Die Online-Werbebranche ist auf die rechtskonforme Einholung und Verwaltung der Nutzereinwilligungen zur Datenverarbeitung angewiesen. Das „Transparency and Consent Framework“ (TCF) des IAB Europe wurde als Industriestandard eingeführt, um eine einheitliche Verarbeitung personenbezogener Daten im Rahmen personalisierter Werbung zu gewährleisten. Die Version 2.0 des TCF, die seit 2019 zur Anwendung kam, wurde dabei von einer Vielzahl europäischer und internationaler Unternehmen eingesetzt – und steht nun im Zentrum datenschutzrechtlicher Diskussionen.
Gerichtliche Feststellungen zu TCF 2.0 und zentrale Problemfelder
Im Mai 2025 hat das Marktgericht in Brüssel in einem vielbeachteten Urteil bestätigt, dass das TCF 2.0 in mehreren wesentlichen Punkten gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Zentraler Kritikpunkt ist, dass der sogenannte Transparency and Consent String (TC-String), der die Nutzereinwilligungen technisch abbildet und weitergibt, ein personenbezogenes Datum darstellt und damit umfassenden Schutzanforderungen unterliegt. Durch die Verbindung mit weiteren Identifikatoren wie der IP-Adresse sind Nutzer in ihrer Privatsphäre potenziell identifizierbar.
Das Gericht hat zudem festgestellt, dass der IAB Europe selbst eine (Mit-)Verantwortung für die Datenverarbeitung trägt und die bisherigen Kontroll- und Transparenzmechanismen nicht ausreichen. Weder die Einwilligungsmechanismen noch die Sicherstellung der Datenintegrität genügen den Anforderungen an eine wirksame, spezifische und freiwillige Einwilligung. Insbesondere wurde die Komplexität der Einwilligungsabfrage sowie fehlende Möglichkeiten zur einfachen Ausübung von Widerrufsrechten beanstandet. Auch mangelnde Transparenz für Nutzer, Defizite bei der Datenschutz-Folgenabschätzung sowie das Fehlen eines benannten Datenschutzbeauftragten wurden kritisiert.
Weiterentwicklung: TCF 2.2 und verbleibende Unsicherheiten
Als Reaktion auf die Entscheidung wurde mit TCF 2.2 eine neue Version des Frameworks veröffentlicht, die gezielte Verbesserungen hinsichtlich Transparenz, granularer Auswahlmöglichkeiten und Widerrufbarkeit der Einwilligung vorsieht. So verlangt TCF 2.2 unter anderem eine ausdrückliche Zustimmung durch den Nutzer für personalisierte Werbung, mehr Informationen über beteiligte Dienstleister und eine unmittelbare Möglichkeit zur Ablehnung einzelner Verarbeitungszwecke. Technische Anpassungen sollen die Echtzeit-Übermittlung der jeweiligen Einwilligung gewährleisten.
Trotz dieser Änderungen ist weiterhin fraglich, ob die aktuelle Version des Frameworks nun sämtlichen Anforderungen der DSGVO entspricht. Datenschutzbehörden und Fachkreise heben hervor, dass insbesondere der Komplexitätsgrad nach wie vor hoch ist und die tatsächliche Informationstransparenz für Nutzer oft nicht ausreichend gegeben ist. Auch die Umsetzbarkeit der Vorgaben im Einzelfall bleibt ein Thema laufender Kontrollen und möglicher weiterer gerichtlicher Auseinandersetzungen.
Konsequenzen und Empfehlungen für Unternehmen
Für Unternehmen, die im Online-Marketing tätig sind oder Werbedienstleistungen in Anspruch nehmen, besteht dringender Handlungsbedarf. Es sollte zeitnah geprüft werden, ob bestehende Systeme noch auf TCF 2.0 basieren und – falls ja – unverzüglich auf Version 2.2 umgestellt werden. Zudem ist sicherzustellen, dass alle eingesetzten Consent-Management-Plattformen (CMPs) DSGVO-konform arbeiten und gegebenenfalls von relevanten Anbietern wie Google zertifiziert sind.
Darüber hinaus empfiehlt sich eine umfassende Überprüfung der internen Datenschutzdokumentation, darunter Einwilligungsprotokolle, Informationspflichten, Vertragswerke mit Drittanbietern und ggf. Vereinbarungen zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. Die kritische Begleitung der weiteren Entwicklung durch europäische Datenschützer und Gerichte bleibt unerlässlich, um Compliance-Risiken, Bußgelder und Reputationsschäden wirksam zu vermeiden.
Fazit
Das Brüsseler Urteil gegen TCF 2.0 markiert einen Wendepunkt für die Praxis der Einwilligungseinholung im Online-Marketing. Auch mit TCF 2.2 bleibt die Lage rechtlich komplex und jede Entscheidung in diesem Bereich sollte sorgfältig abgewogen und dokumentiert werden. Unternehmen, die Wert auf rechtssichere und werteorientierte Datenverarbeitung legen, sollten ihre Prozesse konsequent überwachen und kontinuierlich an neue Anforderungen anpassen.
