Hintergrund
VÜPF-Revision: Bundesrat will Überwachung per Verordnung durchmogeln
von Florian Bodoky
Einwilligung ohne Kontrolle: Warum Cookie-Banner scheitern
21.5.2025
Nach mehreren Jahren gerichtlicher Streitigkeiten steht nun fest: Das «Transparency and Consent Framework» verstösst gegen die Datenschutz-Grundverordnung der EU. Auf einem Cookie-Banner «OK» zu klicken, reicht nicht, um die Daten so zu verarbeiten, wie viele Firmen es tun.
Die Debatte um das sogenannte Transparency and Consent Framework (TCF) hat die verschiedenen Aktivisten, Firmen und Behörden des europäischen Datenschutzes jahrelang in Atem gehalten. Bereits 2022 hat der Irish Council for Civil Liberties (ICCL) Beschwerde bei der belgischen Datenschutzbehörde eingereicht. Das TCF ermögliche systematische Verstösse gegen die Datenschutzgrundverordnung (DSGVO).
Quelle: iccl.ie
Nun liegt ein richtungsweisendes Urteil aus Brüssel vor: Das belgische Berufungsgericht hat die Klage von Datenschützern in wesentlichen Punkten gutgeheissen. Vor allem haben sie bestätigt, dass der sogenannte TC String «personenbezogene Daten im Sinne der Datenschutz-Grundverordnung (DSGVO)» speichere. Damit folgt das Gericht der Einschätzung des Europäischen Gerichtshofs (EuGH), welcher sich bereits 2024 in dieser Frage geäussert hatte. Dass die Cookie-Banner heute oder morgen verschwinden, ist unwahrscheinlich. Dennoch könnte dieses Urteil das digitale Werbesystem in Europa auf den Kopf stellen.
Was ist das TCF?
Das Transparency and Consent Framework wurde vom Werbeverband IAB Europe ins Leben gerufen. Es ermöglicht Werbetreibenden, Nutzereinwilligungen zur Datenverarbeitung einzuholen und in Echtzeit an weitere Werbetreibende weiterzugeben. Dabei spielt der sogenannte TC String eine Schlüsselrolle. Das ist eine Zeichenfolge, die alle Einwilligungen speichert, die ein Nutzer oder eine Nutzerin gegeben hat (respektive verweigert hat). Dieser wird von sogenannten Consent-Management-Plattformen generiert und zusammen mit den Cookies im Browser der User gespeichert. Anschliessend wird der String innerhalb des Werbenetzwerks von anderen Ad-Tech-Firmen weiterverwendet.
Dieses wiederum operiert mit dem sogenannten Real-Time-Bidding. Das ist ein Prozess, in dem innert Millisekunden Werbeplätze auf Webseiten versteigert werden. Wer sich dort durchsetzt, ist in der Regel der, dessen Werbung am meisten zum Profil des Nutzers passt, der sich auf der Website befindet – darum siehst du eventuell eine andere Werbung auf Website XY als ich. Das Profil eines Nutzers setzt sich aus den Infos in eben jenem TC String zusammen. Je mehr Infos dort drin sind, desto wertvoller ist der Werbeplatz für Werbetreibende.
Quelle: Florian Bodoky
Wo liegt nun das Problem?
Datenschützer kritisieren seit Langem mehrere Aspekte. Zum einen die Intransparenz des Systems. Otto Normalverbraucher können in der Regel nicht nachvollziehen, welche ihrer Daten zu welchem Zweck verarbeitet werden. Eine effektive Kontrolle über Einwilligungen bleibt dir verwehrt, weil du nicht wirklich verstehen kannst, wozu du dein OK gibst, wenn du auf einem Cookie-Banner «Alles akzeptieren» klickt.
In einem Ökosystem, in dem Daten in Sekundenbruchteilen an Hunderte Akteure übermittelt werden, erscheine das Prinzip der «informierten Zustimmung» mehr Fiktion als Realität. Die Gretchenfrage dabei war, ob die Daten, die in einem TC String gespeichert sind, personenbezogene Daten waren. Diese Frage beantwortet das Gericht mit Ja.
Dies hat zur Folge, dass das TCF gegen einige Artikel der DSGVO verstösst:
Artikel 5, Absatz 1 lit. a und b
- Die Erhebung und Nutzung der TC Strings ist für Nutzer und Nutzerinnen oft nicht nachvollziehbar.
- Sie können häufig nicht erkennen, welche Daten an wen gehen – das verletzt den Grundsatz der Transparenz.
- Die Zwecke der Datenverarbeitung sind oft zu allgemein oder unklar formuliert.
- Nutzer und Nutzerinnen können nicht differenziert zustimmen – z. B. für Werbung ja, aber nicht für Tracking zur Marktforschung.
Artikel 6, Absatz 1 lit. a
- Eine Verarbeitung personenbezogener Daten ist nur bei wirksamer Einwilligung zulässig.
- TC Strings können auch durch intransparente Cookie-Banner oder Dark Patterns erzwungen worden sein.
Artikel 7. Absatz 1
- Die blosse Speicherung eines TC Strings reicht nicht als Nachweis einer gültigen Einwilligung.
- Es fehlen oft Informationen, wann, wie und durch wen die Einwilligung abgegeben wurde.
Wer ist schuld und was sind die Konsequenzen für die Schuldigen?
Der Urheber des TCF, IAB Europe, wurde ursprünglich als Verantwortlicher für das Datenschutzdebakel gesehen. Dies stimmt nicht ganz, wie das belgische Berufungsgericht nun feststellt: Zwar sieht das Gericht den Urheber in der Rolle als «gemeinsamen Verantwortlichen» – allerdings nur für die Erhebung und die Verwaltung der Einwilligungen innerhalb des Systems. Für die spätere Verarbeitung der Daten, bis zur Ausspielung der Werbung, seien auch die Consent-Management-Plattformen und die jeweiligen Werbetreibenden zuständig.
Der Begriff «gemeinsame Verantwortlichkeit» bedeutet gemäss DSGVO (Artikel 26), dass mehrere Parteien gemeinsam für gewisse Schritte im Verarbeitungsprozess verantwortlich sind. Sie entscheiden zusammen, welche Zwecke und Mittel zur Datenverarbeitung zum Einsatz kommen. Hier muss klar geregelt sein, wer welche Aufgaben erfüllt, da User einen konkreten Ansprechpartner haben müssen, um ihre Rechte einfordern zu können.
Quelle: iebeurope.com
Die aktuell ausgesprochene Strafe konzentriert sich auf eine Busse gegen IAB Europe. 250 000 Euro beträgt diese. Diese Busse wurde jedoch ausgesetzt, da IAB Europe bereits eine überarbeitete Version des TCF entwickelt hat. Diese Version 2.2 soll die kritisierten Punkte korrigieren. Das «berechtigte Interesse», das bisher als Rechtsgrundlage für die personenbezogene Werbung vorgebracht wurde, entfällt. Zudem soll die Transparenz erhöht und die Verständlichkeit verbessert werden. Dies hat die Datenschutzbehörde grundsätzlich akzeptiert.
Allerdings könnte dieses Urteil andere Folgen nach sich ziehen. Immerhin setzt ein Grossteil der europäischen Websites auf das TCF. Das bedeutet, dass eine sehr grosse Zahl von Nutzerinnen und Nutzern von unrechtmässiger Datenverarbeitung betroffen ist – entsprechend stellt sich die Frage nach allfälligen Entschädigungsforderungen. Diese dürften allerdings an die Werbetreibenden gehen, die ohne Rechtsgrundlage mit diesen Daten gearbeitet haben.
Wie geht’s weiter?
Die Entscheidung kann als Meilenstein betrachtet werden. Nun stellt sich die Frage nach dem weiteren Vorgehen. Die Herausforderung besteht darin, technische Lösungen zu schaffen, die den Anforderungen der DSGVO gerecht werden. Datenschutz «by Design» und «by Default» – also der Schutz von Daten schon bei der Konzeption – müssen gegeben sein, um der DSGVO zu entsprechen. Die neue Version des TCF ist der Prüfstein für IAB Europe.
Quelle: DSGVO-Team.de
Was heisst das für die Schweiz?
Eine direkte rechtliche Wirkung hat der Urteilsspruch des belgischen Gerichts nicht. Die Schweiz untersteht ihrem eigenen Datenschutzgesetz, dieses gilt unabhängig vom DSGVO. Allerdings müssen z.B. Schweizer Firmen ihre Websites DSGVO-konform gestalten, wenn sie User in der EU ansprechen, Werbungen auf EU-Websites schalten oder Daten von EU-Bürgern verarbeiten. Ansonsten drohen Sanktionen durch EU-Behörden. Und natürlich können sich Datenschutzbehörden an diesem Urteil orientieren, wenn es darum geht, das TCF auf die Konformität des eigenen Datenschutzgesetzes zu überprüfen.
Titelbild: Shutterstock
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.
Security
Folge Themen und erhalte Updates zu deinen Interessen
19 Kommentare
later