Das Transparency and Consent Framework (TCF) ist ein technischer und rechtlicher Standard von IAB Europe. Er vereinheitlicht die Einholung, Verwaltung und Weitergabe von Nutzereinwilligungen im digitalen Werbeökosystem. Das Framework schafft eine gemeinsame Sprache zwischen Publishern, Werbetechnologieanbietern und Werbetreibenden, damit die DSGVO-Vorgaben operativ umgesetzt werden können.
Hintergrund und Entstehung des Transparency and Consent Framework
Mit dem Inkrafttreten der DSGVO im Mai 2018 entstand für die digitale Werbebranche erheblicher Anpassungsdruck. Programmatic Advertising – die automatisierte, datengetriebene Ausspielung von Werbemitteln – erfordert den Datenaustausch zwischen zahlreichen Parteien. Beteiligt sind Demand-Side-Platforms (DSPs), Supply-Side-Platforms (SSPs), Datenmarktplätze und Messdienstleister. Das gesamte Adtech-Ökosystem war betroffen.
IAB Europe veröffentlichte 2018 die erste TCF-Version. Ziel war ein maschinenlesbarer Mechanismus, über den eine erteilte Einwilligung verlässlich an alle beteiligten technischen Systeme weitergegeben wird. So sollte die DSGVO im Maßstab des Programmatic-Marktes handhabbar werden.
Funktionsweise und technische Architektur
Das Framework besteht aus mehreren aufeinander abgestimmten Komponenten. Zentral ist der sogenannte TC String (Transparency and Consent String). Dabei handelt es sich um eine Base64-kodierte Zeichenkette. Sie kodiert den Einwilligungsstatus eines Nutzers für definierte Verarbeitungszwecke und einzelne Anbieter. Der TC String wird im Browser gespeichert – meist in einem Cookie oder im Local Storage. Bei jeder Werbeauktion wird er automatisch an alle beteiligten Systeme übermittelt.
Transparency and Consent Framework: Kernkomponenten im Überblick
Das TCF definiert vier zentrale Bausteine, die das Consent-Ökosystem zusammen abbilden:
- Global Vendor List (GVL): Eine zentral von IAB Europe geführte, maschinenlesbare Liste aller registrierten Technologieanbieter (Vendors). Vendors müssen sich registrieren und die TCF-Richtlinien akzeptieren, um Daten im Framework verarbeiten zu dürfen.
- TC String: Die binär kodierte Einwilligungserklärung. Sie enthält Zwecke, Vendors und den jeweiligen Rechtsgrundlagenstatus.
- Consent Management Platform (CMP): Eine Software-Schnittstelle, über die Publisher die Einwilligungsabfrage umsetzen und den TC String erzeugen. CMPs müssen bei IAB Europe zertifiziert sein.
- IAB Europe TCF Policy: Das normative Regelwerk. Es legt fest, welche Verarbeitungszwecke unter welchen Rechtsgrundlagen zulässig sind und welche Pflichten Vendors haben.
Die Verarbeitungszwecke sind im Framework standardisiert und nummeriert. Zweck 1 umfasst die Speicherung von Informationen auf einem Endgerät. Die Zwecke 3 und 4 betreffen die Profilerstellung für personalisierte Werbung. Für sensiblere Zwecke ist ausschließlich Einwilligung als Rechtsgrundlage zulässig – das berechtigte Interesse scheidet dort aus.
Versionen: TCF 1.0, 2.0 und 2.2
Nach der Erstveröffentlichung erschien 2019 das TCF 2.0. Es brachte wesentliche Erweiterungen: Nutzer erhielten das Recht, Einwilligungen zu widersprechen oder einzuschränken. Transparenzpflichten für Vendors wurden ausgebaut, der TC String um neue Felder erweitert.[1]
Im Jahr 2023 folgte TCF 2.2 als Reaktion auf Kritik von Datenschutzbehörden. Die wichtigste Neuerung: Das berechtigte Interesse entfällt als Rechtsgrundlage für die Zwecke 3, 4, 5 und 6 vollständig. Das betrifft personalisierte Werbung und personalisierten Content. Für diese Verarbeitungen ist seither ausschließlich eine aktive Einwilligung zulässig.[2] Damit stieg der Druck auf Publisher und CMPs, Nutzer zu einer echten, freiwilligen Zustimmung zu bewegen.
| Version | Jahr | Wichtigste Neuerung |
|---|---|---|
| TCF 1.0 | 2018 | Erstveröffentlichung; maschinenlesbarer Consent-Standard |
| TCF 2.0 | 2019 | Widerspruchs- und Einschränkungsrecht; erweiterte Vendor-Transparenz |
| TCF 2.2 | 2023 | Berechtigtes Interesse für Zwecke 3–6 abgeschafft |
Rechtliche Einordnung und Regulierungskonflikte
Das TCF stand von Beginn an im Spannungsfeld zwischen industrieller Praktikabilität und datenschutzrechtlichen Anforderungen. Im Februar 2022 erklärte die belgische Datenschutzbehörde APD das Framework für nicht DSGVO-konform. Sie qualifizierte IAB Europe als Mitverantwortlichen für die Datenverarbeitung gemäß Artikel 4 Nr. 7 DSGVO. IAB Europe musste eine Strafe von 250.000 Euro zahlen und die so gesammelten Daten löschen.[3] Das Unternehmen klagte gegen diese Entscheidung.
Im März 2024 bestätigte der Europäische Gerichtshof (EuGH), dass IAB Europe gemeinsamer Verantwortlicher sei – jedoch nur für die Phase der Erhebung und Weitergabe des TC Strings.[4] Für alle nachgelagerten Verarbeitungen der Vendors gilt das nicht automatisch. Das Urteil hat weitreichende Implikationen für die Haftungsverteilung im gesamten Programmatic-Ökosystem und ist Gegenstand fortlaufender rechtlicher und technischer Anpassungen.
Der Bundesverband Digitale Wirtschaft (BVDW) betonte in seiner Stellungnahme, das Framework gemeinsam mit Datenschutzbehörden weiterzuentwickeln. Ziel sei ein Einklang zwischen Konsumenteninteressen, Rechtsauslegungen und wirtschaftlichen Anforderungen.
Einsatzbereiche und Bedeutung für Publisher und Werbetreibende
Das Transparency and Consent Framework TCF ist heute der de-facto-Standard für datenschutzkonforme Einwilligungsverwaltung im europäischen Programmatic-Advertising-Markt. Publisher, die Werbeinventar über Adtech-Plattformen vermarkten, sind in der Regel auf eine TCF-konforme CMP angewiesen. Viele SSPs und DSPs verlangen den TC String als Voraussetzung für die Teilnahme an Auktionen.
Für Werbetreibende definiert das Framework, unter welchen Voraussetzungen Nutzerdaten für Targeting und Messung herangezogen werden dürfen. Im Kontext von First Party Data-Strategien stellt es sicher, dass selbst erhobene Daten dem Einwilligungsstatus der Nutzer entsprechend genutzt werden. Auch Technologien wie UTIQ – eine datenschutzkonforme Werbeidentifikations-Alternative – operieren im durch das TCF definierten Consent-Rahmen.
Für Betreiber von Customer Data Platforms schafft das Framework eine standardisierte Grundlage: Es legt fest, welche Daten zu welchen Zwecken aktiviert werden dürfen – ein zentrales Element moderner datenschutzkonformer Datenarchitekturen.
Abgrenzung zu verwandten Konzepten
Das TCF ist nicht identisch mit dem Begriff der Consent Management Platform. Eine CMP ist die Software-Implementierung; das Transparency and Consent Framework TCF ist das normative Regelwerk, dem eine zertifizierte CMP folgen muss. Es gibt auch nicht-zertifizierte CMPs – etwa für Websites, die ausschließlich First-Party-Cookies nutzen und keine Drittanbieter-Werbung schalten.
Vom IAB US Privacy Framework unterscheidet sich das TCF durch seinen rechtlichen Ursprung. Das Framework wurde spezifisch für den europäischen DSGVO-Rahmen konzipiert. Das US-Pendant richtet sich nach dem kalifornischen Datenschutzrecht (CCPA/CPRA). Beide Frameworks nutzen ähnliche technische Konzepte – standardisierte Strings, zentrale Vendor-Listen –, sind jedoch nicht kompatibel.
Das Transparency and Consent Framework operiert zudem unabhängig von der ePrivacy-Richtlinie. Die ePrivacy-Richtlinie regelt, ob und wann Einwilligungen für Cookies einzuholen sind. Das TCF definiert, wie diese Einwilligungen technisch standardisiert und weitergegeben werden. Beide Regelwerke prägen gemeinsam die Praxis von Cookie-Bannern im europäischen Web.
Literaturempfehlungen
- Thomas Schwenke: Datenschutz im Online-Marketing. Praxishandbuch für datengetriebenes Marketing, Werbung, CRM und Analytics. Haufe Verlag, Freiburg 2022.
- Alexander Duisberg, Henning Borges (Hrsg.): Praxishandbuch Recht der digitalen Medien. Erich Schmidt Verlag, Berlin 2018.
Verwandte Begriffe
Fußnoten
- ↑ Update des IAB Europe: Das Transparency and Consent Framework 2.0 – OnlineMarketing.de
- ↑ Das IAB-Europe-Urteil des EuGH – Universität Leipzig, Leipzig Law Journal 2025
- ↑ Wichtiger Baustein für Cookie-Banner ist illegal – netzpolitik.org, 2022
- ↑ BVDW zur Entscheidung der belgischen Datenschutzaufsichtsbehörde über das TCF