Seit mehr als zwei Jahren gilt die europäische Datenschutzgrundverordnung, die die Grundlage für die rechtmäßige Verarbeitung von personenbezogenen Daten bildet. Soweit so bekannt. Aber wenn es darum geht, diese korrekt anzuwenden, bestehen noch immer massive Lücken. Unsere Branche ist auf die Erhebung von Daten angewiesen, sie bilden die Grundlage unseres Geschäfts. Die Grundlage für die korrekte Erhebung der dafür zentralen ID ist die Einwilligung des Nutzers. „Consent“ als der Ursprung aller Aktivitäten. Es liegt also in unserem ureigenen Interesse, uns genau damit zu beschäftigen, wie diese Einwilligung zustande kommt.

Dabei geht es nicht nur um „Ja“- oder „Nein“-Buttons. Die Frage ist auch, wie diese Buttons, beziehungsweise die Layer, auf denen sie sich befinden, aussehen. Wie einfach ist es „Nein“ zu sagen? Wie klar wird das Ziel der Datenverarbeitung an die User kommuniziert? Wie transparent ist das gesamte Verfahren? Nutzerinnen und Nutzer geben ihre Zustimmung zur Verarbeitung ihrer persönlichen Daten dann, wenn sie einen konkreten Mehrwert sehen und wenn sie mit dem Zweck einverstanden sind. Oder aber, wenn sie den Zweck nicht verstehen. Und wenn sie den Zweck nicht verstehen können, weil die Einholung zu intransparent erfolgt. In diesem Fall kann eben nicht von Consent die Rede sein. Denn die Art und Weise, wie eine Frage gestellt wird, beeinflusst die Antwort.

Gleichzeitig muss beachtet werden, ob die Zustimmung, die eingeholt wird, denn auch die ist, die eingeholt werden muss. Wir haben es also mit zwei Ebenen zu tun: mit der juristischen beziehungsweise datenschutzrechtlichen und mit der Ebene der User Experience. Beide bedingen sich gegenseitig. Beide müssen synchronisiert werden, ansonsten ist die Abfrage zur Datensammlung schlicht ungültig.

Und damit sind wir auch am Kern angelangt. Denn noch immer herrscht teils große Verunsicherung darüber, wie, wann, von wem und auf welche Art und Weise überhaupt abgefragt werden muss, ob Daten verwendet werden dürfen. Zum Einsatz kommen daher Consent-Management-Plattformen (CMP), die diesen Job übernehmen. Für digitale Werbung ist es zentral, dass diese CMPs die Sprache des Transparency and Consent Framework 2.0 vom IAB Tech Lab sprechen.

Das aktualisierte Framework ist seit dem 15. August verfügbar und bietet einen branchenübergreifenden technischen Standard zum Abrufen und Übertragen der Einwilligung von Nutzerinnen und Nutzern. Zum Einsatz kommt es zwischen Publisher und angeschlossenen Drittanbietern. Es entspricht den Richtlinien der DSGVO und unterstützt die Teilnehmenden daher bei der Einhaltung der Datenschutzbestimmungen. TCF 2.0 bildet das Grundgerüst, auf dessen Basis Consent-Management-Plattformen arbeiten, um User rechtssicher über die Verarbeitungsmöglichkeiten ihrer Daten aufzuklären und Zustimmung abzufragen. Immer mehr Drittanbieter schließen sich diesem Standard an und lassen Publisher, die nicht beim TCF 2.0 zertifiziert sind, nicht mehr zu. Das ist ein wichtiger Schritt, um eine Vereinheitlichung der Branche zu erreichen, in der am Ende Rechtssicherheit und damit einhergehend klare Maßstäbe in der User Experience dieser CMPs herrschen.

Die Entwicklung von TCF 2.0 hat gedauert, ja. Doch dieser Prozess war wichtig, um alle Beteiligten zu Wort kommen zu lassen, unterschiedliche Perspektiven in die Entwicklung einzubeziehen und alle juristischen Fragen zu klären. Überstürzt loszulaufen, hätte die Gefahr mit sich gebracht, Daten falsch zu erheben. Das hätte am Ende zu größeren Problemen geführt, als sich in Geduld und Sorgfalt zu üben. So haben wir nun eine Lösung vorliegen, die auf Basis der unterschiedlichen Interessen und der aktuellen Rechtslage funktioniert. Von der Illusion eines Standards, mit dem alle zu 100 Prozent zufrieden sind, müssen wir uns lösen. Dennoch ist die vorliegende Antwort auf die größten Herausforderungen unserer Branche eine, mit der die Beteiligten maximal zufrieden sein können.

Das TCF 2.0 standardisiert die rechtssichere Consent-Einholung zur Verarbeitung der Daten, die über die jeweilige ID eingesammelt werden. Diese klaren Regeln wiederum benötigen wir, um uns dem nächsten Schritt widmen zu können: der Steigerung der Datenqualität mittels Etablierung loginbasierter Lösungen. Loginbasiert deshalb, weil die Browser zu Gate Keepern werden und mittel- bis langfristig keine Third-Party-Cookies mehr zulassen werden und browserbasierte First-Party-Cookies bereits heute auch nicht mehr besonders langlebig sind. Eine neue Lösung muss daher her, um programmatisches Advertising, wie wir es heute können, weiter zu ermöglichen. Loginbasierte Kennungen sind aufgrund ihres deterministischen Charakters zuverlässig und präzise, sie sind mehrgerätfähig und persistent speicherbar. Ihr größter Makel jedoch ist heute noch ihre geringe Marktdurchdringung. Diese liegt unter anderem in einer Unsicherheit des Marktes über den Umgang mit DSGVO, Eprivacy Verordnung oder eben der Post-Cookie-Ära als Folge der gesetzlichen Regelungen. Das TCF 2.0 bringt uns damit einen Schritt weiter auf dem Weg eines umfassend integrierten Ökosystems.