TCF 2.0 und Datenschutz im Online Marketing – eine Handlungsempfehlung [Update]

Mai 20th 2020 — von Philipp Roth

Philipp Roth
Vice President

Die Themenfelder Datenschutz, Cookies und User-Tracking sind für uns als Online Marketing Agentur wichtige Bereiche, die uns in den letzten Jahren beschäftigt haben und auch zukünftig aktueller denn je bleiben. Nach Einführung der DSGVO 2018, in der definiert wurde, dass Profildaten, die über Cookies oder Ad Identifier erhoben werden, als personenbezogen gelten, haben sich viele Unternehmen auf ihr berechtigtes Interesse berufen, diese Daten zu verarbeiten. Durch inzwischen erfolgte Stellungnahmen der Aufsichtsbehörden und aktuellen Rechtsprechungen war abzusehen, dass eine technische Umsetzung für das rechtskonforme Setzen von Cookies notwendig wird. Das IAB (Interactive Advertising Bureau) mit seinem IAB Tech Lab hat dabei mit dem „Transparency and Consent Framework“, insbesondere in der aktualisierten Version 2.0, versucht einen Branchenstandard für die Einholung und Übermittlung des entsprechenden Nutzereinwilligung geschaffen, der im Marktumfeld eine immens hohe Akzeptanz genießt. Es wurde am 24. April 2018 offiziell eingeführt und richtet sich vor allem an „First Parties“ (Websitebetreiber), die mit „Third Parties“ (Mar- und Ad-Tech-Unternehmen) gemeinsam Daten sammeln und verarbeiten. Nach entsprechenden Alleingängen hat auch Google angekündigt, den Standard zu unterstützen und sich als Anbieter (Vendor) registrieren lassen.

 

Aufgrund seiner Aktualität und Wichtigkeit, stellen wir das System TCF 2.0 vor, skizzieren den zeitlichen Ablauf bis zur finalen Einführung und schließen mit einer Handlungsempfehlung für unsere Partner ab.

 

Was ist das TCF (Transparency and Consent Framework)?

 

Das TCF wurde in Zusammenarbeit mit führenden Medienhäusern, Werbetreibenden und Technologieanbietern entwickelt und ist als Open-Source- und Non-Profit-Standard frei zugänglich.

 

Der Webseitenbesucher kann sowohl genauer spezifizieren, welchen Arten der Datennutzung er zustimmt und welche er ablehnt als auch, welchen Unternehmen er diese Zustimmung gibt oder ablehnt. Dies geschieht über sogenannte Consent Layer, die von einer Consent Management Platform (CMP) technologisch bereitgestellt und ausgeliefert werden. Diese sind nicht zu verwechseln mit den aktuell etablierten Cookiebannern, die nur informieren, dass die Website Cookies setzt. Der Nutzer hat bei den aktuell eingesetzten Cookie-Overlays häufig keine Wahl eine Ablehnung oder eine freiwillige Zustimmung zu erteilen, welche vermutlich zukünftig (siehe dazu unten) nicht mehr datenschutzkonform ist. Denn die Einwilligung des Besuchers ist beim Publisher/Advertiser und bei den verarbeitenden Unternehmen zu speichern, da sie die Dokumentations- und Nachweispflicht besitzen.

 

Wenn nun ein Nutzer einen Consent Layer angezeigt bekommt, entscheidet er, wie seine Daten verarbeitet werden und welche Unternehmen dies ebenfalls dürfen. Dabei ist insbesondere wichtig, dass der Nutzer eine echte Entscheidungsfreiheit (zustimmen/ablehnen) besitzt. Um dies zu vereinfachen, werden meist Bereiche definiert, die über die Nutzung der Daten informieren. Das können bspw. funktionale und essenzielle Dienste, Marketingzwecke oder andere Datenverarbeiter sein. Dabei kann die Informationstiefe selbst noch gewählt werden, um einzelnen Unternehmen die Zustimmung zu erteilen oder zu verweigern. Grundsätzlich ist klar, dass das Design dieser Layer eine Zustimmung einholen soll, ohne die Nutzerrechte zu verletzen.

 

Nachdem nun die Eingaben für die Datennutzung gemacht worden sind, werden diese Angaben in einem festgelegten Format, dem sogenannten Consent String, aufbereitet und gespeichert. Dieser Consent-String enthält dabei in einheitlicher und maschinenlesbarer Form die vorgenommenen Einstellungen inkl. etwaiger Detail-Level. Sämtliche Unternehmen und Technologien haben mittels dieses Consent-Strings die Möglichkeit, die gesetzten Einwilligungen zu lesen und entsprechend zu handeln. Dazu können diese Daten entweder mittels einer fest definierten Javascript-API direkt im Seitenkontext ausgelesen oder über standardisierte Parameter und Platzhalter in Browser- und Server-Anfragen an alle beteiligten Unternehmen übertragen werden. Nur mit Zustimmung des Nutzers, die in dieser Zeichenkette enthalten ist, dürfen die Daten dem Zweck gemäß verarbeitet werden. Mit diesem standardisierten String und der entsprechenden Berücksichtigung der darin enthaltenen Informationen können die Rechte des Nutzers vollumfänglich gewahrt werden.
Dieses Einwilligungsmanagement setzt die Anforderungen der DSGVO nach Transparenz und Nutzereinwilligung um.

 

Was ist neu an TCF 2.0?

 

Das ursprüngliche Framework wurde im Jahre 2018 mit dem Ziel eingeführt, eine entsprechende Nutzereinwilligung standardisiert abzufragen und zu verarbeiten, um die Finanzierung des digitalen Ökosystems durch entsprechendes Online-Marketing, auch unter den strengen DSGVO-Gesichtspunkten, weiter betreiben zu können. Eine Überarbeitung war aber notwendig, da die unterschiedlichen Anforderungen der Publisher, Advertiser und Agenturen in der ersten Version nicht sauber abgebildet werden konnten, was nur zu einer sehr mäßigen Nutzung geführt hat. Basierend auf den Erfahrungen und den Problemen aus der ersten Version hat das IAB im August 2019 die Version 2.0 seines TCF veröffentlicht. Die dabei zugrundeliegenden Angaben über die jeweils genutzten Daten und zu welchem Zweck bzw. auch auf welcher rechtlichen Grundlage diese verarbeitet werden, ist wesentlich detaillierter ausgearbeitet, als in der ersten Version. Ein wichtiger Aspekt für die Akzeptanz von TCF 2.0 war insbesondere die Tatsache, dass Google aktiv an den Spezifikationen für die Version 2.0 mitgearbeitet hat und dass sie diese Version auch aktiv mit ihrem Technologie-Stack bzw. den Online-Marketing-Angeboten unterstützen und forcieren. Denn ohne ein entsprechendes Handling des Benutzerkonsens kann z.B. bei Google ab Mitte des Jahres kein datengetriebener Traffic (Programmatic Advertising) mehr eingekauft oder verkauft werden. Zudem unterstreicht dies auch die Wichtigkeit von solchen Standards in der digitalen Werbebranche. Es ist zu erwarten, dass alle relevanten Marktteilnehmer diesem Vorbild folgen werden. Wer mehr Informationen zum Thema TCF 2.0 benötigt, kann sich beim IAB Europe detailliert informieren.

 

Wie sieht das TCF 2.0 im Detail aus?

 

Die relevanten Teilnehmer im Framework sind sogenannte Vendoren, Publisher/Advertiser und Consent Management Provider. Die Vendoren sind sämtliche beteiligte Dienstleister in der digitalen Auslieferungskette. Ihre Dienste bieten sie meist unter ihrer eigenen Domain an und fallen damit in den Third-Party-Kontext. Typische Unternehmen sind Adserver-Anbieter, Adverification-Dienstleister, Websitetracking- und -analyse-Firmen, DSPs (Käufer von Werbeinventar), SSPs (Anbieter von Werbeinventar) sowie DMPs (Data Management Plattfomen). Diese Anbieter können sich beim IAB für TCF registrieren lassen und erklären dabei, zu welchen Zwecken sie die Daten verarbeiten. Die Publisher stehen in direktem Kontakt mit dem Konsumenten. Das heißt, entweder können sie Inhalte für den Nutzer bereitstellen (Websitebetreiber, der sich über Werbung finanziert) oder es können Werbetreibende sein, die auf ihrer Webseite Daten an Vendoren weitergeben (TCF Definition). Typischerweise sind das Daten für Retargeting, Analyse sowie Personalisierung der Webseite oder die Erfolgsmessung einer Werbeschaltung. Dabei erteilt der Nutzer den Vendoren die Zustimmung zur Datennutzung für bestimmte Zwecke, nachdem der Publisher ihn über diese Vendoren informiert hat. Consent Management Provider sind hier das datenschutztechnische Bindeglied zwischen Publishern/Advertisern und Vendoren. Sie stellen die Technologie für die erste Gruppe bereit, um die Zustimmung oder Ablehnung der Datennutzung der Besucher abzufragen und diesen als Consent String an die in der Auslieferungskette involvierten Vendoren bereit zu stellen. Für die Kommunikation zwischen diesen Beteiligten hat das TCF eine festgelegte Nomenklatur, das sogenannte Signalling. Dabei wird an jeden Vendor die einzelnen Verarbeitungszwecke und ob die Datenverarbeitung erlaubt ist oder nicht, übertragen. Ebenso, ob der Nutzer ein explizites Opt-Out vorgenommen hat. In der Version 2.0 unterscheidet das TCF zehn verschiedene Zwecke für die Verarbeitung von Daten.
 

TCF 2.0 Datenverarbeitung
 
Im Gegensatz zu TCF 1.0 versucht die Liste der Verarbeitungszwecke (Purposes) in TCF 2.0 alle vorkommenden Verarbeitungsprozesse personenbezogener Daten u.a. im Online Marketing abzudecken. Eine besondere Bedeutung kommt dabei dem ersten Fall zu, der den Zugriff auf das Endgerät und das Setzen eines Cookies regelt. Des Weiteren gibt es noch sieben spezielle Anwendungsfälle, die Verarbeitungsmöglichkeiten und -zwecke definieren. Diese wurden dabei bewusst aus den allgemeinen Purposes ausgespart, da sie nur für spezielle Geschäftsmodelle relevant sind und es sich unter anderem um relativ sensible Daten handelt. Dazu gehört z.B. das hyperlokale Targeting, welches eine sehr genaue Bestimmung des Aufenthaltsortes des Nutzers, z.B. durch die GPS-Sensoren des Handys, zulässt, und somit insbesondere im Mobile-App-Marketing-Umfeld Anwendung finden kann. Das allgemein eingesetzte Geo-Targeting, welches basierend auf der gekürzten IP des Users arbeitet, um eine grobe Lokalisierung bis auf Stadt-Ebene vorzunehmen, ist aber bereits durch die normalen Verarbeitungszwecke abgedeckt. Die Antworten, die in den Consent Layern meist grafisch durch Schieberegler aktiviert werden, können somit in einen quasi Antwortsatz übersetzt und zusammengefasst werden, der dann wiederum als Consent String verarbeitet und datenschutzkonform an die Publisher/Advertiser weitergereicht wird.

 

Wie geht TRG mit TCF 2.0 um?

 

Wir sind seit der Version 1.1 Vendor und in der Global Vendor List (GVL) aufgeführt. Aus diesem Grunde halten wir uns an den von der IAB definierten Zeitplan für die Umstellung auf die Version 2.0, um so den neuen Marktstandard zu unterstützen. Somit können wir, als Teilnehmer an diesem Framework, sicherstellen, dass die Daten DSGVO konform verarbeitet werden. Aufgrund der aktuellen Pandemie wurde ein überarbeiteter Zeitplan veröffentlicht, um mehr Flexibilität bei der Umsetzung und Umstellung auf TCF 2.0 zu haben. Somit sollten aktuell die CMPs bei den Publishern/Advertisern zum Einsatz kommen, damit die Vendoren ab Ende Mai Consent-Strings verarbeiten können. Ab Mitte August 2020 wird dann TCF 1.1 nicht weiter unterstützt, so dass ab diesem Termin die Version 2.0 voll produktiv im Einsatz sein wird. Für uns und unsere Kunden ist es daher sehr wichtig, sich an solche Vorgaben zu halten und die personenbezogenen Daten konform zu verarbeiten und so den Transparenz- und Datenschutzbedürfnissen Rechnung zu tragen. Daher unterstützen wir diese Initiative und setzen die Spezifikationen um.

 

Eine besondere Dringlichkeit ergibt sich mutmaßlich aus dem zu erwarteten Urteil des BGHs im sogenannten „Cookie-Verfahren“ am 28. Mai 2020. Dabei geht es um die rechtliche Grundlage des berechtigten Interesses bzw. die nicht zwingend notwendige explizite Einwilligung zum Setzen eines Cookies. Hier wurde bisher über den bekannten Cookie-Layer nur informiert, aber keine aktive Zustimmung eingeholt, sondern von einer implizierten Einwilligung des Nutzers zum Setzen von Cookies ausgegangen. Dies sei laut Telemediengesetz (TMG) in Deutschland zulässig, sagen die einen, widerspricht aber den EU-Richtlinien, die anderen. Das BGH hat hierzu dem EuGH einige Fragen vorgelegt, deren Beantwortung durch das EuGH den Schluss zulassen dürfte, dass die implizite Einwilligung gegen europäisches Recht verstößt und demzufolge angepasst werden muss.

 

Sollte ich mich als Werbetreibender zu TCF 2.0 registrieren?

 

Bei der genaueren Analyse der Gegebenheiten sind wir mit unserem Technologiepartner Neory zu einer aktuellen Einschätzung gekommen, die aber keine verbindliche oder rechtliche Vorgabe darstellt: Durch die Dokumentations- und Nachweispflicht, die bei der Verarbeitung von personenbezogenen Daten besteht, muss nachgewiesen werden, wann welche Zustimmung zur Datennutzung erteilt worden ist. Wir bilden diese auf technischer Ebene bereits ab, doch arbeiten wir hier gemäß aktueller Vertragsgrundlage als Auftragsverarbeiter für unsere Kunden, welche somit Data-Controller sind. Entsprechend empfehlen wir dringend eine eigene Anmeldung beim TCF.

 

Sollten Sie Rückfragen zum aktuellen Stand oder der Umsetzung haben, so können Sie gerne an Ihren persönlichen Ansprechpartner wenden – wir helfen gerne.

 

Dieser Blogbeitrag wurde in Zusammenarbeit mit unserem Technologiepartner Neory erstellt.

 

[Update vom 19.06.2020]

 
Mit dem Urteil des Bundesgerichtshofs vom 28.Mai ging das Verfahren zwischen dem Bundesverband der Verbraucherzentralen und der Planet49 GmbH zu Ende. Im rechtlichen Fokus standen hierbei Auslegungsfragen zu Art. 5 Abs. 3 und Art. 2 lit. f der ePrivacy-Richtlinie 2002/58/EG (in Deutschland umgesetzt in § 15 Abs. 3 Telemediengesetz) in Verbindung mit Art. 2 lit. h der Datenschutz-Richtlinie 95/46/EG sowie Art. 6 Abs. 1 lit. a der Datenschutzgrundverordnung 2016/679. Der BGH übernahm mit dem Urteil die Rechtsauslegung des EuGH und brachte das Gerichtsverfahren zum Abschluss. Der BGH stellt damit klar, dass nach seiner Auffassung für die Erstellung von Nutzerprofilen also die Einwilligung des Nutzers erforderlich ist.

 

Die für die Onlinemarketing-Branche seit Jahren wichtige Frage, ob man sich für die Verarbeitung pseudonymer Nutzerdaten zu Werbezwecken statt einer Einwilligung auch auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen kann (wie es der Erwägungsgrund 47 der DSGVO auch ausdrücklich erwähnt), dazu findet sich – zumindest in der Pressemitteilung – kein Wort. Der BGH stellt lediglich fest, dass das Inkrafttreten der DSGVO die deutsche Umsetzung der ePrivacy-Richtlinie im Telemediengesetz unberührt lasse. Die derzeitige parallele Regelung in DSGVO und TMG wird also nicht aufgelöst.

 

Dennoch verstehen viele die vom Bundesgerichtshof jetzt vorgegebene richtlinienkonforme Auslegung des § 15 Abs. 3 TMG als klare Ansage, dass Online-Publisher für das Setzen von Marketing-Cookies zukünftig eine ausdrückliche Einwilligung ihrer Nutzer einholen müssen. Ich empfehle daher, zukünftig auf einwilligungsbasierte Geschäftsmodelle umzusteigen. Wer sich weiterhin auf das berechtigte Interesse stützen will, geht ein Risiko ein, dass noch höher zu bewerten ist, als es ohnehin bereits seit der Entscheidung des EuGH war.