Geschrieben von

Transparency and Consent Framework (TCF)

22. September 2021 Webtracking

IAB, IAB Tech Lab und TCF

IAB steht für “Interactive Advertising Bureau” und ist ein internationaler Verband für Themen rund um Online-Werbung. Hauptaufgabe des Verbands ist die Vertretung der Interessen von digitalen Medien- und Werbeunternehmen. Zudem setzt sich das IAB für Standardisierungen zur Verbesserung der Online-Werbung ein. Für den europäischen Markt ist das IAB Europe zuständig. Diese setzt sich stark dafür ein, die digitale Werbebranche weiterzuentwickeln, zu fördern und den Wert des digitalen Ökosystems für die EU-Wirtschaft klar zu machen.

Als sich die DSGVO (Datenschutzgrundverordnung) ankündigte, gründete die IAB Europe die GIG (GDPR Implementation Working Group). Bei der GIG handelt es sich um eine Gruppe, die sich aus Mitgliedern der Supply- und Demand-Seite des Online-Werbesystems zusammensetzt. Deren Ziel war es, Unternehmen beim Verständnis der DSGVO – und was das für die Praxis heißt – zu helfen. Als die DSGVO am 25. Mai 2018 in Kraft trat, waren viele Unternehmen, die die IAB vertritt, betroffen. Für AdTech- und MarTech-Unternehmen waren dabei die wichtigsten Änderungen:

  • IP-Adressen, Device IDs, Geo-Daten und Cookies werden als persönliche Daten angesehen. Das hat Auswirkungen wie Unternehmen diese Daten erheben dürfen.
  • Damit Daten gesammelt werden können, muss das Einverständnis des Nutzers eingeholt werden. Der Consent muss dabei aktiv vom Nutzer gegeben werden. Sprich: Bei Consent-Boxen dürfen die Häkchen nicht vorausgewählt sein. Der Nutzer muss sie aktiv setzen, dem Consent zustimmen und die Unternehmen müssen diesen Consent auch nachweisen können.
  • Falls die Daten für mehrere Zwecke erhoben werden, dann müssen Unternehmen auch den Consent für jeden Zweck einzeln erheben.

Man hat dabei erkannt, dass die DSGVO nicht nur eine rechtliche und organisatorische Herausforderung im Unternehmen darstellt, sondern auch eine technische. Dabei entstand die “GDPR Technical Working Group” – IAB Tech Lab.

Das IAB Tech Lab arbeitete an einem technischen Rahmenwerk, welches alle Aspekte der DSGVO abdecken soll und an der sich alle Beteiligten orientieren können. Ergebnis: Das IAB Europe Transparency & Consent Framework (TCF).

Was ist das Transparency and Consent Framework (TCF)?

TCF ist also ein standardisiertes Rahmenwerk für die Online-Werbeindustrie, mit der die Einwilligung von Nutzern für das Ausspielen von Werbung im AdTech-Ökosystem kommuniziert werden kann. Nutzer sollen dabei eine leicht zu bedienende Benutzeroberfläche mit allen notwendigen Informationen erhalten. Der Consent-Status soll dann von der Consent Management Plattform (CMP) an die beteiligten Vendoren und Anbieter verschickt werden, die die Präferenzen des Nutzers einhalten sollen. Die verschiedenen Bestandteile des Transparency and Consent Frameworks siehst du weiter unten. Der “sichtbare” Teil des Frameworks ist folgende Auswahl (Layer 1):

In den Anzeigeneinstellungen kann auf Zweck-, Merkmal- und Partner-Ebene Consent gegeben oder abgelehnt werden. Bei den Zwecken sind es z.B. 10 verschiedene Zwecke + 2 besondere Zwecke. Hier ein Beispiel wie dabei Nutzer im Layer 2 informiert werden sollen:

Bei den 2 Layern gibt es bestimmte Anforderungen, die eingehalten werden müssen. Die detaillierten Anforderungen sind in der TCF Policy beschrieben.

Beteiligte und betroffene Akteure

Betroffen vom TCF sind zunächst mal alle, die im AdTech-Ökosystem aktiv sind. Insbesondere aber Publisher, da diese über den TC-String (mehr dazu später) den Consent des Nutzers “nachweisen” müssen, damit sie weiterhin Anzeigen schalten können. Zum Ökosystem gehören:

  • Vendoren: Dabei handelt es sich um Anbieter oder dritten Parteien wie z.B. Adserver, SSPs, DSPs, DMPs oder Tracking-Systeme. Der Publisher setzt diese Drittanbieter ein, um Inhalte und Werbung an die eigenen Nutzer zu übermitteln. Damit Vendoren beim TCF teilnehmen können, müssen sie sich zunächst in die Global Vendor List (GLV) eintragen. Damit verpflichten sie sich, das Framework mit all seinen Regelungen einzuhalten. Die Teilnahme ist an einer jährlichen Gebühr geknüpft.
  • Publisher: Dabei handelt es sich um die Website-Betreiber, die sicherstellen müssen, dass sie eine TCF-zertifizierte CMP einsetzen, um den TC-String korrekt übertragen zu können. Falls Publisher eine eigene Consent-Lösung implementieren wollen, dann muss diese ebenfalls vom IAB geprüft und zertifiziert werden. Publisher müssen zudem gewährleisten, dass die Darstellung des Consent-Banners den TCF-Richtlinien entspricht.
  • Consent Management Plattformen (CMP): Dabei handelt es sich um das Tool, welches vom Publisher in die Website implementiert wird, um den Consent des Nutzers abzufragen und weiterzuleiten. CMPs müssen sich für die Teilnahme am TCF registrieren und einen Bewerbungsprozess durchlaufen. Verlief alles erfolgreich, wird eine jährliche Gebühr fällig. Danach bekommt die CMP eine ID zugewiesen und wird auf https://iabeurope.eu/cmp-list/ angeführt.

Diese 3 Hauptakteure nennt die TCF offiziell. Vergeblich sucht man aber nach Informationen, was das für Advertiser bedeutet. In den TCF-Richtlinien ist zu lesen, dass im Sinne des TCF auch Werbetreibende als Publisher gelten, “wenn sie auf ihren Websites Daten durch Vendoren erheben lassen”. Also wenn Daten gesammelt werden, um den Kampagnen-Erfolg auszuwerten oder wenn Cookies für Retargeting gesammelt werden.

Nach meinem Verständnis sind aber Advertiser in folgenden Fällen von TCF betroffen:

  • Der Advertiser ist selbst Publisher. Also wenn der Advertiser auf seiner eigenen Website ebenfalls Werbung ausspielt, dann ist er in diesem Sinne ein Publisher und muss entsprechend den TC-String erzeugen (lassen) und weitergeben.
  • Wenn ein Partner des Advertisers auf der Advertiser-Seite Audiences aufbauen und weitergeben möchte, ist ebenfalls ein TC-String notwendig.

Schaltet der Advertiser auf seinen eigenen Website keine Werbung und erhebt keine Daten für einen Partner, müssen aus meiner Sicht Advertiser nur darauf achten, dass sie mit Vendoren aus der Global Vendor List zusammenarbeiten, damit sichergestellt wird, dass ihre Anzeigen auch tatsächlich auf mitwirkenden Publisher-Websites angezeigt werden.

Auf die Frage “für wen ist das TCF und für wen nicht?” könnte man sagen:

  • Notwendig für Websites wie z.B. News-Websites, Blogs, Magazine, Portale oder Foren, die Werbung schalten.
  • Nicht notwendig für Website wie z.B. Online Shops, Firmen-Websites oder privaten Websites, die keine Werbung schalten.
  • Notwendig für Drittanbieter wie AdTech-Vendoren, Analytics-Tools oder DMPs, die Nutzer-Daten für Werbezwecke verarbeiten.
  • Nicht notwendig für Drittanbieter wie Bezahl-Dienste, Chatbots und sonstige Website-Funktionen-Tools, die Nutzer-Daten nicht für Werbezwecke verarbeiten.

Bestandteile des TCF

Das TCF-Framework besteht aus mehreren Teilen:

  • TCF Policy: Das sind die Richtlinien für CMPs, Vendoren und Publisher. Zudem sind verschiedene Begriffsdefinitionen enthalten. Auch sind dort alle Zwecke und Merkmale definiert. Auf den hinteren Seiten finden sich die Anforderungen an die Cookie-Banner-Layer. Die TCF Richtlinien sind hier zu finden.
  • TCF Nutzungsbedingungen: Darin finden sich Informationen zur Registrierung für CMPs und Vendoren. Hier der Link zum PDF.
  • Global Vendor List (GVL): Bei der Global Vendor List handelt es sich um eine Liste aller Anbieter bzw. Vendoren, die am TCF teilnehmen. Jeder Anbieter muss sich zunächst unter https://register.consensu.org/ registrieren. Vendoren müssen sich an die TCF Policy und an den Nutzungsbedingungen halten, um aufgenommen zu werden (außerdem muss eine jährliche Gebühr gezahlt werden). Außerdem müssen sie alle Verarbeitungszwecke (Purposes) von Nutzerdaten offenlegen. Nach erfolgreicher Aufnahme bekommt der Vendor zunächst eine eindeutige ID. Je ID sind dann die Zwecke der Datenverarbeitung dokumentiert oder auch die URL zu der Datenschutzerklärung des Anbieters. Welche Vendoren aktuell teilnehmen kann unter https://iabeurope.eu/vendor-list/ eingesehen werden. Die GLV ist für Publisher besonders wichtig, da sie über diese Liste die Vendoren in der CMP aufnehmen können. Über eine Schnittstelle stellt die CMP sicher, dass dem Publisher im User Interface der CMP immer die aktuellste GLV zur Verfügung steht. Die IAB gibt eine aktualisierte Liste einmal wöchentlich aus. Die CMP übernimmt diese und informiert den Publisher. Wenn ein neuer Vendor hinzugekommen ist, dann kann der Publisher diesen aufnehmen. Es kann vorkommen, dass ein schon bestehender Vendor einen neuen Zweck hinzufügt. In diesem Fall aktualisiert sich die CMP im besten Fall automatisch. Wenn ein Vendor aus der GLV austritt, dann muss der Publisher ebenfalls informiert werden.
  • Consent Management Platform API: Die CMP API beschreibt welche API-Kommandos eine CMP bereitstellen muss. Über die Funktion getTCData soll z.B. der TC-String ausgelesen werden können.
  • Transparency and Consent String with Global Vendor List Format: In diesem Teil der TCF wird die Global Vendor List beschrieben und wie die Daten abgefragt werden können. Zudem wird beschrieben wie der TC-String erstellt und weitergegeben wird. Der TC-String besteht aus mehreren Teilen und enthält unterschiedliche Informationen. Vor allem aber enthält der String die Consent-Information des Nutzers. Alle Informationen werden zu einer Zeichenkette komprimiert und über Requests ins AdTech-Ökosystem weitergegeben.
  • CMP Validator: Dabei handelt es sich um ein Tool der IAB, mit welchem CMPs geprüft werden, ob sie TCF-konform sind bevor die CMP eine ID von der IAB ausgestellt bekommt.

Grobe Funktionsweise und Ablauf

Bisher waren es viel theoretische Informationen, schauen wir uns an wie TCF in der Praxis funktioniert.

Schritt 1: Global Vendor List
AdTech- und MarTech-Unternehmen müssen sich der Global Vendor List (GVL) anschließen und verschiedene Informationen über sich bereitstellen.

Schritt 2: CMP+GLV
Die CMP holt sich die GLV, damit alle relevanten Informationen über die Vendoren in der CMP abgelegt sind:

Schritt 3: CMP wählen
Im diesem Schritt wählt der Publisher einen der zertifizierten CMPs aus:

Schritt 4: Vendoren wählen
Danach wählt der Publisher die Vendoren aus mit denen zusammengearbeitet werden soll.

Schritt 5: CMP implementieren
Die CMP wird dann in die Website implementiert. Kommt der Nutzer auf die Seite erscheint ein Banner mit allen TCF-konformen Informationen:

Schritt 6: Präferenzen wählen
Der Nutzer gibt dann einen vollständigen, teilweise oder keinen Consent:

Schritt 7: TC-String
Die Consent-Information des Nutzers wird über den TC-String an die Vendoren und somit in Ökosystem getragen:

Schritt 6: Werbeausspielung
Auf Basis dieser Information kann dann Werbung ausgespielt oder nicht ausgespielt werden:

TCF 1.0 und TCF 2.0

Im März 2018 wurde die erste TCF-Version für die Öffentlichkeit ausgerollt. Im April 2019 kam TCF 2.0. Dabei wurde Feedback von Datenschutzbehörden, Publishern und weiteren Akteuren berücksichtigt. Die wichtigste Neuerung ist, dass von ursprünglich 5 Datenverarbeitungszwecken (Processing Purposes) auf zehn Datenverarbeitungszwecke + 2 besondere Zwecke (Special Purposes) erweitert wurde. Und es gibt 5 Merkmale, sogenannte “Features” (wobei weiter unterschieden wird in “Features” und “Special Features”).

Die aktuellen 10 Zwecke sind (bitte beachte, dass ich nachfolgend nur eine grobe Erklärung der einzelnen Zwecke gebe – für vollständige Erklärungen und Informationen bitte in den TCF-Richtlinien nachschauen):

  • Informationen auf einem Gerät speichern und/oder abrufen: Hier sind Cookies gemeint.
  • Auswahl einfacher Anzeigen: Mit dieser Auswahl dürfen Anbieter Informationen über den Kontext, in dem die Anzeige dargestellt wird, verwenden. Auch Informationen über das Gerät (Gerätetyp und -funktionen, Browser-Kennung, URL, IP-Adresse) können verwendet werden. Anbieter dürfen aber mit diesen Infos kein personalisiertes Anzeigen-Profil erstellen (außer es gibt eine eigene Rechtsgrundlage).
  • Ein personalisiertes Anzeigen-Profil erstellen: Um ein personalisiertes Anzeigen-Profil zu erstellen, können Anbieter damit Informationen sammeln (Besuchen auf Webseiten, Verwendung von Anwendungen, etc.). Auch können diese Infos mit zuvor gesammelten kombiniert werden, um ein Benutzerprofil für die Verwendung in personalisierter Werbung zu erstellen.
  • Personalisierte Anzeigen auswählen: Damit können Anbieter personalisierte Anzeigen, basierend auf einem Nutzer-Profil oder anderen historischen Nutzungsdaten, auswählen.
  • Ein personalisiertes Inhalts-Profil erstellen: Mit dieser Option können Anbieter Informationen über einen Nutzer sammeln (Standort, Website-Aktivitäten, etc.), um ein personalisiertes Inhalts-Profil zu erstellen.
  • Personalisierte Inhalte auswählen: Damit personalisierte Inhalte erstellt werden können, dürfen Vendoren damit auf das Nutzer-Profil oder anderen historischen Nutzungsdaten zugreifen.
  • Anzeigen-Leistung messen: Hier geht es darum, dass Metriken für ein Reporting gesammelt und kalkuliert werden dürfen.
  • Inhalte-Leistung messen: Auch hier geht es um die Erlaubnis Metriken erfassen zu dürfen.
  • Marktforschung einsetzen, um Erkenntnisse über Zielgruppen zu gewinnen: Hier geht es unter anderem darum, aggregierte Berichte für Werbetreibende, Diensteanbieter und anderen Stakeholdern übermitteln zu dürfen.
  • Produkte entwickeln und verbessern: Damit wollen Anbieter diverse Informationen verwenden, um ihre Produkte zu verbessern.

Zu den besonderen Zwecken gehören:

  • Sicherheit gewährleisten, Betrug verhindern und Fehler beheben: Hier geht es darum, dass Anbieter mit verschiedenen Mitteln Sicherheit, Betrugsverhinderung und Fehlerbehebung gewährleisten können.
  • Anzeigen oder Inhalte technisch bereitstellen: Um auf technische Anfragen reagieren zu können, dürfen Anbieter IP-Adresse, Informationen zum Gerätetyp, etc. erfassen und verarbeiten.

Bei den Merkmalen wird klassifiziert in:

  • Mit Offline-Datenquellen zusammenführen
  • Verschiedene Geräte verknüpfen
  • Empfangen und Verwenden automatisch gesendeter Geräteeigenschaften für die Identifikation
  • Genaue Standortdaten verwenden (Special Feature)
  • Geräteeigenschaften zur Identifikation aktiv abfragen

TCF 2.2

Am 16. Mai 2023 teilte IAB mit, dass es eine neue Version des TCF geben wird: TCF 2.2. Die neue Version bringt diverse Neuerungen. Neben Änderungen an den Richtlinien, kommen auch technische Änderungen.

Zusammenfassung der Richtlinien-Änderungen:

  • Das “legitime Interesse” kann nicht mehr als rechtliche Grundlage für Werbung und personalisierten Content (Zwecke 3, 4, 5 und 6) ausgewählt werden. Hier bedarf es eines Contents.
  • Die Text werden nutzerfreundlicher und sollen nicht mehr in komplexer rechtlicher Sprache verfasst werden.
  • Es kommt ein neuer Zweck 11 hinzu: Use limited data to select content. Dieser ist äquivalent zum Zweck 2 “Use limited data to select advertising”. Zweck 11 soll dazu verwendet werden, nicht-werbliche Inhalte auf Basis von Echtzeit-Daten bereit zu stellen. Die Erstellung von Profilen, um personalisierte Inhalte anzuzeigen, ist nicht Bestandteil dieses Zwecks.
  • Zudem müssen mit TCF 2.2. die Vendoren zusätzlich Informationen über sich und deren Dienste bereitstellen.
  • CMPs müssen nun auch die Gesamtanzahl der Anbieter, die ein Publisher nutzt, direkt auf dem ersten Screen des Consent Layers anzeigen.
  • Neu ist auch, dass nun Publisher und CMPs eine einfache Möglichkeit bereit stellen müssen, um den Consent anzupassen. Das kann z.B. über ein Icon auf der Seite oder über einen Link im Footer geschehen. Zudem muss die CMP auch eine Möglichkeit bieten ein komplettes Opt-Out durchführen zu können (“Alles ablehnen”), wenn auf dem initialen Screen ein komplettes Opt-In angeboten wurde (“Alles erlauben”).

Zu den technischen Änderungen gehören:

  • Das API-Kommando “getTCData” wird abgeschafft. Stattdessen sollen Event Listener genutzt werden, um Events wie “tcloaded”, “cmpuishown” oder “useractioncomplete” zu registrieren und um auf das tcData-Objekt zugreifen zu können.
  • Zudem wurde die Version der GVL auf Version 3 aktualisiert, die zusätzliche Infos bereitstellt.

Verhalten bei Opt-In, Opt-Out und teilweise Opt-In

Bei der Auswahl des Consent gibt es 3 Use Cases:

  • Vollständiger Opt-In: Der Nutzer akzeptiert alles und somit dürfen alle Datenverarbeitungszwecke angewandt werden.
  • Vollständiger Opt-Out: Der Nutzer lehnt alles ab. Hier könnte man meinen, dass damit nichts an Informationen weitergegeben werden darf. Dem ist hier nicht so (dazu komme ich gleich).
  • Teilweise Opt-In: Der Nutzer hat die Möglichkeit einzelne Zwecke aus- bzw. abzuwählen. Auch hier muss man die nachfolgenden Infos berücksichtigen.

Wer sich den TCF-Banner näher angeschaut hat, dem ist sicherlich folgendes aufgefallen:

Das Häkchen beim Zweck ist zunächst nicht gesetzt – so wie von der DSGVO vorgegeben. Erst wenn der Nutzer dieses Häkchen setzt und speichert, dürfen für diesen Zweck Daten erhoben und verarbeitet werden. Man sieht aber auch ein Häkchen, welches für “Legitimes Interesse” vorausgewählt ist. Was bedeutet das? Zum Hintergrund: Wenn man Daten für Marketing-Zwecke nutzen möchte, braucht man dafür eine Rechtsgrundlage. Rechtsgrundlagen können sein:

  • Explizite Einwilligung bzw. Zustimmung: Nutzer stimmt aktiv der Daten-Nutzung zu.
  • Legitimes Interesse (oder auch berechtigtes Interesse): Wenn der Datenverarbeiter einen triftigen Grund hat, die Daten zu verarbeiten und der Grund die möglichen Risiken des Einzelnen überwiegt, dann braucht es nur eine Offenlegung (und somit kann das Häkchen vorab ausgewählt sein).

Wenn der Nutzer also ablehnt, kann sich der Anbieter auf sein berechtigtes Interesse berufen und einen bestimmten Teil der Daten dennoch weiterhin nutzen (außer der Nutzer klickt das Häkchen weg). Bei TCF 2.0 gibt es neben diesen 2 Rechtsgrundlagen auch die Grundlage “Zustimmung oder legitimes Interesse”, den Vendoren nutzen können (also eine flexible Option). Das heißt, dass eines der beiden Rechtsgrundlagen vorliegen muss, damit die Daten genutzt werden können. Das kann natürlich zu rechtlichen Problemen führen. Deshalb kann der Publisher diese Option anpassen und z.B. festlegen, dass ein Vendor für einen bestimmten Zweck oder für alle Zwecke Daten nur bei expliziter Einwilligung verarbeiten kann.

Demir Jasarevic
Ich bin Analytics Developer und Marketing Tracking Analyst. Spezialisiert auf UA, GA4 und GTM. In meiner Freizeit sammle ich NBA-Trikots.

    Keine Kommentare möglich.