Am 14.05.2025 hat das Brüsseler Marktgericht entschieden, dass das Transparency and Consent Framework (TCF) 2.0 für Einwilligungen datenschutzwidrig ist. Die Entscheidung bestätigt die bereits 2022 geäußerten Einschätzungen der belgischen Datenschutzaufsicht und die Entscheidung des Europäischen Gerichtshofs (EuGH) von 2024. Zwar liegt inzwischen das TCF 2.2 als neue Version des Frameworks vor, doch auch diese steht bereits wieder in der Kritik. Für Unternehmen, die Online-Werbung betreiben oder entsprechende Technologien einsetzen, ist es höchste Zeit, ihre Datenverarbeitungssysteme auf Konformität zu prüfen.
Real Time Bidding, TCF und datenschutzrechtliche Relevanz
Real Time Bidding (RTB) ist ein automatisierter Prozess im Bereich der Online-Werbung, bei dem eine Versteigerung über Anzeigenplätze in Echtzeit stattfindet. Wenn ein Nutzer eine Webseite oder eine App aufruft, auf der Werbeplätze verfügbar sind, findet eine anonyme Auktion statt. Dabei werden umfangreiche Daten über den Nutzer, wie sein Surfverhalten und seine Interessen, verwendet, um die Anzeigen möglichst zielgerichtet zu gestalten. Der Höchstbietende erhält dann den Werbeplatz und seine Anzeige wird innerhalb von Millisekunden auf der Webseite oder in der App des Nutzers angezeigt.
Allerdings müssen die Bietenden auch schon im Rahmen der Auktion personenbezogene Daten erhalten. Deshalb hat sich das Interactive Advertising Bureau Europe (IAB Europe) ein bestimmtes Werkzeug auf ihrer „Consent Management Platform“ (CMP) ausgedacht. Dieser besteht darin, dass auf der CMP ein sogenannter „Transparency and Consent String” (TC-String) erstellt wird. In dem TC-String, der sich aus einer Mischung von Buchstaben und Zeichen zusammensetzt, werden die Nutzerpräferenzen gespeichert. Diesen String erhalten die Bietenden, damit sie Kenntnis darüber Erlangen, in welchem Rahmen eine Einwilligung vorliegt. Gleichzeitig wird auf dem Gerät des Nutzers ein Cookie gespeichert. Für Nutzer zeigt sich dieses Verfahren in Form des Einwilligungsbanners. TCF 2.0 ist seit August 2019 im Einsatz und soll beispielsweise auf Google und X eingesetzt werden.
Bisheriges gerichtliches Verfahren
Die belgische Datenschutzbehörde hat im Februar 2022 den Lösungsansatz von IBA Europe als unzulässig gewertet. Der TC-String sei ein personenbezogenes Datum und vielen Nutzern sei nicht bewusst, dass sie mit einer Einwilligung dem täglich mehrmaligen Verkauf ihrer Daten zustimmen.
IAB Europe wehrte sich gegen die Behörde mittels Klage beim Marktgericht Brüssel, dass am 19.09.2022 beim EuGH ein Vorabentscheidungsersuchen einreichte. Dieser schloss sich der Behörde an (C-604/22) und wertet den TC-String ebenfalls als personenbezogenes Datum, da eine Identifizierung etwa mittels der IP-Adresse möglich sei.
Im Übrigen handle es sich bei IAB Europe um einen gemeinsamen Verantwortlichen. Das ergebe sich daraus, dass IAB Europe sowohl Einfluss bezüglich der Datenverarbeitung als auch bezüglich der gemeinsamen Festlegung der Zwecke und Mittel habe. Jedoch liege für sämtliche Datenverarbeitungen, die nach der „Speicherung der Einwilligungspräferenzen im TC-String erfolgen“, eine Verantwortlichenstellung nur vor, wenn auch hier weiterhin eine Einflussmöglichkeit besteht.
Urteil des Marktgerichts Brüssel
Das Marktgericht in Brüssel hat die zentralen Kritikpunkte an TCF 2.0 vollumfänglich bestätigt. Dabei stützt es sich auf die Vorabentscheidung des EuGH, wonach der TC-String als personenbezogenes Datum einzustufen ist. Darüber hinaus stellte das Gericht ebenfalls fest, dass IAB Europe (Mit-)Verantwortlicher für die Datenübertragung sei. Hingegen konnte eine weitere Einflussnahme im Rahmen der Auktion nicht mehr festgestellt werden.
Weitere Mängel betreffen die unzureichende Information der Nutzer, die fehlende Datenschutzfolgenabschätzung und das Fehlen eines benannten Datenschutzbeauftragten. Die Verwendung des berechtigten Interesses als Rechtsgrundlage für personalisierte Werbung wurde ausdrücklich ausgeschlossen. Es brauche vielmehr eine Einwilligung.
Neuer Standard TCF 2.2 – ein Schritt in die richtige Richtung?
Nach der Kritik an TCF 2.0 hat IAB Europe inzwischen eine überarbeitete Version des Frameworks vorgelegt. TCF 2.2 sieht strengere Anforderungen an die Einholung von Einwilligungen vor. So müsse die Zustimmung ausdrücklich erfolgen und dürfe sich nicht mehr auf ein berechtigtes Interesse stützen. Zudem werde die Transparenz erhöht, da die Anzahl der Vendoren bereits beim ersten Aufruf des Consent-Banners angezeigt werden müsse und der Widerruf jederzeit einfach möglich sein müsse.
Trotz der vorgenommenen Verbesserungen bleibt die neue Version nicht ohne Kritik. Nach wie vor bestehen Zweifel daran, ob das Framework eine wirklich informierte und freiwillige Einwilligung ermöglicht und auch die Transparenzvorgaben einhält. Ob die neue Version ein tatsächlicher Ersatz ist, wird im Zweifel ein Gericht erneut feststellen müssen.
Fazit
Für Unternehmen, die noch TCF 2.0 einsetzen, besteht dringender Handlungsbedarf. Die Verwendung dieser Version ist nach dem Urteil nicht mehr rechtskonform. Eine Migration auf TCF 2.2 sollte insofern erfolgen. Trotzdem bietet auch diese keine absolute Rechtssicherheit. Parallel dazu sollten Verantwortliche auch überprüfen, ob die eingesetzte CMP von Google zertifiziert ist. Verantwortliche sollten auch Einwilligungsprotokolle und Informationspflichten auf Aktualität und Vollständigkeit prüfen. Die Entscheidung, dass TCF 2.0 für Einwilligungen datenschutzwidrig ist, ist ein deutlicher Warnruf an die digitale Werbewirtschaft. Wer digitale Werbung DSGVO-konform gestalten will, muss sich nicht nur auf technische Standards verlassen, sondern sollte diese Prozesse umfassend und kritisch auch aus datenschutzrechtlicher Sicht hinterfragen.
