Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen

by|3. Juli 2025|Aktuelles

Am 14. Mai 2025 hat das Brüsseler Berufungsgericht den meistgenutzten Einwilligungsstandard der Online-Werbung, das „Transparency & Consent Framework“ (TCF) von IAB Europe, in weiten Teilen als datenschutzwidrig eingestuft. Besonders brisant: Der sogenannte „Transparency and Consent String“ (TC-String) wurde endgültig als personenbezogenes Datum klassifiziert, und IAB Europe als (gemeinsam) Verantwortlicher für die Verarbeitung eingestuft. Da das TCF auf Hunderttausenden Websites – darunter Google, Amazon, Microsoft und X – eingesetzt wird, betrifft das Urteil die Mehrheit der Internetnutzer in der EU.

Hintergrund

Das TCF wurde von IAB Europe entwickelt, um Einwilligungen für personalisierte Online-Werbung technisch und vertraglich zu koordinieren. Die Version 2.0 speichert Nutzerpräferenzen in Form des TC-Strings, der über das OpenRTB-Ökosystem an zahlreiche Werbedienstleister verteilt wird. Bereits 2024 hatte der Europäische Gerichtshof (EuGH) entschieden, dass der TC-String personenbezogene Daten enthalten kann. Daraufhin verhängte die belgische Datenschutzbehörde (GBA) Bußgelder wegen fehlender Rechtsgrundlage, mangelnder Transparenz und unzureichender Sicherheit. IAB Europe legte Berufung ein, die das Gericht jedoch abwies. Die neuere Version 2.2 war nicht Gegenstand des Verfahrens.

Kernpunkte der Gerichtsentscheidung

  1. TC-String als personenbezogenes Datum:
    Das Gericht stellte fest, dass die Nutzerentscheidungen im TC-String mit vertretbarem Aufwand einer Person zugeordnet werden können, z.B. durch Verknüpfung mit IP-Adressen. Damit unterliegt der TC-String der DSGVO.
  2. Mitverantwortung von IAB Europe:
    IAB Europe bestimmt die Regeln zur Erzeugung, Speicherung und Weitergabe des TC-Strings und ist deshalb gemeinsam mit Webseitenbetreibern und Werbenetzwerken für die Datenverarbeitung verantwortlich, obwohl es die Daten nicht direkt verarbeitet.
  3. Keine Verantwortung für nachgelagerte Werbeauktionen:
    Für die Real-Time-Bidding-Auktionen (RTB) nach der Erstellung des TC-Strings ist IAB Europe nur dann mitverantwortlich, wenn der Verband auch dort Vorgaben macht – was im aktuellen Fall nicht nachweisbar war.
  4. Verstöße und Sanktionen:
    Das System holt keine wirksame Einwilligung ein, bietet keine ausreichende Transparenz, und es fehlen Datenschutz-Folgenabschätzung sowie ein Datenschutzbeauftragter. Das Gericht verhängte eine Geldbuße von 250.000 Euro und ordnete einen Maßnahmenplan mit einem Zwangsgeld bei Nichteinhaltung an.

Datenschutzrechtliche Bewertung und Handlungsempfehlungen

Das Urteil ist ein Weckruf für alle Beteiligten im Online-Werbemarkt. Unternehmen, die weiterhin TCF 2.0 einsetzen, riskieren Bußgelder, Abmahnungen, Reputationsschäden und zivilrechtliche Schadenersatzforderungen, da viele EU-Nutzer betroffen sind. Obwohl IAB Europe eine neue Version 2.2 entwickelt hat, die einige Mängel adressiert – etwa durch strengere Einwilligungspflichten, granulare Auswahlmöglichkeiten für Nutzer und erweiterte Transparenz – bleibt die rechtliche Bewertung dieser Version offen. Datenschutzexperten kritisieren weiterhin Unsicherheiten in der Transparenz und Komplexität der Einwilligungsprozesse.

Unternehmen sollten daher dringend prüfen, ob sie noch Version 2.0 nutzen, und gegebenenfalls schnellstmöglich auf Version 2.2 umstellen. Gleichzeitig sind folgende Maßnahmen empfehlenswert:

  • Durchführung einer umfassenden DSGVO-Gap-Analyse für den Einsatz des TCF (inkl. Version 2.2)
  • Sicherstellung einer belastbaren Rechtsgrundlage und vollständige Dokumentation der Einwilligungsprozesse
  • Prüfung, ob die eingesetzte Consent-Management-Plattform (CMP) von Google zertifiziert ist (für Google-Werbeprodukte verpflichtend)
  • Prüfung, ob Vereinbarungen zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO erforderlich sind

Datenschutz wird zunehmend als wichtiger Wettbewerbsfaktor wahrgenommen. Unternehmen, die die Datenschutzanforderungen ernst nehmen und ihre Einwilligungsprozesse rechtskonform gestalten, sichern nicht nur ihre Compliance, sondern stärken auch das Vertrauen ihrer Nutzer.

Datenminimierung im Onlinehandel

Neueste Beiträge

  • AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27

    Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.

  • ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10

    Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

  • Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31

    Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
    Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

    Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
    Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
    Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.

  • Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30

    Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.

Schlagwörter

Abmahnwelle Art. 15 DSGVO Ausschluss eines Betriebsratsmitglieds BAG Betroffenenrecht BGH Bildnisse Bußgeld Cookie-Banner Datenschutz Datenschutz-Grundverordnung Datenschutzverstoß Datenübermittlung digitales Zeitalter Drittanbieter Drittland DSK Beschluss Einwilligung Ex-Mitarbeiter Foto- und Videoaufnahmen Gesundheitsdaten Google Fonts HmbBfDI Kundengewinnung Kurzbeitrag Künstliche Intelligenz Mental Privacy Microsoft Nachbarschaftskontrolle Online-Werbung Patrick Vieregge PRev Recht auf Auskunft Schadensersatz Schadensersatzanspruch Social Media TikTok Tracking unberechtigte Veröffentlichung Unzulässigkeit privater Foto- und Videoaufnahmen Update Verbraucherrechte Website Wettbewerbsverstoß „Transparency & Consent Framework“ (TCF)
Ausschluss eines Betriebsratsmitglieds wegen groben DatenschutzverstoßesGedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?