Warum Prebid.js ein Consent-Management-Modul benötigt

Wenn eine Prebid.js-Auktion ausgeführt wird, sendet der Wrapper parallele Anfragen an jeden konfigurierten Bieter-Adapter. Jeder Adapter muss den Einwilligungsstring des Nutzers in seine Gebotsanfrage einschließen — tcfeu (TCF v2.2 für EU/UK), usp (CCPA/CPRA) und zunehmend gpp (der IAB-Global-Privacy-Platform-String, der mehrere US-Bundesstaaten abdeckt). Ohne diese Signale sind nachgelagerte SSPs und DSPs gezwungen, den Nutzer entweder als Opt-out zu behandeln, das Gebot vollständig zu verwerfen oder – im schlimmsten Fall – Daten rechtswidrig zu verarbeiten.

Das Prebid Consent-Management-Modul sitzt zwischen Ihrem CMP und der Gebotsanfrage-Pipeline. Es ruft die Standard-CMP-API auf (__tcfapi, __uspapi, __gppapi), wartet auf einen Einwilligungsstring und injiziert ihn dann automatisch in die Gebotsanfrage-Nutzlast jedes Adapters. Es erzwingt auch zweckbasiertes Gatekeeping, wenn Sie die GDPR-Durchsetzung aktivieren, und blockiert den Speicherzugang und die Bieterausführung für Nutzer, die die relevanten TCF-Zwecke nicht gewährt haben.

Installation und Konfiguration des Kernmoduls

Prebid.js wird pro Publisher von docs.prebid.org/download.html erstellt. Wenn Sie Ihren individuellen Build generieren, sind drei Module unter „Consent Management" wichtig:

• consentManagementTcf — verarbeitet TCF-v2.2-Strings für EU-, UK- und Schweizer Traffic.
• consentManagementUsp — verarbeitet den älteren CCPA/CPRA US Privacy String (von vielen DSPs noch immer benötigt).
• consentManagementGpp — verarbeitet den IAB-GPP-String, den zukunftsweisenden Standard, der jetzt von Google, TTD und großen SSPs vorgeschrieben wird.

Schließen Sie alle drei ein, wenn Sie globalen Traffic bedienen. Sobald der Build auf Ihrem CDN angekommen ist, konfigurieren Sie die Module in Ihrem Prebid-Einrichtungsskript:

TCF v2.2-Konfiguration

Der TCF-Block teilt Prebid mit, welche CMP-API aufgerufen werden soll, wie lange auf einen String gewartet wird und was bei einem Timeout zu tun ist. Eine typische Produktionskonfiguration setzt cmpApi: 'iab', timeout: 8000 (8 Sekunden – lang genug für ein langsames CMP-Banner-Laden) und defaultGdprScope: true, damit Nutzer in unbekannten Jurisdiktionen als im Geltungsbereich befindlich behandelt werden, bis das Gegenteil bewiesen ist. Das separate Setzen von actionTimeout steuert, wie lange Prebid wartet, wenn der Nutzer noch nicht mit dem Banner interagiert hat – ein moderater Wert verhindert einen leeren Werbeplatz, falls ein Besucher das Banner ignoriert.

US Privacy und GPP

USP ist einfach: Aktivieren Sie das Modul und Prebid liest den vierstelligen String aus __uspapi. GPP ist nuancierter, da der GPP-String mehrere Abschnitts-IDs tragen kann (TCF EU, US National, US California, US Colorado, US Virginia usw.). Prebid leitet den vollständigen String automatisch weiter, aber Bieter untersuchen spezifische Abschnitte. Stellen Sie sicher, dass Ihr CMP die richtigen GPP-Abschnitte für die Jurisdiktion jedes Nutzers ausgibt – ein falsch konfiguriertes CMP, das einem kalifornischen Nutzer nur den US-National-Abschnitt ausgibt, wird CPRA-konforme DSPs dazu veranlassen, das Gebot zu verwerfen.

Aktivierung der GDPR-Durchsetzung (zweckbasiertes Gatekeeping)

Standardmäßig leitet das Einwilligungsmodul den TCF-String weiter, blockiert aber nichts. Um Prebid dazu zu bringen, TCF-Zwecke tatsächlich durchzusetzen, aktivieren Sie das Regelwerk gdprEnforcement. Hier passieren die meisten Einrichtungsfehler – und hier liegt der Unterschied zwischen einem konformen und einem nicht-konformen Header-Bidding-Stack.

Das Standard-Regelwerk blockiert vier Aktivitäten, wenn dem relevanten Zweck die Einwilligung fehlt:

• storage — gebunden an Zweck 1 (Speicherung und Zugang). Bei Ablehnung verhindert Prebid, dass Bieter Cookies und localStorage lesen oder schreiben.
• basicAds — gebunden an Zweck 2 (Basis-Werbung). Bei Ablehnung wird der Bieter vollständig aus der Auktion ausgeschlossen.
• measurement — gebunden an Zweck 7. Betrifft Analytics-Adapter.
• transmitPreciseGeo — gebunden an Sondermerkmal 1. Bei Ablehnung entfernt Prebid den genauen Standort aus Gebotsanfragen.

Für jede Regel setzen Sie enforcePurpose: true, enforceVendor: true und eine Liste von vendorExceptions. Die Anbieterausnahmeliste ist entscheidend: Jeder Bieter, den Sie dort aufführen, darf auch ohne explizite TCF-Anbieterzustimmung teilnehmen, mit der Begründung, dass Sie eine separate Rechtsgrundlage haben (z. B. berechtigtes Interesse in Verbindung mit einem Vertragsfluss). Verwenden Sie dies sparsam – zu weit gefasste Ausnahmen sind genau das Muster, für das Regulatoren begonnen haben, Publisher zu bestrafen.

Häufige Fallstricke, die Publisher Umsatz oder Compliance kosten

Timeout zu niedrig gesetzt

Wenn timeout kürzer ist als die Render-Zeit des CMP-Banners, macht Prebid ohne Einwilligungsstring weiter. Bieter behandeln das als fehlende Einwilligung und verwerfen das Gebot. Messen Sie die Latenz des ersten Aufrufs von tcfapi('addEventListener') Ihres CMP beim 95. Perzentil und setzen Sie den Prebid-Timeout darüber. 8000 ms ist ein sicherer Standardwert; 3000 ms ist riskant, wenn Sie Märkte bedienen, in denen Banner Zeit zur Lokalisierung benötigen.

Fehlende GPP-Integration bei US-Traffic

Große SSPs und DSPs (Google AdX, TTD, Magnite, PubMatic) verlangen jetzt den GPP-String für die US-Opt-out-Durchsetzung. Wenn Sie nur den veralteten USP-String ausgeben, werden diese DSPs Ihr Inventar zunehmend herabstufen oder überspringen. Prüfen Sie Ihre Gebotsantworten: Ein starker CPM-Rückgang bei US-Traffic im Jahr 2026 ist oft ein fehlendes GPP-Signal.

Veraltete Einwilligungsstrings bei SPA-Navigation

Single-Page-Apps, die Prebid-Auktionen bei Routenwechseln erneut auslösen, müssen pbjs.refreshUserIds() aufrufen und sicherstellen, dass der neueste TCF-String abgerufen wird. Ein im Cache gespeicherter, 30 Minuten alter String kann die Präferenzen des vorherigen Nutzers tragen, wenn Ihre Website gemeinsame Sitzungen verwendet.

Fehlende vendorExceptions für Analytics

Publisher vergessen oft, dass Prebid-Analytics-Adapter (Google Analytics, serverseitiges Reporting) ebenfalls dem measurement-Gatekeeping unter TCF-Zweck 7 unterliegen. Wenn Sie darauf für Umsatzberichte angewiesen sind, listen Sie sie explizit unter den Anbieterausnahmen der Messregel auf oder akzeptieren Sie die Datenlücke bei Traffic ohne Einwilligung.

Testen Ihrer Einrichtung vor der Produktion

Prebid.js stellt pbjs.getConfig('consentManagement') in der Browser-Konsole bereit. Überprüfen Sie, ob die aktive Konfiguration Ihrer Absicht entspricht. Verwenden Sie dann die Chrome-Erweiterung Prebid.js Professor oder pbjs.getEvents(), um den Einwilligungsstring zu überprüfen, der jeder Gebotsanfrage beigefügt ist. Stichprobenartig prüfen Sie drei Szenarien: einen vollständig einwilligenden Nutzer, einen Nutzer, der „Alle ablehnen" angeklickt hat, und einen Nutzer, der das Banner ohne Interaktion geschlossen hat. Jedes sollte ein anderes beobachtbares Verhalten in der Nutzlast der Gebotsanfrage erzeugen.

Führen Sie dieselben Prüfungen über Geographien hinweg mit einem VPN oder dem Geolocation-Override-Flag Ihres CMP durch. EU-Traffic sollte einen TCF-String erzeugen und gdprEnforcement auslösen; kalifornischer Traffic sollte einen USP- und einen GPP-String erzeugen; jurisdiktional unbekannter Traffic sollte Ihre defaultGdprScope-Einstellung respektieren.

Alles zusammenführen

Ein korrekt konfigurierter Prebid Consent-Management-Stack tut drei Dinge gleichzeitig: Er versorgt Ihre Bieter mit gültigen Einwilligungssignalen (Erhaltung der CPMs), er erzwingt TCF- und US-Opt-out-Regeln auf Wrapper-Ebene (Reduzierung der regulatorischen Exposition) und er gibt Ihnen einen einzigen Auditpunkt, wenn ein Regulierer fragt, wie Ihre Header-Bidding-Einrichtung die Nutzerwahl berücksichtigt. Nehmen Sie sich die Zeit, Timeouts bewusst zu setzen, GPP neben USP für US-Traffic zu aktivieren und Ihre vendorExceptions-Liste vierteljährlich zu überprüfen – die Kosten eines Fehlers werden sowohl in Bußgeldern als auch in verlorenen programmatischen Einnahmen gemessen.