Consent Management TCF 2.0: Alles neu im August?
Seit dem 15. August gibt es ein neues Transparency und Consent Framework des IAB (International Advertising Buro). Wer weiterhin Einwilligungserklärungen und damit Daten auf seiner Website sammeln möchte, sollte tunlichst aktualisieren.
Das ist die einfachste aller Formeln für den Betrieb von dynamischen Websites, für Retargeting, Personalisierung oder E-Mail-Marketing. Wer danach verfährt, fährt sicher. Die Einwilligungen sind transparent und rechtskonform einzuholen, man muss den User darüber klar und eindeutig informieren, insbesondere muss man ihm mitteilen, welche Daten gesammelt werden, was man damit vorhat und ob sie eventuell ins nicht EU-Ausland fließen, etwa durch die direkte Einbindung von Analytics-Systemen oder Social Media.
Soweit sollte das jedem Website-Betreiber klar sein und er auf in der Vergangenheit schon so gehandelt haben.
Freilich ist das nur die halbe Wahrheit. Einen Teil der Daten kann man auch ohne Einwilligung sammeln, wenn man ein „Berechtigtes Interesse“ hat. Dieser Begriff wird von Marketern gerne sehr weit, von der Jurisprudenz allerdings eher sehr restriktiv gefasst. „Es gibt keine eindeutige Definition für Berechtigtes Interesse“, sagt die Anwältin Valeria Hoffmann von der Großkanzlei Dentons. „Daten, die zum Betrieb der Website nötig sind, fallen in diese Kategorie“. Was unterdessen wirklich zum Betrieb einer Website nötig ist, ist umstritten. Dynamische Seiten, die User-Sessions aufzeichnen, um immer die passende „nächste“ Seite auszuspielen, liegen im Mittelpunkt des Streits. Ein Onlineshop muss Daten über die Warenkorb-Zusammensetzung mitführen, um funktionieren zu können, ein Wordpress-Blog sicher nicht.
Ist die neue Einwilligungserklärung von Antenne Bayern wirklich transparenter?
TCF 2.0
Wie der einzelne Hausjurist die Frage beantwortet muss auf einer Einzelfallbetrachtung basieren. Fakt ist aber, dass die Einwilligung zum Sammeln der Daten formalen Erfordernissen genügen muss. Die Branche hat sich weitgehend auf das TCF (Transparency und Consent Framework) des IAB verständigt. Wer sich an deren Richtlinien hält, ist nicht nur juristisch weitgehend auf der sicheren Seite, sondern er darf auch das entsprechende Gütesiegel auf der Seite tragen. In Zeiten der intensiven Diskussionen um Datenschutz kann das ein wichtiger Vertrauensanker sein. Allerdings muss man eben auch bereit sein, sich vom IAB testen zu lassen.
Und eben dieses Framework ist zum 15. August aktualisiert worden. Die neue Version ist TFC 2.0. Aussagen unterschiedlicher Marktteilnehmer zufolge erfolgt die Umstellung auf TCF 2 bei zahlreichen Vermarktern und Publishern nur sukzessive. Alle befürchten drastische Reichweitenverluste und weniger Umsatz im Bereich Personalisierung, sollten User die neue Einwilligungserklärung nicht unterzeichnen. Anna Schenk, Managing Director EMEA beim Targeting-Spezialisten Semasio, beziffert im Gespräch mit dem Branchendienst Adzine das Risiko auf bis zu 50 Prozent Reichweitenverlust. Vor allem die Tatsache, dass die Ablehnungsmöglichkeiten für die User genauso prominent dargestellt werden, wie die Zustimmung, macht ihr Sorgen.
TCF2 unterscheidet sich zur Vorgängerversion TCF 1.1 vor allem dadurch, dass aus bislang 5 unterschiedlichen Verwendungszwecken nun 12 werden. Die Publisher können aus 42 sogenannten Stacks auswählen. Das sind vorkonfigurierte Übersichten.
Grund für diese Veränderungen waren Beschwerden diverser Datenschützer. Deren „Feedback“ hat das IAB eingearbeitet. Dabei ließ man sich im Gegensatz zur früheren Version auch von Google beraten. Das erschien dem IAB besonders wichtig, weil dadurch der Datenaustausch zum Google Display Network vereinfacht wird. „Google hat TCF 2 so beeinflusst, dass es gut zu den eigenen Systemen passt“, sagt ein Brancheninsider.
Ob aus Sicht des Nutzers daraus eine Verbesserung in Sachen Transparenz resultiert, wird sich zeigen. Die ersten Beispiele für Consent-Banner nach dem TCF 2 Standard lassen daran aber Zweifel aufkommen. Inhaltlich ist ein möglichst detailliertes Niveau an Transparenz fraglos zu begrüßen, aber für die UX ist die Komplexität möglicherweise zu hoch.
Dennoch ist die Umsetzung aus Sicht der Publisher alternativlos. Das IAB hat angekündigt, bei Verstößen gegen TCF 2 nur zwei Warnungen auszusprechen, bevor der Publisher gesperrt wird. Zu den Verstößen zählt eben auch die Einholung der Erlaubnis nach dem veralteten Standard.
Cookieless future
Das Thema Consent Management ist vor allem auch deshalb zurzeit im Fokus, weil sich die Anstrengungen verstärkt auf das Sammeln eigener 1st-Party-Daten konzentrieren. Jeder Anbieter, der die Chance hat, eigene Daten zu sammeln, hat auch in einer Nach-Cookie-Welt die Möglichkeit, personalisierte Werbung auszuspielen.
Zwar sind die alternativen Techniken zum Datensammeln wie Fingerprinting längst im Einsatz, aber aus Sicht des Datenschutzes ist das nur eine technische Verlagerung des Problems. Insbesondere deutsche Agenturen und Dienstleister sind verunsichert, wann und wie die ePrivacy Richtlinie in eine Verordnung umgesetzt und somit verbindlich wird. Im Gegensatz zum Beispiel zu Frankreich hat Deutschland das noch nicht (prophylaktisch) getan.
„In Deutschland wenden die Datenschutzaufsichtsbehörden auf Cookies und sonstige Tracking Tools nur die DSGVO an. In anderen EU-Staaten würde an dieser Stelle grundsätzlich ein Gesetz zur Anwendung kommen, das die ePrivacy-Richtlinie umsetzt. Deutschland hat die einschlägige Vorschrift aus der Richtlinie jedoch nicht hinreichend umgesetzt, sodass deren Voraussetzungen insoweit nicht greifen. Die Situation wird voraussichtlich auch bis zu der neuen ePrivacy Verordnung bestehen bleiben, deren Inkrafttreten derzeit spätestens bis 2025 erwartet wird“, erläutert Anwältin Valeria Hoffmann.
Bis es soweit ist, herrscht in Deutschland kein grundsätzlicher Erlaubnis-Vorbehalt für das Cookie-basierte Sammeln von Daten. In spezifischen Fällen genügt es, wenn den Nutzern die Möglichkeit zum Widerspruch gegeben wird.
Aber es ist nicht nur die ePrivacy Richtlinie, vor der die Publisher Angst haben, es ist vor allem auch das Verhalten der Browserhersteller. Wenn zum Beispiel Google Cookies nur noch durchlässt, wenn sie mit TCF 2 kompatiblen Einwilligungen gesammelt werden, bricht der Datenmarkt schlagartig zusammen.
Es sei denn, man ist bereits freiwillig diesen Weg gegangen und hat sich entsprechend vorbereitet. Eine Möglichkeit wäre der Einsatz einer Consent Management Plattform vom Stile Didomi, LiveRamp oder Usercentrics. Die kümmern sich im Zweifel auch um die Aktualisierung auf die nächste Version. Sie stellen aber nur die technische Plattform für die Verwaltung der Einwilligungen zur Verfügung. Mit welcher Strategie der Publisher in dieser Hinsicht vorgeht, bleibt jedem selbst überlassen.
Der aufgeklärte User hat eine sehr granulare Kontrolle über die Einwilligungen (Screenshot /Traffective)