In diesem Dokument wird eine technische Spezifikation („Zusätzliche Einwilligung“) definiert, die nur zusammen mit Version 2 des Transparency & Consent Framework (TCF) von IAB Europe verwendet werden und dazu dienen soll, Transparenz- und/oder Einwilligungssignale an Anbieter zu senden, die noch nicht in der Global Vendor List (GVL) von IAB Europe registriert sind. Dank der Spezifikation können Publisher, Plattformen zur Einwilligungsverwaltung (CMPs) und Partner – neben der Implementierung des TCF – eine zusätzliche Einwilligung einholen und entsprechend weitergeben. Dies gilt für Unternehmen, die bisher noch nicht für die GVL des IAB Europe registriert, aber auf der Liste der Anzeigentechnologie-Anbieter von Google zu finden sind.
Änderungen bei der zusätzlichen Einwilligung (Version 2)
Seit Dezember 2023 unterstützt Google Version 2 der Spezifikation für die zusätzliche Einwilligung. Die wichtigsten Änderungen sind:
- Aktualisierung des Strings für die zusätzliche Einwilligung, um die in der CMP angegebenen Anbieter zu unterstützen.
- Aktualisierung der CMP API, um die Interoperabilität für CMPs zu ermöglichen, die sowohl das TCF als auch den Einwilligungsmodus des Werbetreibenden unterstützen.
Bestandteile der zusätzlichen Einwilligung
Durch die technische Spezifikation „Zusätzliche Einwilligung“ wird Folgendes unterstützt:
- Transparency & Consent-String (TC-String) gemäß der Definition in der Spezifikation der Version 2.2 des IAB TCF, die das Transparency & Consent Framework (TCF) für Anbieter in der Global Vendor List (GVL) des IAB enthält. UND
- Ein einfacher
addtl_consent-String (String für zusätzliche Einwilligung), der eine Liste der Anzeigentechnologie-Anbieter von Google enthält, für die eine Einwilligung erteilt wurde oder die offengelegt wurden und die nicht beim IAB registriert sind.
In dieser Spezifikation wird Folgendes definiert:
-
Format eines Strings für zusätzliche Einwilligung.
-
Erweiterung der CMP API des TCF in Version 2.2, die den String für zusätzliche Einwilligung und Steuerelemente unterstützt, wenn sowohl das TCF als auch der Einwilligungsmodus des Werbetreibenden vorhanden sind.
-
Wie ein String für zusätzliche Einwilligung gespeichert werden soll.
-
Wie ein String für zusätzliche Einwilligung über die Kette für digitale Werbung übergeben wird.
Format eines Strings für zusätzliche Einwilligung
Welche Informationen werden in einem String für zusätzliche Einwilligung gespeichert?
Ein String für zusätzliche Einwilligung enthält die folgenden Komponenten:
-
Teil 1: die Versionsnummer der Spezifikation, beispielsweise „
2“ -
Teil 2: ein Trennzeichen „
~“ -
Teil 3: eine durch Punkte getrennte Liste der IDs der Anzeigentechnologie-Anbieter von Google, für die der Nutzer seine Einwilligung erteilt hat, zum Beispiel: „
1.35.41.101“ -
Teil 4: ein Trennzeichen „
~“ -
Teil 5: „dv.“ gefolgt von einer durch Punkte getrennten Liste mit den IDs der offengelegten Anzeigentechnologie-Anbieter von Google, zum Beispiel: „
dv.9.21.81“Anbieter, die in Teil 3 genannt werden, sollten nicht in Teil 5 aufgenommen werden, um die Stringlänge zu verkürzen.
Beispiel für einen String für zusätzliche Einwilligung
Der String für zusätzliche Einwilligung 2~1.35.41.101~dv.9.21.81 bedeutet, dass der Nutzer seine Einwilligung zu den Anzeigentechnologie-Anbietern mit den IDs 1, 35, 41 und 101 erteilt hat und dass die Anzeigentechnologie-Anbieter mit den IDs 9, 21 und 81 dem Nutzer offengelegt wurden. Der String wird mit dem in der Version 2.0 der Spezifikation definierten Format erstellt.
Wer sollte einen String für zusätzliche Einwilligung erstellen?
Ein String für zusätzliche Einwilligung kann nur von einer Plattform zur Einwilligungsverwaltung (Consent Management Platform, CMP), die beim TCF von IAB Europe registriert ist, mit der zugewiesenen CMP-ID gemäß den IAB-Richtlinien erstellt werden. Anbieter oder andere Dienstleister dürfen keinen String für zusätzliche Einwilligung erstellen.
Wo werden die Anzeigentechnologie-Anbieter von Google veröffentlicht?
Google veröffentlicht die Liste der nicht beim IAB registrierten Anzeigentechnologie-Anbieter und deren IDs unter dem folgenden Speicherort:
https://storage.googleapis.com/tcfac/additional-consent-providers.csv
Wann sollte ein String für zusätzliche Einwilligung erstellt werden?
Ein String für zusätzliche Einwilligung darf nur erstellt werden, wenn der Publisher die Richtlinie zur Einwilligung der Nutzer in der EU von Google einhält.
Anbieter, für die die Einwilligung erteilt wurde, dürfen nur aufgenommen werden, wenn der Nutzer eine rechtsgültige Einwilligung für Folgendes erteilt hat:
-
Verwendung von Cookies oder anderen Formen der lokalen Datenspeicherung, sofern dies gesetzlich vorgeschrieben ist; und
-
Erhebung, Weitergabe und Nutzung personenbezogener Daten zur Personalisierung von Anzeigen durch einen Anzeigentechnologie-Anbieter und Einhaltung aller anderen Bedingungen der Google-Richtlinie zur Einwilligung der Nutzer in der EU.
Offengelegte Anbieter, die keine Einwilligung für
-
die Verwendung von Cookies oder anderen Formen der lokalen Datenspeicherung haben, sofern dies gesetzlich vorgeschrieben ist; und
-
die Erhebung, Weitergabe und Nutzung personenbezogener Daten zur Personalisierung von Anzeigen haben, dürfen nur dann aufgenommen werden, wenn Nutzer angemessene Informationen hinsichtlich der Identität des jeweiligen Anzeigentechnologie-Anbieters erhalten, einschließlich eines Links zur Datenschutzerklärung des Anzeigentechnologie-Anbieters, wie in der Liste der Anzeigentechnologie-Anbieter von Google aufgeführt.
Ein String für zusätzliche Einwilligung darf nur als ergänzender String für den TC-String erstellt und nicht an seiner Stelle verwendet werden. Falls Google eine Anfrage erhält, für die zwar ein String für zusätzliche Einwilligung, aber kein TC-String vorhanden ist, wird der String für zusätzliche Einwilligung verworfen und die Anfrage nicht verarbeitet.
Bei Verwendung dieser Spezifikation muss darauf geachtet werden, dass der String für zusätzliche Einwilligung nur IDs aus der von Google veröffentlichten Liste der Anzeigentechnologie-Anbieter enthält. Das sind Anbieter, die nicht in der Global Vendor List (GVL) des IAB zu finden sind. Wenn Google einen TC-String empfängt, wird die Version der GVL geprüft, die in diesem TC-String aufgeführt ist. Falls ein Anbieter in der entsprechenden Version der GVL registriert ist, werden die Einstellungen für den TC-String und alle Einträge eines Strings für zusätzliche Einwilligung für diesen Anbieter ignoriert. In diesem Fall behält sich Google das Recht vor, solche „doppelten“ Einträge aus dem String für zusätzliche Einwilligung zu entfernen und den geänderten String parallel zum TC-String zu übergeben. Nur Google darf den String für zusätzliche Einwilligung ändern.
Weitere Informationen
-
Transparency and Consent String with Global Vendor & CMP List Formats (Version 2.2)
-
Consent Management Platform API (Version 2.2)
Erweiterung für die CMP API
Wir empfehlen, die vorhandene TCF v2.2 CMP JavaScript API, insbesondere die JSON-Objekte TCData und InAppTCData zu erweitern, damit der String für zusätzliche Einwilligung zurückgegeben werden kann.
TCData = {
tcString: 'base64url-encoded TC string with segments',
...
addtlConsent: ‘AC string with spec version and consented Ad Tech Provider IDs’,
}
InAppTCData = {
tcString: 'base64url-encoded TC string with segments',
...
addtlConsent: ‘AC string with spec version and consented Ad Tech Provider IDs’,
}
Wie sollte ein String für zusätzliche Einwilligung gespeichert werden?
Web
Der CMP-Anbieter kann den Speichermechanismus auswählen.
In-App
NSUserDefaults (iOS) oder SharedPreferences (Android) sollten verwendet werden, um den String für zusätzliche Einwilligung über ein CMP SDK zu speichern. Dann ist Folgendes möglich:
-
Anbieter können einfach auf den String für zusätzliche Einwilligung zugreifen.
-
Der String für zusätzliche Einwilligung bleibt über mehrere App-Sitzungen hinweg erhalten.
-
Der String für zusätzliche Einwilligung kann zwischen den CMPs übertragen werden, damit Publisher ein CMP SDK flexibel gegen ein anderes austauschen können.
Wenn ein Publisher entscheidet, das CMP SDK aus seiner App zu entfernen, ist er dafür verantwortlich, die AddtlConsent-Werte für Nutzer zu entfernen, damit Anbieter den enthaltenen String für zusätzliche Einwilligung nicht weiterhin verwenden.
| Speicher- und Lookup-Schlüssel in NSUserDefaults und SharedPreferences | Wert |
IABTCF_AddtlConsent |
String: String für zusätzliche Einwilligung mit Spezifikationsversion und IDs der Anzeigentechnologie-Anbieter, für die eine Einwilligung erteilt wurde |
Wie ein String für zusätzliche Einwilligung über die Kette für digitale Werbung übergeben wird
Gebotsanfrage
Wir verwenden ConsentedProvidersSettings, um Anbieter, die nicht in der Global Vendor List (GVL) des IAB zu finden sind, später zu propagieren.
- Im Protokoll der OpenRTB-Erweiterungen
- Ältere Protokollpuffer-Version
message ConsentedProvidersSettings {
// Gruppe der IDs der Anbieter, für die Google vom Publisher eine Bestätigung erhalten hat,
// dass die Nutzer im Europäischen Wirtschaftsraum (EWR) eine rechtsgültige Einwilligung für Folgendes erteilt haben: 1) Verwendung von Cookies oder anderen Formen der lokalen
// Datenspeicherung, sofern die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist; und 2) Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur
// Personalisierung von Werbeanzeigen durch einen Anzeigentechnologie-Anbieter in Übereinstimmung mit der Richtlinie zur Einwilligung der Nutzer in der EU von Google.
// Eine Zuordnung der Anbieter-ID zum Anbieternamen wird in der Datei providers.csv veröffentlicht.
repeated int64 consented_providers = 2 [packed = true];
}
// Informationen zu den Anbietern, für die Google vom Publisher eine Bestätigung erhalten hat,
// dass die Nutzer im Europäischen Wirtschaftsraum (EWR) eine Einwilligung für die Nutzung ihrer personenbezogenen Daten zur
// Personalisierung von Werbeanzeigen in Übereinstimmung mit der Google-Richtlinie zur Einwilligung der Nutzer in der EU erteilt haben.
// Dieses Feld wird nur gefüllt, wenn regs_gdpr = true.
optional ConsentedProvidersSettings consented_providers_settings = 42;
URL-basierte Dienste
Wenn ein Creative gerendert wird, kann es eine Reihe von Pixeln unter <img>-Tags enthalten. Beispiel: <img src="http://vendor-a.com/key1=val1&key2=val2">, mit dem eine HTTP GET-Anfrage vom Browser an die Domain des Anbieters gesendet wird.
Das Pixel ist in einem <img>-Tag enthalten und es besteht keine Möglichkeit zum Ausführen von JavaScript, deshalb kann der TC-String nicht mit der CMP API übergeben werden. Ähnlich wie bei der Unterstützung für den TC-String stellen wir einen Standard-URL-Parameter und ein Makro in den Pixel-URLs bereit, in die der String für zusätzliche Einwilligung eingefügt werden sollte.
| URL-Parameter | Entsprechendes Makro | Darstellung in der URL |
addtl_consent |
ADDTL_CONSENT |
&addtl_consent=${ADDTL_CONSENT} |
Beispiel 1
Damit Anbieter A einen String für zusätzliche Einwilligung empfängt, muss eine Bild-URL ein Schlüssel/Wert-Paar mit dem URL-Parameter und dem Makro &addtl_consent=${ADDTL_CONSENT} enthalten. Die resultierende URL ist:
http://vendor-a.com/key1=val1&key2=val2&addtl_consent=${ADDTL_CONSENT}
Beispiel 2
Bei einer Anfrage ist der String für zusätzliche Einwilligung 1~1.35.41.101.
Der Aufrufer oder Renderer des Creatives ersetzt das Makro in der URL durch den tatsächlichen String für zusätzliche Einwilligung, damit das ursprünglich platzierte Pixel mit dem Makro wie unten angegeben geändert wird, wenn der Server aufgerufen wird:
http://vendor-a.com/key1=val1&key2=val2&addtl_consent=1~1.35.41.101