21.05.2025
Ein aktuelles Urteil aus Belgien sorgt für Bewegung im europäischen Datenschutzrecht: Das sogenannte Transparency and Consent Framework (TCF) wurde von der belgischen Datenschutzbehörde (APD) – mit Unterstützung anderer europäischer Aufsichtsbehörden – für nicht DSGVO-konform erklärt.
Urteil gegen das TCF: Was Websitebetreiber jetzt wissen sollten – und warum WebCare die bessere Lösung ist
Ein aktuelles Urteil aus Belgien sorgt für Bewegung im europäischen Datenschutzrecht: Das sogenannte Transparency and Consent Framework (TCF) wurde von der belgischen Datenschutzbehörde (APD) – mit Unterstützung anderer europäischer Aufsichtsbehörden – für nicht DSGVO-konform erklärt.
Das betrifft viele Consent-Banner, wie man sie täglich auf großen Websites sieht. Doch was genau steckt dahinter? Und was bedeutet das für Websitebetreiber?
Wir geben einen Überblick – und zeigen, warum WebCare von Datareporter von Anfang an bewusst auf TCF verzichtet hat.
Das Urteil im Überblick
Am 14. Mai 2025 bestätigte das belgische Marktgericht die Entscheidung der Datenschutzbehörde:
Das Transparency and Consent Framework (TCF), entwickelt vom Branchenverband IAB Europe, verstößt gegen die DSGVO. Bereits im Jahr 2024 hatte der Europäische Gerichtshof (EuGH) festgestellt, dass der sogenannte „TC-String“ ein personenbezogenes Datum im Sinne der DSGVO darstellt. Das Urteil vom Mai 2025 stützt sich darauf und erklärt TCF in seiner bisherigen Form für unzulässig.
Damit steht fest: Das aktuell am Markt weit verbreitete TCF ist nicht rechtskonform einsetzbar.
Was ist der TC-String überhaupt?
Der sogenannte TC-String (Transparency and Consent String) ist das technische Herzstück des TCF-Standards.
Er enthält Informationen darüber:
Welche Einwilligungen Nutzer:innen erteilt haben.
Welche Zwecke der Datenverarbeitung erlaubt wurden.
Und welche Drittanbieter („Vendoren“) Zugriff auf diese Daten erhalten dürfen.
Diese Informationen werden zentral erfasst und als Zeichenkette (String) gespeichert. Der String wird anschließend an alle teilnehmenden Werbepartner und Plattformen weitergeleitet, meist automatisch – und in vielen Fällen, bevor überhaupt eine wirksame Zustimmung erfolgt ist.
Ziel war es, die komplexe Weitergabe von Einwilligungen in der Werbeindustrie zu standardisieren und skalierbar zu machen. Doch genau das steht nun im Widerspruch zum europäischen Datenschutzrecht.
Warum ist das TCF nicht DSGVO-konform?
Die zentralen Kritikpunkte lauten:
Unklare Verantwortlichkeiten: Die Datenschutzbehörden sehen IAB Europe als datenschutzrechtlich Verantwortlichen – eine Rolle, die der Verband zunächst nicht für sich beanspruchte.
Fehlende Rechtmäßigkeit der Verarbeitung: Das TCF-System verarbeitet personenbezogene Daten wie IP-Adressen, Browserinformationen und den TC-String selbst – oft ohne gültige Einwilligung, teils auf Basis des berechtigten Interesses. Das ist für viele Verarbeitungszwecke laut DSGVO nicht zulässig.
Intransparenz für Nutzer:innen: Nutzer:innen können meist nicht nachvollziehen, welche Daten an welche Drittanbieter weitergegeben werden. Die Auswahl ist oft verschachtelt, die Liste der Vendoren lang – eine informierte Entscheidung ist praktisch kaum möglich.
Unwirksame Einwilligungen: Einwilligungen, die auf Grundlage des TCF erteilt werden, gelten laut Urteil in vielen Fällen als nicht wirksam, da sie nicht den Anforderungen an Freiwilligkeit, Informiertheit und Granularität entsprechen.
Die Entscheidung von Datareporter: Kein TCF in WebCare.
Schon bei der Entwicklung von WebCare, der Consent Management Platform von Datareporter, war für unser Juristenteam klar: Das TCF-Modell ist rechtlich höchst bedenklich. Deshalb wurde der Standard nie in unsere Produkte integriert.
“Wir vertraten schon immer die Meinung, dass der für TCF gewählte Ansatz einer juristischen Überprüfung nicht standhält und gegen die DSGVO verstößt. Deshalb wurde das TCF Framework von Anfang an nicht in den Produkten von Datareporter verwendet.” (Mag. jur. Robert Reitmann, CEO & Chief Legal Officer, Datareporter)
Unsere Philosophie:
Keine automatische Massenweitergabe von Zustimmungen.
Keine Verarbeitung von personenbezogenen Daten wie IP-Adressen im Einwilligungsprozess (vor dem eigentlichen Consent).
Kein undurchschaubares Netzwerk aus Drittempfängern.
Stattdessen haben wir eine eigene, transparente und datensparsame Lösung entwickelt.
Warum WebCare eine sichere und zukunftsfähige Wahl ist:
WebCare wurde von Grund auf so konzipiert, dass es die Anforderungen der DSGVO und ePrivacy Richtlinie erfüllt – ohne Abstriche bei Nutzererlebnis oder technischer Funktionalität.
Die wichtigsten Vorteile:
✅ DSGVO-konform ohne TCF
✅ Eigener, integrierter Tag Manager
✅ Keine IP-Verarbeitung zur Einwilligungssteuerung
✅ Volle Kontrolle über eingebundene Tools und Skripte
✅ Klare, verständliche Einwilligungsdialoge für Nutzer:innen
✅ Regelmäßige Updates durch unser juristisches Team
Fazit: Sicherheit durch Weitsicht
Das Urteil gegen das TCF ist ein Meilenstein im europäischen Datenschutz – und ein deutliches Signal an die AdTech-Branche. Es zeigt, dass technische Standards nicht am Gesetz vorbei gestaltet werden können.
Für uns bei Datareporter ist es eine Bestätigung unseres Ansatzes:
👉 Privatsphäre, Transparenz und Rechtssicherheit gehören zusammen.
Mit WebCare entscheidest du dich für eine Consent-Lösung, die nicht nur technisch, sondern auch rechtlich auf der sicheren Seite steht.
Neugierig geworden?
Teste WebCare kostenlos oder buche eine persönliche Beratung:
Quellen:
Abgerufen am 21.05.2025: https://www.autoriteprotectiondonnees.be/citoyen/affaire-iab-europe-la-cjue-repond-aux-questions-prejudicielles
Abgerufen am 21.05.2025: https://www.dataprotectionauthority.be/citizen/the-market-court-rules-in-the-iab-europe-case
Du hast Fragen? Dann schreibe uns bitte - wir sind immer für dich da.