Gesetze wie die Datenschutz-Grundverordnung (DSGVO), die EU-Cookie-Richtlinie und das CCPA haben Einwilligungsmanagement-Plattformen (CMPs) für in der EU und den USA tätige Unternehmen, darunter auch Publisher, erforderlich gemacht. In dieser Anleitung erfahren Sie, was eine Einwilligungsmanagement-Plattform ist, warum Publisher sie brauchen und wie Sie das branchenübliche Transparency and Consent Framework in unserer Privacy Controls and Cookie Solution aktivieren.
CMP ist die Abkürzung für Consent Management Platform oder, weniger gebräuchlich, Consent Management Provider. CMPs sind unter anderem für die Weitergabe der Nutzereinwilligung im Rahmen des Transparency and Consent Framework (TCF) verantwortlich und müssen daher registriert sein und die TCF-Standards und -Richtlinien erfüllen.
Einfach ausgedrückt: Eine CMP hilft Ihnen, den Nutzern Transparenz hinsichtlich des Zugriffs und der Speicherung ihrer personenbezogenen Daten (durch Cookies und andere Tracker) zu ermöglichen, und zwar in Übereinstimmung mit den wichtigsten Datenschutzgesetzen wie der DSGVO, der ePrivacy-Richtlinie, dem CCPA und weiteren.
Genauer gesagt helfen Ihnen CMPs dabei, die Präferenzen der Nutzer zu erfassen, zu speichern und zu nutzen, um ihre persönlichen Daten für bestimmte Zwecke zu sammeln und zu verarbeiten (z. B. für Analyse-, Werbe- und Retargeting-Strategien).
Als zertifizierte CMP ermöglicht iubenda Ihnen die Verwaltung von Einwilligungseinstellungen für ePrivacy, DSGVO und CCPA.
Die knappe Antwort: Ja, Sie brauchen wahrscheinlich eine.
A) Für Sie gilt die DSGVO/ePrivacy-Richtlinie oder die britische DSGVO/PECR (sind Sie sich nicht sicher? Machen Sie unser 1-minütiges Quiz), und Ihre Website/App (oder ein von Ihrer Website/App betriebener Drittanbieterdienst) verwendet Cookies oder andere Tracker zur Verarbeitung personenbezogener Daten.
Weil Sie gemäß der ePrivacy-Richtlinie (sowie der PECR, ihrer Umsetzung im Vereinigten Königreich) die Nutzer klar und deutlich über die Verwendung jeglicher Cookies (oder Trackern) auf Ihrer Website/App informieren und eine gültige Einwilligung einholen müssen, bevor Sie Skripte in Verbindung mit nicht notwendige, einwilligungspflichtige Cookies/Trackern ausführen.
Nehmen wir zum Beispiel die in Europa tätigen Publisher. Cookies und Tracker sind ihr täglich Brot, da sie ihnen helfen, ihre Website/App über Drittanbieter zu finanzieren. Die Verwendung von Trackern für Zwecke wie verhaltensorientierte Werbung, Remarketing und Inhaltspersonalisierung erfordert die Einholung der informierten Einwilligung der Nutzer, bevor solche Tracker installiert werden.
Grundsätzlich ist ein Publisher jeder Website-/App-Betreiber, der seine Inhalte über Drittanbieter monetarisiert. Blogs und Online-Zeitungen, die Anzeigen auf ihrer Website/App schalten, sind beispielsweise Publisher.
B) Für Sie gilt das California Consumer Privacy Act (CCPA) (nicht sicher? Machen Sie unser 1-minütiges Quiz), und Sie geben Nutzerdaten (z. B. IP-Adresse) an Dritte weiter, was Sie rechtlich dazu verpflichtet:
Allgemein kann man sich angesichts der rasanten Entwicklung der Datenschutzgesetze weltweit kaum eine Website oder App vorstellen, die keine Einwilligungsmanagement-Plattform benötigt.
Als registrierte CMP haben wir das branchenübliche TCF- und CCPA-Compliance-Framework des IAB Europe in unsere Privacy Controls and Cookie Solution integriert, um Publishern bei der Einhaltung der Gesetze zu helfen und gleichzeitig die Branchenanforderungen zu erfüllen und die Werbeeinnahmen zu maximieren.
Die IAB Transparency and Consent Framework (TCF) ist eine Initiative für digitale Werbung, die Publishern, Technologieanbietern, Agenturen und Werbetreibenden hilft, die Transparenz-, Einwilligungs- und Auswahlanforderungen der DSGVO und der ePrivacy-Richtlinie zu erfüllen, wenn sie personenbezogene Daten verarbeiten oder auf Informationen auf den Geräten der Nutzer zugreifen und/oder diese speichern (z. B. Cookies, Werbekennungen, Gerätekennungen und andere Tracking-Technologien).
Das IAB TCF bietet einen Standardprozess für die Einholung der DSGVO-Einwilligung der Nutzer und die Signalisierung dieser Einwilligungspräferenzen in der gesamten Werbelieferkette (Sie können die Framework-Richtlinien hier einsehen).
Derzeit sind die Anforderungen der allgemeinen Datenschutzverordnung des Vereinigten Königreichs (UK DSVO) und der Privacy and Electronic Communications Regulations des Vereinigten Königreichs identisch mit denen der entsprechenden Vorschriften der EU (DSVO und ePrivacy). DESHALB hilft das TCF-Framework den Unternehmen auch, die aktuellen Anforderungen beider britischen Verordnungen zu erfüllen.
Das TCF bietet ein System (eine Standard-JavaScript-API), das es den verschiedenen Beteiligten des Werbe-Ökosystems ermöglicht, die gleiche Sprache zu sprechen und die Präferenzen des Nutzers untereinander zu kommunizieren. Die Hauptbeteiligten an diesem System sind Publisher, Vendoren (dritte Werbetreibende, die Endnutzerdaten von der Website/App des Publishers durch die Verwendung von Cookies oder anderen Trackern in Verbindung mit der Bereitstellung von Inhalten für die Endnutzer des Publishers sammeln) und CMPs wie iubenda.
Verleger, Anbieter und CMPs, die sich für eine Teilnahme an dem IAB TCF entscheiden, sind alle verpflichtet, das Standard Framework Protokoll und die Richtlinien einzuhalten. Anbieter werden außerdem aufgefordert, sich in die Global Vendor List (GVL) einzutragen, eine zentrale, dynamische Liste von Anbietern, deren Zwecke, maximale Speicher- und Zugriffsdauer sowie URLs für Datenschutzerklärungen. Innerhalb des TCF und der dazugehörigen GVL sind die Zwecke für die Datenverarbeitung ebenfalls standardisiert, und jeder Zweck und jeder Anbieter hat eine individuelle ID. Diese individuelle Anbieter-ID ermöglicht es den Anbietern, die Präferenzen der Nutzer in Bezug auf ihre Dienste und die anderer Anbieter abzurufen und zu interpretieren.
Die über die CMP-Benutzeroberfläche gesammelten Entscheidungen der Nutzer und die Signale der Anbieter werden als Binärwerte dargestellt, in eine möglichst kleine Datenstruktur (Base64) komprimiert und über eine Daisy Chain an das gesamte Ökosystem der Online-Werbung übermittelt.
Die Skripte von Anbietern, die Teil der GVL sind, werden automatisch blockiert, bevor sie vom Nutzer ausgewählt werden können. Jeder Anbieter kann seinen Status überprüfen, indem er zunächst die CMP anpingt und dann auf einen Rückruf der übermittelten ID wartet, die ihm mitteilt, ob er personenbezogene Daten verarbeiten darf.
Obwohl es sich um eine relativ neue Initiative handelt, entwickelt sich das IAB TCF 2.0 schnell zum Industriestandard, an dessen Umsetzung Anbieter wie Google, Adobe und AdRoll beteiligt sind.
Die Aktivierung des TCF 2.0 ist zwar nicht zwingend vorgeschrieben, bietet aber viele Vorteile für Publisher und Nutzer: Sie maximiert die Werbeeinnahmen und ermöglicht Publishern die reibungslose Erfassung und Übermittlung von Nutzerpräferenzen an die Drittanbieter, mit denen sie zusammenarbeiten, während sie gleichzeitig eine strengere Kontrolle darüber ausüben, wie sie die Daten der Nutzer verarbeiten.
Wenn man sich dafür entscheidet, für eine große Zahl von Anbietern Transparenz zu schaffen und zur Schaffung einer Rechtsgrundlage innerhalb des Frameworks beizutragen, kann dies dazu führen, dass die Nutzer geringere Möglichkeiten haben, fundierte Entscheidungen zu treffen, und das rechtliche Risiko für Publisher und Anbieter steigt. Es kann daher dazu führen, dass Anbieter sich weigern, mit Publishern zusammenzuarbeiten, die zu viele Anbieter offenlegen, was sich negativ auf die Werbeeinnahmen der Publisher auswirkt.
Die Belgische Datenschutzbehörde (APD) in einem Beschluss über IAB Europe und das TCF hat ausdrücklich erklärt, dass die Bereitstellung von Transparenz für eine große Zahl von Anbietern einen unverhältnismäßig hohen Zeitaufwand für den Nutzer erfordern würde, um diese Informationen zu lesen, und daher mit der Bedingung einer ausreichend informierten Einwilligung, wie sie in der DSGVO gefordert wird, unvereinbar wäre.
Um die Anzahl der Anbieter einzuschränken, wählen Sie in den TCF-Einstellungen unserer Privacy Controls and Cookie Solution “Nur Anbieter berücksichtigen, die in Ihren Datenschutz- und Cookie-Richtlinien genannt werden”.
Eine Rechtsgrundlage ist ein legitimer Grund, aufgrund dessen personenbezogene Daten verarbeitet werden. Nach der GPDR gibt es sechs mögliche Rechtsgrundlagen. In der Werbebranche werden in der Regel zwei Rechtsgrundlagen verwendet:
Das TCF unterstützt beides, allerdings haben einige nationale Datenschutzbehörden, wie z. B. in Italien und Belgien, die Verwendung des berechtigten Interesses als gültige Rechtsgrundlage ausgeschlossen. Deshalb ist es wichtig, dass Sie sich auf “Nur Einwilligung” beschränken, wenn Sie in diesen Ländern tätig sind (weitere Informationen über länderspezifische Anforderungen finden Sie in unserem Cookie Consent Cheatsheet).
Google unterstützt TCF 2.0 (und spätere Versionen) vollständig. Google ist jetzt Teil der globalen TCF-Anbieterliste (global vendor list): Das bedeutet, dass Sie, wenn Sie Adsense, AdMob oder Ad Manager verwenden, keine separaten Einstellungen für die Personalisierung von Google-Anzeigen mehr benötigen (lesen Sie hier die Pressemitteilung von Google zur Integration von Publishern in das IAB TCF 2.0).
Was ist mit Werbeanbietern, die noch nicht Teil des TCF sind?
Auch wenn das Framework eine immer länger werdende Liste von Werbeanbietern umfasst, sind einige Werbetreibende noch nicht Teil des TCF. Das ist bei einigen Google-Partnern der Fall. Um dieses Problem zu umgehen, hat Google eine vorübergehende technische Spezifikation mit dem Namen Additional Consent Mode definiert, die nur zur Verwendung in Verbindung mit TCF 2.0 gedacht ist und als Überbrückung für Googles Ad Tech Provider dient, die noch nicht in der TCF 2.0 Global Vendor List registriert sind.
📌 iubenda CMP unterstützt die von Google festgelegten TCF-Integrationsanforderungen vollständig, einschließlich des Additional Consent Mode.
Unser Cookie-Einwilligungsmanager für ePrivacy, DSGVO und CCPA ermöglicht Ihnen die Anzeige eines vollständig anpassbaren Cookie-Banners, die Erfassung der Cookie-Einwilligung und die Implementierung einer vorherigen Blockierung.
Als registrierte Consent Management Platform (ID-Nummer 123) ermöglicht die iubenda Privacy Controls and Cookie Solution außerdem die Festlegung von Präferenzen für Werbung und ist mit dem IAB GDPR Transparency and Consent Framework kompatibel. Mit dieser Funktion können Nutzer die Werbepräferenzen für Werbetreibende auf der umfangreichen globalen Anbieterliste (global vendor list) des IAB umschalten.
Um das TCF 2.0+ für Ihre Cookie Solution zu aktivieren, gehen Sie zu Ihrem Dashboard und klicken Sie auf die Website/App, die Sie aktualisieren möchten. Als Nächstes klicken Sie auf den Bearbeiten-Button im Bereich Cookie Solution (falls Sie die Cookie Solution noch nicht aktiviert haben, finden Sie hier eine Anleitung zur Einführung).
Darüber hinaus haben Sie die Möglichkeit, Googles Additional Consent Mode zu aktivieren, eine Funktion, mit der Sie die Einwilligung für Google-Anzeigenpartner einholen können, die noch nicht Teil des Transparency and Consent Framework sind, aber auf der Ad Tech Providers (ATP)-Liste von Google stehen.
Bitte beachten Sie, dass alle früheren Änderungen am Banner-Text rückgängig gemacht werden, wenn das TCF aktiviert ist. Falls Sie also den HTML- oder Banner-Text zuvor bearbeitet haben, testen Sie ihn erneut mit dem Standardtext und den aktivierten Buttons.
Wenn Sie den HTML bearbeiten möchten, müssen Sie unbedingt unseren Standardtext einfügen, indem Sie den Shortcode %{banner_content} in die Eingabe, ein Element mit dem Attribut class="iubenda-cs-accept-btn" und ein Element mit dem Attribut class="iubenda-cs-customize-btn" einfügen.
Wenn Sie das TCF aktivieren, kann der Banner-Text nur noch auf Anfrage bearbeitet werden. Wenn Sie den Text des Cookie-Banners ändern möchten, sollten Sie die IAB-Anforderungen prüfen und uns per Chat oder E-Mail kontaktieren, um die Änderungen genehmigen zu lassen.
Nach der Aktivierung wird Ihr Cookie Solution-Einbettungscode so aussehen:
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>Hierzu (beachten Sie das stub-v2.js Skript, "enableTcf": true und weitere TCF-Optionen):
<script type="text/javascript">
var _iub = _iub || [];
_iub.csConfiguration = {
"lang": "en",
"siteId": XXXXXX, //use your siteId
"cookiePolicyId": YYYYYY, //use your cookiePolicyId
"consentOnContinuedBrowsing": false,
"perPurposeConsent": true,
"invalidateConsentWithoutLog": true,
"floatingPreferencesButtonDisplay": "bottom-right",
"enableTcf": true,
"googleAdditionalConsentMode": true,
"tcfPurposes": {
"1": true,
"2": "consent_only",
"3": "consent_only",
"4": "consent_only",
"5": "consent_only",
"6": "consent_only",
"7": "consent_only",
"8": "consent_only",
"9": "consent_only",
"10": "consent_only"
},
"banner": {
"acceptButtonDisplay": true,
"rejectButtonDisplay": true
"closeButtonRejects": true,
"customizeButtonDisplay": true,
"explicitWithdrawal": true,
"listPurposes": true,
"position": "float-top-center"
}
};
</script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/tcf/stub-v2.js"></script>
<script type="text/javascript" src="//cdn.iubenda.com/cs/iubenda_cs.js" charset="UTF-8" async></script>Nachdem Sie nun den Code der Cookie Solution in body Ihre Seiten eingefügt haben, geht es nun darum, die Skripte der Anbieter vorher zu blockieren.
Die CMP von iubenda stellt die Funktion __tcfapi zur Verfügung, damit die Anbieter die Einwilligung richtig lesen können.
Wir verwenden ein Skript (safe-tcf-v2.js) , das nur dazu dient, das TCF-Cookie zu lesen und die __tcfapi-Funktion freizugeben und nicht direkt die Skripte der Anbieter zu blockieren. Es handelt sich um einen synchronen Aktivator, der ganz am Anfang der Seite läuft und garantiert, dass die Einwilligung innerhalb von 500 ms nach der Ausführung der Anbieterskripte gelesen wird.
Dies ist das Standardverhalten, wenn Sie die IAB TCF-Optionen unseres Konfigurators aktivieren.
Es funktioniert ab dem zweiten Seitenaufruf (wenn die Einwilligung bereits auf der Seite vorhanden ist) und ermöglicht es, eine hohe Ladegeschwindigkeit zu erreichen.
Es kann jedoch zu einigen Kompatibilitätsproblemen mit Google Ad Manager, AdSense und AdMob kommen. Wenn Sie die Anbieter-Skripte direkt blockieren möchten, können Sie dies unten tun.
Die Anbieter haben eine maximale Zeitspanne (in der Regel 500 ms, normalerweise nicht konfigurierbar), um auf die Einwilligung der CMP zu warten.
In Fällen, in denen die CMP nicht innerhalb von maximal 500 ms antwortet, verwendet die Sell-Side-Plattform des Anbieters stattdessen den Opt-out-Status des Nutzers, was bedeutet, dass Ihre Endnutzer in solchen Fällen mit nicht personalisierter Werbung bedient werden.
Dies kann der Fall sein, wenn Sie die Werbedienste von Google wie Ad Manager, AdSense und AdMob nutzen.
Um diese Probleme zu vermeiden, können Sie die Anbieter-Skripte direkt blockieren, indem Sie eine der von unserer Cookie Solution unterstützten Methoden zur vorherigen Blockierung verwenden und sie erst nach Einholung der Zustimmung ausführen.
Auf diese Weise haben Sie eine noch gezieltere Kontrolle über die Einhaltung der Vorschriften und die Schaltung personalisierter Werbung ab dem ersten Seitenaufruf, wenn noch keine Einwilligung eingeholt wurde. Außerdem können Sie damit den Error 2.1a (für Nutzer von Google Ad Manager, AdSense und AdMob) vermeiden.
Unsere Cookie Solution bietet verschiedene Tools zur vorherigen Blockierung von Skripten, die Cookies installieren können. Mehr dazu in unserer Einführung in die vorherige Blockierung von Skripten. Um die Google-Skripte zu blockieren, können Sie direkt auf die Beispiele für Google AdSense und Google Publisher Tag verweisen.
Bitte beachten Sie, dass Sie TCF-Skripte als „Zweck 1“ kennzeichnen müssen, wenn Sie die Funktion zur kategoriebezogenen Einwilligung in der Cookie Solution aktiviert haben (Erforderlich).
stub-v2.js und safe-tcf-v2.js können auch inline eingebettet oder selbst gehostet werden, falls erforderlich. Lesen Sie diese Anleitung für weitere Optimierungstipps.
Um die Einwilligung der __tcfapi-Funktion zu lesen, können Sie die Browserkonsole öffnen und diese Befehle aufrufen:
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) });
window.__tcfapi('getTCData', 2, function(result,success) { console.log(result) }, [1,2]);
window.__tcfapi('ping', 2, function(result) { console.log(result) });Schließlich müssen Sie, wie vom IAB gefordert, einen Link oder Button (z. B. in der Fußzeile) bereitstellen, der es Ihren Besuchern ermöglicht, ihre Einstellungen für das Werbetracking auch nach dem Schließen des Cookie-Banners zu anzupassen.
Sehen wir mal, wie.
Zur Implementierung fügen Sie die iubenda-advertising-preferences-link-Klasse einfach zu einem benutzerdefinierten Link oder Button hinzu:
<a href="#" class="iubenda-advertising-preferences-link">
Update your advertising tracking preferences
</a>Platzieren Sie sie an einer beliebigen Stelle Ihrer Website (normalerweise in der Fußzeile). Sobald Sie auf den obigen Link klicken, öffnet sich das Modal für die Einstellungen für das Werbetracking:
Um die Anforderungen des IAB zu erfüllen, beachten Sie bitte, dass wir, wenn Sie die iubenda-advertising-preferences-link-Klasse nicht implementieren, automatisch ein kleines Widget anzeigen, das auf Ihren Seiten angezeigt wird:
Unter der IAB TCF-Kachel finden Sie diese erweiterten Publisher-Optionen:
Unter der IAB TCF-Kachel finden Sie diese erweiterten Publisher-Optionen:
Wählen Sie dazu in den TCF-Einstellungen im Abschnitt „Beschränkungen“ die Option „Nur Anbieter berücksichtigen, die in Ihren Datenschutz- und Cookie-Richtlinien genannt werden“.
Anbieter müssen demnächst zusätzliche Informationen in der Global Vendor List (GVL) bereitstellen, damit Publisher leichter entscheiden können, mit welchen Anbietern sie zusammenarbeiten wollen.
Wählen Sie dazu die Option „Zwecke einschränken“, entscheiden Sie, welche Zwecke Sie aktivieren möchten, und wählen Sie schließlich die Rechtsgrundlage, auf der personenbezogene Daten für aktive Zwecke verarbeitet werden können.
Hinweis: Wenn Sie sich in diesem Punkt nicht sicher sind, beachten Sie, dass „Nur Einwilligung“ in der Regel die sicherste Option und definitiv die beste Praxis für Profilingzwecke ist.
Wir haben bereits erwähnt, wie wichtig es ist, die Anzahl der Anbieter, mit denen Sie zusammenarbeiten wollen, zu begrenzen. Ein weiterer Vorteil der Transparenz für eine begrenzte Anzahl von Anbietern ist die Möglichkeit, das Problem der Einholung einer neuen Einwilligung bei der Aktualisierung der globalen Anbieterliste praktisch zu beseitigen. Die IAB-Anbieterliste wird fast wöchentlich aktualisiert.
Wenn Sie sich dennoch dafür entscheiden, die Anzahl der Anbieter, mit denen Sie zusammenarbeiten wollen, nicht zu begrenzen, sollten Sie entscheiden, wie Sie mit neuen Einwilligungsanfragen umgehen und vermeiden, dass das Cookie-Banner Nutzern angezeigt wird, die bereits einige Tage oder Wochen zuvor ihre Einwilligung erteilt haben.
In der IAB TCF-Kachel finden Sie einen Abschnitt mit der Bezeichnung Neue Einwilligung bei Aktualisierung der Anbieterliste anfordern, in dem Sie zwischen drei verschiedenen Werten wählen können:
Bitte beachten Sie, dass diese Funktion nicht verfügbar ist, wenn Sie direkt auf eine bestimmte Version der Cookie Solution verweisen (z. B. cdn.iubenda.com/cs/versions/iubenda_cs-1.7.0.js), sondern nur über die offiziellen Current/Beta-Endpunkte.
Einige Anbieter verlangen von Ihnen, dass Sie ausdrücklich die Parameter gdpr und gdpr_consent in ihrer Anfrage angeben. Hier ist ein Snippet, das diese Anforderung erfüllt:
Nachdem Sie die console.log-Zeile mit Hilfe der Variablen gdpr und gdpr_consent durch die Anfrage an den Anbieter ersetzt haben, fügen Sie dieses Snippet unter dem iubenda_cs.js-Skript ein, das automatisch das Anbieter-Skript mit den richtigen Einwilligungsdaten aufruft.
Wenn Ihre Nutzer nun in Ihrem Cookie-Banner auf den Button Mehr erfahren und anpassen (oder den Link zum Werbeeinstellungs-Panel) klicken, um ihre Einstellungen zu verwalten, werden ihnen die folgenden Optionen angezeigt:
Hinweis: Wenn der Nutzer anzeigt, dass er die Einstellungen verwalten möchte, indem er das Einstellungsfenster öffnet, werden alle Cookies standardmäßig „ausgeschaltet“, da eine Bestätigung/Handlung für eine gültige Einwilligung gesetzlich vorgeschrieben ist.
