Was die Global Privacy Platform wirklich ist

GPP ist ein Transportprotokoll, kein neues Consent-Framework. Es handelt sich um einen Container, der mehrere regionsspezifische Consent-Signale in einen einzigen Base64-String kodiert, der über eine Standard-JavaScript-API (__gpp()) bereitgestellt wird, die SSPs, DSPs und Messungsanbieter abfragen können. Jede Region hat ihren eigenen Abschnitt innerhalb des GPP-Strings: Section 2 trägt TCF EU v2, Section 6 trägt US Privacy (veraltet), Section 7 deckt USNat ab, und Sections 8 bis 12 decken Kalifornien, Virginia, Colorado, Utah und Connecticut ab. Weitere Abschnitte für Texas, Oregon, Montana und andere US-Bundesstaaten werden hinzugefügt, sobald deren Gesetze in Kraft treten.

Die zentrale Designentscheidung ist, dass ein einziger GPP-String mehrere Abschnitte gleichzeitig tragen kann. Ein europäischer Besucher erhält TCF-EU-Daten; ein kalifornischer Besucher erhält US-CA-Daten; ein Nutzer, dessen IP in beide Jurisdiktionen geolokalisiert wird (selten, aber per VPN möglich), kann beide Abschnitte befüllt haben. Ad-Tech-Anbieter lesen nur die für sie relevanten Abschnitte und ignorieren den Rest.

Warum GPP existiert und warum es jetzt wichtig ist

Vor GPP zwang jedes neue US-State-Datenschutzgesetz Publisher dazu, ein weiteres Signal zu implementieren. Kalifornien hatte USP. Virginias VCDPA erforderte eine andere Opt-out-Semantik. Colorados CPA erkannte das Global Privacy Control-Browsersignal an. Utah und Connecticut fügten weitere Nuancen hinzu. Ad-Tech-Anbieter mussten ein halbes Dutzend Formate parsen, oft inkonsistent, und das Risiko, in einem Kanal „Nutzer hat zugestimmt“ zu signalisieren, während der Nutzer in einem anderen abgemeldet hatte, wurde zu einer realen Compliance-Gefährdung.

GPP standardisiert den Transport. Sobald ein CMP den GPP-String setzt, liest jeder nachgelagerte Anbieter dieselbe Kodierung. Für Publisher ist dies aus drei Gründen wichtig: Googles 2024-Richtlinie erfordert nun GPP-Unterstützung für US-State-Signale im Google Ad Manager-Inventar; Prebid.js 8.x und die meisten großen SSP-Adapter erwarten GPP; und Regulatoren beziehen sich zunehmend auf GPP-Konformität als Nachweis einer gutgläubigen Signalverbreitung.

GPP-Abschnitte und ihre Bedeutung

Jeder GPP-Abschnitt hat eigene Kodierungsregeln, die das zugrunde liegende Framework widerspiegeln:

Section 2: TCF EU v2

Identisch mit dem eigenständigen TCF v2.2-String, den Sie bereits für europäischen Traffic generieren. Wenn Ihr CMP TCF-zertifiziert ist, produzieren Sie diesen Abschnitt bereits — GPP hüllt ihn lediglich ein.

Section 7: US National (USNat)

Der neueste Abschnitt, als einzelnes Signal konzipiert, das alle US-amerikanischen Bundes- und State-Datenschutzgesetze abdeckt. Er kodiert die erteilte Benachrichtigung, Verkaufs-Opt-out, Freigabe-Opt-out, Opt-out für zielgerichtete Werbung, Opt-out für sensible Daten und den Umgang mit bekannten Kinderdaten. Anbieter, die in mehreren US-Bundesstaaten tätig sind, sollten nach Möglichkeit USNat gegenüber den bundesstaatsspezifischen Abschnitten bevorzugen.

Sections 8-12: Bundesstaatsspezifische US-Signale

Kalifornien (US-CA), Virginia (US-VA), Colorado (US-CO), Utah (US-UT) und Connecticut (US-CT). Jeder Abschnitt enthält Felder, die spezifisch für das Gesetz des jeweiligen Bundesstaats sind — beispielsweise behält US-CA die älteren CCPA/CPRA-Verkaufs- und Freigabe-Opt-outs bei, während US-CO das von Colorado Privacy Act geforderte Flag für die Zustimmung zu sensiblen Daten hinzufügt. Texas (US-TX unter CPA section 13) und Oregon (US-OR unter CPA section 14) wurden hinzugefügt, nachdem ihre Gesetze im Juli 2024 in Kraft traten.

Wie Publisher migrieren sollten

Die meisten Publisher werden bereits über ein CMP verfügen, das TCF-Strings für EU-Traffic und USP-Strings für Kalifornien generiert. Der Migrationspfad zu GPP sieht folgendermaßen aus:

Schritt 1: CMP aktualisieren

Bestätigen Sie, dass Ihr CMP-Anbieter auf der GPP-zertifizierten CMP-Liste des IAB aufgeführt ist. FlexyConsent, OneTrust, Didomi, Sourcepoint, Usercentrics und die meisten Google-zertifizierten CMPs produzieren nun gültige GPP-Strings. Wenn Ihr CMP noch ausschließlich TCF oder USP ausgibt, fordern Sie eine Roadmap für GPP-Unterstützung an — jeder Anbieter ohne Plan wird 2026 zurückgelassen.

Schritt 2: GPP-Abschnitte nach Geografie konfigurieren

Ihr CMP sollte anhand der IP-Geolokalisierung automatisch entscheiden, welche GPP-Abschnitte befüllt werden sollen. Europäische Besucher erhalten Section 2 (TCF EU); US-Besucher erhalten Section 7 (USNat) oder bundesstaatsspezifische Abschnitte, je nachdem wie Ihr Anbieter-Stack das Signal liest. Befüllen Sie nicht jeden Abschnitt für jeden Besucher — das ist eine häufige Fehlkonfiguration, die jurisdiktionsirrelevante Daten preisgibft.

Schritt 3: Nachgelagerte Weitergabe überprüfen

Der GPP-String ist nur nützlich, wenn SSPs, DSPs, Analytics und Pixel-Anbieter ihn lesen. Auditieren Sie Ihren Ad-Stack: Bestätigen Sie in Prebid.js, dass das gppControl-Modul aktiviert ist; bestätigen Sie in Google Ad Manager, dass der GPP-String über die GAM-Consent-API weitergeleitet wird; bestätigen Sie in Google Analytics 4, dass Consent Mode v2 GPP neben TCF ausliest. Jeder Anbieter, der GPP stillschweigend ignoriert, stellt eine Compliance-Lücke dar.

GPP, Consent Mode v2 und Googles Anforderungen

Googles Richtlinienaktualisierung vom Dezember 2024 machte GPP-Unterstützung für Publisher, die US-Inventar über Google Ad Manager monetarisieren, verbindlich. Diese Änderung ist subtil, aber wichtig: Consent Mode v2 nutzt weiterhin seine eigenen ad_storage- und analytics_storage-Signale, aber GAM erwartet nun, dass der GPP-String in der Anzeigenanfrage für jeden Traffic vorhanden ist, der US-State-Datenschutzgesetzen unterliegt. Fehlende oder fehlerhafte GPP-Strings können dazu führen, dass Anzeigen im eingeschränkten Modus ausgeliefert werden — mit erheblichen Auswirkungen auf Füllung und Umsatz — oder bei Wiederholungstätern zum Ausschluss des Inventars aus Auktionen.

Die praktische Implikation: Selbst Publisher, die US-State-Gesetze historisch ignoriert haben, weil ihr Umsatz ausschließlich aus Kalifornien kam, benötigen nun GPP. Virginia, Colorado, Connecticut, Utah, Texas, Oregon, Montana und Iowa haben alle seit 2026 geltende Gesetze, und Google liest den GPP-String, um festzustellen, ob Ihre Anzeigenanfrage jeweils konform ist.

Häufige Migrationsfehler

Vier Fehler, die wir wiederholt beobachten, wenn Publisher GPP hinzufügen:

Duplizierte Signale. Einige Publisher behalten eigenständige TCF- und USP-Strings neben GPP bei und schaffen so drei Wahrheitsquellen, die sich widersprechen können. Sobald GPP live ist, sollten die eigenständigen Strings abgeschaltet werden.

Falsche Abschnittsbefüllung. US-CA für jeden US-Besucher unabhängig vom tatsächlichen Bundesstaat zu befüllen, gibt Geografiedaten preis und kann fälschlicherweise CCPA-Opt-out-Rechte für Nicht-Kalifornier beanspruchen. Verwenden Sie IP-Geolokalisierung, um den richtigen Abschnitt auszuwählen.

GPC ignorieren. Das Global Privacy Control-Browsersignal ist kein GPP-Abschnitt — es ist ein separater HTTP-Header und eine JS-Property. Ihr CMP muss GPC beim Seitenaufruf lesen und es als Opt-out in den relevanten GPP-Abschnitten widerspiegeln, oder Sie verstoßen gegen das Recht in Colorado, Connecticut und Kalifornien.

Veraltete Anbieter-Adapter. Ältere Prebid-Adapter und SSP-Integrationen können den GPP-String abtrennen, bevor er den Bieter erreicht. Testen Sie jeden Anbieter in Ihrem Ad-Stack mit dem IAB-GPP-Validator, bevor Sie die Migration für abgeschlossen erklären.

Der langfristige Ausblick: GPP jenseits der USA

GPP ist darauf ausgelegt, sich über TCF EU und US-State-Datenschutzgesetze hinaus zu erstrecken. Neue Abschnitte für Kanada (PIPEDA plus Quebecs Gesetz 25), Brasilien (LGPD), Südkorea (PIPA) und andere Jurisdiktionen befinden sich in aktiver Entwicklung durch die IAB-Arbeitsgruppe. Für Publisher, die globales Inventar bedienen, wird GPP zum einzigen Consent-Transport, der jedes regionale Protokoll ersetzt. Heute in GPP zu investieren positioniert Ihren Stack, die nächste Welle regionaler Datenschutzgesetze ohne einen weiteren Integrations-Sprint aufzunehmen.