Consent Management für Webseiten

Inhaltsverzeichnis

Allgemeines

Der BGH hat am 28.05.2020 entschieden, dass man für das Setzen von Cookies, die der Profilerstellung für Werbung und Marktforschung dienen, eine Einwilligung braucht. Dieses Erfordernis gilt unmittelbar ab dem 28.05.2020. Das Setzen von Cookies für die vorstehend genannten Zwecke auf der Grundlage des berechtigten Interesses stellt seit dem 28.05 2020 einen Rechtsverstoß dar. Für die nachgelagerte Verarbeitung der Daten für die Profilbildung gilt weiterhin die DSGVO und auch der Bußgeldrahmen der DSGVO - hier gelten die ursprünglichen Erwägungen und Risiken, der BGH hat hierzu keine Entscheidung getroffen.

Sollten Sie als Publisher der Ansicht sein, das Ihre Nutzer der Erhebung und Verarbeitung von Daten explizit zustimmen müssen, stellen wir gerne eine technische Lösung zur Verfügung. Basierend auf dem Marktstandard "IAB Transparency & Consent Framework" ist der Einsatz einer Consent Management Plattform (kurz: CMP) auf Ihren Webseiten frei.

Als Vorrausetzung zum Einsatz unserer CMP, müssen Sie als Publisher dafür eine Vereinbarung mit unserem technischen Dienstleister Sourcepoint GmbH unterzeichnen, die die Verarbeitung von Daten im Auftrag und die Kostenübernahme durch Ströer regelt. Weitere Voraussetzungen für die Nutzung der CMP sind zum einen eine aktuelle Vermarktungsgrundlage zwischen Ströer und Ihnen als Publisher und zum anderen der Einsatz unseres TagManagement Systems "MetaTag".

Falls Sie eine eigene CMP auf Ihren Seiten einsetzen wollen, unterstützen wir Sie gerne. Unser TagManager kann, bei Nutzung Ihrer eigenen IAB TCF kompatiblen Platform, die Entscheidung Ihrer Besucher automatisch auslesen und weiter bearbeiten. Bei Nutzung einer IAB inkompatiblen Lösung lassen sich gemeinsame Schnittstellen einrichten. Für mehr Informationen kontaktieren Sie uns bitte.



Ansprechpartner

Der Roll-Out der CMP auf Ihren Publisher-Seiten läuft über Ihre Ansprechpartner aus unserem Ströer Publisher Management. 

Bei technischen Fragen zur Implementierung, wenden Sie sich gerne an unser Publisher Support Center.



CMP - Publisher Onboarding 

1. Unterzeichnung des Nutzungsvertrages zwischen Sourcepoint (SP) und Publisher

Für den Einsatz einer Consent-Management-Plattform muss lediglich eine Vereinbarung mit dem Anbieter unterzeichnet werden, die die datenschutzrechtliche und kommerzielle Beziehung eindeutig und nachvollziehbar zwischen dem Anbieter Sourcepoint, Sie als Publisher und Ströer regelt. Diese ermöglicht die Einholung des Consents auf Basis des Marktstandards IAB Transparency & Consent Framework (TCF v1.0) und IAB Transparency & Consent Framework (TCF v2.0). Zusätzlich können auch weitere Einwilligungen für publisher-individuelle Vendoren (siehe Punkt 6), die sich nicht dem Framework angeschlossen haben, abgefragt werden. So werden mittels einer einzelnen Lösung alle notwendigen Einwilligungen, auch für Cookies, verwaltet werden können. 

Die Lösung steht dabei sowohl für Webseiten im mobilen und stationären Bereich zur Verfügung, sowie für InApp und AMP Angebote. 

Voraussetzung für eine Auslieferung der entsprechenden CMP Abfrage-Layer ist der vollumfängliche Einsatz von unseres TagManagement Systems "MetaTag" auf Ihren Webseiten.

Vorteile:

Transparenz

Direktes Auftrags-Verarbeitungs-Verhältnis zwischen Ihnen als Publisher und CMP-Anbieter durch AVV geregelt

Unabhängigkeit

Bestehender Vertrag kann unabhängig von Ströer weitergeführt werden

Sicherheit

Direkte Haftungsbeziehung bei wesentlichen Pflichtverletzungen zwischen Ihnen und CMP-Anbieter

Erweiterbarkeit

Weitere Produktfeatures können vom Ihnen auf Basis bestehender Verträge hinzugebucht werden

Kosten

Für die Nutzung der CMP-Module von Sourcepoint (Web/inAPP) entstehen Ihnen vorerst keine Kosten, diese werden direkt zwischen Sourcepoint und Ströer verrechnet


Prozess:

Ströer stellt den Kontakt zwischen Ihnen und Sourcepoint her. Für die Vermittlung benötigen wir folgende Daten:

  1. Firmenbezeichnung und Adresse des Publishers

  2. Ansprechpartner (Name, Telefonnummer, E-Mail-Adresse)

  3. Auflistung der Domains/Werbeträger (Desktop / MEW / AMP / inAPP)

Bitte informieren Sie Ihren Ströer Ansprechpartner im Publisher Management, sobald der Vertag mit Sourcepoint unterzeichnet ist.



2. Was müssen Sie bei der Implementierung einer CMP beachten?

Desktop / MEW Abfragen

Die Ausspielung und Steuerung der Consent Management Platform erfolgt automatisch über unser TagManagement System.  Folgende kurze Dokumentation erklärt die technischen Zusammenhänge und stellt Verbindungen zwischen Ihrer Webseite und dem TagManager zur Verfügung.

Schnittstellen zur Consent Management Plattform


InStream Video Abfragen

Folgende Schritte müssen in Ihrem InStream-Setup bzw. Ihrem Video-Player angepasst werden:

  1. Die Webseite muss mittels CMP den Consent vom User einholen
  2. Der Video-Player muss TCF2.0-konform sein
  3. Diese Informationen müssen an Ströer-VAST-Tag über die folgenden Parameter und Values weitergegeben werden:
  • Hierfür muss der Ströer-VAST-Tag um folgende Parameter Keys angereichert werden: &gdpr= sowie &gdpr_consent= 
    Ihr Publisher Manager stellt Ihnen die VAST-URLs zur Verfügung.
  • Die Values für die Parameter müssen vom Video-Player (Publisher) wie folgt befüllt werden:  
    &gdpr=[0,1] sowie &gdpr_consent=[URL-safe base64-encoded GDPR consent string. Nur relevant wenn gdpr=1]​
  • Der Consent String muss von einem IAB TCF 2.0 konformen CMP geliefert werden

Sollten Sie in Ihrem Video-Player das Google IMA SDK verbaut haben, ist der Player bereits TCF-konform. Dementsprechend müssen Sie nur den Ströer-VAST-Tag mit oben stehenden Parameter Keys, den Sie von Ihrem Publisher Manager erhalten, im Video-Player integrieren. Diese Parameter Keys sollten über das Google IMA SDK entsprechend befüllt werden.

Dokumentationen:


AMP Abfragen

Zur Integration von Sourcepoint benötigen Sie zwei sog. CNAME Einträge, welche eine Sub-Domain Adresse Ihrer Webseite auf einen anderen Server leitet.
Diese CNAME Einträge ermöglichen das Speichern von Consentdaten unter iPhone Geräten bzw. bei Nutzung des Safari Browsers.
Details zur Integration finden Sie unter "
Technischen Dokumentation von Sourcepoint für Integration auf AMP" (Neue Dokumentation vom 23.07.2020)

Zur korrekten Konfiguration der CMP Lösung benötigen Sie zusätzlich einige weiterführende Informationen:

  • accountId: 375
  • propertyHref: Stammt aus dem Sourcepoint System.
    Suchen Sie nach dem Login in das Sourcepoint System den Eintrag für Ihre AMP Webseite, unter dem Bereich "Dialog".
    Der Name dieser Webseite mit einem vorangestellten "https" ist Ihre propertyHref.
    Beispiel: Der Eintrag für Ihre AMP Webseite in der Sourcepoint UI heißt "amp.meineWebsite.de". Ihre propertyHref ist damit "https://amp.meineWebsite.de"
  • propertyId: Stammt aus dem Soucepoint System.
    Suchen Sie nach dem Login in das Sourcepoint System den Eintrag für Ihre AMP Webseite, unter dem Bereich "Dialog".
    Klicken Sie auf die Webseite, es öffnet sich die "Campaign" Ansicht.
    In der Browser Adresszeile findet sich nun der Eintrag "dialogue/campaigns?site_id=XYZ". Die Zahlenfolge hinter "site_id=" ist die propertyId
  • privacyManagerId: Stammt ebenfalls aus der Sourcepoint UI.
    Suchen Sie erneut den Eintrag für Ihre AMP Webseite und öffnen Sie wieder die "Campaign" Ansicht.
    Bewegen Sie Ihren Mauszeiger über den Eintrag "GDPR", es erscheint der Menüpunkt "Privacy Manager (TCF v2)", klicken Sie auf den Menüpunkt, es öffnet sich die "Privacy Manager" Ansicht.
    Entscheiden Sie sich für einen PrivacyManager aus (falls mehrere vorhandene sind). Für jeden PrivacyManager wird rechts eine "ID" dargestellt. Benutzen Sie diese ID als privacyManagerId


InApp Abfragen

Die Ausspielung und Steuerung der Consent Management Platform erfolgt über das Ströer Wrapper SDK.
Dieses unterstützt die Integration ab SDK Version 2.9.0 (Android)  und 2.1.0 (iOS).
Wie die Consent Management Platform aus der App angesprochen wird können Sie aus der In-App Dokumentation entnehmen:



3. Angabe der Domains / Werbeträger in Sourcepoint

Die Anlage und Pflege aller notwendigen Informationen in Sourcepoint übernimmt Stöer.
Bitte nennen Sie uns die einzelnen Domänen, auf denen die CMP zum Einsatz kommen soll.
Wir benötigen keine Angaben von Sub-Domains, diese sind automatisch via Ihrer Haupt-Domäne abgedeckt.
Beispiel: mail.ihreDomain.de ist automatisch in www.ihreDomain.de enthalten.

Bitte berücksichtigen Sie auch Ihre AMP (Accelerated Mobile Pages) und Ihre mobilen Apps

  • Stationäre und mobile Domains

  • AMP Domäne

  • inApp (Name der APP je für IOS  & Android)



4. Einrichten Publisher-Login

Sie erhalten von uns einen Zugang zum UI (User Interface) von Sourcepoint. Dort steht Ihnen zur Verfügung:

  • Reporting und Analyse Modul für Auswertungen zum Benutzerverhalten

  • Dialogue Modul: Rechte zum Verändern der Nachrichten (Messages) an Ihre Nutzer (Texte, Farbgebung, Logo, CI)


Wir benötigen folgende Daten für die Bereitstellung eines Zuganges:

  • Vorname, Nachname

  • E-Mail Adresse (Sammel-Email-Adressen können nicht eingesetzt werden)

Sie erhalten eine automatisierte Einladung von Soucepoint an Ihre o.g. E-Mail Adresse , deren Erhalt Sie per Klick in der Email bestätigen müssen.
Bei Bestätigung der Email können Sie ein neues, eigenes Passwort für Ihren Zugang hinterlegen.

Das Sourcepoint User-Interface ist unter folgender URL erreichbar: https://analytics.sourcepoint.com/. Bitte melden Sie sich mit Ihrer E-Mail Adresse und Ihrem Passwort an.



5. Consent-Management / Konzeption der CMP Abfrage

Beim erstmaligen Aufsetzen aller notwendigen Informationen und Daten durch uns, haben Sie die Wahl wie Sie zukünftig mit dem CMP umgehen möchten:

Option 1:

Wir setzen für Ihre Webseite ein standardisiertes Konzept ein, mit dem Sie sofort starten können.

Dieses umfasst:

  • Eine für Ihre Webseite passende Ansprache der Nutzer und Aufforderung zur Einwilligung der Datenverarbeitung (Layer/Interstitial) für Desktop/MEW

  • Vollständige Liste aller Daten-Dienstleistern und Tech Vendoren mit denen Ströer direkt zusammen arbeitet (IAB Vendorlist + Google Ad Manager)

  • Ausführliche Liste von weiteren Dienstleistern und Vendoren, welche ggf. schon mit Ihren direkt zusammen arbeiten (siehe unten "publisher-individuelle Vendoren")
  • Fertiger "Privacy Manager", das Kernstück der CMP. Bietet Ihren Nutzer eine einfache und schnell verständliche Darstellung aller verfügbaren Entscheidungen.

Eine Demonstration des standardisierten Konzeptes können Sie hier betrachten: 

Zum mehrmaligen Darstellen und Experimentieren, empfehlen wir die Benutzung des Privaten Modus Ihres Browsers. Schließen Sie den Browser und Öffnen Sie die Seite erneut um die CMP erneut zu sehen.

Wir benötigen von Ihnen:


Option 2:

Eine individuelle Konfiguration ist in Rücksprache möglich. Aufbauend auf einem Set von Basis-Einstellungen können Sie die Abfrage des Consents nach eigenem Wunsch auf Ihren Seiten gestalten. Sie erhalten im Vergleich zu Option 1 vollen Zugriff auf das Privacy,- und Vendoren-Management. Bitte beachten Sie, dass in diesem Fall die Konfiguration und das Consent-Management vollständig durch Sie, den Publisher, erfolgen muss. Natürlich werden auch hier die Kosten und die Auslieferung durch Ströer übernommen.

Sourcepoint:



6. Abwicklung publisher-individuelle Vendoren (Non-IAB-Vendoren)

Daten-Dienstleister und Tech Vendoren, die relevant für die Ausspielung von Werbung sind, sind automatisch auf der übergreifenden, globalen Ströer Vendorlist hinterlegt.
Diese Liste umfasst Vendoren, die im IAB-Framework gelistet sind, sowie den Google Ad Manager.

Unsere CMP verwaltet die Entscheidungen Ihrer Nutzer und gibt diesen an alle bekannten IAB Vendoren weiter.  Wünschen Ihre Nutzer bestimmte Aktivitäten oder Handlungen der Vendoren nicht, sind die Vendoren dafür verantwortlich diese Aktivitäten vollständig  zu unterbinden.

Sollten Sie mit eigenen Dienstleister und Vendoren zusammen arbeiten, die nicht mit dem IAB TCF arbeiten, aber eine Einwilligung für die Verarbeitung von Daten erfordern, stellen wir Ihnen Möglichkeiten zur Verfügung, diese ebenfalls von Ihren Nutzern freigeben zu lassen.

Schritt 1:

Wir haben bereits eine umfangreiche Non-IAB-Vendorenliste angelegt und für Sie bereitgestellt. Bitte prüfen Sie zunächst, ob sich Ihre eigenen Vendoren bereits auf dieser Übersicht befinden:

Sollten Ihre eigenen Vendoren noch nicht bei uns im System hinterlegt sein, teilen Sie uns diese gerne mit. Benutzen Sie bitte dafür unsere Vorlage  -> Vorlage Abfrage neuer Non-IAB-Vendoren

Für die Anlage Ihrer Vendoren benötigen wir von Ihnen folgende Informationen:

  1. Legaler Firmenname des Vendors  (Nicht der Name des eingesetzten Tools des Vendors)

  2. Vollständige Adresse des Vendors

  3. Link zur den Datenschutzhinweisen des Vendors

  4. Eine Übersicht, welche der Purposes des TCF Frameworks durch den Vendor benötigt werden. (Beachte unterschiedliche Purposes von TCF 1.0 zu TCF 2.0)
  5. Wir fügen nach Erhalt aller Informationen die Vendoren unserer übergreifenden Liste hinzu.


Schritt 2:

Unser TagManagement System stellt Ihnen eine Schnittstelle zur Verfügung, mit der Sie die Nutzerentscheidung für Ihre eigenen Vendoren abfragen können.

Bitte bauen Sie diese Schnittstelle mit Hilfe unserer Dokumentation auf Ihrer Webseite ein. Dokumentation Schnittstelle zur CMP
Bei technische Fragen zur Implementierung, wenden Sie sich gerne an unser Publisher Support Center.

Prozess zur Abfrage von Non-IAB-Vendoren:



7. Anpassung Ihrer Datenschutzhinweise

Ihre Nutzer sollten zu jeder Zeit die Möglichkeit haben, ihre Einwilligungen (Opt-In) oder Ablehnungen (Opt-Out) zu widerufen. Dies erfolgt über den Link zu den Datenschutzhinweisen auf Ihrer Website. Die Nutzer sollten dort die Möglichkeit haben, den "Privacy Manager" erneut aufzurufen.

Vorschlag Textbaustein (zur Einbau in Ihren Datenschutzhinweisen):

Einwilligungsmanagement

Wir bieten Ihnen mit dem Consent Manager (Platzhalter individueller Link) die Möglichkeit, selbst detailliert entscheiden zu können, in welchen Fällen Sie Tracking via Cookies und anderer Technologien - zwecks Anzeige für Sie relevanter Inhalte sowie auf Sie maßgeschneiderter Werbung - zustimmen wollen.

Die Verarbeitung Ihrer Daten zu oben genannten Zwecken erfolgt teilweise auf der Grundlage des berechtigten Interesses, teilweise benötigen wir jedoch auch Ihre Zustimmung.

Um die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu gewährleisten und ein Höchstmaß an Transparenz für Sie als Nutzer bereit zu stellen, nehmen wir am Transparency & Consent Framework (TCF) von IAB Europe teil und unterwerfen uns dessen Spezifikationen und Richtlinien. Dafür setzen wir die Consent-Management-Plattform (CMP) der Sourcepoint Technologie Inc., 228 Park Ave S #87903, New York 10003-1502, USA als Auftragsverarbeiter ein. Im Rahmen des IAB Europe Transparency & Consent Frameworks ist Sourcepoint unter der Identifikationsnummer 6 gelistet. Die CMP von Sourcepoint ermöglicht es Ihnen uns eine datenschutzkonforme und selbstbestimmte Einwilligung in die Verarbeitung Ihrer Daten zu erteilen sowie diese jederzeit zu wiederrufen. Auch können Sie der Datenverarbeitung widersprechen, die auf unserem berechtigten Interesse beruht.

Eine Übersicht Ihrer Einstellungsmöglichkeiten, den Zwecken und eingebundenen Dritten finden Sie hier: Consent Manager (individueller Link)

Weitere Informationen zu der CMP von Sourcepoint finden Sie auf der Website https://sourcepoint.com/privacy-notice/.
Darüber hinaus können Sie sich auf der Website von IAB Europe über das Transparency and Consent Framework (TCF) informieren: iabeurope.eu/

Den Code für den individuellen Link finden Sie in der Sourcepoint UI:



8. Deaktivierung vorhandener Cookie/CMP-Tools

Als vorerst letzten Schritt bitten wir Sie bereits von Ihnen genutzte Cookie-Informations Layer oder Tools zur Einholung von Consent zu deaktivieren.



9. Finale Freigabe

Zur optimalen Vorbereitung stellen wir Ihnen verschiedene Wege zum Testen unserer CMP Lösung zur Verfügung. Nach Ihrer finalen Freigabe und Überprüfung durch unseren technischen Support, schalten wir zusammen mit Ihnen die Lösung live und beraten Sie fortwährend über Optimierungsmöglichkeiten und aktuelle, rechtliche Entwicklungen zum Thema.



10. Häufig gestellte Fragen

Frage
Warum empfiehlt es sich, in der Übergangszeit die komplette IAB Vendorenliste zu nutzen?Die Vendorenliste aktualisiert sich automatisch jede Woche. Aktuell habe sich noch nicht alle Dienstleister registriert oder sind im Prozess dazu. Um ausbleibende Umsätze zu vermeiden (sollte ein relevanter Vendor fehlen), empfehlen wir derzeit die vollständige IAB Vendorenliste zu nutzen. In den kommenden Monaten werden wir diese Liste reduzieren und begrenzen.
Warum halbiert sich die Consent-Rate laut Sourcepoint Reporting am Ende der Woche?

Die IAB Liste wird fortlaufend mit neuen Vendoren erweitert. Dieses Update passiert in der Regel jeden Donnerstag.
Nutzer, die bereits Ihre volle Zustimmung gegeben haben, wechseln nach diesem Update auf den internen Status "Partially Consented" anstatt "Fully Consented".
Dies soll Nutzer davor schützen bisher unbekannten Vendoren eine Zustimmung "zu vererben".

Durch das Anlegen von weiteren Schritten innerhalb der Sourcepoint "Scenarios", kann man Nutzer in regelmäßigen Abständen erneut nach Zustimmung befragen. In dieser erneuten Befragung würden alle bis dahin neu hinzugekommenen Vendoren einfließen Wir empfehlen dafür möglichst lange Abstände, zwischen 2-3 Monaten, um Nutzer nicht übermäßig zu belästigen.

Wer hinterlegt im IAB Framework die Rechtsgrundlagen (Berechtigtes Interesse / Consent)?Der Dienstleister gibt diese Informationen bei der Registrierung zum IAB an.
Kann ich als Publisher jede Rechtsgrundlage ändern?

Ja. Für diesen Fall empfehlen wir Ihnen die Pflege einer eigenen "Vendorenliste" innerhalb des Sourcepoint Systems. Sie haben in dieser Liste die Möglichkeit zu bestimmen, welche Vendoren abgefragt werden sollen, und auf welcher Rechtsgrundlage die Vendoren auf Ihren Webseiten agieren dürfen.

Bitte beachten Sie: Die Pflege der Liste ist komplett unter Ihrer Kontrolle, Änderungen (Hinzufügen neuer Partner/Vendoren) und Verwaltung (welcher Vendor lohnt sich/nicht) können nur Sie durchführen.
Gibt es Vorgaben des IABs bei der Erstellung von eigenen Nachrichten, die beachtet werden müssen?Teilweise ja. Der IAB schreibt nicht direkt vor, wie die Ansprache der Nutzer zu erfolgen hat, jedoch wie die Verwendungszwecke beschrieben werden müssen und wann der Nutzer über seine Wahlmöglichkeiten informiert werden muss. Genaue Details finden Sie in der IAB TCF Policy.
Welche Ad - Targetings funktionieren noch, wenn der User keinen Consent gibt?Dies hängt davon ab welche Verwendungszwecke der Nutzer erlaubt bzw. verweigert. Wenn der Vewendungszweck 1 ("Purpose 1") betroffen ist, ist das Targeting in vielen Punkten stark eingeschränkt (Frequency Caps, Nutzergruppen, Sozio-Demografische Segmente, etc.)
Bei verweigertem Consent sehe ich auf meiner Webseite weiterhin Scripte von Ströer oder Dienstleister, die durch die Systeme von Ströer geladen werden. Warum?

Der verweigerte Consent bedeutet nicht zwingend das Scipte geblockt werden, sondern das wir den Partnern & Dienstleistern mitteilen, wie sich der Nutzer entschieden hat.
Der Dienstleister ist daraufhin aufgefordert den Willen des Nutzer zu respektieren und nur die Verwendungszwecke zu nutzen, die der Nutzer erlaubt.

Ein Blocken von Scripten würden wir nur dann durchführen, wenn bereits der Aufruf eines Scriptes die Verarbeitung von personen-bezogenen Daten durch den Dienstleister voraussetzt.

Wie integrieren wir Werbung von Ströer, die DSGVO-konform ohne Einwilligung eingeblendet werden kann (= vor Consent des User)?

Dies ist derzeit noch nicht vollständig möglich. Viele Dienstleister und Werbetreibende sind noch mitten in der Umsetzung des IAB Consent Frameworks. Ein Aufruf der Werbung vor dem Entscheidung des Nutzer wird von vielen Dienstleistern noch behandelt, als würde keine Möglichkeit zur Einwilligung bestehen (bedeutet: Consent wird nicht beachtet).
Unsere Systeme verzögern das Anzeigen der Werbung daher, bis der Nutzer sich entschieden hat und wir rechts-sicher alle Werbesysteme ansprechen können.

Wir arbeiten bereits aktiv daran Werbesysteme zur Verfügung zu stellen, die DSGVO-konform und ohne vorherige Einwilligung des Nutzers funktionieren.

Wie können externe Dienstleister, zum Beipiel Google Analytics, DSGVO-konform in Webseiten integriert werden?Der DSGVO-konforme Einbau von Dienstleistern ist leider je nach Service unterschiedlich. In der Regel stellen die Dienstleister aber ausführliche Dokumentation für ihre Services bereit, die Sie auf Ihrer Webseite einbauen und umsetzen können.
Für Google Analytics, als Beispiel, existiert eine fortgeschrittene Schnittstelle um sehr granular zu steuern was Google Analytics an Daten sammeln und verarbeiten darf: https://support.google.com/analytics/answer/9976101?hl=de