Privacy News

Sind Cookie-Banner illegal?

Die Tracking-basierte Werbung von Google und Amazon steht in der EU unter Beschuss. In einer bahnbrechenden Entscheidung erklärt das Brüsseler Berufungsgericht Cookie-Einwilligungsbanner, die auf dem Transparency & Consent Framework des IAB Europe basieren, für ungültig.

Sind Cookie-Banner illegal? Die Tracking-basierte Werbung von Google und Amazon steht in der EU unter Beschuss.

Am 14. Mai 2025 bestätigte das Brüsseler Berufungsgericht die Entscheidung der belgischen Datenschutzbehörde (DPA) vom 2. Februar 2022. Das Urteil besagt, dass das Transparency & Consent Framework (TCF) von IAB Europe - im Grunde das System hinter den Cookie-Bannern für das Echtzeitgebot von Werbung - gegen die Datenschutz-Grundverordnung verstößt und damit in der gesamten Europäischen Union illegal ist. Aber was bedeutet dieses Urteil für Sie und die lästigen Cookie-Banner, die Ihnen ständig ins Gesicht springen? Finden wir es heraus!

Der technische Standard, der von Werbefirmen verwendet wird, um online eine DSGVO-Zustimmung einzuholen, ist illegal. Die Folgen könnten enorm sein - für Medienunternehmen, aber auch für Branchenriesen wie Google, Amazon, Microsoft, X und andere.

Entscheidung der belgischen Datenschutzbehörde

Die belgische Datenschutzbehörde APD hat entschieden - und das Brüsseler Berufungsgericht hat dies nun bestätigt - dass ein zentraler Mechanismus für Cookie-Banner gegen die europäische Datenschutzgrundverordnung (DSGVO) verstößt. Die Entscheidung wurde in einem sogenannten One-Stop-Verfahren getroffen. Das heißt, sie gilt für die gesamte EU. Das Verfahren geht auf eine Beschwerde des Irish Council for Civil Liberties und anderer europäischer Bürgerrechtsorganisationen zurück und könnte ein schwerer Schlag für die europäische Werbeindustrie sein.

Lesen Sie hier mehr über die Entscheidung.

Harter Schlag für die Datenindustrie

Aufgrund dieses Urteils sind TCF-basierte Cookie-Banner nun in ganz Europa illegal, da sie auf mehreren Ebenen gegen die Datenschutz-Grundverordnung verstoßen:

  • Ungültige Einholung der Zustimmung (Artikel 5 Absatz 1 Buchstabe a, Artikel 6 DSGVO)
  • Mangelnde Transparenz (Artikel 12-14 DSGVO)
  • Unzureichende Sicherheit der personenbezogenen Daten (Artikel 5(1)(f), 25, 32 DSGVO)

Werbetreibende, die die Nachverfolgung von Cookies mit einem “berechtigten Interesse” begründen, verstoßen ebenfalls gegen die Datenschutz-Grundverordnung. Das Gericht lehnte ausdrücklich die Verwendung des “berechtigten Interesses” als Rechtsgrundlage für Real-Time-Bidding (RTB) und ähnliche Formen des Online-Trackings ab, da diese schwerwiegende Datenschutzrisiken bergen. Daher sind Cookie-Banner, die ein berechtigtes Interesse für das Tracken zum Schalten von Werbung geltend machen, illegal.

Dr. Johnny Ryan, Direktor beim Irish Council for Civil Liberties, sagte:

“Die heutige Gerichtsentscheidung zeigt, dass das von Google, Amazon, X und Microsoft verwendete Einwilligungssystem Hunderte von Millionen Europäern täuscht. Die Tech-Industrie hat versucht, ihre riesigen Datenverstöße hinter gefälschten Einwilligungs-Popups zu verstecken. Die Tech-Unternehmen haben die Datenschutz-Grundverordnung in ein tägliches Ärgernis verwandelt, statt in einen Schutzschild für die Menschen.”

Wie funktioniert die Einwilligung in Cookies und gezielte Werbung?

Gezielte Werbung im Internet funktioniert folgendermaßen (vereinfachte Erklärung): Jeder Besuch einer Website, die Cookie-Tracking für gezielte Werbung nutzt, löst eine Auktion unter den Werbeanbietern aus. Innerhalb von Millisekunden wird auf der Grundlage des Nutzerprofils und einiger anderer Faktoren entschieden, welche Werbung man zu sehen bekommt (= Echtzeitgebot).

Real-Time-Bidding

Damit dieses Real-Time-Bidding (RTB) funktioniert, wollen die Werbefirmen viel über die Person wissen, die gerade auf ihrer Website surft: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und mehr. Diese Daten werden verwendet, um die am besten geeignete Anzeige einzublenden, diejenige, auf die man am ehesten klicken wird.

Lesen Sie hier, warum wir von Tuta dazu aufrufen, gezielte Werbung ganz zu verbieten, und warum wir glauben, dass das werbebasierte Geschäftsmodell sterben muss.

Schalte die Privatsphäre ein.

Tracking ohne Zustimmung?

Nach der Datenschutz-Grundverordnung ist ein solches Tracking jedoch nur zulässig, wenn Nutzerinnen dem zustimmen. Das Transparent and Consent Framework (TCF) des Werbeverbands IAB Europe fordert diese Zustimmung angeblich ein: Wenn Nutzerinnen auf “Cookies akzeptieren” klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im berechtigten Interesse des Anbieters liegt, erzeugt das TCF einen sogenannten TC-String. Diese Kennung bildet die Grundlage für die Erstellung von individuellen Profilen. Die Profile werden dann für den Abgleich mit der anzuzeigenden Werbung verwendet. Dabei wird der TC-String an aberhunderte von Partnern im OpenRTB-System weitergeleitet.

Die gesamte Werbebranche (wenn es um gezielte Werbung geht) basiert auf dem TC-String, was ihn zum wichtigsten Standard im Ökosystem der Online-Werbung macht.

Welchen Einfluss hat die Entscheidung auf die Werbeindustrie?

In einem Grundsatzurteil hat der belgische Datenschutzbeauftragte im Jahr 2022 entschieden - was nun vom Brüsseler Gericht bestätigt wurde -, dass die gemeinsame Nutzung des TC-Strings mit Hunderten von Partnern gegen die allgemeine Datenschutzverordnung verstößt. Nach Ansicht der Aufsichtsbehörde verstößt das System, mit dem Werbetreibende die Zustimmung für gezielte Werbung im Internet einholen, gegen die Grundsätze der Rechtmäßigkeit und Fairness.

Der belgische APD hat in seinem Urteil eine Geldstrafe von 250.000 Euro gegen den Werbeverband IAB Europe verhängt, der den TCF-Mechanismus entwickelt und betreibt. Darüber hinaus muss der IAB nun die bereits gesammelten personenbezogenen Daten löschen, die für die Werbeindustrie eine Goldgrube sind. Wie viel? Dies lässt sich anhand eines ähnlichen Urteils abschätzen, das Google 2024 auferlegt wurde und das den Tech-Giganten zwang, Nutzerdaten im Wert von 5 Milliarden Dollar zu löschen, die illegal im Inkognito-Modus gesammelt wurden. Noch bedeutsamer sind jedoch die Bedingungen, die der belgische APD der Werbeindustrie auferlegt, um den Transparenz- und Einwilligungsrahmen überhaupt weiterhin zu nutzen.

Tausende von Website-Betreibern, fast alle Online-Medien und auch große Werbeunternehmen wie Google, Microsoft, Amazon, X und andere nutzen den Mechanismus, um die vermeintliche Zustimmung der Nutzer zur Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken weiterzugeben.

Hielke Hijmans, Vorsitzender der Kammer für Rechtsstreitigkeiten des belgischen APD, sagt:

“Die Menschen werden aufgefordert, ihr Einverständnis zu geben, während die meisten von ihnen nicht wissen, dass ihre Profile mehrmals am Tag verkauft werden, um sie mit personalisierter Werbung zu konfrontieren. Obwohl es sich um die TCF und nicht um das gesamte Echtzeitgebotssystem handelt, wird unsere heutige Entscheidung große Auswirkungen auf den Schutz der persönlichen Daten der Internetnutzer haben. Die Ordnung im TCF-System muss wiederhergestellt werden, damit die Nutzer wieder die Kontrolle über ihre Daten erlangen können.”

Auch wenn sich die Entscheidung nicht direkt auf das gesamte Werbesystem im Internet auswirkt, wird sie doch erhebliche Auswirkungen auf den Schutz der persönlichen Daten der Internetnutzer haben, so Hijmans.

Warum ist die Entscheidung von Bedeutung?

Die belgischen Datenschutzbehörden argumentieren, dass nicht nur die Werbeprofile personenbezogene Daten sind, sondern dass auch der TC-String, der für gezielte Werbung verwendet wird, als personenbezogene Daten zu betrachten ist. Diese Zeichenkette kann mit der IP-Adresse kombiniert werden und macht somit jeden Nutzer identifizierbar.

Das Gerichtsurteil stellt dies eindeutig klar:

Der TC-String ist ein personenbezogenes Datum. Wie der EuGH in dieser Rechtssache bestätigt hat, gilt dies unabhängig davon, ob IAB Europe Zugriff darauf hat oder nicht.”

Folglich verstößt das IAB Europe mit dem TCF-Protokoll, das zur Generierung von TC-Strings verwendet wird, gegen die Datenschutzgrundverordnung. Darüber hinaus sind die von den Nutzer *innen erteilten Einwilligungen in die Datenverfolgung (Cookies) unwirksam, da es kein ausreichendes berechtigtes Interesse des Website-Betreibers gibt, um eine solche Einwilligung überhaupt zu verlangen.

Die Behörden argumentieren, dass das berechtigte Interesse der Nutzer *innen gegenüber dem berechtigten Interesse der Werbeunternehmen überwiegt, da das Tracking von Echtzeit-Werbung mit einem hohen Risiko verbunden ist.

Außerdem waren die Informationen, die den Nutzer *innen bei der Erteilung der Einwilligung gegeben wurden, zu allgemein und vage, als dass sie die Art und den Umfang der Verarbeitung ihrer Daten hätten verstehen können, insbesondere angesichts der Komplexität der Tracking-basierten Werbung.

Die Hauptfrage, die sich aus dieser Diskussion über die rechtlichen Details des Trackings ergibt, lautet also: Sind Cookie-Banner rechtswidrig? Ähnlich wie bei der Frage, ob Google Analytics in der EU illegal ist, ist die Antwort ein Ja und ein Nein.

Während viele aktuelle Cookie-Banner-Implementierungen in der EU inzwischen illegal sind - zum Beispiel, weil sie Ad-Tracking als legitimes Interesse rechtfertigen oder weil sie zu vage sind, was für Daten gesammelt werden und warum - sind Cookie-Banner im Allgemeinen in der EU nicht illegal.

Aber was bedeutet das für die Zukunft von Cookies?

Cookie-Banner sind online zu einem echten Ärgernis geworden, manchmal sogar so lästig wie die Werbung selbst - die man mit Werbeblockern, sogar in Gmail, blockieren kann. Was die Leute am meisten an Cookie-Bannern stört, ist, dass es in der Regel sehr einfach ist, “alle zu akzeptieren” - während die Option, “alle abzulehnen”, oft nicht gegeben ist. Dieses Vorgehen der Webseiten - nur einen “Accept All”-Button einzublenden - steht nun aber auch in Deutschland unter Beschuss, so dass hoffentlich bald überall ein “Alle ablehnen”-Button zur Verfügung stehen wird.

In jedem Fall müssen die Verlage nach dem aktuellen Urteil aus Brüssel die Verwendung von Cookie-Bannern anpassen. Verleger müssen:

  • eine echte Opt-in-Einwilligung für Tracking-Cookies verwenden (keine vorab angekreuzten Kästchen)
  • klare, prägnante Informationen darüber geben, welche Daten gesammelt werden und warum
  • sich nicht auf das “berechtigte Interesse” als Grundlage für das Ad-Tracking berufen

Erste Konsequenz? Googles neue Schaltfläche “Alle ablehnen”.

Ein erstes Anzeichen dafür, dass die europäischen Behörden die Kundenrechte strenger handhaben, ist die Tatsache, dass Google seinen Cookie-Bannern endlich eine Schaltfläche “Alle ablehnen” hinzufügt.

Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche "Alle ablehnen" hinzugefügt. Ist das alte Google-Cookie-Banner in Europa illegal? Google hat inzwischen eine Schaltfläche “Alle ablehnen” hinzugefügt.

Gute Nachrichten für Datenschutz-Fans

Für Internetnutzer, die Wert auf Datenschutz legen, ist die Entscheidung der belgischen Datenschutzbehörde und des Brüsseler Berufungsgerichts, Cookie-Banner in ihrer derzeit verwendeten Form für illegal zu erklären, eine sehr gute Nachricht.

Erstens, weil Ad-Tech-Unternehmen die Nutzerdaten, die sie über den TCF-Mechanismus gesammelt haben, löschen müssen.

Zweitens - und das ist noch wichtiger - könnte die Entscheidung der belgischen Datenschutzbehörden dazu führen, dass das gesamte System der personalisierten Werbung gekippt wird.

Dies könnte der gezielten Werbung endgültig ein Ende setzen.

Illustration eines Telefons mit Tuta-Logo auf dem Bildschirm, daneben ein vergrößertes Schild mit einem Häkchen, das die hohe Sicherheit der Tuta-Verschlüsselung symbolisiert.