Update Datenschutz Nr. 155
Stichtag 1. Oktober 2023 – Die Umsetzungsfrist für das IAB TCF 2.2 läuft ab
Was ist das IAB TCF?
Bei dem "Transparency and Consent Framework" ("TCF") des Interactive Advertising Bureau ("IAB") handelt es sich um einen Branchenstandard für Online-Marketing. In Deutschland wird es inzwischen auf nahezu jeder Webseite und in einer Vielzahl von Apps eingesetzt. Das TCF enthält Regeln, wie die verschiedenen Akteure – z. B. die Anbieter von Consent Management Plattformen, Webseitenbetreiber oder die Anbieter von Marketing- und Tracking-Tools – zusammenarbeiten. Es dient insoweit insgesamt der Einhaltung des Datenschutzrechts. Details zum IAB TCF finden Sie in unseren Updates Nr. 131, Nr. 128 und Nr. 76.
Update auf IAB TCF 2.2 mit Umsetzungsfrist
Seit dem 16. Mai 2023 gelten die neuen Regeln der Version 2.2 des IAB TCF. Für diese wurde eine Umsetzungsfrist bis Ende September 2023 eingeführt. Spätestens ab Oktober müssen sich daher alle unter dem IAB TCF registrierten Akteure – also vor allem die Anbieter von Marketing- und Tracking-Tools sowie von Consent Management Plattformen – an die neuen Regeln halten.
Hintergrund der Überarbeitung war auch das Aufsichtsverfahren der belgischen Datenschutzbehörde gegen das IAB (wie haben berichtet Update Nr. 131 und Nr. 109. In diesem Zusammenhang hat die Behörde dem IAB verschiedene Vorgaben für die Überarbeitung des IAB TCF auferlegt. Diese wurden in der Version 2.2 nunmehr umgesetzt.
Die wichtigsten Änderungen im Überblick
Die folgenden Änderungen sollten allen Akteuren im Bereich des Online-Marketings bekannt sein:
- Rechtsgrundlage: In IAB TCF 2.1 hatten Anbieter die Möglichkeit, sowohl die Einwilligung als auch das berechtigte Interesse als Rechtsgrundlage für die verschiedenen im IAB TCF definierten Verarbeitungszwecke anzugeben. Gemäß IAB TCF 2.2 gilt das berechtigte Interesse nun nicht mehr als akzeptable Rechtsgrundlage für die Zwecke 3 und 4 (Erstellung und Nutzung von Profilen für personalisierte Werbung) sowie die Zwecke 5 und 6 (Erstellung und Nutzung von Profilen für personalisierten Content). Für diese Zwecke sind Anbieter – und damit auch Webseitenbetreiber – nunmehr auf die Einwilligung angewiesen.
- Bessere Verständlichkeit des vergebenen Wordings: IAB TCF 2.2 führt verbesserte Bezeichnungen, Beschreibungen und Erklärungen für Zwecke und Funktionen ein. Statt komplexer Rechtssprache erhalten die Nutzer nun Erklärungen und Beispiele aus der Praxis, die es ihnen erleichtern, die Auswirkungen ihrer Einwilligung zu verstehen.
- Neuer Zweck Nr. 11: Als neuer Datenverarbeitungszweck Nr. 11 wird die „Verwendung eingeschränkter Daten zur Auswahl von Content“ eingeführt. Hierbei geht es um die Auswahl und Bereitstellung von nicht werblichen Inhalten auf der Grundlage von Echtzeitdaten (z. B. Informationen über den Seiteninhalt oder ungenaue Standortdaten) und die Steuerung der Häufigkeit oder Reihenfolge, in der einem Nutzer Inhalte präsentiert werden (frequency capping). Dies umfasst indes nicht die Erstellung oder Verwendung von Profilen zur Auswahl personalisierter Inhalte.
- Zusätzliche Anbieterinformationen: Gemäß IAB TCF 2.2 sind Anbieter verpflichtet, zusätzliche Details dazu bereitzustellen, wie sie Daten verarbeiten. Diese Angaben umfassen:
- Die Kategorien der erhobenen Daten
- Die Aufbewahrungsfristen für die einzelnen Zwecke
- Die involvierten berechtigten Interessen (falls zutreffend)
- Transparenz über die Anzahl der genutzten Tracking- und Marketingtools: Bislang wird der Besucher einer Webseite häufig auf dem ersten Layer einer Consent Management Plattform ("CMP") nicht darüber informiert, für wie viele Tracking- und Marketingtools eine Einwilligungserklärung abgegeben werden soll. Die Anzahl der eingebundenen Tools schwankt in der Praxis erheblich: Während einige Webseiten nur einen simplen Tracker eingebaut haben, nutzen andere zur Optimierung des Marketingumsatzes über 150 "Vendoren" (dies ist der IAB-TCF-Fachbegriff für Anbieter von Tracking- und Marketingtools). In den vorangegangenen Versionen des IAB TCF war es nicht verpflichtend, auf dem ersten Layer die Anzahl der Vendoren auszuweisen. Dies ändert sich mit dem IAB TCF 2.2: Die Anzahl der genutzten Toolanbieter muss nun deutlich erkennbar sein, schon bevor der Nutzer sich in die "Einstellungsoptionen" begibt. So erkennt ein Nutzer auf Anhieb, wie viele weitere Akteure seine Daten erhalten.
- Erleichterung des Widerrufs der Einwilligung: Das IAB TCF 2.2 unterstreicht die Bedeutung der Nutzerkontrolle: So verlangt es von Webseitenbetreibern und CMP-Anbietern, dass sie sicherstellen, dass Nutzer die CMP-Schnittstelle auch nach der Abgabe einer Einwilligungserklärung jederzeit erneut aufrufen und ihre Einwilligung ohne Umstände widerrufen können. Dies kann z. B. über ein schwebendes Symbol oder einen Link in der Fußzeile geschehen. Wenn die anfänglich den Nutzern präsentierte Aufforderung zur Einwilligung eine Aufforderung zum Handeln enthält, die es den Nutzern ermöglicht, mit einem Klick bezüglich aller Zwecke und Anbieter einzuwilligen (z. B. "Allen zustimmen"), sollte eine gleichwertige Aufforderung zum Handeln bereitgestellt werden, wenn Nutzer die CMP-Schnittstelle erneut aufrufen, um die Einwilligung zu allen Zwecken und Anbietern mit einem Klick zu widerrufen (z. B. "Alle ablehnen").
Bedeutung für die Praxis – was ist jetzt zu tun?
Insgesamt ist es zu begrüßen, dass das IAB TCF 2.2 das Datenschutzniveau durch die zahlreichen Neuerungen signifikant anhebt. Dies führt dazu, dass gegenüber Datenschutzaufsichtsbehörden nun noch besser als zuvor argumentiert werden kann, dass die Einhaltung des IAB TCF zu einer ausreichenden DSGVO- und TTDSG-Compliance führt.
Webseitenbetreiber sollten nun dringend prüfen, ob sie die oben genannten Umsetzungsmaßnahmen ergriffen haben. Einige der Änderungen erfolgen auch aus Sicht des Webseitenbetreibers "automatisch", da hierfür primär die Vendoren und CMP-Anbieter verantwortlich sind. Dies gilt z. B. für die Umstellung von berechtigtem Interesse auf Einwilligung für bestimmte Datenverarbeitungszwecke. Dennoch sollte ein Webseitenbetreiber prüfen, ob die oben genannten Änderungen auch tatsächlich bis Oktober 2023 auf seiner Webseite umgesetzt wurden. Viele CMPs sind stark "konfigurierbar" und durch die Durchführung einer individuellen Konfiguration geht ein erheblicher Teil der Verantwortung von dem CMP-Anbieter auf den Webseitenbetreiber über. Nach außen ist der Webseitenbetreiber rechtsgebietsübergreifend ohnehin für (fast) alles verantwortlich, was auf seiner Webseite passiert.