TCF 2.0 – was Unternehmen jetzt beachten müssen
Wer das TCF verstehen will, wirft am besten einen kurzen Blick auf die aktuelle Gesetzeslage. Denn spätestens seit dem BGH-Urteil zur Cookie-Einwilligung vom 28. Mai 2020 zu ist klar: Wer Nutzerdaten für Marketingzwecke verwenden will, muss hierfür die aktive, informierte Einwilligung seiner Nutzer einholen – da eine Datenerhebung ohne entsprechende Rechtsgrundlage laut DSGVO rechtswidrig ist.
Hier kommt das TCF ins Spiel, denn der Branchenverband Interactive Advertising Bureau (IAB) bietet mit dem Framework einen branchenübergreifenden, technischen Standard zum Abrufen und Übertragen der Einwilligungssignale eines Nutzers zwischen Publishern und Drittanbietern, die sich dem Framework angeschlossen haben (wie etwa Google, Criteo, Quantcast oder Taboola) – und macht es somit erst möglich, in Zukunft überhaupt noch Marketing über diese Kanäle zu betreiben.
Von TCF 1.0 zu TCF 2.0 – ein Rückblick
Das TCF 2.0 ist bereits der zweite Anlauf des IAB, einen Standard zu etablieren, der es Publishern und Advertisern ermöglicht, auch in Zeiten der DSGVO weiterhin Marketing zu betreiben.
Den ersten Anlauf hierfür hatte der IAB bereits im April 2018 gestartet, als er das TCF 1.0 als Reaktion auf die neuen Privacy-Vorgaben der damals in Kraft getretenen DSGVO an den Start brachte. Weil Version 1.0 allerdings nach Meinung der Publisher deutlich die Vendoren bevorteilte, wurde es in der Branche nur zurückhaltend angenommen. Im September 2019 wurde dann die überarbeitete Version TCF 2.0 vorgestellt.
Der Grundsatz ist aber der gleiche geblieben: Hat sich ein Vendor beziehungsweise Drittanbieter dem Framework angeschlossen (alle Vendoren findet ihr auf der Global Vendor List (GVL) des IAB), kann er Daten nur verarbeiten, wenn der Publisher hierfür über eine Consent-Management-Platform (CMP) eine rechtsgültige Einwilligung eingeholt hat.
Der entscheidende Punkt hierbei: Publisher müssen dem jeweiligen Vendor die Existenz dieser Einwilligung „beweisen“ können. Und zwar nicht irgendwie, sondern in Form eines sogenannten TC-Strings, einer codierten Zeichenfolge, die nur von einer IAB-zertifizierten Consent-Management-Platform (CMP) erstellt und allen Parteien zur Verfügung gestellt werden kann.
Die CMP übernimmt hier also zweierlei Aufgaben: Zum einen dient sie als Tool, um im ersten Schritt über ein Privacy-Banner die Nutzerpräferenzen in Bezug auf die Einwilligung zur Nutzung ihrer personenbezogenen Daten abzufragen. Zum anderen erstellt sie aus diesen Informationen den TC-String – und dient so als Bindeglied zwischen allen Akteuren der Werbewertschöpfungskette.
Der TC-String wird auf dem Endgerät des Nutzers beispielsweise im localStorage und gegebenenfalls auch in Form eines Cookie auf der consensu.org-Domain gespeichert. Optional kann der TC-String zusätzlich auch auf den Servern des jeweiligen CMP-Anbieters gespeichert werden, um der Dokumentationspflicht entsprechend nachzukommen.
TCF 1.0 vs TCF 2.0 – die Unterschiede
Auf den ersten Blick ändert sich – zumindest aus Nutzersicht – nicht viel. Der erste Layer des Privacy-Banners ist weitestgehend gleich geblieben. Im zweiten Layer sieht das allerdings schon anders aus: Hier gibt das TCF 2.0. Publishern die Möglichkeit, ihre Nutzer im Detail darüber zu informieren, welche Drittanbieter ihre Daten in welchem Umfang und zu welchem Zweck verarbeiten. Nutzer können hier granular, also jeweils pro Drittanbieter, ihre Präferenzen äußern und individuelle Einstellungen in Form eines Opt-ins (etwa durch das Setzen eines Hakens) vornehmen.
Statt wie bisher alle einfach die Einwilligung zusammengefasst unter dem Stichwort „Marketing“ abzufragen, steht den Nutzern also nun eine weitaus granularere und deshalb deutlich transparentere Möglichkeit zur Verfügung, Privatsphäre-Einstellungen für jeden Drittanbieter einzeln vorzunehmen.
Wurden beim TCF v1.1. noch fünf verschiedene Datenverarbeitungszwecke (Processing Purposes) unterschieden, sind diese Zwecke beim TCF 2.0 auf zehn erweitert worden. So erhalten Nutzer detaillierte Optionen, um gut informiert ihre Entscheidung darüber zu treffen, wie ihre Daten verwendet werden dürfen.
Zudem gibt es beim TCF 2.0 nun zwei zusätzliche Verwendungszwecke, die allein zur Information dienen und denen Nutzer unter anderem aus Sicherheitsgründen nicht widersprechen können. Neu ist auch die Kategorie „Special Features“, die Features beinhaltet, für die ein eigener Opt-in benötigt wird, wie etwa für die Nutzung von Geolocation-Daten.
Die gute Nachricht: Was hier auf den ersten Blick vielleicht kompliziert klingt, kann in der Praxis mithilfe einer CMP völlig unkompliziert umgesetzt werden. Im Regelfall wird im User-Interface der CMP zunächst mit einem Klick die Funktion „TCF 2.0“ aktiviert, im zweiten Schritt werden die Vendoren, mit denen der jeweilige Publisher zusammenarbeitet, von der Global Vendor List (GVL) des IAB hinzugefügt und gegebenenfalls mit der bereits bestehenden Liste von Drittanbietern abgeglichen.
Publishern bietet das TCF 2.0 also mehr Kontrolle und Flexibilität bei der Integration und Zusammenarbeit mit Technologiepartnern. Denn sie haben nun die Möglichkeit, die Zwecke (Purposes), für die personenbezogene Daten verarbeitet werden, pro Anbieter einzuschränken.
Was sollten Unternehmen jetzt tun?
Publisher, die bereits eine TCF 1.1. konforme CMP im Einsatz haben, müssen sicherstellen, dass sie rechtzeitig vor dem 15. August auf TCF 2.0 umstellen, da Version 1.1. ab diesem Zeitpunkt nicht mehr unterstützt wird.
Publisher, die entweder überhaupt noch keine CMP oder keine TCF 2.0-konforme CMP implementiert haben, sollten sich zeitnah nach einem CMP-Anbieter mit IAB-TCF 2.0-Zertifizierung umsehen. Sämtliche CMP-Anbieter, die das TCF 2.0 unterstützen, sind auf der Website des IAB Europe aufgelistet. Weitere Infos für Publisher gibt das IAB hier.
Wie geht’s weiter?
Sicher ist: Das IAB TCF 2.0 hat definitiv das Potenzial, sich zum neuen Industriestandard zu entwickeln. Ob es sich allerdings langfristig etablieren wird, bleibt abzuwarten. Der Vorstoß von Google, TCF 2.0 zu integrieren, hat dem Framework auf jeden Fall gehörig Aufwind verschafft. Publisher, die ihre Werbeeinnahmen schützen wollen, sollten sich also für alle Eventualitäten wappnen. Denn sobald Vendoren beziehungsweise Drittanbieter, die sich dem TCF 2.0 angeschlossen haben, einen Nachweis der Nutzereinwilligung in Form eines TC Strings fordern, geht ohne eine IAB-zertifizierte CMP nichts mehr.