des Standes der Zustimmung der Nutzer zwischen der ersten Partei (d.h. den Herausgebern), Dritten (d.h. den Werbetreibenden) und der auf der Website der ersten Partei verwendeten Consent Management Plattform. Die Herausgeber wählen die Anbieter ihrer Wahl aus einer Liste von Anbietern aus, die sich für das Framework angemeldet haben. Wenn sich ein Herausgeber für das IAB-Framework anmeldet, wählt er einen oder mehrere Anbieter aus der globalen Anbieterliste aus. Der Zustimmungsstatus des Nutzers wird in einem First-Party-Cookie im Browser des Nutzers gespeichert und in der Anzeigenkette der Informationen im IAB-Framework weitergegeben.

Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Was ist neu im IAB TCF 2.0?

Das IAB Transparency and Consent Framework 2.0 erweitert die Möglichkeiten für Nutzer, ihre Einwilligung zu erteilen, zu verweigern oder zu widerrufen und der Verarbeitung ihrer Daten zu widersprechen. Nutzer können kontrollieren, ob Anbieter ihre personenbezogenen Daten verwenden dürfen, und Herausgeber können die Zwecke einschränken, für die Anbieter personenbezogene Daten auf den Websites der Herausgeber verarbeiten.

Testen Sie Cookiebot 30 Tage lang kostenlos… oder für immer, wenn Sie eine kleine Website haben.

Wie lässt sich Cookiebot mit dem IAB TCF 2.0 integrieren?

Cookiebot integriert sich in das IAB Transparency and Consent Framework 2.0 durch ein zusätzliches Panel im Einwilligungsbanner von Websites, die beim IAB registriert sind. In den Anzeigeneinstellungen können Nutzer zwischen IAB-Zwecken und Anbietern wählen, bevor sie ihre Zustimmung erteilen.

Erfahren Sie mehr über Cookiebot und probieren Sie es 30 Tage lang kostenlos aus.

Ressourcen

Pressemitteilung des IAB zum Update des Frameworks (in Englisch)

ClearCode: How the IAB’s GDPR Transparency and Consent Framework Works From a Technical Perspective (in Englisch)

Digiday.com: IAB Europe’s GDPR guidelines, explained (in Englisch)

IAB Europe: Transparency & Consent Framework specification launches global as industry participation increases (in Englisch)

IAB Tech Lab: GDPR TRANSPARENCY AND CONSENT FRAMEWORK (in Englisch)

IAB Tech Lab: Proposal for data transparency framework and automation standards across the data supply-chain (in Englisch)

Allgemeine Datenschutz-Grundverordnung (DSGVO)

Informationen zur DSGVO im Überblick