menu close NewsKontakt
German
EnglishGerman
search close
Global Site close
ArgentinaArubaBarbadosBoliviaBrazilCanadaCayman IslandsChileColombiaCosta RicaCuracaoEl SalvadorGuatemalaHondurasMexicoParaguayPeruPuerto RicoSaint MartinSurinameUnited StatesUruguayVenezuela
AustraliaCambodiaChinaHawaiiHong KongIndiaIndonesiaJapanMacauMalaysiaMaldivesMongoliaMyanmarNew ZealandPakistanPhilippinesSingaporeSouth KoreaSri LankaTaiwanThailandVietnam
AlbaniaAndorraArmeniaAustriaAzerbaijanBelgiumBulgariaCroatiaCyprusCzech RepublicDenmarkEstoniaFinlandFranceGeorgiaGermanyGreeceHungaryIrelandItalyKazakhstanKosovoLatviaLithuaniaLuxembourgMaltaMoldovaNetherlandsNorwayPolandPortugalRomaniaSerbiaSlovakiaSloveniaSpainSwedenSwitzerlandTajikistanTurkeyUkraineUnited KingdomUzbekistan
AlgeriaBahrainEgyptGhanaIsraelJordanKenyaKuwaitLebanonLiberiaMauritiusMoroccoMozambiqueNigeriaOmanQatarSaudi ArabiaSenegalSierra LeoneSouth AfricaTanzaniaTogoTunisiaUgandaUnited Arab EmiratesYemen
German
EnglishGerman
Leistungen
close Leistungen
Tax
Leistungen
Über uns
close Über uns
Über uns
NewsKontakt
search close
home  News
Belgian Ruling Shakes European Advertising Standard TCF

Belgisches Urteil erschüttert den europäischen Werbestandard TCF

Court of Appeals Brussels - 2022/AR/292

Daniel Lauschke
20.05.2025
Belgian Ruling Shakes European Advertising Standard TCF
Ein Brüsseler Berufungsgericht hat am 14. Mai 2025 den meistgenutzten Einwilligungs-Standard der Online-Werbung, das „Transparency & Consent Framework“ (TCF) von IAB Europe, in weiten Teilen für datenschutzwidrig erklärt. Besonders brisant: Der sogenannte TC-String wurde endgültig als personenbezogen eingestuft und IAB Europe als (gemeinsam) Verantwortliche eingeordnet. Da das TCF laut Branchenangaben auf Hunderttausenden Websites eingesetzt wird – unter anderem von Google, Amazon, Microsoft und X – betrifft das Urteil eine Mehrheit der Internetnutzer in der EU.

Sachverhalt

IAB Europe, der Branchenverband hinter dem TCF, entwickelte dieses, um Einwilligungen für personalisierte Werbung technisch und vertraglich zu koordinieren. Version 2.0, die noch immer weit verbreitet ist, speichert Nutzerpräferenzen in einer Zeichenkette („Transparency and Consent String“, TC-String) und verteilt sie über das OpenRTB-Ökosystem an sämtliche teilnehmenden Dienstleister.

Bereits 2024 hatte der Europäische Gerichtshof (EuGH, C-604/22) festgestellt, dass der TC-String ein personenbezogenes Datum sein kann. Die belgische Datenschutzbehörde (GBA) ahndete daraufhin diverse Verstöße (fehlende Rechtsgrundlage, mangelnde Transparenz, unzureichende Sicherheit) und verhängte 250.000 Euro Bußgeld. IAB Europe legte Berufung ein, beantragte sogar eine Wiedereröffnung des Verfahrens – der Antrag wurde vom Gericht jedoch abgelehnt. Wichtig: Die mittlerweile veröffentlichte TCF-Version 2.2 war nicht Gegenstand des Verfahrens.

Entscheidung des Gerichts

1. Der sogenannte „TC-String“ ist ein personenbezogenes Datum

Beim Besuch vieler Webseiten erscheint ein Einwilligungsfenster („Cookie-Banner“). Dort wählt der Nutzer aus, ob er Werbung akzeptiert oder ablehnt. Diese Auswahl wird als Zeichenkette (der TC-String) gespeichert.

Das Gericht stellte fest: Dieser Datensatz lässt sich mit vertretbarem Aufwand einer bestimmten Person zuordnen – etwa wenn man ihn mit der IP-Adresse eines Computers kombiniert. Deshalb gilt er als personenbezogen und fällt unter die Datenschutz-Grundverordnung (DSGVO).

 2. IAB Europe trägt eine Mitverantwortung

IAB Europe bestimmt die Regeln, nach denen der TC-String erzeugt, gespeichert und an Werbefirmen weitergegeben wird. Wegen dieses Einflusses ist der Verband gemeinsam mit Webseiten-Betreibern und Werbenetzwerken für die Verarbeitung dieser Daten verantwortlich. Allerdings verarbeite er die Daten selbst gar nicht direkt.

 3. Verantwortung endet beim TC-String – nicht bei späteren Werbeauktionen

Viele Unternehmen nutzen den TC-String, um danach in Sekundenbruchteilen Werbeplätze zu versteigern („Real-Time Bidding“). Für diese nachgelagerten Auktionen sieht das Gericht IAB Europe jedoch nur dann in der Pflicht, wenn der Verband dort ebenfalls Regeln vorgibt. Das war im vorliegenden Fall nicht nachweisbar.

4. Bestätigte Verstöße und Konsequenzen

IAB Europe hat keine wirksame Zustimmung der Nutzer eingeholt und kann sich auch nicht auf „berechtigte Interessen“ berufen. Nutzer erfahren nicht klar genug, wer ihre Daten wofür nutzt. Das System bietet keinen verlässlichen Mechanismus, um zu verhindern, dass Daten verfälscht oder missbraucht werden. Es fehlt ein vollständiges Verzeichnis der Datenverarbeitungen, eine Datenschutz-Folgenabschätzung und ein Datenschutzbeauftragter.

Dafür bestätigte das Gericht eine Geldbuße von 250.000 Euro, ordnete einen detaillierten Maßnahmenplan an und verhängte ein Zwangsgeld von 5.000 Euro pro Tag, falls die Vorgaben nicht fristgerecht umgesetzt werden.

 Praxishinweis

Das TCF ist laut Heise (Artikel vom 15.05.2025) „der meistgenutzte Standard für Profilbildung bei Online-Werbung“. Nach dem Urteil drohen allen Beteiligten – Publishern, Ad-Tech-Plattformen, Advertisern – behördliche Verfahren, wenn sie weiterhin auf Version 2.0 setzen, ohne die festgestellten Mängel zu beseitigen. Außerdem können zivilrechtliche Schadenersatzforderungen erheblich sein, weil sehr viele EU-Nutzer betroffen sein dürften. Das IAB Europe teilte mit, dass es bereits eine neue Version 2.2 entwickelt habe, die dem Urteil aus ihrer Sicht bereits Rechnung trage.

Unternehmen sollten

  • Einsatz des TCF (einschließlich Version 2.2) einer DSGVO-Gap-Analyse unterziehen, und
  • stets eine belastbare Rechtsgrundlage schaffen und Einwilligungsprozesse dokumentieren.

 Wer jetzt nicht nachbessert, riskiert Bußgelder und Reputationsschäden in einem Markt, der sich zunehmend auf Datenschutz-Compliance als Wettbewerbsfaktor stützt.