Heiko Gossen
Stefan Hanloser
Stefan Santer
Das Transparency & Consent Framework (kurz TCF 2.0) des IAB Europe (Interactive Advertising Bureau – einem europäischen Dachverband des Digitalmarketing- und Onlinewerbe-Ökosystems) wird auf vielen, auch deutschsprachigen Webseiten eingesetzt. Als Internetnutzer kommt man nicht daran vorbei. Eingesetzt wird es typischerweise über Cookiebanner. Somit können u.a. Einwilligungen zum Setzen von Cookies gesteuert und weitergereicht (bspw. zu Werbezwecken) werden. Aber wie funktiniert das Framework, welche Beteiligten an der Kommunikation gibt es und was kann das Framework nicht? Das Framework wurde vom IAB Europe entwickelt und wird von Aufsichtsbehörden kritisiert. Im zweiten Teil (https://migosens.de/tcf-und-die-aufsichtsbehoerden) geht es darüber hinaus auch um das Verfahren der Belgischen https://migosens.de/tcf-und-die-aufsichtsbehoerdenAufsichtsbehörde ADP gegen den IAB Europe.
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/ (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/funktionsweise-von-cookiebannern-mit-tcf-2-0-stefan-hanloser-und-stefan-santer-im-datenschutz-talk
#dsgvo #podcast #datenschutz #TTDSG #CMP #TCF
Transkript zur Folge: Bevor es losgeht, ein kleiner organisatorischer Hinweis. Wir haben diese Folge zweigeteilt. Im ersten Teil geht es und das ist dieser hier vor allen Dingen um die Funktionsweise des TCF des Transparency and Concent Framework, was man auf vielen Webseiten findet, die vor allen Dingen halt mit Werbung Geld verdienen. Und im zweiten Teil geht es dann vor allen Dingen um das Verfahren belgischen Aufsichtsbehörde der ADP gegen den IAB Europe, der das Verfahren entwickelt hat. Und damit sage ich viel Spaß mit dem ersten Teil. Herzlich willkommen zum Datenschutztalk. Ihrem Podcast für die Themen Datenschutz und Informationssicherheit. Music. Und ich begrüße Sie wieder zu einer neuen Themenfolge des Datenschutztalk Podcast der Migos. Mit zwei Gästen, die ich begrüßen darf und einem spannenden Thema, nämlich dem Thema TCF zwei Punkt null. Was das ist und worum es dabei genau geht, das erfahren wir gleich. Ich begrüße erstmal meine beiden Gäste, ich darf zum einen Stephan Hannloser begrüßen. Der ist Rechtsanwalt und promovierter Jurist. Seit 2016 bei ProSieben Sat1 Media als Vice-Präsident Data Protection law dort heute tätig und war bis zwanzigeinundzwanzig auch Directors Board des m oder Mitglied des Director Bord des IAB. Herzlich willkommen Stefan, ich grüße dich. Ja hallo. Danke, dass ich da sein darf. Ja, wir kennen uns genauso wie den zweiten Gast, den ich begrüßen darf über den Bitcom Arbeitskreis Datenschutz Und damit komme ich zu unserem zweiten Gast, der auch Stefan Heiß, aber Stefan Santa. Zuständig für den deutschsprachigen Raum bei dem CMP-Anbieter die Domi und ist Vorsitzender der Arbeitsgruppe Public Affairs, das IAB Austria, auch m ein herzliches Willkommen an dich, Stefan Santa Hallo Heiko, danke für die Teilnahme und die Aufnahme. Stefan, ich nenne dich jetzt mal einfach Stefan S, weil wir haben jetzt zwei Stefans, das macht’s natürlich etwas herausfordernd vielleicht jetzt in der Ansprache, deswegen nicht nicht wundern Sie, liebe Zuhörer werden natürlich die beiden gut an der Stimme unterscheiden können Stefan ist die Domi und CMP, vielleicht magst du unseren zuhörenden kurz erläutern, was H CMP bedeutet und B, was die Domi dann im Genauen macht. Sehr gerne, Heiko, also erste Frage CMB bedeutet oder heißt Concentmanagement-Plattform, ja und wir sind als CMB-Anbieter eine Plattform Anbieter. Was heißt das im Konkreten? Ich versuche es einfach zu halten. Wir sprechen dabei von den sogenannten Konsent-Pannern ja landläufig auch Cookiebanner genannt auf der Website. Die kennen sicher die meisten und wir sind eine Technologie, eine Plattform, Softwarenesse Service, die es Unternehmen ermöglicht der die Verwaltung dieser Concert-Panna und die mit dem zusammenstehenden Einwilligungen. Zu verwalten und an die jeweiligen Systeme im Textdeck, also in in den Technologien zu zu verarbeiten und auszuspielen. Stefan H, du bist bei ProSieben Sat1 Media, habe ich eben schon gesagt. Das brauchen wir gleich, glaube ich, keinem unserer Zuhörenden noch zu erklären, was ProSieben Sat1macht und ist Wie ist aber jetzt das Zusammenspiel mit IAB, wo du Member das Board warst und wie bist du zu der Rolle gekommen und vielleicht sagst du auch noch ein, zwei Sätze dazu, was ist überhaupt der IAB. Zu der Rolle bin ich durch Wahl gekommen. insofern ist das recht einfach. Das entsprechend die die Mitgliederversammlung m wlt, die die die Member des Boards aber das ist glaube ich nicht der Kern der Frage. IB Europe ist so bedeutend für die für die Medienindustrie insgesamt, aber eigentlich auch für alle Anbieter von Onlinediensten, insbesondere eben durch das TCF, dass wir hier zum Gegenstand des Podcasts haben Ein Verband mit Sitz in Brüssel in Belgien hat sich frühzeitig des Themas GDPA, DSGVO und die Umsetzung der Anforderungen der Compliance Anforderungen aus der DSGVO in arbeitsteiligen Systemen, wie beispielsweise dem werbefinanzierten Onlinediensten und dazu gehören natürlich auch unsere Angebote, die ich dem Thema verschrieben und hat entsprechend im in diesem Rahmen das TCF als eine Möglichkeit, hier Datenschutz Compliant hier Einwilligungen einzuholen, m Widersprüche zu ermöglichen und damit auch eben in diesen arbeitsteiligen Systemen online System. Hier Datenschutz Complites nach DSGVO zu ermöglichen. Das ist die Verbindung, Das ist die Verbindung und da ist Sat1 ProSieben, Sat1 natürlich als Publisher hochgradig wahrscheinlich daran interessiert, datenschutzkonforme Werbemöglichkeiten anbieten zu können. Korrekt. Ich würde das mal versuchen noch mal für mich klar zu bekommen und würd’s nochmal versuchen zu zu einzusortieren, was TCF letztendlich soll und kann. Also ich glaube ausgesprochen heißt dieses Akronym Transparency and Concentramework und soll letztendlich die Rolle zwischen den Leuten, die eine Webseite betreiben, auf die sie Werbung Sie Werbung einbinden möchten und Werbetreibenden letztendlich ermöglichen, das datenschutzkonform zu machen und vor allen Dingen das, was ja im Rahmen von Werbung, Online-Werbung natürlich ein ganz großer Aspekt ist auch die Möglichkeit der Versteigerung von Werbeplätzen zu ermöglichen, um halt für den Webseitenbetreiber natürlich ein attraktives ein attraktives Angebot für seinen Werbeplatz zu bekommen und das Ganze soll. Basierend auf diesem Framework auch mit Einbiedium Datenschutz konform möglich sein. Habe ich das soweit richtig zusammengefasst. Ja, völlig korrekt. In der engsten Version ich glaube einleitend kann man das Ganze auch etwas weiter den Bogen spannen. Letztlich geht es um eine Herausforderung, dass wir einerseits die Betroffenen haben, die Nutzer, um deren Einwilligung oder potenzielle Widersprüche gegen berechtigte Verarbeitungsinteressen es geht Haben wir einen Akteur in einem hoch arbeitsteiligen Ökosystem. Der die letzte Meile zu dem Nutzer der Nutzerin hat. Das mag einen Webseitenbetreiber sein, aber das kannst du genauso dir vorstellen bei Connected Cars. Auch da gibt es eben eine letzte Meile oder bei sonstigen, beim Internet, auf Dings immer dann. Wenn es einen Akteur gibt in einem arbeitsteiligen System, der die Kommunikationsmöglichkeit, den der Point of Contact zum Nutzer ist, hat eben dieser eine Akteur, das kann ein Webseitenbetreiber sein, ein IOT-Anbieter für das gesamte Ökosystem die Möglichkeit, hier den Einwilligungsdialog oder den Widerspruchsdialog zu führen. Und dieses, diesen Dialog, datenschutzkonform abzubilden mit den Anforderungen der DSGVO ist im konkreten Anwendungsfall, wie du’s grad gesagt hast, Online-Dienste, Werbe finanziert oder auch nicht. Entsprechend umgesetzt, insofern ist das TCF, wenn man über den konkreten Anwendungsfall mal hinausgeht, auch eine Blaupause für andere Systeme, wo man Einwilligungen. Ein Einwilligungsdialog oder einen Widerspruchsdialog führt. Für eine größere Gruppe von Interessierten, Akteuren, die dann gemeinsam ein arbeitszeitiges Produkt für den Nutzer zur Verfügung stellen in allen möglichen Bereichen, aber Wie gesagt, das TCF hat einen klaren Zuschnitt jetzt für den Onlinebereich. Onlinedienste korrekt ja. Okay, also man muss es nicht nur oder man kann es nicht nur für Werbung nutzen, sondern die Idee dahinter ist halt erst mal eine Methode und eine Logik zu entwickeln, mit der halt, wie du schon sagst, verschiedene Akteure zusammen Services. Produkte, Werbung verschiedenste Aspekte sozusagen datenschutzkonform abbilden können, anbieten können und das basierend auf Einwilligungen oder Widerspruchsmöglichkeiten. Exakt. Die Vielzahl, hast du gerade schon angesprochen, das ist, glaube ich, auch das, wie die meisten User wahrscheinlich überhaupt dieses Wahrnehmen, also. Man kennt Cookie-Banner. Die sind sehr unterschiedlich gestaltet natürlich. Da Stefan S, wirst du gleich auch noch was zu sagen können aber beim ich habe so das Gefühl, man erkennt es immer daran sehr gut, dass es halt dann eine eine sehr lange Liste an Am dritten gibt an die gegebenenfalls Daten übermittelt werden sollen und die ich natürlich dann wo ich einwilligen kann als User. Wie funktioniert das technisch Stefan S. Vielleicht kannst du uns unseren Zuhörenden einmal kurz skizzieren, wie das eigentlich im Hintergrund dann genau abläuft, wenn in so einem Cookie-Banner. Abfrage kommt. Ja, sehr gerne, Heiko, ich möchte kurz vorab noch . Um das Ganze einfacher zu veranschaulichen. Dazu sagen, dass woher kommt das? Ich glaube, das ist immer ganz wichtig, auch die Logik dahinter, ja, TCF. wenn wir von TCF sprechen, ja, sprechen wir von einem Industriestandard, also es wurde ein Standard geschaffen. Um in dem konkreten Fall sage ich mal rechtliche Anforderungen zu erfüllen, ja. Das ist aber nur ein Teil von dem ganzen Pastler, einen anderen Teil ein anderer Teil ist, was so schön heißt, Open RTB. Ja und das war eigentlich schon ein Schritt davor ja die IB hat das Open RTB quasi entwickelt. Um um sage ich einmal Werbung programmatisch sage ich mal umsetzen zu können und Bit programmatisch meine ich ganz schnell ja wir sprechen ja von real time. Das kann man sich so vorstellen wie auch m weiß ich nicht, die New York Stock Exchange ein viel in der Finanzindustrie kennen wir das auch sehr. Schnell Transaktionen abgewickelt werden, ja? Und das kann man sich so als Brücke für. Für die für die für das TCF oder für diese programmatische Advertising heranziehen, ja? Das heißt, es geht sehr schnell und es sind, wie Stefan gesagt hast, sehr viele Akteure da involviert. Und wenn es darum geht, das zu vereinfachen und auch darum geht, die rechtlichen Anforderungen einzuhalten, kommen CMWs ins Spiel, ja und CMBs, wenn man so will. Schäden m oder sind ein ein Akteur, der eine eine Schnittstelle, wenn man so will, zur Verfügung stellt, die auf der einen Seite. Den letzten. Wenn man so will, ja, sei es eine Website ein Webseitenbetreiber oder ein Caranbieter, ja, die Möglichkeit gibt, die Einwilligungen zu sammeln, ja, die Einwilligung nehmen rechtskonform zu sammeln und dann, was sehr oft auch sehr wichtig ist, denn jeweiligen Akteuren, man spricht von Trittanbietern im im DCF und sogenannten Bindogaren diese Einwilligungen oder diese Einwilligungen denen zu zur Verfügung zu stellen, ja in Form einer Schnittstelle, einer sogenannten API, dass die Vendoren, die Trittanbieter auch wissen, was sie machen dürfen, ja, Sprichwort liegt ein Konsen vor. Oder was sie auch nicht dürfen, Stichwort ist dir kein Konsens vor. Und dies das DCF und die die ganze Industrie war natürlich darauf m sage ich mal, angewiesen, ja? eine Standard zu haben und dann auch die Technologie dahinter in Form von TMBs und hier ist ganz wichtig zu unterscheiden, dass es. Heißt nicht per se schon, dass das eine DCF-Compliment CMB ist, ja, sondern man muss da auch schauen, dass ein CMB-Anbieter wie wir, hat. Ein gewisses Verfahren zu durchlaufen, um ein TCF Compliance zu sein oder zu werden und wenn das der Fall ist, dann müssen wir oder oder sind wir ein Bastelteil in den ganzen PCF. Und ja das ist im Prinzip das das das Thema und wir als Anbieter sind hier einer der der das zur Verfügung stellen kann. Aus der Vogelperspektive haben wir jetzt mal die ganze Bandbreite damit ja gesehen. m. Ganz abstrakt geht es halt darum, dass man in einem arbeitsteiligen System, wo nur ein Akteur Zugang zum Nutzer zur Nutzerin hat, hier Datenschutzkonform, Einwilligung und Widersprüche ermöglicht. Dann der konkrete Anwendungsfall des TCF und darauf ganz klar, dass TCF beschränkt sich und und konzentriert sich m auf den auf den Onlinebereich. Ob werbefinanziert oder nicht und dann eben m Stefan, du hast es ja ins Spiel gebracht, gibt’s noch was davon klar zu trennen ist, was auch mit dem TCF als solches überhaupt nichts zu tun hat, weil das TCF agnostisch ist für die Vermarktungsmethode Gibt es noch einen Standard für für Real Time budding, aber ein ganz anderes Thema, keine unmittelbare Verbindung zum TCF, m ein , viel älterer Standard, wie man eben Auktionen, wie man Werbe Werbeflächen auf Webseiten oder in Apps, wie man die eben nicht fest verbucht oder im im Sinne einer fest aloziert, sondern eben oder fest bucht einbucht und m anbietet, sondern im Wegen im Wege einer quasi also quasi wie eine in einem Wege einer Auktion dann zur Verfügung stellt über diesen anderen Standard, aber. Sollte man nicht vermischen, auch m zwei verschiedene Standards Ganz wichtig, einmal das TCF als Compliance-Standard, als DSGVO-Standard und das andere ein technischer Industriestandard für die programmatische für das programmatische Angebot von Werbeflächen. Im im du über SSPs, genau. Es war mir wichtig noch mal dieses diese Trennung klar vermischt wird, als wäre das irgendwie wären’s Geschwister TCF und und RTB zwei völlig verschiedene Standards, die. Kombiniert werden können, aber das TCF ist eben agnostisch hinsichtlich der Vermarktungsmethode, ob das in ist. Oder m sonstige Formen, das ist insofern für das TCF unerheblich. Okay, jetzt hast du das ja, also vielen Dank nochmal für die Einsortierung. Ich glaube, das ist gut und wichtig zu verstehen. Wir haben also einerseits jetzt den Hm ich glaube im im Jargon im Fachjargon bei euch heißt das der Publisher, also der im Zweifelsfall, wie du schon gesagt hast, derjenige ist. Den Zugang zum User direkt erstmal hat, der also eine Webseite zum Beispiel betreibt und der letztendlich dann auf seiner Webseite die Einwilligungen einholt, die für das. Im Hintergrund dann nachher stattfinden real time bidding stattfinden oder benötigt würde. Aber letztendlich erstmal in der Verantwortung ist, auch datenschutz-seitig wahrscheinlich in der Verantwortung, ist diese Einwilligung überhaupt einzuholen, weil ja ich sage mal, aus der. Beziehung heraus m als Webseitenbetreiber eher erstmal derjenige ist, der vom Benutzer auch vom User angesteuert wird. Also der muss jetzt erstmal sich darum kümmern, dass er datenschutzrechtlich überhaupt andere in diese Kommunikation mit einbeziehen darf Dazu habe ich jetzt verstanden, dient das TCF dieses Framework und ich kann jetzt darüber. Unterstützt durch einen Anbieter, der einen einen Content-Management-Plattform mir anbietet, so was einholen und ich kann darüber die Einwilligung die Daten mir jetzt der User quasi übermittelt im Rahmen der Einwilligung dann auch weiterzugeben und hinten raus mündet es dann normalerweise wahrscheinlich oder üblicherweise in diesem Realtime-Building. Habe ich das so richtig verstanden. Ja, wobei es natürlich wie alles in der in der rechtlichen Darstellung etwas komplexer ist. Es gibt verschiedene Konstellationen m nicht nur hier im Onlinebereich, sondern überall, wo wir verschiedene Akteure haben natürlich das Datenschutzrecht ganz verschiedene Rollen, Rollenkonstellation, Rollenmodelle über diese Zusammenarbeit, die sehr groß variieren können. In der Tat kann es sein, dass der Publisher. Und noch mal ganz kurz klargestellt, also das Ökosystem, die rollen, dass wir auch die Namen nochmal klar belegen Letztlich gibt es im Rand, im Bereich TCF, gibt es drei Akteure, die man sich merken muss, Akteurgruppen, es gibt einmal die Publisher. In der Tat, um es ganz platt zu sagen, diejenigen, die Impress im Impressum stehen, in diejenigen, die Betreiber des jeweiligen Onlineangebote sind. Das mag Webseitenbetreiber sein, m Mobile App, connected TV, Smart TV, das mag aber auch eben letztlich zu Ende gedacht. Entertainment-Angebote in in in Connected Cars, also überall dort, wo ich letztlich ein ein Onlineangebot einem Nutzer darbiete. Das sind die Betreiber dieser Dienste. Wären dann im TCF in der TCF-Sprache die die Publisher. Und m die Sonstigen Akteure im Markt, die in dem Ökosystem dahinter stehen und nicht unmittelbar notwendig unmittelbar sichtbar sind für die für die Nutzer. Das wären dann die sogenannten Vendoren. Und wenn du und die Dritten, die hinzukommen, Stefan genau ihr beispielsweise, die CMPs, diejenigen, die eben als Intermetiere diesen Dialog ermöglichen. Als Facilitator dieses dieses Einwilligungs oder Widerspruchsdialogs. Nur noch mal, um das kurz festzuzürren, diese drei Akteure Publisher, ganz vorne, dahinter stehen die Vendorin und für den ist Einführungs und Widerspruchsdialog dann die Content Management Plattform, die CMPs. Wie wie die Domi, also ein Beispiel völlig richtig. So und m dieses Zusammenwirken rechtlich gesehen datenschutzrechtlich gesehen, kann ganz verschiedene Funktionen haben. In der Tat kann der Publisher Verantwortlicher sein, datenschutzrechtlich Es kann allerdings auch ein Akteur sein in der weiteren weiteren Kette, im Ökosystem der Alleinverantwortlich beispielsweise ist, für den kann genauso dann der Publisher als Bote eine Einwilligung über das TCF einholen, also dass auch hier wieder das TCF ist insofern aggnostisch, weil es die Möglichkeit des Einwilligungsdialogs je nach dem oder Widerspruchsdialogs Zwischen dem Nutzer und den jeweils allein, gemeinsam Verantwortlichen hier ermöglicht. Also insofern etwas völlig richtig, wie du’s zusammengefasst hast. Allerdings ist nicht notwendig der Publisher immer auch der Verantwortliche für alle diese Fälle. Da ist insofern das TCF. Er lässt da mehr Spielraum und ist darauf nicht fokussiert. Jetzt ist es ja im im also ich versuche das natürlich immer so ein bisschen für mich wieder wieder zu vereinfachen. Ich verstehe, dass es m du hast das völlig richtig gesagt, natürlich nicht immer so einfach ist, wie man’s erstmal m versucht darzustellen Nichtsdestotrotz, Wenn ich jetzt mal so aus der datenschutzrechtlichen Brille versuche, da draufzugucken und versuche das vielleicht als Datenschutzbeauftragter eines Publishers jetzt erst mal Für mich zu sortieren, der jetzt derjenige ist, der gegenüber dem User ja als erster auftritt, wie du schon gesagt hast, auch im Impressum als Verantwortlicher im Zweifelsfall genannt bin. Da muss ich mir ja jetzt Gedanken machen, welche Rolle hat denn dann wer im weiteren in dieser Konstellation, weil ich Ja als erstmal Verantwortlicher gegenüber den User ja mir genau darüber Gedanken machen muss, damit ich die richtigen Vereinbarungen treffe, damit ich auch im Zweifelsfall gegenüber einer Aufsichtsbehörde auskunftsfig bin. Aufsichtsbühnen kommen ja gleich auch nochmal zu. Ich würde aber jetzt erstmal so von der Grundidee her versuchen, das zu verstehen, wie. Die verschiedenen Rollen, die du eben schon gesagt hast, Stefan, die jetzt quasi datenschutzrechtlich zu bewerten wären, also das heißt so ein. Content Menschenplattformanbieter wäre jetzt für mich typischerweise eher so was, was ich im Rahmen einer Auftragsverarbeitung sehen würde Wir aber über die Weitergabe von Daten zum Beispiel dann angehen ausgehen. Da wäre ich jetzt dann wahrscheinlich eher im im Rahmen einer einer eigenen Verantwortlichkeit. Wie ist das vom Modell her grundsätzlich. Angelegt oder ist das total offen und im Modell gar nicht sozusagen festgeschrieben. Zunächst um’s zu strukturieren. Das TCF deckt sowohl jetzt aus deutscher Sicht das TTDSG ab, also Fragen der der Cookie-Einwilligung als auch der DSGVO. Ich glaube diese Grundunterscheidung muss man ja klar treffen Hier eine Einwilligung nach TTDSG für das Speichern und Auslesen von Informationen auf der Endeinrichtung des Nutzers. Ist eine Einwilligungsabfrage, die Standards, die sie jetzt stattfinden kann durch das TCF noch verschiedene Verarbeitungszwecke nach DSGVO. Das ist glaube ich die Grundeinteilung. Da das zwei völlig verschiedene Rechtsgebiete sind, einmal TTDSG, Schutz der Endeinrichtung, versus DSGVO, Schutz der entsprechenden. Das Selbstbestimmungsrecht über die Daten muss man da auch entsprechend hier die die Rollen unterscheiden. TTDSG. Nach die DDSG muss die Einwilligung der Akteur einholen und haben nachweisen können, der tatsächlich auf der Endeinrichtung. Informationen speichert oder dort ausliest. Das ist nicht notwendig der Publisher. Wenn der der der Serverdialog direkt zwischen der Endeinrichtung und einem Akteur aus dem Ökosystem stattfindet, dann wäre entsprechend der Akteur aus dem Ökosystem auch verantwortlich nach TTDSG, weil eben der Server des einer eines eingebundenen Dienstes hier Informationen speichert, auch hier die Einwilligung eingeholt zu haben und nachzuweisen, also nach TTSG Es ist nicht der Publisher, sondern derjenige, der tatsächlich gar nicht normativ, sondern rein technisch. Rein technisch dessen Server im Dialog nach dem HTTP Protokoll mit dem Client hier einer Informationsspeichert oder ausliest. Das ist der TTDSG Teil, da muss man sehr genau reinschauen, welche Technik liegt hier zu Grunde, wer speichert hier und der zweite Punkt, den du angesprochen hast, wenn wir jetzt weg sind vom TTDSG. Geräteschutz, Endeinrichtungsschutz rüber zum Datenschutz in die DSGVO gucken, auch da die Frage, wer verarbeitet, hier die Daten, werden die Daten direkt erhoben. Zum Beispiel ein Pixel verbaut ist werden keine Daten weitergegeben. Gibt es entweder die Kette, dass Daten weitergegeben werden sollten, vom Publisher oder handelt es sich hier um eine Direkterhebung durch einen Akteur aus dem Ökosystem der eingebunden ist, ohne dass Daten weitergegeben werden, sondern erstmals durch diesen Akteur unmittelbar beim Nutzer erhoben werden. Also wir haben sehr viele Konstellationen und und wer das TCF und das die gesamten Rechtsfragen verstehen möchte, muss immer ganz genau aufbohren, wie denn hier die technischen Sachverhalte und die Datenflüsse sind. Zwischen welchen Clients und Servern und entsprechend darauf war ja deine Frage aus Sicht des des ist des Datenschutzbeauftragten oder des Datenschutzberaters wie man das Ganze dann aufbauen muss, entsprechend auch. Diesen gegebenen Gegebenheiten den Datenflüssen entsprechend hier rechtlich zu bewerten und dann die Akteure, wer ist verantwortlich, wer ist gemeinsam verantwortlich, wer ist bloß Auftragsverarbeiter, wie beispielsweise die CMPs dann festlegen. Aber da ist mehr drin als als als die simple Antwort. Der Publisher oder der Vendor, sondern das ist da gibt es ganz verschiedene Konstellationen, die man sauber unterscheiden muss und die jetzt durch das Inkrafttreten des TTDSGs nicht notwendig einfacher geworden sind. Ja, sehr wichtig und Stefan, du hast die Komplexität schon sehr gut auf den Punkt gebracht, wenn man das so nennen darf. Ich glaube zwei Sachen noch ganz wichtig. Vielleicht m auch aus der Praxis, weil ich mit sehr viel Unternehmen immer wieder spreche und wir sprechen hier ist ja klar von der Unterscheidung, ja, der CMB Anbieter ist. In Englisch gesagt weder Prozessor und unter Publisher ist der Verantwortliche, ja? m ich glaube vor kurzem ein, zwei, drei Monate her hat’s eine Entscheidung in Deutschland gegeben, ja oder ein Verfahren argumentiert worden ist, dass der CMB-Anbieter eine gewisse Verantwortlichkeit auch hat, ja. Also da immer, immer genau hinschauen und aufpassen auch, ja als als als Verantwortlicher in dem Fall als weil es sehr wichtig ist, dass man da seine eigenen Hausaufgaben macht, ja und nur wenn man einen Cookie oder eine CMP verwendet, heißt das nicht, man ist aus dem aus der rechtlichen Verantwortung draußen, dass m ist ein erster Punkt und der zweite Punkt, was auch noch ganz wichtig ist und wo auch sehr oft Unklarheit herrscht, ist die Unterscheidung DTDSG und DSGVO, ja und vor allem da im Zusammenhang mit den Daten, ja, weil TTDSG, dass ja die die ePrivacy Richtlinie umsetzen soll oder umsetzt in in Deutschland, da geht es auch um nicht Personen bezogene Daten ja? Also da sehr genau hinschauen und aufpassen, weil die DDSG umfasst, so wie das m Stefan gesagt hat, den Zugriff auf die Ändereinrichtung oder das Auslesen von Informationen auf aus der Endeinrichtung und stellt jetzt nicht per se auf personenbezogene Daten ab, ja? Das heißt, im im konkreten Fall, dass die Einwilligung ja auch für Nichtpersonen bezogene Daten relevant wird. Und dementsprechend muss man da einfach wirklich im Detail hinschauen, also nicht nur bei BS Verantwortlicher und wer ist Professor, also Verarbeiter, sondern auch welche Daten gibt es, welche Daten sammele ich, welche Daten. Verarbeite ich, ja, wenn ich sie verarbeite, bin ich dann in der DSGVO drinnen, um da wirklich einen eine saubere eine saubere Einschätzung auch treffen zu können, Stichwort Risikobewertung und Datenschutz. Okay, es wird nicht einfacher, merke ich. Also diese Unterscheidung, wo bin ich eigentlich grade mit meiner Einwilligung? Das ist natürlich eine, die. Ich sage mal, man sich, glaube ich, noch mal sehr genau anschauen muss, wo bin ich denn jetzt in einer Einwilligung, die ich brauche nach TTDSG. Da sagst du Stefan, es ist. Auf jeden Fall erstmal wichtig, wo bin ich quasi in dem Anwendungsbereich, nämlich immer dann, wenn es vor allen Dingen um das Setzen von Cookies geht, dass sozusagen das Technische. Das technisch macht auch in der Verantwortung. Das kann halt dann halt, wie gesagt, auch der Advertiser sein Dann habe ich auf der anderen Seite aber eine Datenschutzrechtliche Verantwortung, da bin ich als Publisher immer erstmal derjenige, der sich jetzt um die weiteren Fragen kümmern muss und das. Macht aber letztendlich das Framework möglich, dass ich das halt diese Einwilligung, die ich dafür brauche, einhole und die dann auch quasi. Damit die anderen Anbieter, die jetzt an Cookie setzen möchte, quasi gleichzeitig auch ihre Daten oder wie sie ihre Titti-DSG Einwilligung in dem Fall dann bekommen, um überhaupt so einen Cookie setzen zu dürfen. Die Verarbeitung, die dann im Hintergrund stattfindet. Ich nehme mal so ein Banner, wie ich das halt bei verschiedensten Online-Medien oft sehe, dann sind da halt eine Vielzahl an Anbietern dahinter, wo ich einwilligen kann, die ich einzeln auswlen kann, die ich. Unterscheiden kann zwischen Einwilligungen und berechtigtem Interesse Was passiert da eigentlich, wenn ich da jetzt m auf so einem Banner hingehe und sage, ich mache jetzt vielleicht bei allen erstmal stimme ich zu. Dass meine Daten zu Werbezwecken genutzt werden. Ich widerspreche auch nicht dem berechtigten Interesse. Was passiert da technisch im Hintergrund. Das passt denke ich sehr gut zum zu uns oder zu mir. Also du hast das jetzt angesprochen auf der einen Seite. Ist ganz wichtig zu verstehen, wir wir befinden uns da die Faktinnen im Dreiecksverhältnis, ja und die der der erste das erste Verhältnis ja wenn man so will ist User. Versus verses Publisher in dem Fall oder Webseitenbetreiber nehmen wir das Beispiel her, ja und das intermediär ist dann die zehn B mit dem mit dem Cookie Banner auf der Webseite. So jetzt geht der der User auf die Webseite, jetzt kommt der Cookie-Banner. Er interagiert so wie der Heiko das schön gesagt hat. Was dann im Hintergrund passiert im Zusammenhang mit dem TCF ja? Es wird man nennt das so im im DCF DCF Screen, ja, ein DCF Screen generiert, ja, der standardmäßig. Erstellt wird, ja? Das heißt, der ist dann bei jeder Webseite die DCF und bei jeder CMB, die das verwendet, gleich. wird generiert und diesen Screen können dann die die Venturen hinten raus auslesen. Das ist m im Prinzip steht dann drin, jetzt ganz überspitzt formuliert Für das, für das, für das, Stichwort für den Zweck ja und auch für den wenn du ja weiß ich jetzt nicht für für für Google Analytics beispielsweise. Analytics oder Google weiß dann, okay, ich habe den Content und darf dann das machen, was ich damit möchte, ja Wenn ich ihn nicht habe, dann dann dürfte ich das nicht. Und das ist im Prinzip das, was was wir den B Anbieter und das DCF auch als eines der wichtigsten Themen m quasi oder Herausforderungen löst, dies zusammen dieses Signal liegen, wie man so schön nennt, ja zwischen den verschiedenen Akteuren möglich zu machen. Das heißt, das ist also erstmal dieser TC String, den du angesprochen hast, enthält alle Informationen darüber, was ich als User, Entschieden habe im Cookie-Banner und das geht dann an alle. Die hinten raus letztendlich dann als Vendoren oder als als Weltvertizer in Frage kommen und die haben damit alle Informationen darüber, ob sie das jetzt dürfen, ob sie ein Cookie setzen dürfen und welchen Zwecken sie die Daten verwenden dürfen, richtig. Ja, also ganz wichtig zu verstehen alle, die im DCF mitmachen, ja, weil es gibt auch, man hätte die nicht im DCF mitmachen, ja? Das sind dann die das ist dann ein anderer Bereich, aber ganz klar, im DCF, ja. Man spricht dann hinten raus, wenn man wenn man das genauer sich anschauen will bei den Venturen, dann müssen sich in eine sogenannte Global Vendor List eintragen. Haben da auch verschiedenste. Anforderungen, die Sie erfüllen müssen und wenn die da drin sind, dann können Sie natürlich auch diesen Stream auslesen, wenn man und dementsprechend sollten Sie auch sich danach richten und auch danach handeln. Das heißt aber, wenn ich auch wenn ich wieder spreche oder wenn ich meine Einwilligung nicht gebe, bekommen trotzdem alle diesen String und. Könnten, wenn Sie regelwidrig handeln würden, trotzdem das Cookie setzen oder ist das technisch sozusagen unterbunden, dadurch dass ich einen Cooky-Banner ablehnen geklickt habe, dass dann überhaupt irgendein. Von diesen Anbietern gesetzt würde. Das ist eine sehr gute Frage, ja. Ich glaube . Muss man auf der einen Seite die die Technik die ich sich anschauen und normalerweise dürfte es nicht möglich sein Stichwort habe ich keinen Konsent, darf ich den Cookie nicht abfordern abfeuern. In der Realität schaut es aber sehr oft dann ein wenig anders aus, ja? Weil es im Zusammenhang mit der Technik auch sehr oft Automatisierungen gibt. Und in dieser Automatisierung kann es auch zu Fehlern kommen. Ja und wenn es ein Fehler auftritt, dann wird’s ja oft ein Cookie abgefallen abgefeuert ohne Einwilligung und das ist auch, sage ich mal, ein Thema, das die Datenschutzbehörden immer wieder betretteln. Nochmal das TCF ist erstmal ein Kommunikationstool, das den Nutze die Möglichkeit gibt, Einführungserklärungen auf der auf dem, wie wir’s jetzt verkürzt als Cookie-Banner. In Wirklichkeit ist es ja. Nicht nur Cookies, sondern auch für Verarbeitungszwecke nach der DSGVO, wo der Nutzer die Nutzerinnen in einer etwa Einwilligungsentscheidung erklären kann. Dann hat es dieses Signalisierungselement, ’ne reine Information, wo eben dann diese Einlegungserklärung. Ich will nicht sagen wie ein Prüfungsumschlag, aber wie auf wie wie niedergeschrieben, dann an die verschiedenen relevanten Akteure übermittelt wird, damit die diese Information, die sie ja nun dringend brauchen, habe ich nun eine Einwilligung, habe ich keine, wurde ein Widerspruch erklärt oder nicht. Das brauchen ja dann die entsprechenden Akteure, um hier dann entsprechende technische Entscheidungen zu treffen, darf ich verarbeiten oder nicht? Darf ich einen Cookie setzen oder nicht. Das ist die Grundfunktion des TCFs. diese Information zu signalisieren. Alles andere, die technische Umsetzung. Nach dem HTTP Protokoll, wenn ein Dialog stattfindet zwischen der Webseite und dem Nutzer, das ist ja, das ist dann nicht mehr Teil des des TCF als Signalisierungsstandard, m dass der Signalis der Test eines eines eines m. Kommunikationsstandards für Datenschutzrelevante Informationen, m Einwilligung ja oder nein. Und ein Punkt zum zum Cookie. Stefan, du wolltest eben angesprochen hast. Als Beispiel, Cookie ist jetzt Web m bei der App ist es die die entsprechende ID. Es gibt Nur um diesen kurzen Bogen zu schlagen. es gibt natürlich auch notwendige Cookies, m dass die TDSG fordert keine Einwilligung für jeden Cookie. Insofern muss man da genau gucken. . Hat hier ist hier ein Cookie zu technischen technisch notwendiges Cookie gesetzt worden oder. Es ist eben ein einbildungsbezogenes Cookie. Da gibt es ja auch die Orientierungshilfe, der der Datenschutzaufsichtsbehörden und das ist genau die Pflicht. Der verschiedenen Akteure hier dann zu gucken, ist das jetzt ein Cookie, das gesetzt wird, ja oder nein. Und dann entsprechend m ein Cookie zu setzen, habe ich hier eine Einwilligung bekommen. Darf ich jetzt ein solches Cookie setzen oder nicht? Das ergibt sich aus dem TC Strice-Standard, diese Information Aber der TCs Standard als solche ist dann ist ist keine Verhinderungsmethodik, also kein kein Filter, wiederum noch mal über die gesamte übers gesamte Web oder über das das jeweilige Onlineangebot gestülpt wonach dann auch regelkonform ein Cookie Gesetz da verhindert wird, dass wir. Ob das eine denkbare Ausbaustufe wäre, aber als solches das gehört nicht zum zum zum Bereich der Kommunikation, sondern das, wenn ich’s mal so sagen darf, der der Einwilligungsentscheidung, die ein oder andere Richtung ist nicht Teil des TCFs, das ist ein reiner Informatik oder Kommunikationsstandard für Einwilligungsentscheidung, aber keine, hat keinen Anteil, dass wir auch nicht die die Zielsetzung, sondern das obliegt so wie sonst im im täglichen Leben ja auch. Der jeweiligen m Durchführung durch die Akteure habe ich eine Einwilligung nicht, egal ob wir im Online-Bereich sind, im Offlinebereich oder in welchem Bereich auch immer, wo dann ein Verantwortlicher entsprechend der der Einwilligungslage dann entscheiden muss, m ob er gewisse Verarbeitungen durchführt oder nicht oder ob er oder sie Cookie setzt oder oder davon absieht, weil eben die notwendige Einwilligung. Fehlt. Insofern kein Tool. Reines Kommunikationstool und insofern per se in sich geschlossenes und unschlüssig. Es geht um die Kommunikation der Entscheidung. Ja, erstmal vielen Dank euch beiden bis hierhin. Das Thema ist doch ein bisschen umfangreicher und komplexer als gedacht und damit wir hier nicht unnötig lange alle an den Geräten binden schlage ich vor, wir machen einen Cut und machen einen zweiten Teil. Dann haben Sie, liebe Zuhörer und die Chance, zwischendurch auch nochmal was anderes zu tun oder zu hören. Wir freuen uns, wenn wir schon ein wenig Aufklärungsarbeit natürlich leisten konnten und. Wenn sie direkt weiterhören beziehungsweise in Kürze dann auch zum zweiten Teil einschalten. Das Ganze wird sehr zeitnah nacheinander veröffentlicht, so dass sie gar nicht lange warten müssen. Bis dahin. Music.
