Erhalten Sie exklusive Einblicke in Datenschutzgesetze, Compliance-Strategien und Produkt-Updates direkt in Ihren Posteingang
Die Frist vom 28. Februar 2026 ist abgelaufen. Jeder TC-String, der ab dem 1. März 2026 ohne ein gültiges `disclosedVendors`-Segment generiert wird, gilt unter IAB TCF v2.3 als nicht konform.
Die Frist vom 28. Februar 2026 ist abgelaufen. Jeder TC-String, der ab dem 1. März 2026 ohne ein gültiges disclosedVendors-Segment generiert wird, gilt unter IAB TCF v2.3 als nicht konform.
Publisher, die noch v2.2-Strings erzeugen, erleben eine vorhersehbare Abfolge: Google und andere Premium-Demand-Quellen behandeln den Traffic als nicht eingewilligt, die Anzeigenanfrage fällt in den „Limited Ads"-Modus zurück, und die TKP-Werte sinken um 60–80 % oder mehr. Die Lösung erfordert koordiniertes Handeln bei der CMP-Konfiguration, der Verwaltung der Global Vendor List (GVL) und den nachgelagerten Anbieterintegrationen. Diese Anleitung erläutert, was sich geändert hat, wie die Migrations-Checkliste in der Praxis aussieht und wie die häufigsten Probleme nach dem Upgrade diagnostiziert werden können.
Das IAB Transparency and Consent Framework (TCF) ist das standardisierte technische Protokoll, über das Publisher die Nutzereinwilligung erfassen und diese an jeden Anbieter in der programmatischen Werbelieferkette kommunizieren. Die Consent Management Platform (CMP) des Publishers erfasst die Nutzerentscheidungen, kodiert diese in einen TC-String und übermittelt diesen String mit jeder Anzeigenanfrage. Demand-Side-Plattformen, SSPs, Adserver und Messanbieter lesen den String, um zu bestimmen, welche Zwecke sie verarbeiten dürfen und auf welcher Rechtsgrundlage.
TCF v2.3 wurde am 19. Juni 2025 von IAB Europe veröffentlicht. Es handelt sich um ein technisch ausgerichtetes Update, das eine spezifische Signallücke adressiert, die Regulierungsbehörden und Gerichte in früheren Versionen identifiziert hatten. Es ändert weder die für Anbieter verfügbaren Rechtsgrundlagen, noch die im Framework definierten Zwecke oder die Anforderungen an die Benutzeroberfläche aus TCF v2.2. Die Änderung beschränkt sich auf die Struktur des TC-Strings: Ein Segment, das bisher optional war, ist nun verpflichtend.
Das Problem, das TCF v2.3 löst, ist als das „Ghost Vendor"-Problem oder „Signalambiguität" bekannt. Unter TCF v2.2 konnte ein Anbieter beim Lesen eines TC-Strings auf ein 0-Bit im Abschnitt „Vendor Legitimate Interest" stoßen und nicht feststellen, ob dies bedeutete, dass der Nutzer Widerspruch eingelegt hatte oder der Anbieter nie in der CMP-Oberfläche offengelegt worden war. Diese Unterscheidung ist besonders relevant für Anbieter, die personenbezogene Daten auf Basis berechtigter Interessen für besondere Zwecke verarbeiten – etwa zur Betrugsprävention und Sicherheit. Ohne eine zuverlässige Möglichkeit, diese Fälle zu unterscheiden, standen Anbieter vor der Wahl zwischen Überverarbeitung und Unterverarbeitung. Das Urteil des Brüsseler Berufungsgerichts vom Mai 2025 und die frühere Entscheidung des EuGH betonten beide die Notwendigkeit eines mathematischen Nachweises, dass Anbieter, die Einwilligungssignale erhalten, tatsächlich gegenüber den Nutzern offengelegt wurden – was TCF v2.3 gewährleistet.
Überprüfen Sie den Bericht „Datenschutz & Messaging" in Google Ad Manager auf Fehlercode 1.4, der speziell auf ein fehlendes oder ungültiges disclosedVendors-Segment hinweist. Erscheint dieser Code, enthält der von Ihrer CMP generierte TC-String das Segment nicht oder es ist fehlerhaft. Dekodieren Sie einen Live-String und prüfen Sie die Struktur. Fehlercode 9 (CMP-Zertifizierungsfehler) ist ein separates Problem, das darauf hinweist, dass Ihre CMP nicht auf der zertifizierten Liste von Google steht. Eine wirksame DSGVO-Einwilligungsverwaltung erfordert, dass sowohl die technische String-Gültigkeit als auch der CMP-Zertifizierungsstatus unabhängig voneinander geprüft werden.
Wenn Ihr disclosedVendors-Bitfeld keine aktuellen Anbieterregistrierungen mehr widerspiegelt, ist die wahrscheinlichste Ursache ein veralteter GVL-Download. Überprüfen Sie den GVL-Aktualisierungsplan Ihrer CMP und bestätigen Sie den Zeitstempel des letzten erfolgreichen Downloads. Bei CMPs, die über CDN oder Tag-Manager bereitgestellt werden, stellen Sie sicher, dass die auf Ihren Seiten geladene Skriptversion aktuell ist.
Wenn der TC-String korrekt generiert wird, aber nachgelagerte Anbieter fehlende Einwilligungssignale melden, liegt das Problem typischerweise in der Konstruktion des OpenRTB-Requests. Der TC-String muss in den Feldern regs.ext.gdpr und user.ext.consent der Bid-Anfrage übergeben werden. Eine weitere Ursache ist die String-Kürzung: TC-Strings mit großen Anbieterlisten können die Größenbeschränkungen für Cookies oder URL-Parameter überschreiten. Verwenden Sie das in der TCF-Technischen Spezifikation angegebene base64url-kodierte Stringformat.
Dieser Artikel wurde ursprünglich auf Englisch von Secure Privacy veröffentlicht und ins Deutsche übersetzt.
Explore more privacy compliance insights and best practices
