Da sich kaum ein Advertiser oder Publisher an die Anforderungen hält – obwohl der Gesetzestext diesbezüglich keinen Spielraum lässt –, sah sich der IAB nun gezwungen, klarzustellen, dass nur eine explizite Einwilligung eine gültige Einwilligung im Rahmen des Transparency and Consent Frameworks (TCF) ist.

In einer Rundmail vom Freitag, den 22. März 2019, an alle registrierten Consent-Management-Plattformen (CMP) führt der IAB dies als “minor clarification” an.

Bisher fand sich dies so nur in einem FAQ-Fragenkatalog vom 21. Juni 2018 als User-Interface-Anforderung wieder: “the user must confirm their choice with an affirmative act”.

Im April 2018 - genau einen Monat bevor die DSGVO in Kraft trat - hatte der IAB das Transparency and Consent Framework (TCF) herausgegeben. Es handelt sich dabei um einen industrie-weiten technischen Standard, um die Präferenzen des Nutzers programmatisch beim Advertiser oder Publisher einzuholen und an weitere AdTech Player wie DSPs, SSPs, Ad Server, Ad Exchanges, etc. entsprechend zu übergeben.

Diese Voraussetzung findet sich mit Wirkung zum 2. April nun auch in Chapter II der Allgemeinen Bedingungen für CMPs als neuer Absatz 5 (3):

“5. Managing legal bases
3. A CMP will generate consent signals only on the basis of a clear affirmative action taken by a user that unambiguously signifies that user’s agreement on the basis of appropriate information in accordance with the law.”

Der IAB stellt klar, dass dies nicht die generellen Anforderungen an CMPs verändert und keine anderen Anpassungen der Bedingungen nötig sind.

Einer der Hintergründe der Änderung dürfte unter anderem der Fall des französischen Werbenetzwerks Vectaury gewesen sein.

Im November hatte die CNIL eine Anweisung veröffentlicht, nach der alle eingeholten Einwilligungen ungültig waren und Vectaury alle Daten, die darauf basierend gesammelt wurden, löschen muss.

Das Brisante dabei: Vectaury hatte sogar eine auf dem IAB Framework basierende CMP eingebaut. Danach wurden Meinungen laut, wonach die Meldung der französischen Behörde so interpretiert wurde, dass das gesamte IAB Framework nicht DSGVO-konform sei.

Der IAB hatte prompt reagiert und Vectaury vom IAB Framework ausgeschlossen. Das Start-up hätte die Anforderungen des Frameworks nicht richtig implementiert.

Ein weiterer Grund ist, dass man auch seit dem 25.05. nach wie vor auf zahlreichen Webseiten im Cookie-Banner einen Text à la “Wenn Sie weitersurfen, stimmen sie der Nutzung von Cookies zu …” liest.

Im Übrigen werden auch schon sämtliche Cookies gesetzt, bevor der Nutzer überhaupt die Chance hatte “weiterzusurfen”.

Google verlangt in seiner Consent Policy schon seit dem 25.05. die ausdrückliche Einwilligung. Auch Facebook verpflichtet den Werbetreibenden in den Consent Developer Guidelines eine explizite Einwilligung ausgehen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte im Februar erstmals 40 Webseiten in Bayern diesbezüglich untersucht – keine der Seiten erfüllte alle drei getesteten Kriterien einer DSGVO-konformen Einwilligung (vorab, informiert, freiwillig). Und das, obwohl Unternehmen nun schon fast zehn Monate hätten konform sein müssen.

Wenn sich die CMPs nicht an die Anforderungen des IAB halten, droht ein Ausschluss aus dem IAB Framework. Dies betrifft sowohl reine CMP-Provider (wie z. B. OneTrust, SourcePoint oder Usercentrics) als auch Inhouse-CMPs.

In derselben E-Mail wird außerdem eine Erhöhung der jährlichen Gebühr für CMPs von 350 € auf 1.200 € angekündigt. Ein weiteres Zeichen dafür, dass der IAB das Framework professionalisiert und vor allem als nachhaltiges Modell weiterführen wird.

Advertiser und Publisher sollten das Framework als Hilfe sehen, den Gesetzesanforderungen gerecht zu werden. Es ist eine Anstrengung der Industrie, Programmatic Advertising, RTB und Konsorten datenschutzkonform zu machen, quasi zu “retten”, was noch zu retten ist.