Belgisches Gericht bestätigt: IAB / TCF Framework verstößt gegen die DSGVO

Letzte Aktualisierung: 16.05.2025

Nachdem bereits im Jahr 2022 die belgische ADP (Autorité de protection des données) – das ist die zuständige Datenschutzbehörde für die IAB – die gesamte Infrastruktur des IAB/TCF-Frameworks und alle bisher gesammelten Daten als Verstoß gegen die DSGVO erklärt hat, wurde diese Entscheidung erwartungsgemäß am 15.05.2025 durch ein belgisches Gericht bestätigt. Bereits 2024 hatte der Europäische Gerichtshof in einem Grundsatzentscheid bestätigt, dass es sich bei dem TC-String um ein personenbezogenes Datum handelt.
Webseitenbetreiber, die das IAB-Framework nutzen, sollten daher unbedingt prüfen, ob sie dieses Feature zukünftig weiter nutzen möchten. Die IAB Europe verweist zwar darauf, dass mit der Version 2.2 des Frameworks alle Mängel beseitigt worden seien, allerdings bleiben mindestens Unsicherheiten. Um keinerlei Risiko einzugehen, sollte das IAB-Framework im Cookie-Banner vorerst nicht mehr genutzt werden.

Hinweis: Dieses Problem betrifft nur Kunden, die das TCF-Framework nutzen!

Woher weiß ich, ob auf meiner Seite TCF aktiv ist?

Falls Sie die Einstellungsmöglichkeit für das IAB-Framework grundsätzlich aktiviert haben, finden Sie in der Konfiguration Ihrer Domain in CCM19 den Menüpunkt "IAB-Framework (TCFv2)" wie auf dem Screenshot zu sehen. Nur wenn dort der rot umrahmte Haken auf grün steht - dann nutzen Sie TCF.

Und an dieser Stelle noch ein wichtiger Hinweis: CCM19 basiert nicht auf TCF – TCF ist ein zusätzlich aktivierbares Modul innerhalb des CCM19 Systems. TCF KÖNNEN Sie aktivieren, müssen es nicht und CCM19 funktioniert auch vollständig OHNE TCF.

Entscheidung mit sofortiger Wirkung

Diese Entscheidung gilt ab sofort und EU-weit! Die Entscheidung erfolgte nach dem "One Stop Shop"-Prinzip der Datenschutz-Grundverordnung und gilt daher sofort und überall in der EU.

„Die Verarbeitung personenbezogener Daten (zum Beispiel die Erfassung von Nutzerpräferenzen) im Rahmen der aktuellen Version des TCF ist nicht mit der Datenschutz-Grundverordnung vereinbar, da sie gegen den Grundsatz der Fairness und Rechtmäßigkeit verstößt", Zitat Hielke Hijmans, Vorsitzender der Prozesskammer der Behörde.

Die Entscheidung in der Presse

Hier einige Links zu Kommentaren in der Presse zu dieser Entscheidung.

• Artikel bei heise.de "Belgisches Gericht beendet Cookiebanner-Streit mit klarem Urteil"
• Netzpolitik.org "Ringen um Deutungshoheit"
• Irish Council for Civil Liberties "EU ruling: tracking-based advertising by Google, Microsoft, Amazon, X, across Europe has no legal basis" 

Hintergrund - was ist das TCF Framework

Im Grunde funktioniert das System der zielgerichteten Werbung im Rahmen des TCF Frameworks folgendermaßen: Jeder Aufruf eines Besuchenden bei einer Website die im TCF Framework teilnimmt, führt zu einer Auktion unter den Anbietern von Werbeanzeigen.

Innerhalb von Millisekunden wird anhand eines detaillierten Profils über die Besuchenden entschieden, welche Werbung diese zu sehen bekommen. Das nennt man Real-Time-Bidding (RTB) - Bieten in Echtzeit. Damit das gut bzw. überhaupt funktioniert, müssen die Anbieter möglichst viel über die Besucher wissen: Alter, Geschlecht, besuchte Websites, Interessen, Wohnort, vermutetete Kaufkraft usw sind nur einige der Kriterien. Alle Informationen zusammen stellen das Profil eines Besuchers dar - dies kann beliebig detailliert sein.

Um diese Profile zu vermitteln, wird das Transparency and Consent Framework von IAB Europe genutzt. Wenn Besuchende auf den Button „Cookies akzeptieren" klicken oder auch schlicht nicht widersprechen,  erzeugt das TCF Framework den sogenannten TC-String. Der TC-String bildet die Grundlage für die Erstellung der oben genannten individuellen Profilen und für die Auktionen an denen tausende von internationalen Partnern teilnehmen.

Diese Verstöße wurden gefunden.

Es wurden die folgenden Verstöße gegen die Datenschutz-Grundverordnung dokumentiert und bemängelt.

• Artikel 5.1.a und 6 (Rechtmäßigkeit der Verarbeitung; Fairness und Transparenz)
• Artikel 12, 13 und 14 (Transparenz)
• Artikel 24, 25, 5.1.f und 32 (Sicherheit der Verarbeitung; Unversehrtheit der personenbezogenen Daten; Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen)
• Artikel 30 (Register der Verarbeitungstätigkeiten);
• Artikel 35 (Datenfolgenabschätzung);
• Artikel 37 (Ernennung eines Datenschutzbeauftragten).

Und noch eine Menge mehr an diversen Details. Unterm Strich ist festzuhalten, dass diese Probleme mit der derzeitigen Struktur des TCF-Frameworks nicht zu fixen sind. 

Was tut die IAB?

Die IAB Europe hat das Urteil zur Kenntnis genommen und kommentiert, dass sie mit der Version 2.2 des Frameworks eine Lösung vorgelegt habe, die die erwähnten Mängel bereits beheben würde.

Insgesamt wird versucht, die Entscheidung als Sieg zu verbuchen, weil im Rahmen des Urteils auch erneut bestätigt wurde, dass IAB Europe lediglich für den umstrittenen TC-String mitverantwortlich ist.

Welche Konsequenz hat das für CCM19 und für Sie als Nutzer des IAB / TCF Frameworks?

Auch uns als CMP stellt diese Entscheidung vor eine große Herausforderung – wie sollen wir einen DSGVO-konformes TCF-Consent Banner unseren Kunden zur Verfügung stellen, wenn die Grundlage, die verpflichtend genutzt werden soll, nicht DSGVO-konform ist? Das wird in dieser Form nicht möglich sein, die IAB lässt uns und alle Kunden, die das TCF Framework nutzen, nun doch deutlich im Regen stehen.

Beruhigend für alle Kunden, die KEIN TCF nutzen, sondern nur das Standard-Banner: Sie betrifft das nicht.

Für ale Nutzer des Frameworks bleibt mindestens ein Risko. Das TCF-Framework auch in der aktualisierten Form weiter zu nutzen, könnte gegen die DSGVO verstoßen und die Webseite der Gefahr von Abmahnungen aussetzen. Führende Datenschützer, die die Klage vorangetrieben hatten, sehen die Werbebranche nun im Zugzwang, neue, innovative Lösungen für das Tracking zu entwickeln, die die Privatsphäre von Webseitenbesuchern tatsächlich schützen.

Die Technik dazu gibt es – auch von unserer Seite. Also IAB – get your Job done!

In unserer Oberfläche gibt es mit dem nächsten Update in der Oberfläche einen Hinweis auf diesen Zustand, wie hier auf dem Screenshot zu sehen:

Was können Sie tun / Welche Handlungsoptionen gibt es?

Grundsätzlich gibt es 2 Optionen, wie Sie mit der Situation umgehen:

1. Sie können das natürlich weiter laufen lassen, müssen sich aber über die Risiken im Klaren sein. Alle Prozesse, die ausschließlich den TC-String vorraussetzen, dürfen Stand heute nicht mehr eingesetzt werden, da nicht DSGVO-konform. Darunter fällt also das gesamte IAB / TCF Konstrukt. Ob Sie sich daran halten, müssen Sie selber entscheiden, wir können das natürlich nicht empfehlen.
2. Wenn Sie Prozesse einsetzen, die TCF nicht zwingend vorraussetzen, kann man sie als normale Embeddings nutzen, zu beachten ist lediglich die korrekte Beschreibung. Damit sind Sie dann auf der sicheren Seite.

Uns ist natürlich bewusst, welche enormen wirtschaftlichen Resourcen an dieser Situation hängen, da wir aber unterm Strich nur die Maske für das Handling des TCF Frameworks abbilden, die:

1.  Von der IAB zu 100% verpflichtend vorgegeben wird - Abweichungen sind nicht gestattet
2.  Daher bei allen CMP Anbietern mehr oder weniger identisch ist

können wir an der Stelle nicht wirklich Einfluß nehmen, da muss die AdTech-Industrie zusammen mit der IAB handeln und zwar schleunigst.

Wir wollen gerne weiter mit der IAB zusammenarbeiten, auf technischer und kommunikativer Ebene lief das immer sehr gut. Aber wir wünschen uns ebenfalls ein zuverlässiges Konstrukt, das zukunfstfähig ist.