Das Interactive Advertising Bureau (IAB) Europe hat das Transparency and Consent Framework (TCF) entwickelt, um Unternehmen zu unterstützen, die Datenschutzvorschriften der EU einzuhalten. Mit der neuesten Version, TCF 2.2, werden wichtige Neuerungen und Verbesserungen eingeführt, die erhebliche Auswirkungen auf die Werbebranche und insbesondere auf Websitebetreiber haben.
Was ist das IAB TCF 2.2?
Das TCF wurde erstmals 2018 ins Leben gerufen, um klare Leitlinien für den Umgang mit den Datenschutzanforderungen der DSGVO zu bieten. Mit TCF 2.2 hat das IAB die Transparenz für Nutzer verbessert, feinere Zustimmungsoptionen ermöglicht und eine erweiterte Interoperabilität zwischen Werbetreibenden und Technologieanbietern eingeführt. Diese Anpassungen sollen sowohl den Werbetreibenden als auch den Verbrauchern zugutekommen.
Stichtag 1. Oktober 2023 – Die Umsetzungsfrist für das IAB TCF 2.2 ist abgelaufen
Für online Werbetreibende und Betreiber von Webseiten und sind die Änderungen in TCF 2.2 besonders relevant. Hier sind einige zentrale Überlegungen und Handlungsempfehlungen:
Änderungen bei der Rechtsgrundlage für personalisierte Werbung
In der Version IAB TCF 2.1 konnten Anbieter sowohl die Einwilligung als auch das berechtigte Interesse als Rechtsgrundlage für diverse im IAB TCF definierte Verarbeitungszwecke nutzen. Doch mit dem Update auf IAB TCF 2.2 ändert sich dies:
- Berechtigtes Interesse & IAB TCF 2.2: Das berechtigte Interesse wird nun nicht mehr als gültige Rechtsgrundlage für die Zwecke 3 und 4, welche die Erstellung und Nutzung von Profilen für personalisierte Werbung umfassen, sowie die Zwecke 5 und 6, die sich auf die Erstellung und Nutzung von Profilen für personalisierten Content beziehen, anerkannt.
- Einwilligung als neue Anforderung: Für die oben genannten Zwecke sind Anbieter, einschließlich Webseitenbetreiber, jetzt auf die explizite Einwilligung der Nutzer angewiesen.
Webseitenbetreiber sollten sich dieser Neuerungen bewusst sein und sicherstellen, dass sie den Anforderungen des IAB TCF 2.2 entsprechen.
Das IAB TCF 2.2 macht Texte verständlicher
Es sollen nun einfachere Begriffe und klare Beschreibungen für Funktionen verwendet werden. Anstelle von komplizierter Fachsprache bekommen Nutzer jetzt praktische Beispiele und Erklärungen. So können sie besser nachvollziehen, was ihre Zustimmung bedeutet.
Mehr Transparenz zur Datennutzung
Laut IAB TCF 2.2 müssen Anbieter jetzt mehr darüber sagen, wie sie Daten nutzen. Sie müssen folgendes angeben:
- Welche Datenarten sie sammeln
- Wie lange sie diese Daten speichern
- Welche besonderen Gründe sie haben, die Daten zu nutzen (falls das zutrifft)
Klarheit über die Anzahl von Tracking-Tools auf Webseiten
Früher wussten Besucher oft nicht, wie viele Tracking- und Marketingtools auf einer Webseite aktiv sind, wenn sie auf die Datenschutz-Einstellungen (über eine Consent Management Plattform oder „CMP“) zugriffen. Manche Seiten nutzen nur ein einfaches Tool, während andere über 150 verschiedene „Vendoren“ haben – so nennt das IAB TCF die Anbieter dieser Tools. Frühere Versionen des IAB TCF verlangten nicht, dass diese Zahl sofort sichtbar ist. Das ändert sich jetzt: Mit IAB TCF 2.2 müssen Webseiten sofort zeigen, wie viele dieser Tool-Anbieter sie nutzen. So wissen Besucher direkt, wie viele Firmen Zugriff auf ihre Daten haben könnten.
Einfacherer Widerruf der Zustimmung mit IAB TCF 2.2
Das neue Regelwerk betont, dass Nutzer ihre Entscheidungen leicht überdenken können sollten. Webseitenbetreiber und Anbieter von Datenschutz-Einstellungsplattformen (CMPs) müssen es Nutzern ermöglichen, ihre Zustimmung jederzeit einfach zu überprüfen und zurückzuziehen. Dies könnte durch ein immer sichtbares Symbol oder einen Link am Seitenende erreicht werden. Wenn Nutzern zu Beginn eine einfache Möglichkeit geboten wurde, allen Anbietern und Zwecken zuzustimmen (wie ein „Allen zustimmen“-Button), dann sollte es genauso einfach sein, diese Zustimmung später mit einem Klick wieder aufzuheben, z.B. mit einem „Alle ablehnen“-Button.
Was bedeutet das für die Zukunft?
Das aktualisierte IAB TCF 2.2 hat das Datenschutzniveau dank vieler Neuerungen deutlich erhöht. Dies stärkt die Position gegenüber Datenschutzaufsichtsbehörden, indem es leichter gemacht wird, die Übereinstimmung mit der DSGVO und dem TTDSG zu begründen.
Handlungsempfehlungen für Webseitenbetreiber:
- DSGVO- und TTDSG-Compliance prüfen: Webseitenbetreiber sollten jetzt handeln und sicherstellen, dass sie die erforderlichen Umsetzungsmaßnahmen für IAB TCF 2.2 ergriffen haben.
- Automatische Änderungen durch Affiliate- und CMP-Anbieter: Einige Neuerungen werden primär von Affiliate- und CMP-Anbietern implementiert und sollten automatisch für Webseitenbetreiber umgesetzt werden, wie z.B. die Umstellung von berechtigtem Interesse auf Einwilligung bei bestimmten Datenverarbeitungszwecken.
- Eigenverantwortung und Konfiguration: Webseitenbetreiber sollten nicht allein auf automatische Anpassungen vertrauen. Viele CMP-Lösungen sind individuell konfigurierbar. Eine individuelle Konfiguration verlagert einen großen Teil der Verantwortung vom CMP-Anbieter zum Webseitenbetreiber. Es ist daher essenziell, sicherzustellen, dass alle erforderlichen Änderungen bis Oktober 2023 auf der eigenen Webseite vorgenommen wurden.
Schlussendlich trägt der Webseitenbetreiber die Verantwortung für alle Vorgänge auf seiner Webseite, unabhängig vom jeweiligen Rechtsgebiet. Das Einhalten der aktuellen Datenschutzbestimmungen sollte daher höchste Priorität haben.
