Was das MSPA ist — und was nicht

Das MSPA ist ein privates, vertragsbasiertes Framework, das vom IAB veröffentlicht wurde. Es ist kein Gesetz und ersetzt keine staatlichen Gesetze. Stattdessen ist es eine multilaterale Vereinbarung, der Teilnehmer — Publisher, Agenturen, Werbenetzwerke, SSPs, DSPs und Datenanbieter — beitreten, um konsistente rechtliche Aussagen darüber treffen zu können, wie personenbezogene Daten durch programmatische Werbung fließen. Wenn alle in einer Kette denselben Vertrag unterzeichnen, müssen Downstream-Anbieter nicht fünfzig verschiedene bilaterale Datenverarbeitungsverträge aushandeln, um eine einzige Gebotsanfrage zu verarbeiten.

Denken Sie an das MSPA als drei Dinge gleichzeitig:

• Einen Vertrag, der automatisch weiterfließt, wenn ein Unterzeichner Daten an einen anderen Unterzeichner weitergibt.
• Ein Vokabular zur Ausdrückung von Nutzerwahlen mittels GPP-kodierter Strings, einschließlich Opt-outs von Verkauf, Weitergabe, zielgerichteter Werbung und Verarbeitung sensibler Daten.
• Einen Risikoverteilungsrahmen, der jeden Unterzeichner einer von drei Rollen zuordnet — Covered Business, Service Provider/Processor oder Third Party — mit den jeweils zugehörigen Pflichten.

Was das MSPA nicht ist: ein Ersatz für Ihre Datenschutzerklärung, ein Ersatz für die direkte Einwilligung des Nutzers, wo diese erforderlich ist, oder eine Garantie der Compliance mit einem bestimmten staatlichen Gesetz. Es ist ein Werkzeug, das bei korrekter Anwendung die Einhaltung mehrerer staatlicher Gesetze operativ machbar macht. Bei falscher Anwendung — etwa wenn Teilnahme signalisiert wird, während Daten nach einem Opt-out weiter geteilt werden — erweitert es Ihre Haftung anstatt sie zu reduzieren.

Wer aufpassen muss: Die drei MSPA-Rollen

Bevor Sie irgendetwas unterzeichnen, bestimmen Sie, welche Rolle Sie tatsächlich spielen. Die meisten Publisher stellen überrascht fest, dass sie je nach Datenfluss mehr als einen Hut tragen.

Covered Business

Sie sind ein Covered Business, wenn Sie die Zwecke und Mittel der Verarbeitung personenbezogener Daten eines Nutzers festlegen — typischerweise der Publisher, der die Website oder App betreibt, die der Nutzer besucht. Als Covered Business sind Sie verantwortlich für die Einholung von Einwilligungen, die Anzeige von Hinweisen, die Einhaltung von Opt-outs und die Konfiguration des GPP-Signals, auf das sich Downstream-Anbieter verlassen. Die nutzerseitige Bürde liegt bei Ihnen.

Service Provider oder Processor

Sie sind ein Service Provider, wenn Sie personenbezogene Daten im Auftrag eines Covered Business auf Vertragsbasis und ausschließlich für begrenzte, zulässige Zwecke verarbeiten. Die meisten Analyse-Anbieter, Hosting-Provider und Consent-Management-Plattformen agieren in dieser Rolle. Das MSPA legt Beschränkungen fest: kein Verkauf, keine kontextübergreifende Verhaltenswerbung im Eigeninteresse sowie streng definierte Aufbewahrungs- und Löschregeln.

Third Party

Sie sind eine Third Party, wenn Sie personenbezogene Daten von einem Covered Business erhalten und für eigene Zwecke verwenden — die meisten SSPs, DSPs, Identity-Anbieter und Datenhändler fallen hierunter. Third Parties tragen die schwersten vertraglichen Verpflichtungen, einschließlich des direkten Umgangs mit Nutzerrechten und Downstream-Flow-through-Pflichten, wenn sie Daten mit eigenen Partnern teilen.

Das MSPA und die Global Privacy Platform (GPP)

Das MSPA existiert nicht im Vakuum. Es ist die Vertragsebene; GPP ist die technische Signalisierungsebene. Die Global Privacy Platform des IAB Tech Lab kodiert Nutzerwahlen in einen einzigen String, der mit Gebotsanfragen über das OpenRTB-Protokoll mitreist. Für US-amerikanische Signalisierung enthält GPP Abschnitts-Strings für jeden Bundesstaat mit einem umfassenden Datenschutzgesetz — zum Beispiel USCA (Kalifornien), USCO (Colorado), USVA (Virginia), USCT (Connecticut), USUT (Utah) und den allgemeinen US National-String für Bundesstaaten ohne eigenen Abschnitt.

Das MSPA teilt Ihrer CMP mit, welche Felder innerhalb dieser GPP-Abschnitte gesetzt werden müssen, um Deckung zu beanspruchen. Die wichtigsten Felder, die Publisher sehen und konfigurieren werden, umfassen:

• MspaCoveredTransaction — auf Ja gesetzt, wenn der Publisher bestätigt, dass die Gebotsanfrage vom MSPA-Framework abgedeckt ist.
• MspaOptOutOptionMode — gibt an, ob dem Nutzer eine klare Opt-out-Option gemäß den Transparenzregeln des MSPA angeboten wurde.
• MspaServiceProviderMode — gesetzt, wenn Downstream-Anbieter die Daten ausschließlich als Service Provider behandeln müssen.
• SaleOptOut, SharingOptOut, TargetedAdvertisingOptOut — die granularen Einwilligungs-Flags, die Bieter lesen, um zu entscheiden, was sie mit der Impression tun dürfen.
• SensitiveDataProcessing — ein mehrelementiges Array, das die Nutzerwahlen für rassischen Ursprung, religiöse Überzeugungen, Gesundheit, sexuelle Orientierung, Staatsangehörigkeit, präzise Geolokalisierung und andere durch staatliches Recht definierte sensible Kategorien signalisiert.

Setzt Ihre CMP MspaCoveredTransaction = Ja, ohne dass der Publisher den MSPA-Vertrag tatsächlich unterzeichnet hat, haben Sie eine falsche Behauptung aufgestellt, auf die sich Downstream-Unterzeichner verlassen werden. Das ist ein direkter Weg zu einem Vertragsstreit und, je nach Bundesstaat, zu einer Regulierungsbeschwerde.

Sensible Daten: Die Falle, die die meisten Publisher übersehen

Jedes umfassende US-staatliche Datenschutzgesetz seit Kalifornien hat die Definition sensibler personenbezogener Daten erweitert, und das MSPA fasst diese in einem einheitlichen GPP-Feld zusammen. Zu den Kategorien zählen typischerweise:

• Staatliche Identifikatoren (Sozialversicherungsnummer, Führerschein, Reisepass).
• Kontodaten und Finanzinformationen.
• Präzise Geolokalisierung, in der Regel enger als 1.750 Fuß.
• Rassische oder ethnische Herkunft, religiöse Überzeugungen, Diagnosen psychischer oder körperlicher Gesundheit.
• Sexualleben und sexuelle Orientierung.
• Staatsangehörigkeit und Aufenthaltsstatus.
• Genetische und biometrische Daten zur Identifizierung einer Person.
• Daten über ein bekanntes Kind unter 13 Jahren — und in einigen Bundesstaaten unter 16 Jahren mit zusätzlichem Schutz.

Einige Bundesstaaten erfordern eine Opt-in-Einwilligung für die Verarbeitung sensibler Daten, andere erlauben die Verarbeitung mit einem Opt-out-Recht. Die GPP-Kodierung des MSPA ermöglicht es, beides auszudrücken, aber Ihre CMP muss wissen, welches basierend auf dem Bundesstaat des Nutzers anzufordern ist. Die Fehlklassifizierung sensibler Daten — z.B. das Behandeln von Health-Content-Browsing als gewöhnliche Verhaltensdaten — ist das einzel häufigste Versagensmuster, das von Generalstaatsanwälten in Durchsetzungsmaßnahmen 2024–2025 beanstandet wurde.

Einen MSPA-konformen Consent-Flow aufbauen

Die Implementierung des MSPA auf Ihrer Website oder App ist ein Koordinationsproblem über Rechts-, Technik- und Ad-Operations-Teams hinweg. Die Arbeit gliedert sich in grob fünf Arbeitsströme.

1. Das MSPA unterzeichnen und Ihren Unterzeichnerstatus aufrechterhalten

Das MSPA ist ein echter Vertrag, den Rechtsberatung prüfen und ausführen muss. Sie erklären die Rolle oder Rollen, in denen Sie tätig sind, die US-Bundesstaaten, in denen Sie Geschäfte tätigen, und die Datenkategorien, die Sie verarbeiten. Erneuern Sie jährlich und aktualisieren Sie das Unterzeichnerportal des IAB Tech Lab, wenn sich Ihre Rolle oder Jurisdiktion ändert.

2. Ihre CMP für Multi-State-Logik konfigurieren

Ein einzelnes rein auf CCPA ausgerichtetes Banner reicht nicht mehr aus. Ihre CMP muss den Bundesstaat des Nutzers ermitteln — typischerweise über IP-Geolokalisierung mit einem Datenschutz-Fallback — und die richtigen Hinweise, Links und Opt-out-Steuerelemente für diese Jurisdiktion einblenden. FlexyConsent und andere moderne Google-zertifizierte CMPs liefern Multi-State-Templates, die Bundesstaat für Bundesstaat auf die richtigen GPP-Abschnitts-Strings abbilden.

3. GPP-Strings in Ihren Ad-Stack einbinden

Der GPP-String muss in jede OpenRTB-Gebotsanfrage eines US-Nutzers eingefügt werden. Für Google Ad Manager-Nutzer bedeutet das die Aktivierung der GPP-Unterstützung in den Netzwerkeinstellungen; für Prebid-Nutzer die Installation der Module gppControl_usnat und der länderspezifischen Module sowie die Bestätigung, dass der consentManagement-Adapter den kodierten String weiterleitet. Testen Sie mit dem GPP-Decoder des IAB Tech Lab, um den Roundtrip von der CMP bis zur Gebotsanfrage zu verifizieren.

4. Das Global Privacy Control (GPC)-Signal beachten

Die meisten staatlichen Gesetze — Kalifornien, Colorado, Connecticut und eine wachsende Liste — verlangen die Beachtung eines Browser-Level-GPC-Signals als gültiges Opt-out. Das MSPA erwartet, dass Unterzeichner GPC erkennen und die Felder SaleOptOut, SharingOptOut und TargetedAdvertisingOptOut vorbelegen, noch bevor der Nutzer das Banner berührt. Wenn Ihre CMP GPC nicht erkennen und darauf reagieren kann, sind Sie unabhängig von der MSPA-Mitgliedschaft nicht compliant.

5. Downstream-Anbieter prüfen

Die Downstream-Flow-Logik des MSPA funktioniert nur, wenn Ihre Anbieter ebenfalls Unterzeichner sind. Bevor Sie Daten an einen SSP, DSP oder Datenpartner senden, überprüfen Sie deren Unterzeichnerstatus im IAB Tech Lab-Portal. Nicht unterzeichnende Anbieter müssen entweder aus Ihrem Ad-Stack für US-Traffic entfernt werden oder durch separate bilaterale DPAs abgedeckt sein, die die MSPA-Bedingungen widerspiegeln.

Häufige Implementierungsfehler

Bei Publisher-Audits tauchen wiederholt mehrere Fehlermuster auf:

• MSPA-Abdeckung signalisieren, ohne zu unterzeichnen. Das Setzen von MspaCoveredTransaction = Ja im GPP-String, während die juristische Person des Publishers das MSPA nicht unterzeichnet hat, setzt den Publisher Ansprüchen wegen Falschdarstellung durch Downstream-Unterzeichner aus, die sich auf das Signal verlassen haben.
• Texas, Oregon und Montana vergessen. Publisher, die für das ursprüngliche Fünf-Staaten-Bild konfiguriert wurden, verpassen Gesetze, die 2024 und 2025 in Kraft getreten sind. Jedes hat eigene Opt-out-Auslöser; das MSPA deckt sie ab, aber nur wenn die Bundesstaaten-Erkennungslogik Ihrer CMP sie einschließt.
• Sensible Datensignale in News- und Lifestyle-Inhalten ignorieren. Ein Leser eines Gesundheits-, Religions- oder LGBTQ-orientierten Artikels könnte implizit sensible Daten verarbeiten. Führen Sie ein Content-Audit durch und konfigurieren Sie kategoriespezifische Überschreibungen in der CMP.
• GPC als empfehlenswert behandeln. Der kalifornische Regulierer stellte 2024 klar, dass das Ignorieren von GPC eine Verstöße pro Verstoß darstellt. Das MSPA schützt Sie davor nicht — es setzt darauf, dass Sie GPC beachten.
• Veraltete GPP-Strings am Edge gecacht. CDN- oder Service-Worker-Caching von Seiten kann einem Nutzer einen veralteten GPP-String aus einer früheren Sitzung liefern. Deaktivieren Sie Caching am Consent-Endpunkt und fügen Sie bei Consent-Änderungen einen Fresh-Fetch-Schritt hinzu.

Wie das MSPA die Werbeeinnahmen beeinflusst

Publisher, die das MSPA korrekt implementieren, sehen typischerweise moderate kurzfristige Umsatzrückgänge gefolgt von Stabilisierung, während nachlässige Implementierungen entweder Gebote überrestringieren oder den Publisher Durchsetzungsrisiken aussetzen. Die Stellschrauben:

• Opt-out-Raten — In Bundesstaaten mit prominenten Opt-out-Links entscheiden sich in der Regel 5–15 % der Nutzer gegen Verkauf oder Weitergabe. Gebotspreise für Opt-out-Impressionen fallen typischerweise um 30–60 %, da Verhaltens-Targeting nicht verfügbar ist.
• Klassifizierung sensibler Inhalte — Eine Fehlklassifizierung gewöhnlicher Inhalte als sensibel bricht die Nachfrage ein. Seien Sie konservativ und kategoriengenau.
• Header-Bidding-Partnermix — Nicht-MSPA-unterzeichnende Partner, die Sie für US-Traffic deaktivieren müssen, verringern Ihre Auktion. Ersetzen Sie sie durch Unterzeichner, statt mit dünnerer Nachfrage zu arbeiten.
• Server-seitiges Tagging — Ein Server-seitiger Container, der den GPP-String liest und Tags bedingt feuert, ist der sauberste Weg, Analytics und Consent synchron zu halten.

Was als Nächstes kommt: 2026 und darüber hinaus

Das MSPA ist eine lebende Vereinbarung. Der IAB aktualisiert es alle ein bis zwei Jahre, wenn neue staatliche Gesetze, Generalstaatsanwalt-Leitlinien und Bundesvorschläge die Landschaft neu gestalten. Die Themen, die 2026 zu beobachten sind:

• Ein mögliches Bundesdatenschutzgesetz, das staatliche Regime teilweise präemptieren würde — das MSPA enthält Präemptions-Fallback-Logik, so dass Unterzeichner nicht gestrandet werden.
• Erweiterung von GPP um gesundheitsspezifische Signalisierung unter dem Washington My Health My Data Act und analogen Gesetzen.
• Strengere Durchsetzung von Dark-Pattern-Regeln in Opt-out-Flows durch die California Privacy Protection Agency und den Texas Attorney General.
• Integration mit KI und Offenlegungspflichten beim Training großer Sprachmodelle, die mehrere staatliche Gesetzgeber diskutieren.

Publisher, die die MSPA-Implementierung als einmaliges Projekt behandeln, werden zurückfallen. Behandeln Sie sie als laufende operative Hygiene, gemeinsam verantwortet von Recht, Ad Operations und Product Engineering und quartalsweise überprüft. Die Publisher, die bei der US-Multi-State-Compliance gewinnen, sind nicht diejenigen mit den meisten Anwälten — es sind diejenigen, deren CMP, Ad-Stack und Audit-Logs dieselbe Geschichte erzählen, wenn ein Regulierer fragt.

Fazit

Das MSPA ist die praktische Antwort auf eine fragmentierte US-Datenschutzlandschaft. Es wird keine Gesetze für Sie verabschieden, aber es gibt Ihrem Bid-Stream, Ihren Anbietern und Ihrem Rechtsteam eine einzige gemeinsame Sprache für Opt-outs, sensible Daten und Downstream-Verpflichtungen. Kombinieren Sie es mit einer bundesstaatsbewussten CMP, präziser GPP-Signalisierung und diszipliniertem Anbieter-Management, und Sie werden weniger Zeit damit verbringen, über Jurisdiktion zu streiten, und mehr Zeit damit, die Impressionen zu monetarisieren, die Sie monetarisieren dürfen. Das ist der einzige nachhaltige Weg durch 2026 und die Welle staatlicher Gesetze, die noch dahinter wartet.