IAB TCF v2.3: Der umfassende Leitfaden zum Transparency and Consent Framework
Das IAB Transparency and Consent Framework (TCF) ist ein Branchenstandard von IAB Europe, der festlegt, wie Einwilligungen zwischen Publishern, Werbetreibenden und Ad-Tech-Anbietern erfasst, gespeichert und ausgetauscht werden. Wenn Ihre Website programmatische Werbung im Europäischen Wirtschaftsraum einsetzt, ist die Einhaltung des TCF keine Option, sondern Pflicht.
Seit Januar 2024 verlangt Google von allen Publishern, die Anzeigen an Nutzer im EWR ausspielen, den Einsatz einer Consent-Management-Plattform (CMP), die beim IAB TCF registriert ist. Ohne diese wird personalisierte Werbung deaktiviert, und die Werbeeinnahmen sinken erheblich.
Was ist das TCF?
Das TCF löst ein Koordinationsproblem. Besucht ein Nutzer eine Website, verarbeiten unter Umständen Dutzende Ad-Tech-Anbieter seine Daten – etwa durch Real-Time Bidding, Retargeting, Analyse und Content-Personalisierung. Jeder Anbieter muss wissen, ob der Nutzer in seine spezifische Art der Datenverarbeitung eingewilligt hat. Vor dem TCF gab es keine standardisierte Möglichkeit, diese Information über die gesamte Ad-Tech-Lieferkette hinweg zu kommunizieren.
Das Framework definiert eine gemeinsame Sprache für Einwilligungen. Eine beim TCF registrierte CMP erfasst die Einwilligung des Nutzers und kodiert sie in einen TC String (Transparency and Consent String). Dieser String ist eine kompakte, standardisierte Darstellung der Einwilligungsentscheidungen des Nutzers, die jeder teilnehmende Anbieter auslesen und interpretieren kann.
Die Versionsgeschichte des TCF
| Version | Veröffentlicht | Wichtigste Änderungen |
|---|---|---|
| TCF v1.0 | 2018 | Erstes Framework. Grundlegende Einwilligungserfassung und TC-String-Format. |
| TCF v2.0 | 2019 | Ergänzung um berechtigtes Interesse, spezielle Zwecke, Funktionen und Publisher-Einschränkungen. Grundlegende Überarbeitung des Consent-String-Formats. |
| TCF v2.2 | 2023 | Entfernung des berechtigten Interesses für zielgerichtete Werbung (Zwecke 3, 4, 5, 6). Reaktion auf regulatorischen Druck europäischer Datenschutzbehörden. |
| TCF v2.3 | 2024 | Aktuelle Version. Technische Verfeinerungen, verbesserte Anforderungen an die Anbieteroffenlegung und Abstimmung mit den neuesten DPA-Leitlinien. |
Die 11 TCF-Zwecke
Das TCF definiert 11 Zwecke der Datenverarbeitung. Jeder Zweck beschreibt eine bestimmte Tätigkeit, die ein Anbieter mit Nutzerdaten durchführen kann. Nutzer können jedem Zweck einzeln zustimmen oder ihn ablehnen.
| Zweck | Beschreibung | Einwilligung erforderlich |
|---|---|---|
| 1 | Informationen auf einem Gerät speichern und/oder abrufen | Ja (immer) |
| 2 | Einfache Anzeigen auswählen | Ja |
| 3 | Ein personalisiertes Anzeigenprofil erstellen | Ja |
| 4 | Personalisierte Anzeigen auswählen | Ja |
| 5 | Ein personalisiertes Content-Profil erstellen | Ja |
| 6 | Personalisierte Inhalte auswählen | Ja |
| 7 | Anzeigenleistung messen | Ja |
| 8 | Content-Leistung messen | Ja |
| 9 | Marktforschung zur Gewinnung von Zielgruppenerkenntnissen anwenden | Ja |
| 10 | Produkte entwickeln und verbessern | Ja |
| 11 | Begrenzte Daten zur Auswahl von Inhalten nutzen | Ja |
Hinweis: Ab TCF v2.2 steht das berechtigte Interesse für die Zwecke 3, 4, 5 und 6 nicht mehr als Rechtsgrundlage zur Verfügung. Diese Zwecke erfordern eine ausdrückliche Einwilligung.
Die Global Vendor List (GVL)
Die Global Vendor List ist ein zentrales, von IAB Europe gepflegtes Register, das alle am TCF teilnehmenden Anbieter auflistet. Jeder Anbieter gibt an, welche Zwecke und Funktionen er nutzt und ob er sich dabei jeweils auf Einwilligung oder berechtigtes Interesse stützt.
Wenn eine CMP eine Einwilligungsoberfläche anzeigt, ruft sie die Anbieterinformationen aus der GVL ab, sodass Nutzer genau erkennen können, welche Unternehmen ihre Daten zu welchen Zwecken verarbeiten. Nutzer können nicht nur Zwecken, sondern auch einzelnen Anbietern zustimmen oder sie ablehnen.
Stand 2026 umfasst die GVL über 1.200 registrierte Anbieter, darunter Google, Meta, Amazon und die meisten großen Ad-Tech-Unternehmen.
Der TC String
Der TC String ist der technische Kern des Frameworks. Es handelt sich um einen Base64-kodierten String, der den vollständigen Einwilligungsstatus des Nutzers enthält: welchen Zwecken er zugestimmt hat, welche Anbieter er freigegeben hat, ob berechtigtes Interesse zutrifft und welche Publisher-Einschränkungen gelten.
Jeder Anbieter in der Ad-Tech-Kette liest diesen String aus, um zu bestimmen, welche Verarbeitung er für diesen konkreten Nutzer durchführen darf. Der String wird im Browser des Nutzers gespeichert (typischerweise in einem Cookie namens euconsent-v2) und über die JavaScript-API __tcfapi() durch die Bidding-Kette übertragen.
Die JavaScript-API __tcfapi()
__tcfapi() ist eine standardisierte JavaScript-Funktion, die CMPs implementieren müssen. Sie ermöglicht es jedem Skript auf der Seite, den aktuellen Einwilligungsstatus abzufragen. Anzeigen-Tags, Analyseskripte und Header-Bidding-Wrapper nutzen diese API alle, um zu prüfen, ob sie berechtigt sind, Daten zu verarbeiten.
Zu den wichtigsten Befehlen gehören:
getTCData: Gibt den aktuellen TC String und die aufbereiteten Einwilligungsdaten zurück.addEventListener: Registriert einen Callback für Änderungen des Einwilligungsstatus.ping: Prüft, ob die CMP geladen und einsatzbereit ist.
Prebid.js, Google Publisher Tags (GPT) und die meisten großen Ad-Tech-SDKs rufen automatisch __tcfapi() auf, um die Einwilligung abzurufen, bevor sie Gebotsanfragen stellen oder Pixel auslösen.
Cross-Frame-Messaging
Anzeigen-Einheiten laufen häufig in iFrames auf einer anderen Domain als die Seite des Publishers. Aufgrund der Same-Origin-Policy des Browsers können diese iFrames die Funktion __tcfapi() auf der übergeordneten Seite nicht direkt aufrufen.
Das TCF löst dies mit einem Cross-Frame-Messaging-Protokoll. Die CMP erstellt einen speziell benannten iFrame (__tcfapiLocator), der als Nachrichtenvermittler dient. Anbieterskripte innerhalb von Anzeigen-iFrames senden postMessage-Anfragen an diesen Locator-Frame, der sie an die CMP weiterleitet und die Einwilligungsdaten zurückgibt.
Dieser Mechanismus ist unerlässlich, damit programmatische Werbung korrekt mit Einwilligungen funktioniert. Ohne ihn hätten Anzeigen-Einheiten in iFrames keine Möglichkeit, den Einwilligungsstatus zu prüfen.
TCF und Google
Seit Januar 2024 verlangt Google von Publishern, die Anzeigen an Nutzer im EWR ausspielen, den Einsatz einer von Google zertifizierten CMP, die IAB TCF v2.3 implementiert. Diese Anforderung gilt für Google Ads, AdSense, Ad Manager, AdMob und DV360.
Zusätzlich zum TCF verlangt Google auch den Consent Mode v2. Der Consent Mode steuert Googles eigene Tags (Analytics, Ads), während das TCF das umfassendere Ad-Tech-Ökosystem abdeckt. Für vollständige Konformität werden beide benötigt.
Ohne eine TCF-konforme CMP spielt Google keine personalisierten Anzeigen an Nutzer im EWR aus, was zu deutlich niedrigeren Werbeeinnahmen führt.
TCF und Passiro
Passiro ist bei IAB Europe als CMP ID 499 registriert und bietet vollständige Unterstützung für IAB TCF v2.3 bereits im kostenlosen Consent-Widget. Dazu gehören die Generierung des TC String, die JavaScript-API __tcfapi(), Cross-Frame-Messaging über den __tcfapiLocator-iFrame, die Integration der Global Vendor List v3, Einwilligungen pro Anbieter, Widerspruch gegen berechtigtes Interesse sowie Publisher-Einschränkungen.
Die meisten konkurrierenden CMPs verlangen 30–40 EUR pro Website und Monat für die TCF-Unterstützung. Passiro bietet sie kostenlos an – ohne Seitenlimits, ohne Traffic-Limits und ohne Funktionseinschränkungen bei der Einwilligungsfunktionalität.
Erfüllt Ihre Website die Cookie-Vorschriften?
Scannen Sie Ihre Website kostenlos und finden Sie alle Cookies in wenigen Minuten.
Cookies kostenlos scannen