Es ist passiert: Der Europäische Gerichtshof (EuGH) hat gesprochen. Das belgische Marktenhof hat nachgelegt. Und in den Feeds vieler Medien und Datenschutzforen hieß es: „Personalisierte Werbung ist am Ende!“
Ähm, nein. Nicht ganz.
Was tatsächlich passiert ist, ist juristisch hochinteressant, technisch komplex und medial – sagen wir es freundlich – stellenweise *kreativ interpretiert* worden.
Zeit, das Ganze mit einem Augenzwinkern, aber fundiert auseinanderzunehmen.
Was ist wirklich passiert?
Der EuGH hat im Verfahren C-604/22 entschieden, dass der sogenannte „TC String“, also jener technische Code, der speichert, wofür Nutzer*innen angeblich eingewilligt haben, als personenbezogenes Datum zu qualifizieren ist. Zudem stellte der Gerichtshof klar, dass das IAB Europe als (Mit-)Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung dieses TC Strings anzusehen ist. Brisant dabei: Für die bisherige Speicherung und Verarbeitung dieses Strings im Rahmen von TCF 2.0 fehlte eine wirksame Einwilligung oder eine andere tragfähige Rechtsgrundlage.
Im Nachgang hierzu bestätigte das belgische Marktenhof am 14. Mai 2025 die Verstöße des IAB Europe im Umgang mit dem TC String unter TCF 2.0. Allerdings wurde explizit festgehalten, dass neuere Versionen des Frameworks wie TCF 2.2 (derzeit im Einsatz) oder 2.3 (in der internen Prüfungsphase) nicht Gegenstand der gerichtlichen Prüfung waren. Ein Verbot des TCF als solches wurde nicht ausgesprochen; es ging vielmehr um konkrete Mängel in der damaligen Implementierung.
Schlagzeilen vs. Realität
Ein kurzer Blick in die Medien zeigt, wie schnell sich Schlagzeilen verselbständigen. Da las man etwa bei deutschen Anbietern: “ Onlinewerbung: Belgisches Gericht beendet Cookiebanner-Streit mit klarem Urteil „, „Targeting im Internet bald nicht mehr möglich.“ oder gar „Aus für personalisierte Online-Anzeigen.“.
Englische Medien standen dem in nichts nach und übertrumpften sich gegenseitig mit Headlines wie *“End of personalized advertising in Europe?“*, *“EU court bans key ad framework.“* oder „IAB Europe Data Consent Framework Ruled Illegal By Belgian Court“
Warum das so nicht stimmt? Ganz einfach: Gerichtsurteile prüfen immer konkrete Verfahren, nicht pauschal komplette Geschäftsmodelle. Personalisierte Werbung bleibt grundsätzlich zulässig, sofern die entsprechenden Verarbeitungen rechtskonform gestaltet sind. Das Urteil des EuGH bezog sich explizit auf die veraltete Version TCF 2.0 und die dort beanstandeten Verarbeitungen. Neue oder angepasste Versionen wie TCF 2.2 oder TCF 2.3 können sehr wohl andere Ergebnisse erzielen. Von einem generellen Bann gegen personalisierte Werbung kann also keine Rede sein.
Warum Gerichte nur über das Verhandelte urteilen
Gerichte sind keine Techno-Orakel. Sie beurteilen immer den konkreten Streitgegenstand, und zwar bezogen auf den zum Zeitpunkt der Klage relevanten Sachverhalt. In diesem Fall wurde explizit das TCF 2.0 in der damals implementierten Fassung verhandelt. Neuere Versionen – etwa TCF 2.2 oder TCF 2.3 – wurden nicht geprüft.
Das heißt auch: Jede Änderung am Framework – seien es Verbesserungen bei der Transparenz, Änderungen im UI-Design oder eine bessere Dokumentation – kann und wird die rechtliche Bewertung potenziell verändern. Oder anders gesagt: Auch wenn ein Sheriff gerade einen bestimmten Cowboy eingesperrt hat, heißt das nicht, dass alle künftigen Cowboys automatisch vogelfrei sind.
Empfehlungen für Webseitenbetreiber*innen und CMP-Admins (TCF 2.2)
Falls Sie bereits auf TCF 2.2 umgestellt haben (was sehr ratsam ist), sollten Sie ein paar Dinge besonders beherzigen. Holen Sie sich echte und informierte Einwilligungen – keine vorausgefüllten Banner oder vorab gesetzte Häkchen. Transparenz ist Trumpf: Erklären Sie klar und gut sichtbar, wer welche Daten wofür erhebt und verarbeitet.
Zudem sollten Sie Dark Patterns unbedingt vermeiden. Irreführende Farben oder versteckte Opt-out-Optionen untergraben die Glaubwürdigkeit Ihres Angebots und können Sie rechtlich in Schwierigkeiten bringen. Nicht zuletzt sollten Sie Ihre CMP-Software und Datenschutzhinweise regelmäßig auf den neuesten Stand bringen. Veraltete Links oder tote Partnerlisten machen keinen guten Eindruck und können problematisch sein.
Oh, und natürlich: Verfolgen Sie die aktuelle Rechtsprechung und die Weiterentwicklungen des TCF-Frameworks. Die Reise ist noch nicht zu Ende.
Grenzen der Einwilligung
Jetzt mal ehrlich: Kann der Durchschnittsnutzer bei zig Verarbeitungszwecken, Partnern und Datenflüssen überhaupt eine *wohlüberlegte* Entscheidung treffen? Hier lauern echte Fallstricke. Wer zum dritten Mal in einer Minute ein Cookie-Banner sieht, klickt oft nur noch genervt alles weg. Das nennt man Banner-Fatigue.
Hinzu kommen Dark Patterns: Knallgrüner „Akzeptieren“-Button und ein kaum sichtbarer „Einstellungen“-Link irgendwo unten? Das ist Manipulation, keine echte Wahlfreiheit. Selbst versierte Datenschützer*innen haben ihre liebe Mühe, wenn sie sich durch 50 Partner und 20 Datenkategorien wühlen müssen. Und wer weiß schon, wohin die Daten am Ende wirklich fließen? Oft landen sie bei Dutzenden weiterer Akteure, die der durchschnittliche Nutzer niemals überschauen kann.
Kurzum: Die theoretische Idee der informierten Einwilligung stößt beim Thema Online-Marketing an sehr praktische Grenzen. Deshalb ist es eigentlich begrüßenswert, dass Frameworks wie das TCF zumindest versuchen Transparenz und Kontrolle bieten – und nicht nur eine Illusion von Wahlmöglichkeit durch das Abhaken von Checkboxen. Es bleibt abzuwarten, ob das in Zukunft noch durch flankierende Maßnahmen ergänzt wird, wie man es aus anderen Bereichen des Konsumentenschutzes kennt, z.B. der verpflichtenden Angabe von Gesamtkosten bei Krediten oder eines Liter/Kilopreises von abgepackten Waren im Supermarkt.
Fazit: Der Sheriff, das Pferd und der Saloon
Stellen Sie sich die Datenschutzlandschaft als wilden Westen vor. Es gibt trotzdem Gesetze. Pferdediebstahl wird beispielsweise streng geahndet. Andere Gesetze haben sich noch nicht überall herumgesprochen, oder man versucht, sie mehr oder weniger kreativ zu umgehen. Der EuGH ist der große Sheriff, der klargestellt hat: Wer im Saloon gefälschte Ausweise in Form von zweifelhaften Einwilligungen zeigt, fliegt raus. Das Belgische Marktenhof hat diese Linie bestätigt – aber nur für genau einen Cowboy namens TCF 2.0.
Die neuen Cowboys, sprich TCF 2.2 und aufwärts, haben nun die Chance, mit sauberen Hüten und echten Papieren in die Stadt zu reiten. Webseitenbetreiber*innen sollten jetzt nicht panisch ihr Pferd im Stall lassen, sondern lieber satteln, die neuen Spielregeln verstehen und rechtskonforme Einwilligungen einholen.
Denn: Personalisierte Werbung ist nicht per se verboten. Aber sie muss ehrlich und transparent sein. Also tief durchatmen, die Schnaubgeräusche des Pferdes ignorieren und weitermachen – mit gutem Gewissen und besseren Bannern. Zumindest bis die (hoffentlich) weisen Frauen und Männer in Brüssel bzw. Straßburg erkennen, dass Cowboys eigentlich von gestern sind und durch etwas anderes ersetzen. Im Wissen, dass wir uns zu einer Gesellschaft weiterentwickeln sollten, in der Unternehmen ihren Erfolg nicht darauf gründen, ihre Interessenten durch Manipulation zu einem Kauf zu überreden.
