Die belgische Datenschutzbehörde hat bei der Funktionsweise des Transparency and Consent Framework (TCF) Verstöße gegen die Datenschutz-Grundverordnung festgestellt. Das IAB muss bis Anfang April einen Plan vorlegen, wie die Mängel zu beheben sind. Doch was passiert, wenn dies nicht gelingt? Gibt es einen Plan B?
Es sind harte Zeiten für Online-Marketer. Nun ist sogar das als Branchen-Standard und datenschutzkonform gefeierte Transparency and Consent Framework (TCF) des Interactive Advertising Bureau (IAB) bei Datenschützern in die Kritik geraten. Das Framework soll den standardisierten Rahmen bieten, mit dem Nutzereinwilligungen zur Datenerhebung und -verarbeitung DSGVO-konform erhoben werden können. Anfang Februar veröffentlichte die belgische Datenschutzbehörde APD (L'Autorité de protection des données) jedoch eine Beschwerde, da nach ihrer Einschätzung die Funktionsweise des Frameworks eben nicht den Vorgaben der DSGVO entspricht. Die Kritik betrifft verschiedene Ebenen, auf denen das Framework basiert: den TC-String – also das Signal, über den der Consent übergeben wird –, die vom IAB geführte Vendoren-Liste sowie die Verantwortlichkeit im Sinne einer Instanz, die eine Kontrollfunktion über das Framework, die erhobenen Daten und die teilnehmenden Vendoren ausübt. Detaillierte Einwände gibt es viele seitens des APD.
Hohe Erwartungen der APD
Ein Kritikpunkt am TC-String ist beispielsweise, dass sich Vendoren für die Datenerhebung bisher auf ein berechtigtes Interesse berufen können, um das Framework einzusetzen. Außerdem wünscht die Datenschutzbehörde technische und organisatorische Überwachungsmaßnahmen, damit die Vertraulichkeit und Integrität des TC-Strings gewährleistet ist. In Bezug auf die teilnehmenden Unternehmen wirft das APD dem Verband vor, zwar eine Vendorenliste zu führen, aber für die Registrierung keine Qualitätssicherung durchzuführen. Schließlich erwarten die Datenschützer vom IAB auch, dass Datenschutzfolgeabschätzungen durchgeführt werden und ein Datenschutzbeauftragter bestellt wird.
In insgesamt acht Punkten hat die Datenschutzbehörde ihre Erwartungen formuliert, 250.000 Euro Bußgeld verhängt und dem IAB zwei Monate Zeit gegeben (bis Anfang April) einen Plan vorzulegen, wie die gewünschten Anforderungen umgesetzt werden können. Am 4. März hat das IAB Berufung gegen die Verwaltungsentscheidung der belgischen Datenschutzbehörde eingelegt. Die Berufung hatte das IAB bereits unmittelbar nach dem APD-Entscheid Anfang Februar angekündigt, ebenso wie die Bereitschaft, mit der APD und anderen Datenschutzbehörden zusammenzuarbeiten, um die Zukunft des TCF sicherzustellen – Ausgang ungewiss.
Was wäre, wenn…?
„Ich bin mir sehr sicher, dass auch in Zukunft ein TC-String übergeben wird“, sagt Oliver von Wersch, Partner bei NXT Statista. Ob eine Übergabe allerdings weiterhin auch auf einem legitimen Interesse beruhen könne, sei eine offene Frage, ebenso wie eine mögliche Verschlüsselung des Strings. „Die Maßnahmen wären aufwendig, aber technisch machbar.“ Der Experte geht davon aus, dass es auch künftig einen Marktstandard geben kann – der dann aber eventuell anders ausgestaltet ist. Insbesondere die Kritik der APD, dass das IAB als Verantwortlicher und Kontrollinstanz für das gesamte Framework fungieren soll, könnte Folgen haben. Bisher sind die Publisher als Betreiber für die korrekte Datenerhebung verantwortlich. Sollte dies künftig das IAB sein, wäre es damit auch der zentrale Ansprechpartner für alle Beschwerden in diesem Zusammenhang. Auch um eine Qualitätssicherung der Vendoren sicherzustellen, müssten Kapazitäten aufgestockt werden.
Nach Einschätzung von Oliver von Wersch wäre es daher durchaus denkbar, dass es künftig weiterhin einen TC-String, aber keine zentral geführte Vendoren-Liste gibt. Beispielsweise wäre es möglich, dass große Publisher sich künftig selbst um ihre Vendoren kümmern, diese registrieren und die Qualitätssicherung vornehmen. Das komplette TCF könnte also möglicherweise modularer und dezentraler umgesetzt werden. Bisher sieht die APD aber das IAB in der zentralen Verantwortung. Man darf davon ausgehen, dass auch in den kommenden Wochen noch viel Diskussionen zu diesem Thema stattfinden werden.
Mehr als ein technischer Enabler
Auf Vermarkterseite gibt man sich optimistisch. „Wir sind zuversichtlich, dass es uns zusammen mit unseren deutschen und europäischen Marktpartnern gelingen wird, Digitalwerbung in Deutschland weiter zu ermöglichen“, sagt Thomas Duhr, General Director External Affairs von der Ad Alliance. Der Experte bemängelt, dass das TCF „leider unzulässig verkürzt“ als technischer Enabler für das Teilgebiet des auktionsbasierten Programmatic Advertising gesehen wird. Der Systemansatz des TCF ermögliche als technischer Standard aber weitaus mehr. Auch die reine Auslieferung von Werbung, die Analyse der Nutzung oder die Individualisierung der Produktgestaltung würden auf dem zugrundeliegenden technischen Grundkonzept des TCF basieren, so Duhr. „Mindestens diese Grundlagen der Arbeitsteilung und essenziellen Datenverarbeitung im Internet müssen weiterhin möglich sein. Ansonsten könnte man durchaus von einem aus der DSGVO abgeleiteten Monetarisierungsverbot für Internetangebote in der EU sprechen.“
Auch bei der Adtech-Unternehmensgruppe Virtual Minds beobachtet man die aktuelle Entwicklung sehr genau. „Wir favorisieren unverändert einen neutralen branchenweiten Standard bei der Consent-Übermittlung und arbeiten mit unseren Kunden und Partnern, in deren Auftrag wir Daten verarbeiten, weiteren Marktakteuren sowie den relevanten Verbänden aktiv daran, jetzt aufgeworfene datenschutzrechtliche Anforderungen entsprechend zu lösen“, sagt Tom Peruzzi, Sprecher der Geschäftsführung und CTO Virtual Minds. Das Augenmerk richtet sich seinen Aussagen zufolge dabei auf Maßnahmen, die den Kritikpunkten des APD sowohl prozessual, technisch, als auch formal Rechnung tragen.
Was ist der Plan B?
Aber es ist nicht nur die Entscheidung der belgischen Datenschutzbehörde, die der Branche das Business erschwert. Immer neue rechtliche Entwicklungen und Regelungen setzen dem Online-Advertising zu. Die Restriktionen gegen Third-Party-Cookies, die entsprechenden Initiativen der Browserhersteller, Änderungen auf Betriebssystem-Ebene, Beschwerden, Urteile und nicht zuletzt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) zeigen, dass es immer schwieriger wird, in einem sehr stark regulierten Markt Interessen der Werbetreibenden und Verbraucher unter einen Hut zu bringen. Falls die Bemühungen um das TCF scheitern, stellt sich die Frage nach einem Plan B.
Sollte es zum Worst Case kommen, sieht man sich bei der Ad Alliance bereits jetzt schon gut gerüstet und vorbereitet. „Selbst bei einem umfänglichen Verbot der Datenverarbeitung im Digitalen werden unsere auf kontextuellen Daten und KI basierenden Ansätze zusammen mit der Innovationskraft unserer Mitarbeiter:innen leistungsfähige Digitalwerbung im Sinne unserer Kunden möglich machen“, so Duhr. So wird die Ad Alliance ihren Schwerpunkt künftig ohnehin eher auf Werbelösungen legen, die stärker auf First-Party-Daten und kontextuellen Targeting-Lösungen basieren. Der Plan A und Plan B würden sich hier also nur granular unterscheiden.
Walled Gardens könnten profitieren
Die Unabhängigkeit von einzelnen Technologien oder Lösungen steht in der Branche derzeit hoch im Kurs. Die Virtual-Minds-Gruppe hat seit jeher konsequent auf offene Systemkonzepte gesetzt und sich schon immer weitgehend Technologie-agnostisch aufgestellt. „Der gesamte Adtech-Stack der Virtual-Minds-Gruppe ist in der Lage, neben dem TCF-String weitere Signalings zu verarbeiten, was uns schon mal eine weitreichende Unabhängigkeit gibt“, so Peruzzi. Doch würde das TFC nicht mehr nutzbar sein, hätte dies Auswirkungen auf die gesamte Digitalwerbung. „Das TCF 2.0 mag nicht perfekt sein, aber es hat für den Markt einen sinnvollen und effizienten offenen Standard geschaffen, mit dem sich die datenschutzrechtlichen Anforderungen der DSGVO strukturiert und effizient umsetzen lassen“, sagt Peruzzi. Das TCF ermöglicht aus seiner Sicht ein Technologie-agnostisches, nutzerzentriertes Steuern von Kampagnen und damit die Unabhängigkeit von Lock-in-Ökosystemen. Ein Verbot würde laut Peruzzi das Zurückfallen auf Insellösungen bedeuten, von denen nur die großen Login-gestützten Walled Gardens profitieren. „Es wäre damit ganz klar ein Rückschritt in puncto Transparenz, Marktinnovation und Verbraucherschutz.
EVENT-TIPP ADZINE Live - Industry Preview - Media & Tech Agenda 2025 am 22. Januar 2025, 11:00 Uhr - 12:30 Uhr
Welche Themen sollten Advertiser und ihre Agenturen, aber auch die Medien, ganz oben auf der Agenda haben für 2025? Welche Technologien werden bei den großen Herausforderungen, wie z.B. Datenschutz, Addressability, Qualitätssicherung, Messbarkeit und Einkaufseffizienz im digitalen Mediabusiness 2025 eine wichtige Rolle spielen? Jetzt anmelden!