Update Datenschutz Nr. 135
Online Marketing nach dem Digital Services Act
Bislang ergaben sich die Regeln für Online-Marketing vorwiegend durch die DSGVO, das TTDSG und das UWG. Zusätzlich muss man sich in der Praxis nun auch mit Art. 25 und 26 des DSA auseinandersetzen. Diese treten zwar erst Anfang 2024 in Kraft, enthalten jedoch auch erhebliche neue Anforderungen, mit den man sich frühzeitig auseinandersetzen sollte. Über den DSA allgemein haben wir bereits berichtet, insbesondere auch zu den frühen Umsetzungsfristen im Februar 2023.
Neue Regeln gelten nur für „Online-Plattformen“
Die neuen Anforderungen an Werbung verpflichten nicht jedes Unternehmen, sondern nur Anbieter von „Online-Plattformen“. Online-Plattformen sind grob gesprochen alle Apps und Webseiten, die User Generated Content aufweisen. In der Sprache des DSA wird dies wie folgt formuliert: Eine „Online-Plattform [ist ein] Hostingdienst, der im Auftrag eines Nutzers Informationen speichert und öffentlich verbreitet“. Praxisbeispiele für Online-Plattformen im Sinne des DSA sind damit:
- Social Media Provider und die Anbieter eines eigenen Bereiches innerhalb eines Social-Media Angebots (z. B. Betreiber einer Facebook-Fanpages)
- Anbieter von Online Foren
- Anbieter von Webseiten mit umfangreicher Kommentierungs- und Bewertungsoption (sowohl die Portale der klassischen Medien als auch Bewertungsportale)
- Appstores
Der Begriff „Information“ wird im Übrigen im DSA nicht definiert. Daher ist unklar, ob nur „textliche Informationen“ gelten oder auch User Generated Content in Form von Bildern, Videos oder etwa auch Spieleinheiten (z. B. bei Plattformen wie Roblox) oder insgesamt sämtliche Metaverse-Portale erfasst sind.
Ausnahmen für User Generated Content als technisch zwingende Nebenfunktion
Ausgenommen sind jedoch solche Angebote, bei denen es sich bei der Zurverfügungstellung von User Generated Content „nur um eine unbedeutende und reine Nebenfunktion eines anderen Dienstes oder um eine unbedeutende Funktion des Hauptdienstes handelt, die aus objektiven und technischen Gründen nicht ohne diesen anderen Dienst genutzt werden kann“. Diese Ausnahme ist eher eng formuliert. Man wird in der Praxis sehen müssen, ob sich etwa ein Webshop, der in geringem Umfang Bewertungen – ansonsten aber keinen User Generated Content – zulässt, auf die Ausnahme berufen kann.
DSA-Regelungen für Werbung gelten nicht für KMU Portale
Die strengen Regelungen aus Art. 25 und 26 für Werbung in Online-Plattformen gelten jedoch gemäß Art. 19 Abs. 1 DSA insgesamt nicht für KMU. Durch Verweis auf die Kommissionsempfehlung 2003/361/EU, werden daher Unternehmen mit weniger als 250 Mitarbeitern und weniger als 50 Mio. EUR Umsatz bzw. weniger als 43 Mio. EUR Bilanzsummer, von den Anforderungen an Online-Marketing aus dem DSA befreit.
Verbot von personalisierter Werbung auf Basis von Art. 9 DSGVO Daten
Gemäß Art. 26 Abs. 3 DSA ist es einer Online-Plattform untersagt, Werbung auf Basis von Profilbildung im Sinne von Art. 4 Nr. 4 DSGVO zu präsentieren, soweit hierfür besonders sensible Informationen nach Art. 9 DSGVO verwendet werden. Damit ist z. B. eine personalisierte Werbung auf Basis von Gesundheitsdaten kategorisch ausgeschlossen. Auch Werbung, die auf der Speicherung von Profilinformationen über „politische Meinungen“ oder einer „weltanschauliche Überzeugungen“ fußen, sind verboten. Dies schränkt die aktuelle Werbepraxis auf Social Media erheblich ein. Foren, deren Geschäftsmodell primär auf Gesundheitsthemen und Werbung für Produkte aus dem Health-Care-Sektor beruhen, müssen möglicherweise umdenken.
Dogmatisch interessant ist, dass hiermit eine Werbepraxis, die gemäß DSGVO auf Basis einer Einwilligungserklärung gemäß Art. 9 Abs. 2 lit. a DSGVO erlaubt sein kann, durch eine andere EU Verordnung verboten wird. Wie dieser Konflikt aufzulösen ist, werden eventuell erst Gerichte entscheiden müssen. Es spricht einiges dafür, dass Art. 26 Abs. 3 DSA als „lex spezialis“ Vorrang vor Art. 9 Abs. 2 lit. a DSGVO hat. Jedenfalls wird aber der Verstoß gegen Art. 26 Abs. 3 DSA nicht zwingend zu einem Verstoß gegen Art. 9 DSGVO führen. Dies ist deshalb wichtig, weil die möglichen Bußgelder für Verstöße gegen die DSGVO und den DSA eventuell weit auseinanderliegen werden (siehe unten).
Pflichten für Werbung auch bei Online-Plattformen
Unabhängig von der Nutzung von Daten nach Art. 9 DSGVO treffen den Anbieter einer Online-Plattform im Zusammenhang mit Werbung folgende Pflichten:
- die deutliche Kennzeichnung von Werbung als solche (Art. 26 Abs. 1 lit a);
- die Angabe in wessen Auftrag die Werbung präsentiert wird (Art. 26 Abs. 1 lit b); Wenn eine abweichende Person für die Werbung bezahlt hat, muss auch diese genannt werden (Art. 26 Abs. 1 lit c);
- eine Erläuterung, aufgrund welcher Kriterien die Werbung ausgewählt wurde („Informationen über die wichtigsten Parameter zur Bestimmung der Nutzer, denen die Werbung angezeigt wird, und darüber, wie diese Parameter unter Umständen geändert werden können."; Art. 26 Abs. 1 lit d);
- die Zurverfügungstellung einer Funktion, die es Nutzern ermöglicht, ihren Content als kommerzielle Kommunikation (und damit zumindest indirekt als Werbung) zu kennzeichnen.
Die zuerst und zuletzt genannten Verpflichtungen sind noch relativ einfach umzusetzen. Schwierig wird allerdings die Nennung des Werbetreibenden bzw. dessen, der hierfür bezahlt. Bei sehr simplen Werbemodellen ist dies vielleicht noch möglich. Im Kontext personalisierter Werbung, die in einem Real-Time-Bidding Prozess ausgewählt wird, an denen einer Vielzahl von Playern, wie „Demand Side Plattform“ (DSPs), „Supply-Side Plattform“ (SSPs) und verschiedenen Marketingagenturen beteiligt sind, dürfte dies in mehreren Hinsichten herausfordernd werden. Es bleibt zu hoffen, dass die Werbeindustrie hierfür technische Hilfslösungen bereithalten wird, etwa im Rahmen des „IAB TCF“ (siehe unser Update Datenschutz Nr. 131).
Überschneidung mit Verpflichtungen aus DSGVO – Anreicherung der Datenschutzerklärung?
Festzuhalten ist, dass die Anforderungen aus dem DSA auch dann gelten, wenn Werbung vollständig ohne Personalisierung und ohne jede Verarbeitung von personenbezogenen Daten erfolgt.
Wenn aber personenbezogene Daten verwendet werden (und hierfür genügen nach der Rechtsprechung des EuGH bereits IP-Adressen oder Cookie-IDs) müssen parallel die Anforderungen aus der DSGVO erfüllt werden. Die Informationspflichten nach Art. 12-14 DSGVO gelten also gleichrangig neben den Informationspflichten aus Art. 25 Abs. 1 DSA. Man wird jedoch die Informationspflichten nach DSA nur in seltenen Fällen erfüllen können, indem man die Datenschutzerklärung mit entsprechenden Angaben anreichert. Es muss nämlich zum einen klar werden, dass die nach Art. 25 Abs. 1 DSA geforderten Informationen teilweise deutlich über das nach DSGVO erforderliche Maß hinausgehen (z. B. im Hinblick auf die „wichtigsten Parameter zur Bestimmung der Nutzer, denen die Werbung angezeigt wird.“). Zum anderen genügen wohl auch nach DSA keine abstrakt-generellen Informationen, sondern es muss konkret und individuell für jedes einzelne Werbemittel erläutert werden, wer dieses finanziert und warum es gerade dem konkreten Nutzer angezeigt wird. Jedenfalls bei personalisierter Werbung, erfordert dies eine individuelle Information.
Ausnahmeregeln, wie in Art. 13 Abs. 4 oder Art .14 Abs. 5 DSGVO sind in Art. 26 DSA leider nicht vorhanden, so dass die Informationspflicht nach Art. 26 DSA sogar dann besteht, wenn fest davon auszugehen ist, dass der Nutzer des Online-Portals bereits über die entsprechende Information verfügt (weil es z. B. anhand des Werbebanners offensichtlich ist, in wessen Namen die Werbung erfolgt).
Zusätzliche Transparenzanforderungen bei „sehr großen Online-Plattformen“
Aus Art. 39 DSA ergeben sich weitere Anforderungen für „sehr große Online-Plattformen“. Insbesondere werden hier weiter technische Vorgaben darüber gemacht, wie die Informationen für Nutzer verfügbar sein müssen (z. B. sollen die Informationen über jede einzelne Werbung für einen Zeitraum von einem Jahr in einem Archiv zur Verfügung stehen und durchsuchbar sein).
Eine „sehr große Online-Plattform“ im Sinne des DSA ist jedoch erst ab einer durchschnittlichen Nutzerzahl von mindestens 45 Mio. aktiven Nutzern in der Union gegeben (Art. 33 DSGVO). Zudem gelten die Sonderregeln für „sehr große Online-Plattformen“ erst dann, wenn die EU-Kommission aufgrund der Meldung der Nutzeranzahl gemäß Art. 24 Abs. 4 DSA durch Beschluss festgestellt hat, dass es sich bei einer bestimmten Online-Plattform um eine „sehr große Online-Plattform“ handelt (siehe Art. 33 Abs. 4 DSA).
Dark-Pattern bei Cookie-Bannern und Consent Management Plattformen
Im Hinblick auf Cookies und personenbezogenen Daten, werden Consent Management Plattformen schon seit einigen Jahren mit hohen Anforderungen belegt. Irreführende Gestaltungen oder die sonstige „Steuerung“ des Nutzers durch „Nudging-Techniken“, können zur Unwirksamkeit von Einwilligungserklärungen nach Art. 7 DSGVO und § 25 TTDSG führen (siehe hierzu unser Update Datenschutz Nr. 108).
Parallel hierzu ist nun gemäß Art. 25 DSA ein allgemeines Verbot der Nutzerbeeinflussung durch Dark-Patterns („maßgebliche Beeinträchtigung der Fähigkeit eines Nutzers freie Entscheidungen zu treffen, z. B. durch Täuschung oder Manipulation“) zu beachten, welche für Online-Plattformen unabhängig davon gilt, ob ein Personenzug besteht oder Werbung intendiert ist (Art. 25 DSA). Zwar ist in Art. 25 Abs. 2 DSA geregelt, dass die Vorgaben der DSGVO bei einer Überschneidung der Sachverhalte Vorrang hat, die nationale Umsetzungen der alten ePrivacy Richtlinie (2002/58/EG) ist in Art. 25 Abs. 2 DSA aber nicht genannt, so dass die Regelungen aus § 25 TTDSG parallel zu Art. 25 DSA gelten.
Aufgrund der ähnlichen Formulierung und Anknüpfung an die Freiwilligkeit bzw. die Möglichkeit, freie und informierte Entscheidungen zu treffen, könnte es zwar sein, dass sich inhaltlich am Ende des Tages keine abweichenden Voraussetzungen ergeben. Da es aber sein kann, dass Art. 25 DSA in Deutschland (und anderen europäischen Jurisdiktionen) nicht durch die ohnehin überlasteten Datenschutzaufsichtsbehörden, sondern durch andere oder ganz neue Behörden umgesetzt werden, ist auch die Entwicklung einer Praxis denkbar, in der sich die Auslegungsergebnisse von § 25 TTDSG und Art. 25 DSA deutlich voneinander unterscheiden.
Noch kein Bußgeld und noch keine zuständige Behörde – dennoch Abmahnrisiko
Zwei der relevantesten Parameter sind in Deutschland noch nicht festgelegt: Welche Bußgelder können bei einem Verstoß verhangen werden und welche Behörde wird Bußgelder verhängen können.
Fazit
Aus technischer und organisatorischer Sicht, ist die Erfüllung der Anforderungen aus Art. 26 und 39 DSA keinesfalls trivial. Jedes Unternehmen sollte daher prüfen, ob es Anbieter einer „Online-Plattform“ ist, die Nutzern Werbung anzeigt. Insbesondere im Falle personalisierter Werbung sind individuelle Informationen erforderlich, die vielen Betreibern von Online-Plattformen aktuell noch gar nicht zur Verfügung stehen.
Zudem sollte jede Online-Plattform in den kommenden Monaten genau beobachten, ob sich weitere Konkretisierungen der Verpflichtungen durch die Implementierung eines Branchenkodex für Online-Werbung nach Art. 46 DSA ergibt, welche Behörde der deutsche Gesetzgeber für zuständig erklären wird und welcher Bußgeldrahmen in Deutschland festgelegt wird. Unabhängig von dem Bußgeldrahmen wird zu beachten sein, dass Verstöße gegen den DSA möglicherweise nach § 3a UWG abgemahnt werden können, soweit es sich um „Marktverhaltensregeln“ handelt.