,regionOfInterest=(225,152)&hash=ffd23fabdf1869757dfb76efeee20728411bdd5dd733efea8e636a2a3ce50444#)
![waipu.tv Comfort nur 1 Euro pro Monat [mehr als 230 TV-Sender, 200+ in HD]](https://www.macerkopf.de/wp-content/uploads/2025/06/waipu190625.jpg)
![SEO-Relaunch: 7 Punkte, die nicht verhandelbar sein dürfen! [Search Camp 377]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-377.png)
![Das HR-Power-Pack: SEO, SEA + Social Ads für die Mitarbeitergewinnung [Search Camp 376]](https://blog.bloofusion.de/wp-content/uploads/2025/05/Search-Camp-Canva-376.png)
![SEO-Monatsrückblick Mai 2025: AIOs, AI Mode, llms.txt + mehr [Search Camp 375]](https://blog.bloofusion.de/wp-content/uploads/2025/06/Search-Camp-Canva-375.png)
![Deals: XL-Eismaschine - Dieses starke Gerät hat das Zeug ein wahrer Sommer-Hit zu werden! [Anzeige]](https://images.cgames.de/images/gamestar/4/klarstein-sweet-swirl-eismaschine-teaser_6359887.jpg?#)
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/09/6a/096ad833b4ff28862dfb18e0dc3ea094/0125079793v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/f5/6a/f56a8dc563be39d4430039d1a931f114/0124922822v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/57/10/5710f3147838b737126b59f13e6fcf62/0125079681v2.jpeg?#)
Online-Werbung: TCF 2.0 verstößt gegen DSGVO
Am 14. Mai 2025 hat das Brüsseler Marktgericht in einem Urteil bestätigt: Der meistgenutzte Einwilligungs-Standard der Online-Werbung, das TCF 2.0 von IAB Europe, verstößt in weiten Teilen gegen die DSGVO. IAB Europe hat inzwischen eine neue Version 2.2 des Standards entwickelt. Doch reicht diese neueste Generation aus, um die rechtlichen Anforderungen zu erfüllen? Und was […]
Am 14. Mai 2025 hat das Brüsseler Marktgericht in einem Urteil bestätigt: Der meistgenutzte Einwilligungs-Standard der Online-Werbung, das TCF 2.0 von IAB Europe, verstößt in weiten Teilen gegen die DSGVO. IAB Europe hat inzwischen eine neue Version 2.2 des Standards entwickelt. Doch reicht diese neueste Generation aus, um die rechtlichen Anforderungen zu erfüllen? Und was müssen Websitebetreiber jetzt beachten?
Was ist das TCF?
Das Transparency and Consent Framework (TCF) ist ein Standard des Interactive Advertising Bureau Europe (IAB Europe), der die Einholung und Übermittlung von Nutzereinwilligungen für die Verarbeitung personenbezogener Daten im Online-Marketing regelt. Es fungiert als Schnittstelle zwischen Publishern, Werbetreibenden (Vendoren) und Consent-Management-Plattformen (CMPs). Ziel ist es, die Anforderungen der DSGVO zu erfüllen und eine standardisierte, transparente Abfrage und Verwaltung von Nutzerentscheidungen zu ermöglichen.
TCF 2.0 wurde im August 2019 veröffentlicht und löste die Vorgängerversion 1.1 ab, die bereits 2018 im Zuge der Einführung der DSGVO erschienen war.
Wie funktioniert der TC-String?
- Besucht ein Nutzer eine Website, erscheint ein Einwilligungsbanner, das von einer CPM bereitgestellt wird. Dort kann der Nutzer seine Präferenzen zu Werbung und Tracking festlegen.
- Diese Entscheidung wird von der CPM technisch erfasst und in einem sogenannten Transparency and Consent String (TC-String) codiert gespeichert. Der TC-String besteht aus einer Zeichenfolge, in der die drei wesentlichen Informationen gespeichert werden: Metadaten zur Einwilligung (z. B. Version des TC-Strings, Zeitpunkt der letzten Aktualisierung, Version der Anbieterliste), die Zwecke, für die Anbieter personenbezogene Daten verarbeiten dürfen, sowie die Liste der Anbieter (Vendoren), die eine Einwilligung des Nutzers erhalten haben.
- Zusätzlich speichert die CMP ein Cookie auf dem Endgerät des Nutzers.
- Durch die Kombination von Cookie und TC-String kann auf die IP-Adresse des Nutzers geschlossen werden.
- Der TC-String und die damit verknüpften Informationen wird anschließend an zahlreiche Werbepartnern weitergegeben, die auf Basis dieser Information in Echtzeit um Werbeplätze bieten können (Real-Time Bidding, RTB).
Der gesamte Prozess erfolgt in Millisekunden. So werden personalisierte Werbeanzeigen ausgeliefert.
Rückblick: Timeline der TCF-Verfahren
- Im Jahr 2019: Start des Verfahrens bei der belgischen Datenschutzaufsicht.
- Februar 2022: Die belgische Datenschutzaufsicht veröffentlicht Entscheidung 21/2022 gegen IAB Europe mit Bußgeld und Maßnahmenplan. IAB Europe legt gegen die Entscheidung Berufung ein.
- September 2022: Das Marktgericht legt dem EuGH mehrere Fragen zur Vorabentscheidung vor.
- Januar 2023: Genehmigung des Maßnahmenplans durch die belgische Datenschutzaufsicht.
- IAB Europe und Beschwerdeführer legen erneut Beschwerde ein.
- September 2023: Anhörung vor dem EuGH.
- März 2024: Urteil des EuGH: TC-String ist personenbezogen, IAB Europe ist (Mit-)Verantwortlicher.
- Mai 2025: Marktgericht entscheidet über die ursprüngliche Beschwerde von IAB Europe – bestätigt inhaltlich die Datenschutzverstöße.
Da das TCF laut Branchenangaben auf Hunderttausenden Websites eingesetzt wird – unter anderem von Google, Amazon, Microsoft und X – betrifft das Urteil eine Mehrheit der Internetnutzer in der EU.
Was das Berufungsgericht konkret entschieden hat
Das Gericht hat die Einschätzungen der Datenschutzaufsicht und des EuGH bestätigt und das System TCF 2.0 grundlegend infrage gestellt:
Der TC-String ist ein personenbezogenes Datum:
Das Gericht folgt der Vorabentscheidung des EuGH und bestätigt: Die gespeicherten Nutzerentscheidungen lassen sich mit vertretbarem Aufwand einer bestimmten Person zuordnen – etwa durch Kombination mit IP-Adressen. Damit unterliegen sie der DSGVO.
IAB Europe ist (Mit-)Verantwortlicher:
Der Verband hat über die Regeln zur Erstellung und Übermittlung des TC-Strings einen maßgeblichen Einfluss auf die Datenverarbeitung. Wegen dieses Einflusses ist der Verband gemeinsam mit Webseiten-Betreibern und Werbenetzwerken für die Verarbeitung dieser Daten verantwortlich.
Keine Verantwortung für Auktionen:
Für RTB-Auktionen nach Erstellung des TC-Strings ist IAB Europe nur dann mitverantwortlich, wenn der Verband dort ebenfalls Vorgaben macht. Dies war im vorliegenden Fall nicht feststellbar.
Keine Berufung auf berechtigtes Interesse:
Für personalisierte Werbung ist eine informierte und freiwillige Einwilligung erforderlich; das berechtigte Interesse genügt nicht.
Weitere Mängel:
Das Gericht bemängelt u. a. fehlende wirksame Einwilligung, unzureichende Transparenz, keine Datenschutz-Folgenabschätzung (DSFA), keinen benannten Datenschutzbeauftragten (DSB) und fehlende Mechanismen zur Integrität der Daten.
Besonders betont wurde:
Die große Verbreitung des Frameworks verpflichtet zu besonders sorgfältiger Einhaltung der DSGVO. Zivilrechtliche Klagen und Schadenersatzforderungen sind denkbar.
Neue Version des TCF: Was bringt 2.2?
Das IAB Europe teilte mit, dass es bereits eine neue Version 2.2 entwickelt habe, die dem Urteil aus ihrer Sicht bereits Rechnung trage.
Die neue Version TCF 2.2 bringt insbesondere mit:
- Strengere Einwilligung: Für personalisierte Werbung und Inhalte ist nur noch ausdrückliche Einwilligung zulässig.
- Granulare Auswahl: Nutzer können gezielt einzelnen Zwecken zustimmen oder diese ablehnen.
- Erweiterte Transparenz: Die Zahl der beteiligten Vendoren muss direkt im Banner angezeigt werden.
- Einfacher Widerruf: Die Zustimmung muss jederzeit einfach widerrufbar sein.
- Technische Änderungen: z. B. verpflichtende Event-Listener zur Echtzeitübermittlung der Einwilligung.
Google verlangt ab sofort die Integration eines zertifizierten Consent-Banners mit TCF 2.2 für Publisher in der EU und UK:
„Publisher in der EU und UK dürfen Google Ads, AdSense oder Ad Manager nur noch einsetzen, wenn ein von Google zertifiziertes Consent-Banner mit TCF 2.2 eingebunden ist.“
Google kündigte an, eine Liste konformer CMPs zu veröffentlichen.
Auch TCF 2.2 steht in Kritik
Trotz der zahlreichen Anpassungen bleibt auch TCF 2.2 Gegenstand anhaltender Kritik. Zwar wurden mit der neuen Version wichtige Verbesserungen bei Transparenz, Nutzerkontrolle und Informationspflichten eingeführt, etwa die Abschaffung des berechtigten Interesses als Rechtsgrundlage für personalisierte Werbung und die Verpflichtung zu klareren Angaben über Datenempfänger und Verarbeitungszwecke.
Dennoch bemängeln Datenschutzexperten und Aufsichtsbehörden weiterhin grundlegende Schwächen: So bestehen nach wie vor Unsicherheiten hinsichtlich der tatsächlichen Transparenz für Nutzer, der Komplexität der Einwilligungsprozesse und der technischen Umsetzung bei der Datenverarbeitung.
Zudem ist unklar, ob das Framework in seiner aktuellen Fassung alle Vorgaben des EuGH und der Datenschutzbehörden erfüllt – insbesondere im Hinblick auf Rechtmäßigkeit, Fairness und Sicherheit der Verarbeitung. Die rechtliche Bewertung von TCF 2.2 bleibt daher offen, und es ist nicht ausgeschlossen, dass auch diese Version künftig erneut vor Gericht überprüft wird.
Was sollten Unternehmen jetzt tun?
- Prüfen, ob noch TCF 2.0 eingesetzt wird; falls ja, schnellstmöglich auf TCF 2.2 umstellen.
- Dokumentation prüfen: Einwilligungsprotokolle, Informationspflichten, AV-Verträge und interne Richtlinien müssen DSGVO-konform sein.
- Ggf. Sicherstellen, dass die verwendete CMP von Google zertifiziert ist.
- Nicht zuletzt sollte geprüft werden, ob – bei gemeinsamer Verantwortung – eine Vereinbarung gemäß Art. 26 DSGVO notwendig ist.
Rechtliche Unsicherheit bleibt bestehen
Das Urteil ist ein Paukenschlag für die Werbeindustrie. Wer weiterhin auf TCF 2.0 setzt, riskiert Bußgelder, Abmahnungen und erhebliche Reputationsschäden. Auch zivilrechtliche Klagen sind denkbar.
Auch TCF 2.2 schafft keine vollständige Rechtssicherheit. Die belgischen Gerichte und der EuGH haben betont, dass die bestehenden Probleme mit der derzeitigen Struktur des TCF-Frameworks nicht vollständig zu beheben sind. Unternehmen, die das TCF weiterhin nutzen, sollten daher die Entwicklungen aufmerksam verfolgen und ihre Systeme regelmäßig auf Konformität prüfen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
