Daten im Marketing – das neue Datenrecht aus Brüssel

Die Digitalstrategie der Europäischen Kommission beginnt, erste Früchte zu tragen. In den vergangenen Monaten sind zahlreiche EU-Verordnungen in Kraft getreten und weitere sind in Arbeit. Das erklärte Ziel: die digitale Transformation für Menschen und Unternehmen proaktiv gestalten und einen Beitrag zur Klimaneutralität Europas leisten. Teil der Digitalstrategie der EU-Kommission ist die Europäische Datenstrategie, die innerhalb der Europäischen Union einen Binnenmarkt für Daten schaffen möchte. Die Weitergabe von Daten und deren Wertschöpfung sollen vereinfacht werden.

Zu diesen Zwecken wurden das Gesetz über digitale Märkte (DMA), das Gesetz über digitale Dienste (DSA), das Daten-Governance-Gesetz (DGA), der Data Act (DA) und die KI-Verordnung (AI Act) erlassen. Eine Übersicht zum aktuellen Gesetzgebungsstand dieser EU-Verordnungen lässt sich Abbildung 1 entnehmen.

Digital Markets Act (DMA)

Der Digital Markets Act richtet sich an große Digitalunternehmen, sogenannte „Gatekeeper“ (im Deutschen tatsächlich „Torwächter“) – und zwar unabhängig von ihrem Sitz. Gatekeeper sind Unternehmen, die zentrale Plattformdienste bereitstellen, einen erheblichen Einfluss auf den Binnenmarkt haben und vor allem gewerblichen Nutzern als wichtiges Zugangstor zu Endnutzern dienen. Maßgeblich für die Einordnung sind Umsatz, Marktkapitalisierung, monatliche aktive Endnutzer und Zahl der gewerblichen Nutzer. Die EU-Kommission hat im September 2023 die ersten sechs Gatekeeper benannt: Alphabet (vor allem für die Google-Suche, den Playstore und YouTube), Amazon (für den Marktplatz), Apple (für iOS und den Appstore), ByteDance (für TikTok), Meta (für WhatsApp und die sozialen Netzwerke) und Microsoft (für Windows und LinkedIn).

Wurde der Gatekeeper-Status eines Unternehmens von der EU-Kommission endgültig festgestellt, unterliegt dieses zahlreichen Verpflichtungen und Verboten. Es geht darum, unfaire Praktiken von Gatekeepern auch auf nachgelagerten Märkten zu bekämpfen. Der DMA ist daher im Kern Kartellrecht: Die Macht in einem Markt soll nicht auf unlautere Weise auf einem anderen Markt ausgenutzt werden.

Zu den Verboten zählt mit Blick auf die Verwendung von Daten im Marketing:

• Gatekeeper dürfen nicht ohne Einwilligung des Endnutzers
  • personenbezogene Daten über verknüpfte Dienste Dritter erlangen,
  • Daten zwischen den eigenen Plattformdiensten zusammenführen oder
  • Endnutzer bei anderen Diensten des eigenen Universums anmelden.
• Hat der Endnutzer eine Einwilligung verweigert oder widerrufen, darf der Nutzer innerhalb eines Jahres nicht mehr als einmal erneut gefragt werden.
• Der Gatekeeper darf seine eigenen Produkte und Dienstleistungen nicht gegenüber denen anderer gewerblicher Nutzer bevorzugt behandeln.
• Die Bedingungen für Suchergebnisse innerhalb der Plattform müssen transparent und fair sein. Eigene Produkte darf der Plattformbetreiber nicht mehr in den Fokus stellen, sondern nur gemeinsam mit Produkten anderer Anbieter auf der Plattform.
• Anbietern auf der Plattform darf der Gatekeeper nicht untersagen, seine Produkte andernorts günstiger anzubieten.

Außerdem muss der Gatekeeper

• seinen Anbietern auf der Plattform die Möglichkeit einräumen, Angebote kostenfrei an Endnutzer zu kommunizieren und zu bewerben. Die Angebote dürfen dabei von den Konditionen, zu denen sie auf der Plattform angeboten werden, abweichen,
• Werbetreibenden (oder deren Agenturen) auf der Plattform oder innerhalb des jeweiligen Werbenetzwerks die folgenden Informationen täglich kostenfrei und bezogen auf jede Anzeige zur Verfügung stellen:
  • Die vom Werbetreibenden gezahlten Gesamtpreise
  • Die vom Publisher daraus erhaltene Vergütung
  • Die Kennzahlen, anhand deren die einzelnen Preise und sonstigen Gebühren berechnet werden

Sperrt sich der Publisher gegen die Herausgabe der Informationen, muss dem Werbetreibenden Auskunft über die durchschnittliche tägliche Vergütung erteilt werden, die dieser Publisher für die betreffenden Anzeigen erhält.

• analog dazu auch Publishern innerhalb des Werbenetzwerks (oder deren Agenturen) kostenfrei und täglich Informationen zur Verfügung stellen, anhand derer der Publisher den Preis der einzelnen Online-Werbedienste nachvollziehen kann. Hierdurch soll ein Vergleich mit den Kosten der Nutzung anderer Online-Werbedienste ermöglicht werden.

Hintergrund der Preistransparenz ist die Hoffnung des EU-Gesetzgebers auf sinkende Werbekosten und letztlich sinkende Produktpreise zum Wohl der Bürgerinnen und Bürger.

Bei einem Verstoß gegen diese und andere Pflichten, die der DMA den Gatekeepern auferlegt, können diesen Bußgelder in einer Höhe von bis zu 10 % des weltweit erzielten Gesamtumsatzes des Vorjahres auferlegt werden.

Digital Services Act (DSA)

Der Digital Services Act ist ein buntes Sammelbecken verschiedener Regelungen, die Intermediäre betreffen.

Zum einen regelt der DSA Haftungsprivilegien für Vermittlungsdienste, also Internetprovider (zum Beispiel Accessprovider oder WLAN-Anbieter), Caching-Dienstleister (zum Beispiel Proxys) und Hosting-Dienste (zum Beispiel Cloud-Anbieter).

Zum anderen formuliert der DSA zusätzliche Pflichten für Anbieter von Online-Plattformen. Damit sind Hosting-Dienste gemeint, die im Auftrag der Nutzer Informationen speichern und öffentlich verbreiten. Nicht gemeint sind Dienste, bei denen diese Speicherfunktion lediglich eine unbedeutende Nebenfunktion eines anderen Dienstes ist (zum Beispiel die Kommentarfunktion einer Online-Zeitung oder die Darstellung von Nutzerprofilen bei einem Lieferdienst).

Solche Online-Plattformen müssen (gegebenenfalls zusätzlich zu den Vorgaben aus dem DMA)

• sicherstellen, dass für Nutzer der Plattform eindeutig erkennbar ist, wenn es sich bei bestimmten Informationen um Werbung handelt,
• bei jeder Anzeige den Werbetreibenden und – sofern ausnahmsweise abweichend – den für die Werbung bezahlenden Akteur erkennen lassen und
• dafür sorgen, dass bei jeder Werbung die Parameter erkennbar sind, aufgrund deren den Nutzern diese Werbung angezeigt wird. Dies können allgemeine Kriterien (zum Beispiel Alter oder Geschlecht) oder Signale von Adressaten selbst sein (zum Beispiel Klicks auf bestimmte Produkte oder andere Werbung).

Verboten ist Online-Plattformen,

• eine Werbeprofilbildung unter Verwendung besonderer Kategorien personenbezogener Daten (zum Beispiel Gesundheitsdaten) vorzunehmen und
• in Werbung gezielt (also auf Basis von Nutzerprofilen) Minderjährige zu adressieren.

Je nach Größe der Plattform sind die Anforderungen abgestuft: Große Online-Plattformen treffen noch detailliertere Vorgaben (zum Beispiel müssen solche Plattformen ein Online-Archiv über alle Werbeanzeigen führen und für ein Jahr abrufbar halten). Kleine Plattformen sind von den Bestimmungen ganz ausgenommen.

Besondere Regeln enthält der DSA für sogenannte Dark Patterns. Auswahlentscheidungen der Nutzer auf der Plattform (zum Beispiel zur Einholung von Einwilligungen zu Marketingzwecken) sollen möglichst transparent sein. Anbieter von Online-Plattformen dürfen ihre Online-Schnittstellen nicht so gestalten, dass Nutzer „getäuscht, manipuliert oder anderweitig in ihrer Fähigkeit, freie und informierte Entscheidungen zu treffen, maßgeblich beeinträchtigt“ werden.

Verwendet eine Online-Plattform Empfehlungssysteme, also ein automatisiertes System, um innerhalb der Plattform bestimmte Informationen vorzuschlagen oder zu priorisieren (zum Beispiel ein gesteuertes Suchsystem oder einen Chatbot), muss über Funktionsweise und die wichtigsten einfließenden Parameter in transparenter Weise informiert werden.

Weitere Verpflichtungen betreffen die Inhalte allgemeiner Geschäftsbedingungen und den Schutz Minderjähriger.

Daten-Governance-Gesetz

Das Daten-Governance-Gesetz, auch Data Governance Act genannt, bildet gemeinsam mit dem Data Act eine zentrale Säule der Datenstrategie der Europäischen Kommission. Der DGA etabliert Strukturen und Bedingungen für die Wiederverwendung von Daten und richtet sich an drei Adressaten:

• Öffentliche Stellen
• Datenvermittlungsdienste
• Datenaltruistische Organisationen

Für diese Regelungsgebiete bestimmt der DGA grundlegend materielle und formelle Handlungspflichten und einen entsprechenden behördlichen Aufsichtsrahmen.

Datenvermittlungsdienste sind Angebote, die durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits herstellen, um eine gemeinsame Datennutzung zu ermöglichen. Denkbar wäre das etwa für digitale Agenten, die es Nutzern gezielt ermöglichen, Werbenetzwerken gegenüber Einwilligungen zu erteilen. Solchen Datenvermittlungsdiensten ist es untersagt, vermittelte Daten zu anderen als den vereinbarten Zwecken zu nutzen, um die Neutralität des Diensts zu gewährleisten. Vermittelte Daten dürfen damit auch nicht im Rahmen von Marketingkampagnen verwendet werden.

Gravierende Auswirkungen hat der DGA für die öffentliche Hand: Geben etwa Stadtwerke Marketingdaten an Agenturen, können sie verpflichtet sein, diese Daten auch Dritten zur Verfügung zu stellen.

Data Act (DA)

Die Verordnung zur Schaffung einheitlicher Vorschriften für den fairen Zugang zu Daten und deren faire Nutzung, kurz Data Act, ist im Januar 2024 in Kraft getreten und wird in großen Teilen ab September 2025 anwendbar sein.

Der Data Act trifft gleich mehrere Regelungen:

• Zum einen sieht er eine Datenbereitstellungspflicht von Herstellern und ein korrespondierendes Datenzugangsrecht für Nutzer vernetzter Produkte und verbundener Dienste vor.
• Zum anderen werden Regeln zur Datenweitergabe zwischen Unternehmen und Verbrauchern und zwischen Unternehmen festgesetzt.
• Ebenfalls vom Data Act abgedeckt sind die Vorschriften zur Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit, dem Wechsel zwischen Datenverarbeitungsdiensten und den damit einhergehenden Interoperabilitätsvorgaben für Daten sowie der Beschränkung des unrechtmäßigen Zugangs durch staatliche Akteure aus Drittländern.

Die Datenbereitstellungspflicht bezieht sich auf Daten, die durch die Verwendung vernetzter Produkte oder verbundener Dienste durch den Nutzer generiert werden. Mit vernetzten Produkten sind physische Geräte gemeint, die über ihre Nutzung oder Umgebung Daten erlangen, generieren oder erheben und diese Daten an den Hersteller übermitteln können. Dies betrifft vor allem Maschinen und IoT-Geräte, die über Sensoren Daten erheben und an den Hersteller funken können. Aber auch vernetzte Autos sind ein Paradebeispiel für unter den Data Act fallende Infrastruktur.

Verbundene Dienste sind digitale Dienste, die mit vernetzten Produkten derart verbunden sind, dass bei Fehlen des Diensts eine oder mehrere Funktionen des vernetzten Produkts nicht ausgeführt werden können. Auch Dienste, die mit dem Produkt verbunden werden, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen, sind umfasst.

Die Nutzer der Geräte (ob unternehmerisch oder privat) haben einen exklusiven Anspruch auf Nutzung aller bei Nutzung des vernetzten Produkts anfallenden Daten. Der Hersteller darf diese generierten Daten nicht mehr ohne Weiteres selbst benutzen. Vielmehr bedarf es dafür eines gesonderten Vertrags mit dem Nutzer. Auch eine Weitergabe an Dritte (zum Beispiel im Rahmen aggregierter Übersichten) ist unzulässig. Während dem Nutzer die Daten kostenfrei zur Verfügung gestellt werden müssen, dürfen Hersteller von den Dritten eine angemessene Vergütung verlangen.

Möchte ein Unternehmen also mit Leistungsmaßstäben seiner eigenen Produkte werben, muss darauf geachtet werden, dass die Daten, auf die diese Werbebehauptungen gestützt werden, entweder durch Eigennutzung des Herstellers selbst erhoben wurden oder ein Datenlizenzvertrag mit Nutzern abgeschlossen wurde. Bei der Organisation einer Kampagne sollte mithin stets darauf geachtet werden, woher die Daten, die als Grundlage für die Werbebehauptungen verwendet werden, stammen. Andernfalls wird ein Verstoß gegen den Data Act riskiert, der mit einem Bußgeld sanktioniert werden kann.

Im Online-Marketing spielt der Data Act vordergründig nur bei Out-of-Home-Media eine Rolle. Aber jedes Targeting auf Basis von Daten, die über ein vernetztes Produkt erhoben worden sind (zum Beispiel Bluetooth-Säulen im Stadion, intelligente Plakate in U-Bahnhöfen, Fitnesstracker am Handgelenk, vernetzte Kühlschränke), muss den DA im Blick haben. Es gilt, zunächst zu ermitteln, wer hier Nutzer des Geräts ist und wer die Daten erhebt und verarbeitet. Soll ein Verstoß gegen den DA vermieden werden, bedarf es vor allem guter Datenlizenzverträge.

KI-Verordnung

Die KI-Verordnung (KI-VO), auch AI Act, ist die jüngste der behandelten Verordnungen. Die inoffizielle Einigung erfolgte im Dezember 2023, die offizielle Verabschiedung durch das Europäische Parlament und den Rat der EU steht in diesen Tagen an. Die Verordnung sieht eine Klassifizierung von KI-Systemen vor. Abhängig von der zugeordneten Kategorie ist der Betrieb einer KI nicht erlaubt (verbotene KI-Praktiken), unter strengen Auflagen erlaubt (Hoch-Risiko-KI-Systeme), unter Auflage von Transparenzpflichten oder ohne weitergehende Pflichten erlaubt:

• Verboten sind Praktiken, die aus grundrechtlicher Perspektive besonders eingriffsintensiv sind, wie beispielsweise der Einsatz bestimmter Formen des Social Scorings.
• Ein Hoch-Risiko-KI-System liegt zum Beispiel vor, wenn das KI-System als Sicherheitskomponente in einem Spielzeug oder in einem Medizinprodukt zum Einsatz kommt. Auch KI-Tools, die der Emotionserkennung dienen, sind als KI-System mit hohem Risiko einzustufen.
• Für KI-Systeme mit geringerem Risiko gelten lediglich Transparenzpflichten.

Während mit der Klassifizierung als Hoch-Risiko-KI-System diverse Pflichten einhergehen, hat die Klassifizierung für den Bereich Marketing keine spezifischen Auswirkungen. Daten, die für das Training eines Hoch-Risiko-KI-Systems verwendet werden, dürften nicht selten auch aus dem Bereich Marketing stammen und auch dort genutzt werden. Insofern ist Vorsicht geboten: Stellt die Marketingabteilung Daten zum Zweck des Trainings eines Hoch-Risiko-KI-Systems zur Verfügung (etwa für Zwecke der Risikoanalyse), sollten Verantwortliche besonderen Augenmerk auf die Repräsentanz und Relevanz der Trainingsdaten legen.

Verwendet die Marketingabteilung eigene KI-Systeme, beispielweise zur Durchführung von Werbescoring, ist neben den Vorschriften der KI-Verordnung auch auf die datenschutzrechtlichen Vorgaben zu achten. Die KI-Verordnung lässt (wie praktisch alle anderen neuen EU-Verordnungen) die DSGVO unberührt. In aller Regel wird es sich um personenbezogene Daten handeln. Deshalb bedarf die Verarbeitung der Daten zum Werbescoring einer Rechtfertigung. Ob diese in berechtigten Unternehmensinteressen zu sehen ist oder ob eine Einwilligung des Kunden erforderlich ist, ist Frage des Einzelfalls. Letztlich muss jeder Use-Case gesondert ausgewertet werden.

Zusätzliche Frage ist, ob der Einsatz von KI-Tools dem Nutzer gegenüber transparent gemacht werden muss. Eindeutig ist das für Systeme, mit denen der Nutzer direkt interagiert. So müssen etwa KI-gestützte Chatbots als solche gekennzeichnet werden. Nicht so klar ist die KI-Verordnung mit Blick auf KI-generierte Inhalte: Diese sollen maschinenlesbar gekennzeichnet werden und als künstlich erzeugt oder manipuliert erkennbar sein. Besondere Regeln gelten wiederum für Deepfakes. All diese Regeln werden in Zukunft im Online-Marketing eine erhebliche Rolle spielen.

Die Auswirkungen des AI Act auf das Marketing lassen sich zum jetzigen Zeitpunkt kaum zuverlässig abschätzen. Einzelne Regeln werden gravierende Folgen haben. Dies gilt insbesondere für die Transparenzvorgaben.