Die EU verschärft die Kontrollen digitaler Werbung, geht gegen Tracking-basierte Modelle vor und definiert personenbezogene Daten neu. Gerichtsentscheidungen stellen die Richtlinien des IAB Europe für zielgerichtete Werbung (TCF) infrage, bestätigen die gemeinsame Haftung gemäß DSGVO und verbieten gängige Einwilligungspraktiken. Durch den zusätzlichen Druck der DSA und DMA beschleunigt sich der Wandel hin zu datenschutzorientierten, einwilligungsbasierten und weniger aufdringlichen Werbemodellen in ganz Europa.
Digitale Werbung in der EU unter der Lupe: Von Einwilligungsrahmen bis hin zu überwachungsbasierter Werbung
In den letzten Jahren hat die Europäische Union ihre Kontrolle über digitale Werbepraktiken, insbesondere im Hinblick auf Tracking-basierte Werbung, die auf Nutzerprofilen beruht, stetig verschärft.
Eine Reihe von Gerichtsurteilen und regulatorischen Entscheidungen – darunter wegweisende Urteile und sich wandelnde Auslegungen des Begriffs „personenbezogene Daten“ – haben die Branche vor erhebliche Herausforderungen gestellt. Im Zentrum dieser Entwicklungen steht das Transparency and Consent Framework (TCF) von IAB Europe, das lange als Standardmechanismus zur Einhaltung der DSGVO für Werbung galt. Gerichte haben das Framework jedoch zunehmend als unzureichend befunden.
Seit seiner Einführung im Jahr 2017 zielte das TCF darauf ab, die Art und Weise zu standardisieren, wie Publisher, Werbetreibende und Ad-Tech-Partner die Einwilligung der Nutzer DSGVO-konform einholen, protokollieren und weitergeben. NGOs wie der Irish Council for Civil Liberties und Bits of Freedom reichten jedoch zahlreiche Beschwerden wegen schwerwiegender DSGVO-Verstöße ein. Im Februar 2022 entschied die belgische Datenschutzbehörde (DPA), dass die Einwilligungsmechanismen des TCF keine rechtsgültige, freiwillige und informierte Einwilligung gewährleisteten, und verhängte gegen IAB Europe eine Geldbuße von 250.000 Euro.
Am 7. März 2024 bestätigte der Gerichtshof der Europäischen Union (EuGH), dass der „TC String“ – die technische Kodierung der Einwilligungspräferenzen eines Nutzers im TCF – gemäß DSGVO als personenbezogene Daten gilt, selbst wenn er keine direkte Identifizierung einer Person ermöglicht. Der EuGH urteilte zudem, dass IAB Europe als gemeinsam Verantwortlicher eingestuft werden kann, sofern es die Kontrolle für eigene Zwecke ausübt.
Am 14. Mai 2025 fällte das belgische Marktgericht ein differenziertes Urteil, das die Haftungsfragen im digitalen Werbeökosystem weiter abgrenzt. Das Gericht bestätigte, dass Tracking-Strings personenbezogene Daten darstellen, wenn sie über angemessene Mittel, wie beispielsweise eine IP-Adresse, mit identifizierbaren Personen verknüpft werden. Es bestätigte außerdem, dass IAB Europe ein gemeinsamer Verantwortlicher ist, jedoch nur für die Verarbeitung von Tracking-Strings – nicht für OpenRTB oder den umfassenderen Betrieb von Werbetechnologie.
Das Gericht betonte ferner, dass auch andere Akteure (CMPs, Anbieter, Publisher) gemäß DSGVO gemeinsam Verantwortliche sind, sofern keine klare vertragliche Aufteilung der Verantwortlichkeiten vorliegt, sodass die Haftung standardmäßig gleichmäßig verteilt ist. Die Verantwortung kann nicht auf eine einzelne Partei abgewälzt werden; eine gemeinsame Verantwortlichkeit erfordert proaktiv gestaltete Vereinbarungen.
In einem damit zusammenhängenden, aber unabhängigen Fall urteilte das Brüsseler Berufungsgericht, dass das der Tracking-basierten Werbung zugrunde liegende Einwilligungsmodell – auch innerhalb des Tracking-Consumer-Frameworks (TCF) – gegen EU-Datenschutzrecht verstößt. Nichtregierungsorganisationen wie Amnesty International begrüßten die Entscheidung als bedeutenden Erfolg für den Datenschutz und bezeichneten sie als „großen Sieg für das Recht auf Privatsphäre“. Sie forderten ein Umdenken weg von überwachungsbasierter Werbung.
Tech-Medien und Bürgerrechtsgruppen äußerten ähnliche Ansichten. Das Urteil zielte auf Branchenriesen wie Google, Amazon und Microsoft ab, die stark auf Echtzeit-Bietverfahren auf Basis von Nutzerdaten angewiesen sind.
Die Urteile betrafen nicht nur Werbepraktiken, sondern erweiterten auch den Begriff der personenbezogenen Daten. Zusammengefasst:
TC-Strings wurden als personenbezogene Daten bestätigt, wenn sie mit einer identifizierbaren Person in Verbindung gebracht werden können – der Fokus verschiebt sich damit von direkten Identifikatoren hin zur potenziellen Identifizierung durch Rückschlüsse.
Mehrere EU-Urteile, beispielsweise im Zusammenhang mit der Nutzung von Google Analytics in Österreich, haben die Perspektiven auf die Identifizierbarkeit und zulässige Datenübertragungsmechanismen ebenfalls erweitert.
Über Webanzeigen hinaus zeigen wissenschaftliche Studien, dass die DSGVO zwar einen begrenzten, aber messbaren Einfluss auf die Reduzierung von Trackern pro Publisher hatte. Viele Apps schaffen es jedoch weiterhin nicht, eine aussagekräftige Einwilligung für das Tracking durch Dritte einzuholen.
Das rechtliche Umfeld passt sich daher an und umfasst künftig nicht nur offensichtliche Identifikatoren, sondern auch Verhaltenssignale, die in ihrer Gesamtheit persönliche Profile offenbaren.
Das breitere regulatorische Umfeld führt zu weiteren Einschränkungen:
Der Digital Services Act (DSA), der seit November 2022 in Kraft ist, zielt direkter auf digitale Werbung ab. Er fordert Transparenz (z. B. bei Werbeplattformen), verbietet Profiling auf Basis sensibler Daten und schränkt die Ausrichtung von Werbung an Kinder stärker ein.
Der Digital Markets Act (DMA), der seit Mai 2023 gilt, geht gegen sogenannte Gatekeeper-Plattformen (z. B. Google, Meta) vor. Meta wurde wegen seines „Consentpay“-Modells mit Geldstrafen belegt, da es europäischen Nutzern werbefreie Erlebnisse in Rechnung stellte, ohne eine datenschutzfreundliche, aber kostenlose Version anzubieten. Apple und Meta wurden im April 2025 gemäß den DMA-Regeln mit einer Geldstrafe belegt.
Die kombinierte Wirkung dieser Entscheidungen und Regulierungen signalisiert einen tiefgreifenden Wandel:
Überwachungsbasierte Werbung ist zunehmend gefährdet. Systeme, die auf Massenprofilen mit intransparenten Nutzerdaten beruhen, werden zunehmend in Frage gestellt.
Tracking war technisch nie DSGVO-konform, wird aber heute leichter erkannt als zuvor.
Erweiterte Haftung gemäß DSGVO: IAB Europe und andere Akteure des Ökosystems tragen nun eine gemeinsame und potenziell gleichberechtigte Verantwortung, ohne dass klare Vereinbarungen zur Verantwortungsteilung getroffen wurden.
Einwilligungsmechanismen müssen auf echter Information und freiwilliger Einwilligung beruhen. Fragmentierte, vertraglich isolierte oder standardmäßige Einwilligungen reichen nicht mehr aus – insbesondere, wenn „Einwilligung oder Zahlung“-Taktiken als Zwang gelten.
Die rechtlichen Definitionen personenbezogener Daten entwickeln sich weiter. Selbst Metadaten oder kodierte Nutzerpräferenzen fallen darunter, wenn sie mit angemessenen Mitteln reidentifizierbar sind.
Hinwendung zu datenschutzorientierten Werbemodellen. Es ist zu erwarten, dass sich das EU-Ad-Tech-Ökosystem in Richtung kontextbezogener Werbung, weniger invasiver Modelle und erhöhter Transparenz entwickelt.
Die Europäische Union passt ihren Ansatz zur digitalen Werbung an – von passiver Regulierung hin zu aktivem Eingreifen. Das Brüsseler Berufungsgericht hat Tracking-basierten Modellen einen entscheidenden Schlag versetzt, während das belgische Marktgericht die Haftungsrahmen präzisiert hat. Die DSGVO, ergänzt durch die Vorgaben von DSA und DMA, macht traditionelle Echtzeit-Bidding- und Überwachungsmethoden zunehmend rechtlich riskant.
Anbieter von Werbetechnologie müssen daher ihre Einwilligungsmechanismen überdenken, die Beziehungen zu den Datenverantwortlichen neu strukturieren und sich auf datenschutzorientierte Werbemodelle konzentrieren. Eine umfassende Einwilligungsmanagement-Plattform ist ein Schritt in die richtige Richtung.
©2025 CookieHub ehf.
