Neues vom TCF
Der Countdown läuft. Am 15. August wird das Transparency Consent Framework (kurz TCF) in seiner bisherigen Form abgeschaltet, ab dann wird nur noch TCF 2.0 unterstützt. Für Verwender der Vorgängerversion bedeutet das, dass sie die Version 2.0 aktiv implementieren müssen, ein automatisches Upgrade findet nicht statt.
Obwohl höchstrichterliche Entscheidungen zur DSGVO-Compliance des TCF noch nicht ergangen sind, hat sich das TCF, es liegt bereits seit Frühjahr 2020 in der Version 2.0 vor, als best practice für ein standardisiertes Einwilligungsmanagement in der Onlinemarketingbranche etabliert. Es handelt sich beim TCF nicht um eine Software oder ein technisches Tool, sondern um ein Regelwerk des Interactive Advertising Bureau (IAB). Über Consent Management Plattformen soll zum einen der User erkennen können, wohin bei einem Geflecht an Anbietern seine Daten gehen, und zum anderen die Branche, welcher User seine Einwilligung in welchem Umfang erteilt hat.
Wie funktioniert das TCF?
Das TCF listet zum einen die Verarbeitungszwecke und zum anderen die Publisher sowie die beteiligten Dienstleister der Auslieferungskette auf, sie werden dort Vendoren genannt.
In den Rubriken von Verarbeitungszwecken formuliert das TCF 2.0 für die klassische Einwilligung zehn Purposes. Der User kann die Verarbeitung insgesamt oder für einzelne Zwecke gestatten.
Neuerdings stehen außerdem zwei sogenannte Special Purposes für technisch notwendige sowie die Sicherheit betreffende Funktionen zur Verfügung. Diese stützen sich auf berechtigtes Interesse; ein Widerspruch ist nicht möglich. Dasselbe gilt für die als Features gelisteten technischen Mittel.
Für die beiden Special Features (Geolokation bzw. aktives Fingerprinting) wiederum bedarf es eines eigenen Opt-in durch den User.
Vendoren, die am TCF teilnehmen wollen, müssen in der Global Vendor List (GVL) verzeichnet sein. In diese Liste wird nur aufgenommen, wer beim TCF registriert ist; für die Registrierung wiederum stellt das IAB zwingende Voraussetzungen auf. Vendoren können sowohl Processor als auch Controller sein. Das TCF trifft dazu keine Entscheidung. Der User kann allen oder auch einzelnen Vendoren seine Einwilligung erteilen.
Publisher können aus den in der GVL verzeichneten Teilnehmern eine Liste ihrer Partner zusammenstellen. Die GVL wird wöchentlich aktualisiert und enthält eine Versionsnummer. Anhand dieser Nummer lässt sich zweifelsfrei bestimmen, aufgrund welcher Liste ein User seine Einwilligung erteilt hat – und insbesondere, welche Vendoren zu dem betreffenden Zeitpunkt gelistet waren.
Bislang erlaubt es keiner der Purposes ausdrücklich, die erhaltenen Daten innerhalb des Vendorenkreises weiterzugeben. Um das dennoch zu ermöglichen, stützt sich die Branche auf die Überlegung, dass der User seine Einwilligung den ausgewählten Vendoren ja bereits für die gleichen Purposes erteilt hat. Einzelne Fragen sollten in diesem Zusammenhang sorgsam abgewogen werden.
Wie wird das TCF eingesetzt?
Zu jedem der obenstehenden Zwecke liefert das TCF eine benutzerfreundliche Kurzbeschreibung (user friendly text) sowie die rechtsgültige, umfassende Beschreibung (legal text). Mithilfe dieser Fassungen ist es möglich, eine leicht verständliche Einstiegsebene zu schaffen. Von diesen Textbausteinen darf nicht abgewichen werden, die Wiedergabe des legal texts (ggfs. auf einer zweiten Ebene der CMP) ist verpflichtend.
Der Geltungsbereich (scope), für den eine Rechtsgrundlage angegeben wird, kann sich auf ein einzelnes ‚digital property‘, also zB den Webauftritt eines Einzelunternehmens, auf eine definierte Gruppe von ‚digital properties‘, etwa die Webseiten eines Konzerns, oder auch auf alle ‚digital properties‘, die den ‚global scope‘ einbinden, beziehen.
Die CMP darf auch Vendoren aufführen, die nicht am TCF teilnehmen, muss dies aber optisch deutlich klarmachen.
In technischer Hinsicht schafft das TCF einen einheitlichen Standard für alle Akteure. Eine zentrale Rolle spielt der TCF Consent String (TC-String). Dieser String dokumentiert unter anderem die Interaktionen des Users mit der Consent Management Platform (CMP); er enthält auch Informationen zu angezeigten Verarbeitungszwecken, die sich auf berechtigtes Interesse stützen. Nur von der IAB zertifizierte CMPs dürfen einen TC-String erzeugen oder modifizieren. Ein TC-String darf erst dann erstellt werden, wenn der User eine entsprechende Einwilligung abgegeben hat. Stützt sich ein Vendor (nur) auf berechtigtes Interesse, dann enthält der String die Angabe, welchen Purpose eine CMP dem Nutzer angezeigt und damit etabliert hat, sowie etwaige Opt-outs des Users.