Das Interactive Advertising Bureau (IAB) veröffentlicht Rahmenwerke und Lösungen, die Unternehmen bei der Durchführung digitaler Werbung unter Wahrung des Datenschutzes und der Einhaltung von Datenschutzgesetzen unterstützen.
Ein Konsortium des IAB, das so genannte IAB Technical Laboratory(IAB Tech Lab), hat die Global Privacy Platform (GPP ) als einheitliches Rahmenwerk für Websites veröffentlicht, um universelle Opt-out-Mechanismen (UOOMs) zu berücksichtigen, wie sie von verschiedenen Datenschutzgesetzen gefordert werden.
Im Folgenden erörtere ich die GPP, die Gesetze, die die Anerkennung von UOOMs vorschreiben, und was Website-Besitzer zur Umsetzung der GPP benötigen könnten.
Was ist die Global Privacy Platform (GPP) des IAB?
Die vom Tech Lab des International Advertising Bureau (IAB) ins Leben gerufene Global Privacy Platform ermöglicht es den Nutzern, ihre Datenschutzpräferenzen durch einen automatischen Opt-out-Mechanismus zu signalisieren, und hilft Websites bei der Einhaltung neuer und bestehender Datenschutzgesetze.
Ein Nutzer kann GPP so einstellen, dass er dem Verkauf von Daten für gezielte Werbezwecke widerspricht, sobald er auf einer Seite landet, ohne ein Banner von cookie consent zu sehen und mit ihm zu interagieren.
Die aktuelle GPP-Version unterstützt die folgenden Datenschutzzeichenfolgen:
- IAB EU TCF
- IAB Kanada TCF
- MSPA's U.S. National String
- US-Bundesstaatenspezifische Datenschutzbestimmungen für Kalifornien, Colorado, Connecticut, Virginia und Utah
Das IAB Tech Lab plant, den Anwendungsbereich von GPP zu erweitern, um bei Bedarf andere Rechtsordnungen zu unterstützen.
Ist GPP ein universeller Opt-out-Mechanismus?
Technisch gesehen handelt es sich bei der GPP des IAB Tech Lab nicht gerade um einen universellen Opt-out-Mechanismus oder UOOM.
"Universeller Opt-out-Mechanismus" ist ein Sammelbegriff für Browser-Flags oder -Erweiterungen, die automatisch die Einwilligungspräferenzen der Nutzer an Websites übermitteln, während diese das Internet nutzen.
Sie ermöglichen es den Nutzern ausdrücklich, dem Verkauf oder der Weitergabe ihrer Daten zu widersprechen, ein Recht, das Personen zusteht, die unter bestimmte Datenschutzgesetze auf US-Bundesebene fallen, z. B. den California Consumer Privacy Act (CCPA ) und den Colorado Privacy Act (CPA).
Die GPP protokolliert jedoch den Wunsch eines Nutzers, gezielte Werbung abzulehnen, und ist auf die Ad-Tech-Anbieter beschränkt, die Mitglieder des IAB sind.
Allerdings unterstützt die GPP bekannte UOOMs wie die Global Privacy Control (GPC).
Globale Datenschutzplattform vs. Globale Datenschutzkontrolle (GPC)
Die GPP ist der Global Privacy Control (GPC ) insofern ähnlich, als dass beide Datenschutzpräferenzen signalisieren, aber die GPP fungiert nicht als "Nicht verkaufen"-Flagge.
Außerdem wurden beide von verschiedenen Organisationen erstellt und gepflegt.
Die unterschiedlichen Rahmenbedingungen sind darauf zurückzuführen, dass vor kurzem mehrere neuere Datenschutzgesetze verabschiedet wurden, von denen die meisten aus den US-Bundesstaaten stammen.
Diese Gesetze enthalten Bestimmungen, die von Websites verlangen, dass sie technische Browser-Einstellungen als nachprüfbare Aufforderung an die Nutzer anerkennen, von ihrem Recht Gebrauch zu machen, dem Verkauf oder der Weitergabe ihrer persönlichen Daten zu widersprechen.
In den Gesetzen ist jedoch nicht genau festgelegt, wie diese technischen Spezifikationen aussehen müssen.
Stattdessen sollen die Datenschutzbehörden Leitlinien herausgeben und spezifische Technologien nennen, die unter die verschiedenen Gesetze fallen.
In der Zwischenzeit werden Rahmenwerke wie das GPP des IAB Tech Lab und das GPC als mögliche Lösungen für die Einhaltung der Vorschriften entwickelt und veröffentlicht.
Wie bereits erwähnt, verpflichtet der CCPA in seiner durch den California Privacy Rights Act (CPRA) geänderten Fassung die betroffenen Einrichtungen offiziell dazu, GPC-Signale zu beachten, wie in den CCPA-FAQ des Generalstaatsanwalts dargelegt.
Globale Datenschutzplattform vs. Zustimmungsmanagement-Plattformen (CMP)
Die Global Privacy Platform unterscheidet sich von Zustimmungsmanagement-Plattformen (CMP), aber die beiden Technologien arbeiten zusammen, um Websites bei der Einhaltung von Datenschutzgesetzen zu unterstützen.
Ein CMP hilft bei der Einholung, Verfolgung und Verwaltung von Nutzerpräferenzen und umfasst in der Regel Folgendes:
- Ein Website-Scanner zum Auffinden und Kategorisieren von Internet-Cookies, die von der Website verwendet werden
- Eine automatisch generierte Cookie-Richtlinie auf der Grundlage der Ergebnisse des Website-Scans
- Ein anpassbares cookie consent Banner, damit die Nutzer ihre Zustimmung erteilen können
- Ein Präferenzzentrum, so dass die Nutzer ihre Meinung leicht ändern und ihre Einwilligung jederzeit zurückziehen oder widerrufen können
- Ein DSAR-Formular (Data Subject Access Request ), mit dem Nutzer nachprüfbare Anträge zur Durchsetzung ihrer Datenschutzrechte stellen können
Die GPP lässt sich in CMPs integrieren, so dass diese Websites, wenn die Nutzer die GPP in ihrem Browser eingerichtet haben, automatisch ihre Einwilligungssignale lesen und honorieren, ohne dass sie jemals ein Pop-up-Banner sehen.
Es handelt sich um eine überprüfbare Verbraucheranfrage, so dass sich die Nutzer nicht darum kümmern müssen, DSARs einzureichen oder Ihr Datenschutzteam zu kontaktieren, um dem Verkauf oder der Weitergabe ihrer Daten zu widersprechen.
GPP vs. Do-Not-Track (DNT)-Anfragen
Die GPP ermöglicht es Unternehmen, eine CMP zu verwenden, um Zustimmungssignale wie Do-Not-Track-Anfragen zu erfassen und neuere Gesetze zu berücksichtigen.
Ursprünglich war DNT ein Plugin, mit dem Nutzer Websites mitteilen konnten, dass sie nicht zu Werbe- oder Analysezwecken verfolgt werden möchten.
Sie wurde entwickelt, als das kalifornische Gesetz zum Schutz der Online-Privatsphäre (California Online Privacy Protection Act, CalOPPA) im Jahr 2013 geändert wurde, um Bestimmungen aufzunehmen, die von Unternehmen verlangen, in ihren Datenschutzrichtlinien klar anzugeben , wie sie auf DNT-Anfragen reagieren.
Die Technologie und die Datenschutzgesetze haben sich seit 2013 rasant weiterentwickelt, und viele Leute spekulieren, dass UOOMs wie die GPC und GPP die ältere DNT-Technologie ersetzen.
Müssen Unternehmen die globale Datenschutzplattform des IAB beachten?
Derzeit sind die Unternehmen nicht verpflichtet, die GPP des IAB Tech Lab zu beachten.
Wenn Sie jedoch den geltenden Datenschutzgesetzen unterliegen, wäre es vorteilhaft, CMPs in Betracht zu ziehen, die bereits den GPP-Rahmen unterstützen, da dieser mehrere Verknüpfungen zwischen den Nutzerpräferenzen in verschiedenen Ländern vorsieht.
In den USA enthalten mehrere neuere bundesstaatliche Datenschutzgesetze Bestimmungen, die Unternehmen dazu verpflichten, UOOM-Signale als überprüfbaren Antrag des Verbrauchers auf Ablehnung bestimmter Arten der Datenverarbeitung zu betrachten. Infolgedessen entwickeln verschiedene Organisationen diese Technologie, um den Verbrauchern zu helfen, ihre Rechte wahrzunehmen.
Für die Unternehmen stellt sich jedoch die Frage, welche spezifischen UOOMs ihre Websites einhalten müssen und wie komplex die Einrichtung sein könnte.
Das IAB Tech Lab hat den U.S. National String im Rahmen des GPP veröffentlicht, um einige dieser Bedenken auszuräumen. Er ermöglicht es GPP-Nutzern auch, Zustimmungssignale von anderen UOOMs, einschließlich des GPC, zu beachten und die gesetzlichen Opt-out-Anforderungen zu erfüllen, die in allen aktuellen US-Gesetzen festgelegt sind.
U.S.-Datenschutzgesetze und GPP
Das IAB Tech Lab hat GPP veröffentlicht, um Unternehmen bei der Einhaltung von Datenschutzgesetzen zu unterstützen. Im Folgenden werden die rechtlichen Anforderungen dieser Gesetze beschrieben.
Wie Sie die GPP auf Ihrer Website implementieren
Die Unternehmen können die GPP mit einer dieser Methoden umsetzen:
- Befolgen Sie die technischen Spezifikationen, die auf GitHub beschrieben sind.
- Verwenden Sie eine consent management platform , die bereits in die GPP integriert ist.
Das IAB empfiehlt allen Unternehmen, die den einschlägigen US-Datenschutzgesetzen unterliegen, den GPP-Rahmen zu integrieren, um die Anpassung an die Opt-out-Bestimmungen zu erleichtern, bevor diese durchsetzbar werden.
Wie Nutzer die GPP in ihren Browsern implementieren können
Damit die GPP die Opt-out-Präferenzen der Nutzer lesen kann, müssen diese einen kompatiblen UOOM-Browser oder eine Browsererweiterung verwenden.
So wird die GPP beispielsweise die von den Nutzern gesetzten Einwilligungssignale lesen und befolgen, wie die GPC, um dem Verkauf ihrer Daten zu widersprechen.
Zusammenfassung
Wenn Ihre Website den Datenschutzgesetzen unterliegt, die Richtlinien für die Berücksichtigung von Browser-Signalen der Benutzer als verifizierte Aufforderung zum Verzicht auf bestimmte Arten der Datenverarbeitung enthalten, sollten Sie die GPP des IAB Tech Lab in Betracht ziehen.
Das IAB Tech Lab ist ein unabhängiges, nicht gewinnorientiertes Konsortium des IAB. Seine skalierbaren technischen Standards, wie z. B. die GPP, sollen Unternehmen dabei helfen, die Datenschutzanforderungen auf kostengünstige und effiziente Weise zu erfüllen.
Die GPP stellt einen Versuch dar, die technischen Spezifikationen zu normalisieren, die Websites umsetzen müssen, um bestehende und künftige Datenschutzgesetze einzuhalten.
Mehr über die Autorin
Geschrieben von Natasha Piirainen
Natasha Piirainen ist Autorin zum Thema Datenschutz. Sie hat einen Bachelor-Abschluss in Englisch und Philosophie vom Wheaton College und verfügt über mehr als 10 Jahre Berufserfahrung in der forschungsorientierten Entwicklung von Inhalten.
Mehr über die Autorin
Überprüft von Anokhy Desai CIPP/US, CIPT, CIPM Datenschutzanwältin
