Was ist TCF v 2.2 – Was Publisher wissen müssen

Was ist das Transparency and Consent Framework (TCF)?

Das Transparency and Consent Framework (TCF) ist ein globaler Standard, der die Datenverarbeitung auf Websites und in mobilen Anwendungen regelt. Er hilft Unternehmen dabei, die Allgemeine Datenschutzverordnung (GDPR) einzuhalten und gleichzeitig den Verbrauchern Transparenz darüber zu bieten, wie ihre personenbezogenen Daten verwendet werden.

Das TCF wurde erstmals 2018 vom Interactive Advertising Bureau (IAB) of Europe entwickelt. Seitdem wurde die TCF von Hunderten von Unternehmen auf der ganzen Welt übernommen, darunter einige der größten Tech-Unternehmen. Die TCF dient nicht nur der Einhaltung der DSGVO, sondern bietet Werbetreibenden und Website-Betreibern auch eine Möglichkeit, mit Verbrauchern klar über ihre Datennutzungsrichtlinien und die Verwendung personenbezogener Daten auf ihren Websites oder Apps zu kommunizieren. Einheitliche Standards in allen Bereichen schaffen gleiche Bedingungen für alle Unternehmen, die im Bereich der digitalen Werbung tätig sind.

Was ist TCF v 2.2 ? – Was Publisher wissen müssen

Warum gibt es die TCF?

Die TCF wurde durch die sich entwickelnden Bedenken in der Welt des Datenaustauschs notwendig. Im Laufe der Jahre hat sich die Technologie weiterentwickelt und damit auch die Art und Weise, wie Online-Plattformen die persönlichen Daten von Personen nutzen können. Dies veranlasste die Europäische Union, im Jahr 2018 das erste umfassende Gesetz zu diesem Thema, die Allgemeine Datenschutzverordnung (DSGVO), einzuführen. Wenig später folgten weitere prominente Gesetze, die zwar zum Schutz einer bestimmten Region gedacht sind, aber für Unternehmen aus der ganzen Welt gelten können.

Im Mittelpunkt von Datenschutzgesetzen wie der GDPR steht die Erwartung an Unternehmen, Transparenz im Umgang mit ihren Daten zu praktizieren. Das europäische Recht schreibt insbesondere die Notwendigkeit einer Einwilligung vor (z. B. Cookie Consent), bei der eine Person bewusst der Verwendung ihrer personenbezogenen Daten für nicht wesentliche Zwecke zustimmen muss.

Das bekannteste Beispiel aus der Praxis ist das Cookie Banner, das viele Websites beim ersten Besuch eines Nutzers anzeigen. Es soll die Menschen über ihre Rechte informieren und ihnen eine einfache Möglichkeit bieten, der Weitergabe von Daten zuzustimmen oder sie abzulehnen.

Aber wie jeder weiß, der schon einmal online war, ist nicht jeder Cookie-Banner oder Datenschutzhinweis gleich. Einige sind unkompliziert mit einfachen Schaltflächen zum Zustimmen” und Ablehnen”, während andere die Ablehnung der Verwendung von Skripten Dritter zu einem komplizierteren Unterfangen machen. Es gab sogar schon Fälle, in denen Websites Banner absichtlich so gestaltet haben, dass sie die Nutzer zu einer Einwilligung verleiten. Das passt den Behörden nicht, die diese Gesetze entworfen haben. Deshalb haben sie Maßnahmen wie das Transparency and Consent Framework eingeführt, um die Einhaltung der Regeln zu standardisieren.

Die Evolution des TCF

Wie alle Gesetze, Richtlinien und Verordnungen hat sich auch der Transparenz- und Einwilligungsrahmen mit der größeren Datenschutzlandschaft, die er regelt, weiterentwickelt. Die TCF hat im Laufe der Jahre mehrere Änderungen in Form von Erwartungen, Strafen und Offenlegungspflichten erfahren, die jeweils in dem Bemühen eingeführt wurden, die Privatsphäre der Internetnutzer inmitten wachsender Risiken zu schützen.

TCF v1.1

Der Startschuss für die TCF fiel am 25. April 2018, als das IAB Europe die erste Version des Rahmenwerks nach mehreren Monaten umfassender Konsultationen mit den Interessenvertretern der Branche vorstellte. v1.1 war einfach, aber ein Novum und bildete die Grundlage für weitere Iterationen in der Zukunft. Der Schwerpunkt lag auf AdTech-Anbietern – wie nachfrageseitigen Plattformen (DSPs) -, die die Erhebung, Offenlegung und Verwendung von Nutzerdaten darlegen. Publisher wurden von den strengen Regeln mehr oder weniger verschont, obwohl von ihnen erwartet wird, dass sie die GDPR-Grundsätze befolgen, wann immer sie anwendbar sind.

TCF v2.0

Etwas mehr als ein Jahr später, im August 2019, verabschiedeten die Regulierungsbehörden offiziell TCF v2.0. Sie sollte v1.1 durch aktualisierte Standards und neue Rechte für Verbraucher verbessern. Sie können nun Publishern direkt ihre Zustimmung erteilen oder verweigern, kontrollieren, wie bestimmte Informationen verwendet werden, und haben insgesamt mehr Einblick in die Datenverarbeitungspraktiken von Websites. Die wichtigste Änderung betraf die Publisher, die mit Hilfe neuer technischer Funktionen in die Lage versetzt wurden, genaue Regeln darüber aufzustellen, welche ihrer Anbieter Nutzerdaten zu welchen Zwecken verarbeiten.

TCF v2.1

Die Version 2.1 war ein kleinerer Meilenstein in der Entwicklung der TCF, ist aber nach wie vor äußerst wichtig für den Rahmen, den wir heute kennen. Mit dieser Aktualisierung, die eine Änderung der vorherigen Version darstellt, sollte die Politik des IAB mit einem kürzlich ergangenen Urteil des Gerichtshofs der Europäischen Union (EuGH) in Einklang gebracht werden. Diese Entscheidung – in der es um einen Fall gegen die Online-Gaming-Plattform Planet49 ging – schuf einen neuen Präzedenzfall dafür, was eine gültige Einwilligung im Sinne der DSGVO darstellt. Websites dürfen keine Kästchen mehr auf ihren Cookie-Bannern ankreuzen und benötigen stattdessen eine handlungsfähige Zustimmung der Nutzer, um Informationen über sie zu speichern. Außerdem müssen sie die Art und Weise der Datenspeicherung und des Datenzugriffs offenlegen und die Höchstdauer angeben, für die sie personenbezogene Daten in ihren Systemen speichern.

TCF v2.2

Damit sind wir bei der neuesten – wenn auch sicher nicht letzten – Version der TCF angelangt. Die vom IAB am 16. Mai 2023 angekündigte Version 2.2 wurde erstellt, um Lücken zu schließen, die in Version 2.1 noch nicht geschlossen wurden. Wie wir in diesem Artikel erläutern werden, konzentriert sich das neueste Rahmenwerk auf drei Verbesserungsbereiche, die während der Konsultationen mit den Interessengruppen ans Licht kamen, und wurde durch öffentliche Kommentare belebt, die bis zum 12. Mai 2023 eingingen. Die Anbieter mussten bis zum 31. Juli 2023 ein Formular zur Bewertung der TCF-Konformität ausfüllen und über das Registrierungsportal der Global Vendor List einreichen. Consent Management Platforms (CMPs) und Anbieter haben etwas länger Zeit, um an Bord zu kommen, mit einer Implementierungsfrist bis zum 20. November 2023.

Was bringt TCF v2.2 mit sich?

TCF v2.2 ist das bisher umfassendste Transparency and Consent Framework, das mehrere Änderungen und völlig neue Standards gegenüber früheren Versionen enthält. Wie bereits erwähnt, konzentrieren sich diese auf drei Schlüsselbereiche: das berechtigte Interesse als Rechtsgrundlage für die Datenverarbeitung, die Information der Anbieter und die angemessene Einwilligung. Im Folgenden finden Sie eine umfassende Aufschlüsselung der Aktualisierungen.

Streichung von “Legitimate Interest”

Im Zusammenhang mit dem Datenschutzrecht bezieht sich das “legitimate interest” auf die rechtliche Rechtfertigung für die Verarbeitung oder Verwendung personenbezogener Daten. Es wird verwendet, wenn ein für die Verarbeitung Verantwortlicher (die für die Verarbeitung der Daten zuständige Stelle) ein berechtigtes Interesse an der Verwendung personenbezogener Daten hat, um Dienstleistungen zu erbringen, die Kundenerfahrung zu verbessern oder Entscheidungen zu treffen, die seinem Unternehmen zugute kommen.

Nach der DSGVO ist das legitimate interest eine von sechs Rechtsgrundlagen für die Verarbeitung personenbezogener Daten und kann unter bestimmten Umständen zur Rechtfertigung der Verwendung dieser Daten ohne ausdrückliche Zustimmung der betroffenen Personen verwendet werden.

Mit TCF 2.0 hatten Anbieter die Möglichkeit, sich entweder auf die Einwilligung oder das legitimate interest als Rechtsgrundlage für die Verarbeitung von Daten für Zwecke ab zwei zu stützen. In der neuesten Version des Rahmens entfällt die Anwendbarkeit des legitimate interest für die Zwecke drei, vier, fünf und sechs, so dass in den folgenden Fällen grundsätzlich eine Einwilligung erforderlich ist.

• Zweck Nr. 3: Erstellung von Profilen für personalisierte Werbung.
• Zweck Nr. 4: Verwendung von Profilen zur Bereitstellung personalisierter Werbung.
• Zweck Nr. 5: Erstellung von Profilen zur Personalisierung von Inhalten.
• Zweck Nr. 6: Verwendung von Profilen zur Bereitstellung personalisierter Inhalte.

Die Speicherung von und/oder der Zugriff auf Informationen auf einem Gerät (Zweck Nr. 1), die Auswahl von Basisanzeigen (Zweck Nr. 2), die Messung der Anzeigenleistung (Zweck Nr. 7), die Nutzung von Marktforschung zur Gewinnung von Erkenntnissen über die Zielgruppe (Zweck Nr. 8), die Entwicklung von Produkten (Zweck Nr. 9) und die Gewährleistung der Sicherheit (Zweck Nr. 10) sind im Rahmen des berechtigten Interesses weiterhin zulässig, sofern sie gemäß den TCF v2.2-Regeln ordnungsgemäß offengelegt werden.

Benutzerfreundliche Definitionen

Es versteht sich von selbst, dass der Durchschnittsbürger wenig bis gar nichts über das Datenschutzrecht weiß. Dennoch ist es für sie von Bedeutung, und zwar in zunehmendem Maße, da Geschichten über Fehlverhalten weiterhin die Schlagzeilen auf der ganzen Welt beherrschen. In dem Bestreben, dem Normalbürger den Kontext zu vermitteln, den er braucht, um online fundierte Entscheidungen zu treffen, hat das IAB in seinen TCF v2.2-Richtlinien Anforderungen an die Benutzerfreundlichkeit hinzugefügt. Ein consent manager wie CookieFirst sollte nun die Zwecke und Funktionen der Datenerfassung in einfacher Sprache zusammen mit Standardabbildungen, die jeden Zweck veranschaulichen, darlegen.

Diese Richtlinie verfolgt ein doppeltes Ziel: Sie soll den Datenschutz verständlicher machen und die Anbieter dazu ermutigen, die Auswirkungen ihrer Datenerfassungsaktivitäten auf die reale Welt so zu erklären, dass die Endnutzer sie verstehen können.

Zusätzliche Informationen für Anbieter

Der TCF 2.2 verlangt von den Unternehmen, dass sie in Bezug auf die Informationen, die sie den Nutzern über ihre Datenverarbeitungspraktiken zur Verfügung stellen, noch weiter gehen. Sie müssen an vorderster Stelle auf dem Cookie-Banner einer Website erscheinen und genau angeben, wie viele einzelne Drittanbieter auf der Website präsent sind. Auf diese Weise können die Nutzer leicht erkennen, wer Daten über sie sammelt, und fundiertere Entscheidungen über ihr Handeln treffen.
Die “zweite Ebene” des CMP-Banners der Website sollte zusätzliche Informationen enthalten:

Berechtigte Interessen des Anbieters

Falls zutreffend, müssen die Anbieter die berechtigten Interessen offenlegen, die ihnen die Datenverarbeitung erlauben. Dazu gehört die Art des betreffenden Interesses, wie z. B. gezielte Werbung oder Nutzeranalyse, und warum es eine Rechtsgrundlage für die Datenverarbeitung darstellt.

Die Kategorien der gesammelten personenbezogenen Daten

Personenbezogene Daten können nach folgenden Kriterien kategorisiert werden:

• Rasse
• Ethnische Herkunft
• Politische Ansichten
• Religiöse oder philosophische Überzeugungen
• Mitgliedschaft in einer Gewerkschaft
• Genetische Daten
• iometrische Daten
• Sexuelle Orientierung
• Der Anbieter muss angeben, welche dieser Kategorien, wenn überhaupt, er von einem Nutzer erhebt und wie diese Daten verwendet werden.

Aufbewahrungsfristen für jeden Zweck

Der Anbieter muss auch angeben, wie lange er die Daten der Personen für jeden der oben genannten Zwecke aufbewahrt, einschließlich der maximalen Aufbewahrungsfrist. Diese kann zwischen einigen Tagen und mehreren Jahren liegen.

Link zur Umleitung der Datenpolitik

Als ob die beiden vorgeschriebenen Angaben nicht schon genug wären, müssen die Cookie-Banner auf der Website den Nutzern die Möglichkeit geben, sich durchzuklicken und die vollständige Datenschutzseite der Website zu lesen, auf der sie weitere Einzelheiten über die Verwendung und Verwaltung ihrer Daten finden.

Neuer Zweck

Bisher hatten Anbieter und Publisher die Möglichkeit, Daten für jeden der zehn im vorherigen Abschnitt genannten Zwecke zu verarbeiten. Mit der neuesten Version der TCF wird ein weiterer Zweck eingeführt: die Verwendung von Daten zur Auswahl von Inhalten. Sie gilt für die Auswahl und Bereitstellung von nicht werblichen Inhalten wie Nachrichtenartikeln oder Videoclips. Auch kontextbezogene Inhalte, die ungenaue Geolokalisierungsdaten oder Informationen über den Inhalt einer Seite verwenden, fallen unter diesen Zweck, nicht jedoch die Erstellung und Verwendung von Profilen zur Bereitstellung dieser Inhalte.

Ziel von Zweck Nr. 11 ist es, ein ausgewogenes Verhältnis zwischen den Bedenken der Internetnutzer hinsichtlich des Datenschutzes und ihrem Wunsch nach relevanten Inhalten herzustellen. Anbieter können immer noch personalisierte Inhalte bereitstellen, aber nur in einer Weise, die mit der General Data Protection Regulation (GDPR) vereinbar ist.

Entzug der Zustimmung

Der Widerruf von Einwilligungen ist kein neues Konzept im Datenschutzrecht. In der Tat ist er in vielen der heute geltenden Vorschriften vorgeschrieben. Es bleibt jedoch die Frage, wie einfach – oder schwierig – Websites diesen Prozess für Besucher gestalten. Während die Datenschutz-Grundverordnung bereits besagt, dass die Einwilligung genauso einfach zu widerrufen sein sollte, wie sie zu erteilen ist, versagen viele Banner in dieser Hinsicht.

Ein großes Problem sind Dark Patterns, d. h. Designs und Techniken, mit denen Nutzer dazu gebracht werden sollen, etwas zu tun, was sie sonst nicht tun würden. Diese können es den Nutzern erschweren, ihre Zustimmung zu widerrufen oder überhaupt zu verstehen, wie der Vorgang abläuft.

Ein weiteres Problem ist, dass viele Websites keine angemessene Anleitung zum Widerruf der Einwilligung bieten. Das bedeutet, dass die Nutzer im Unklaren darüber gelassen werden, wie sie ihre Einwilligung widerrufen können, und dass ihnen diese Möglichkeit möglicherweise gar nicht zur Verfügung steht, wenn nicht deutlich darauf hingewiesen wird.

Eines der größten Probleme, das mit der Version 2.2 angegangen wird, ist die Inkonsistenz der Schaltflächen, bei denen Websites die Zustimmung zur Verwendung von Cookies mit einem Klick erteilen, während die Ablehnung in mehreren Schritten erfolgt. Nach der neuen Richtlinie müssen alle Optionen, die den Besuchern einer Website angeboten werden, gleichermaßen einfach sein. Alle zulassen”-Schaltflächen sollten von entsprechenden Ablehnungsoptionen begleitet werden.
Außerdem wird von den Websites erwartet, dass sie es den Nutzern leicht machen, das Cookie-Banner erneut aufzurufen und ihre Präferenzen für die Datenweitergabe zu ändern, wenn sie dies wünschen. Man hofft, dass durch die Standardisierung der Art und Weise, wie die Zustimmung eingeholt wird, die Nutzer das Gefühl haben, mehr Kontrolle über ihre Daten zu haben, und dass sie den Prozess besser verstehen.

Wenn Sie mehr über Cookies wissen möchten, lesen Sie unseren Artikel: Was sind Cookies ?

Ein Leitfaden für die Umstellung auf TCF v2.2

Es wäre eine Untertreibung zu sagen, dass die Version 2.2 des Transparency and Consent Framework sehr umfangreich ist. Es handelt sich um eine der, wenn nicht sogar die umfangreichste Überarbeitung der Richtlinie, gepaart mit einem engen Zeitplan für Anbieter und Verlage gleichermaßen. Um den Übergangsprozess etwas zu erleichtern, haben wir diese kurze Übersicht über die nächsten Schritte zusammengestellt, die jeder vor dem 20. November erledigen sollte:

Überprüfung von Anbietern

Die Überprüfung von Anbietern ist in jedem Fall eine gute Praxis, aber im Vorfeld dieser neuen Richtlinie ist sie eine absolute Notwendigkeit.

Verleger müssen sicherstellen, dass alle Anbieter, mit denen sie zusammenarbeiten, die aktualisierten TCF v2.2-Anforderungen erfüllen. Das bedeutet, dass sie überprüfen müssen, ob sie in der Liste der registrierten TCF v2.2-Anbieter des IAB Europe eingetragen sind und ob alle ihre Dienstleistungen mit den Anforderungen der Richtlinie übereinstimmen.

Publisher sollten auch ihre eigene Anbieterliste überprüfen, um sicherzustellen, dass die Anbieter, mit denen sie zusammenarbeiten, notwendig sind. Es ist wichtig, die Liste der Anbieter zu reduzieren und sicherzustellen, dass jeder Partner einen Mehrwert bietet; wenn die Dienste eines bestimmten Partners nicht genutzt werden, ist es am besten, ihn von der Liste zu streichen.

CMP überprüfen

Cookie-Management-Plattformen werden bei der Umstellung von Websites auf die moderne Version der TCF eine große Rolle spielen. Die neuen UI-Regeln, die wir bereits erläutert haben, beginnen mit diesen Tools, daher ist es wichtig, dass die von einer Website verwendete Plattform an die neuen Anforderungen angepasst werden kann.

Zu diesen Anforderungen gehören in erster Linie eine optimierte Benutzerfreundlichkeit und klare Angaben. CMP-UI-Text und Pop-up-Workflows müssen die IAB-Standards für Klarheit und Transparenz erfüllen und die Anzahl der Anbieter, mit denen eine Website zusammenarbeitet, ordnungsgemäß offenlegen.

Die Integration von Links wird auch für die Erfüllung des neuen TCF-Standards für die Weiterleitung von Datenschutzrichtlinien von wesentlicher Bedeutung sein. CMPs sollten aufgefordert werden, ihren Nutzern Links zu den Datenschutzdokumenten von Anbietern in der Sprache ihrer Dienste zur Verfügung zu stellen.

Interne Überprüfungen durchführen

Schließlich können Geschäftsinhaber und Website-Betreiber von der Durchführung interner Audits ihrer eigenen Websites und Dienste profitieren, um sicherzustellen, dass sie den neuen Rahmen einhalten. Diese Überprüfung sollte sich darauf konzentrieren, sicherzustellen, dass alle Cookie-Banner auf dem neuesten Stand sind und dass die bestehenden Zustimmungsmechanismen mit den Erwartungen von v2.2 für das Zustimmungsmanagement übereinstimmen. Es ist ratsam, ein Team oder zumindest eine bestimmte Person einzusetzen, die diesen Prozess überwacht und sicherstellt, dass er rechtzeitig abgeschlossen wird.

Dinge, die bei der Einführung von TCF v2.2 zu beachten sind

Zusätzlich zu den oben genannten Schritten gibt es noch einige andere Faktoren, die bei der Veröffentlichung des aktualisierten Standards des IAB zu beachten sind.
Vergessen Sie nicht, diese zu berücksichtigen:

Quantität und Qualität der Anbieter

Die neue TCF-Richtlinie begrenzt nicht die maximale Anzahl der Anbieter, mit denen ein Verlag zusammenarbeiten kann. Es gibt auch keine objektiven Kriterien, da die Aufsichtsbehörden anscheinend anerkennen, dass es sich bei diesen Beziehungen zwischen den einzelnen Branchen um Einzelfälle handelt. Dennoch raten viele Experten den Website-Besitzern, bei der Zusammenarbeit mit Anbietern mehr Sorgfalt walten zu lassen. Je mehr Anbieter an einer bestimmten Dynamik beteiligt sind, desto größer ist das Risiko, dass die Fähigkeit der Nutzer, eine informierte Entscheidung zu treffen, beeinträchtigt wird.

Zugänglichkeit

Ganz gleich, ob es sich um die DSGVO, das CPRA oder ein anderes Datenschutzgesetz handelt, es ist von größter Bedeutung, dass alle Datenschutz-Tools einer Website für die Nutzer zugänglich und verständlich sind.
Unternehmen tun gut daran, sich nach einer umfassenden CMP-Lösung umzusehen, die es ihnen ermöglicht, nicht nur die Sprache und die Ästhetik ihrer Datenschutzhinweise zu bearbeiten, sondern auch ihre detaillierten Kontrollen und Aktionen.

Suchen Sie eine All-in-One-Consent-Lösung? CookieFirst ist die Antwort.

In der sich ständig erweiternden Welt der Datenschutz-Compliance kann eine All-in-One-Lösung, die dabei hilft, die Regeln einzuhalten, ein echter Wendepunkt sein.

Aus diesem Grund wenden sich so viele Website-Betreiber an CookieFirst.
CookieFirst ist eine umfassende Plattform zur Verwaltung von Einwilligungen, die Websites dabei hilft, ihre Datenschutzverpflichtungen in Übereinstimmung mit der GDPR, CPRA und anderen globalen Vorschriften zu erfüllen.

Unser robustes Angebot an Tools und Funktionen erleichtert die Anpassung einer Datenschutzstrategie, die sowohl den Bedürfnissen der Besucher als auch denen der Regulierungsbehörden gerecht wird.

Vom Transparency and Consent Framework des IAB bis hin zu den zahllosen Gesetzen in den amerikanischen Bundesstaaten – unser Produkt ist ein One-Stop-Shop für alle Ihre Compliance-Anforderungen. Starten Sie noch heute!