Was ist IAB TCF 2.2?

Das IAB Transparency & Consent Framework (TCF) ist ein standardisierter Satz technischer Spezifikationen und Richtlinien, die Publishern und Werbetreibenden helfen, bestimmte Vorgaben der Datenschutz-Grundverordnung (DSGVO) und der Datenschutzrichtlinie für elektronische Kommunikation (ePrivacy-Richtlinie) einzuhalten. Es berücksichtigt Leitlinien des EDSA und nationaler Datenschutzbehörden. Das TCF 2.2, die neueste Version des Rahmens, wurde am 16. Mai 2023 veröffentlicht.

Updates im TCF 2.2

Das TCF 2.2 enthält Änderungen, die darauf abzielen, die Transparenz und die Kontrolle der Nutzer über ihre Daten zu verbessern. Zu den wichtigsten Änderungen gehören:

Das berechtigte Interesse ist keine Rechtsgrundlage mehr für die Personalisierung von Werbung und Inhalten

Gemäß TCF 2.2 können Anbieter nur die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten für Zwecke der Personalisierung von Werbung und Inhalten heranziehen. Diese Änderung steht im Einklang mit den jüngsten Entscheidungen der Datenschutzbehörden, in denen hervorgehoben wurde, dass die Einwilligung die geeignete Rechtsgrundlage für eine solche Verarbeitung personenbezogener Daten ist. Infolgedessen können TCF-Anbieter bei der Registrierung nur die Einwilligung als akzeptable Rechtsgrundlage für diese Zwecke wählen.

Mehr Transparenz bei der Datennutzung für Endnutzer

Die Transparenz und Zugänglichkeit der Datenschutzeinstellungen für Endnutzer wurde im TCF 2.2 verbessert. 

Unternehmen müssen sicherstellen, dass ihre CMP-Benutzeroberfläche (Consent Management Platform) von den Nutzern leicht wiedergefunden werden kann, sodass sie ihre Einwilligungen und Präferenzen jederzeit ändern können. Bei den CMPs müssen außerdem durchgängig wesentliche Transparenzänderungen umgesetzt werden, wie die Offenlegung der Gesamtzahl der Anbieter, die eine Rechtsgrundlage auf der ersten UI-Ebene anstreben, und die Verwendung benutzerfreundlicherer Beschreibungen der Zwecke, für die Daten erhoben und verarbeitet werden - ergänzt durch konkrete Beispiele. 

Alle Anforderungen für CMPs, Anbieter und Publisher finden Sie hier.

Technische Updates

Das TCF 2.2 enthält auch technische Updates, wie z. B. die Abschaffung des getTCData-Befehls und die Anforderung an Anbieter, Event-Listener zu verwenden, um den TC-String zu erhalten. Diese Änderungen sollen die Leistung und Zuverlässigkeit des TCF verbessern und haben erhebliche Auswirkungen auf Publisher, Werbetreibende und Anbieter.

• Publisher müssen ihre CMPs aktualisieren, um den neuen Anforderungen zu entsprechen.
  
  
• Werbetreibende müssen sicherstellen, dass sie nur mit Anbietern zusammenarbeiten, die dem TCF 2.2 genügen.
  
  
• Anbieter müssen ihre Systeme und Prozesse aktualisieren, um dem neuen Rahmen zu entsprechen.

Insgesamt ist das TCF 2.2 ein positiver Schritt zu mehr Datentransparenz und -kontrolle für die Nutzer. Dank der Änderungen des Rahmens werden Nutzer besser nachvollziehen, wie ihre Daten verwendet werden, und fundierte Entscheidungen über ihre Privatsphäre treffen.

Urteil des Europäischen Gerichtshofs

Am 7. März 2024 fällte der Europäische Gerichtshof ein Urteil darüber, wie der TC-String und das IAB Europe als Ganzes unter der Datenschutz-Grundverordnung zu betrachten sind. Die Entscheidung enthält insbesondere folgende Punkte:

1. Der TC-String gilt nach der Datenschutz-Grundverordnung als personenbezogene Daten, da dieser Daten enthält, die sich auf einen „identifizierbaren Nutzer“ beziehen. Dabei handelt es sich um einen Benutzer, der nicht nur durch den TC-String identifiziert wird, sondern durch eine andere Information, wie eine E-Mail-Adresse oder eine IP-Adresse, die mit dem TC-String verbunden ist.
   
   
2. IAB Europe kann als „gemeinsame für die Verarbeitung Verantwortlicher“ in Bezug auf die Erstellung und Verwendung von TC-Strings durch Publisher und Anbieter betrachtet werden, da das TCF den Zweck des TC-Strings definiert und Spezifikationen für seine Verarbeitung enthält.
   
   
3. IAB Europe ist jedoch nicht notwendigerweise gemeinsam mit den TCF-Teilnehmern für die weitere Datenverarbeitung verantwortlich, es sei denn, sie beeinflussen die Verarbeitung (Zwecke und Mittel) aus eigenen Gründen.

Die Entscheidung des EuGH bedeutet nicht das Ende dieses Verfahrens, den der gesamte Fall wird an das belgische Marktgericht zurückverwiesen, um das Berufungsverfahren fortzusetzen, und kann dann sogar von der belgischen Datenschutzbehörde APD weiter geprüft werden. Dennoch ist dieser Punkt insofern erwähnenswert, als sich dadurch die Beziehung zwischen den TCF-Teilnehmern und dem IAB Europe ändern wird, wenn die Entscheidung bestehen bleibt. 

IAB Europe bemüht sich derzeit um die Genehmigung eines Aktionsplans durch das belgische Marktgericht, um den externen Auswirkungen zu begegnen, die dadurch entstehen können, dass der TC-String als personenbezogene Daten behandelt wird. Weitere Informationen über das Verfahren entnehmen Sie bitte der Website des IAB Europe.

Was bedeutet das TCF 2.2 für Unternehmen?

Die Änderungen im TCF 2.2 werden erhebliche Auswirkungen auf Unternehmen haben, die personenbezogene Daten erheben und verarbeiten. Folgendes sollten Unternehmen beachten:

Aktualisieren Sie Ihre CMPs, damit sie dem TCF 2.2 entsprechen

Dazu gehört auch der Text der Einwilligungsbanner und Pop-ups sowie die Art und Weise, wie Einwilligungen erfasst und gespeichert werden.

Stellen Sie sicher, dass alle Anbieter dem TCF 2.2 genügen

Das bedeutet, dass Sie die Datenschutzrichtlinien des Anbieters überprüfen und sicherstellen müssen, dass er die TCF 2.2-Version der globalen Anbieterliste verwendet.

Aktualisieren Sie Ihre Systeme und Prozesse, um die neuen Anforderungen zu erfüllen

Hierzu können auch Änderungen in der Art und Weise gehören, wie Daten erhoben, gespeichert und verwendet werden.

Unternehmen, die die neuen Anforderungen nicht erfüllen, müssen damit rechnen, dass das IAB Europe die Nichteinhaltung öffentlich bekannt macht und auch die Datenschutzbehörden über die Nichteinhaltung informiert.  

3 Schritte zum Einstieg in das TCF 2.2

Wenn Ihr Unternehmen personenbezogene Daten erhebt und verarbeitet, müssen Sie bald mit der Umstellung auf TCF 2.2 beginnen. Im Folgenden finden Sie drei Schritte, die Sie jetzt in Angriff nehmen können:

1. Lesen Sie die Dokumentation zu TCF 2.2

Das IAB Tech Lab hat eine ausführliche Dokumentation über die Änderungen im TCF 2.2 veröffentlicht. Diese Dokumentation wird Ihnen helfen, die neuen Anforderungen zu verstehen und umzusetzen.

2. Überprüfen Sie Ihre Anbieterliste

Stellen Sie sicher, dass alle Anbieter, die Sie nutzen, das TCF 2.2 erfüllen. Eine Liste der konformen Anbieter finden Sie auf der Website des IAB Tech Lab.

3. Aktualisieren Sie Ihre Systeme und Prozesse

Möglicherweise müssen Sie Ihre Systeme und Prozesse aktualisieren, um die neuen Anforderungen zu erfüllen. Dazu gehören ggf. auch Änderungen in der Art und Weise, wie Daten erhoben, gespeichert und verwendet werden. Unternehmen, die dem TCF unterliegen, müssen bis zum 20. November 2023 auf die Anforderungen des TCF 2.2 umstellen. Was die Modalitäten betrifft, so bleiben alle TC-Strings, die vor dem 20. November unter TCF 2.1 erstellt wurden, auch nach diesem Datum gültig, d. h. es ist keine erneute Anpassung erforderlich.

TC-Strings, die nach dem 20. November unter TCF 2.1 erstellt wurden, gelten jedoch als ungültig.

Für Websites und mobile Anwendungen müssen die CMPs aktualisiert werden, damit sie dem TCF 2.2 entsprechen. Für OneTrust Einwilligung & Präferenzen wurde die CMP entsprechend den neuesten Anforderungen aktualisiert. Kunden, die TCF-Vorlagen verwenden, werden über die Änderungen an der Plattform informiert.

So komplex die Umstellung auf TCF 2.2 auch erscheinen mag, ist es wichtig, so bald wie möglich damit zu beginnen. Je früher Sie die Umstellung in Angriff nehmen, desto mehr Zeit haben Sie, um sicherzustellen, dass Ihr Unternehmen die Anforderungen erfüllt.

Erfahren Sie mehr darüber, wie OneTrust Ihnen helfen kann, die neuen TCF-Anforderungen umzusetzen.