Autor: Dr. Frank Eickmeier

KI in der Agentur: Was in der Werbe-, Media- und Onlinebranche jetzt rechtlich zu beachten ist

Geschrieben am von Dr. Frank Eickmeier

Künstliche Intelligenz ist in der Werbe-, Media- und Onlinebranche längst ein produktives Werkzeug des Arbeitsalltags. Agenturen, Medienhäuser und Digitalunternehmen setzen KI-Systeme heute routinemäßig ein — für Recherchen, die Erstellung von Texten und Bildmaterial, für Präsentationen, für Kampagnenreporting und Datenvisualisierung. Der Wettbewerbsdruck, diese Möglichkeiten zu nutzen und auszubauen, ist real. Ebenso real sind aber die rechtlichen Anforderungen, die damit einhergehen und die in dieser Branche besondere Relevanz haben. Dieser Artikel gibt einen Überblick über die wichtigsten Handlungsfelder.

Datenschutz und interne Sicherheitsanforderungen

Wann greift die DSGVO?

Der Ausgangspunkt ist schnell beschrieben: Sobald personenbezogene Daten in ein KI-System eingegeben oder durch ein solches System verarbeitet werden, greift die Datenschutzgrundverordnung. In der Werbe- und Mediabranche ist diese Schwelle besonders schnell erreicht. Kampagnendaten mit Kundenbezug, Nutzerprofile, Zielgruppendaten, Kontaktdaten aus CRM-Systemen, Gesprächsprotokolle aus Kundenmeetings, Briefing-Unterlagen — all das ist in der täglichen Arbeit präsent, und all das landet schnell in einem KI-System, wenn Mitarbeiter damit produktiv arbeiten.

Auftragsverarbeitungsvertrag als Pflichtbaustein

Der erste und wichtigste Schritt ist daher die Prüfung, ob mit jedem eingesetzten KI-Anbieter eine Auftragsverarbeitungsvereinbarung geschlossen wurde. Dieser Vertrag ist keine bürokratische Formalität, sondern zwingende Voraussetzung dafür, dass eine Datenverarbeitung überhaupt rechtmäßig ist. Wer die Consumer-Versionen gängiger KI-Dienste nutzt — etwa die Standardversionen von ChatGPT oder Google Gemini — wird feststellen, dass diese Voraussetzung dort in der Regel nicht erfüllt ist. Die erforderlichen Business- oder Enterprise-Optionen müssen gezielt gebucht und aktiviert werden.

Serverstandort und Drittlandtransfers

Eng damit verbunden ist die Frage des Serverstandorts. Personenbezogene Daten sollten idealerweise ausschließlich auf Servern innerhalb der Europäischen Union verarbeitet werden. Drittlandtransfers — also die Übermittlung von Daten in die USA oder andere Staaten außerhalb des EWR — sind zwar unter bestimmten Voraussetzungen, etwa auf Basis von Standardvertragsklauseln zulässig, aber mit erheblichem Dokumentationsaufwand verbunden, rechtlich angreifbar und im Zweifel gegenüber Aufsichtsbehörden schwer zu verteidigen. Gerade für Agenturen, die im Auftrag ihrer Kunden handeln und dabei häufig sensible Markt- und Zielgruppendaten verarbeiten, ist die Wahl EU-basierter Infrastruktur keine bloße Vorsichtsmaßnahme, sondern ein zentrales Element der eigenen Compliance-Strategie zu empfehlen.

Kein Training mit Ihren Daten

Ein weiterer Punkt, der in der Praxis regelmäßig übersehen wird: Viele KI-Anbieter nutzen Eingabedaten in ihrer Standardkonfiguration zur Verbesserung und zum Training ihrer Modelle. Aus datenschutzrechtlicher Sicht ist das in aller Regel unzulässig. Dieser Ausschluss muss vertraglich ausdrücklich vereinbart und technisch nachvollziehbar sein — allein eine entsprechende Zusicherung im Kleingedruckten der Nutzungsbedingungen reicht meist nicht.

Zentrale KI-Infrastruktur statt Tool-Wildwuchs

Wer diese Anforderungen konsequent und skalierbar umsetzen will, kann den Einsatz einer zentralen KI-Plattformlösung in Betracht ziehen. Systeme wie Langdock oder Logicc können es ermöglichen, verschiedene KI-Modelle — etwa GPT-4, Claude oder Gemini — über eine einheitliche, Infrastruktur zu betreiben, die Datenschutzaspekte berücksichtigt. Zugriffsrechte lassen sich granular nach Abteilungen, Projekten oder Mandanten steuern, Eingaben können protokolliert werden, und der gesamte Datenfluss bleibt innerhalb einer kontrollierten Compliance-Umgebung. Gerade für Agenturen, die für mehrere Kunden parallel arbeiten und dabei unterschiedliche Datensätze verwalten, ist dieser Ansatz dem unkontrollierten Wildwuchs verschiedener Einzel-Tools deutlich vorzuziehen.

Interne KI-Nutzungsrichtlinie

Ergänzend sollte jedes Unternehmen, das KI produktiv einsetzt, eine interne KI-Nutzungsrichtlinie festlegen. Diese regelt, welche Datenkategorien in KI-Systeme eingegeben werden dürfen, welche Tools zugelassen sind, und welche internen Freigabeprozesse gelten. Sie ist datenschutzrechtlich als Teil des technisch-organisatorischen Rahmens erforderlich und zugleich arbeitsrechtlich relevant, weil sie Mitarbeiterpflichten klar definiert und das Unternehmen absichert, wenn gegen diese Pflichten verstoßen wird. In einer Branche, in der Mitarbeiter eigenständig und kreativ mit einer Vielzahl digitaler Tools arbeiten, ist eine solche Richtlinie eine praktische Notwendigkeit.

Bestehende Kundenverträge auf KI-Tauglichkeit prüfen

Schließlich — und das betrifft speziell Agenturen und Dienstleister — ist zu prüfen, ob bestehende Auftragsverarbeitungsverträge mit Kunden den KI-Einsatz abdecken. Wenn Kundendaten, die im Rahmen eines Agenturauftrags verarbeitet werden, in KI-Systeme eingegeben werden, entsteht eine zusätzliche Ebene der Unterauftragsverarbeitung. Diese muss durch den bestehenden AVV mit dem Kunden ausdrücklich gedeckt sein. In vielen heute noch gültigen Agenturverträgen ist dieser Fall nicht geregelt, weil er zum Zeitpunkt des Vertragsschlusses noch nicht relevant war. Das sollte zeitnah geprüft und bei Bedarf angepasst werden.

Urheberrecht und Kennzeichnungspflichten: besondere Relevanz für die Kreativbranche

Kein Urheberrechtsschutz für KI-generierte Inhalte

Nach deutschem Recht setzt urheberrechtlicher Schutz eine persönliche geistige Schöpfung voraus, also einen menschlichen Schöpfungsakt. KI-generierte Inhalte erfüllen dieses Kriterium grundsätzlich nicht oder allenfalls dann in eingeschränktem Maße, wenn ein Mensch durch sehr spezifische Prompts, gezielte Auswahl und nachgelagerte Bearbeitung eine hinreichend individuelle gestalterische Leistung erbracht hat. Praktisch bedeutet das: Texte, Bilder, Grafiken oder Videoschnitte, die überwiegend durch KI erzeugt wurden, sind in der Regel nicht oder nur schwach urheberrechtlich geschützt. Dritte können sie grundsätzlich frei verwenden.

Konsequenzen für die Vertragsgestaltung mit Kunden

Das hat unmittelbare Konsequenzen für die Vertragsgestaltung. Wenn eine Agentur KI-generierte Inhalte im Rahmen eines Auftrags erstellt und liefert, geht der Kunde möglicherweise davon aus, exklusive Nutzungsrechte an einem urheberrechtlich geschützten Werk zu erwerben. Diese Annahme ist in vielen Fällen unzutreffend. Wer hier keine klaren vertraglichen Regelungen trifft, riskiert Haftungsansprüche und Folgestreitigkeiten. Es empfiehlt sich daher, in AGB oder Einzelverträgen ausdrücklich darauf hinzuweisen, dass zur Leistungserbringung KI-gestützte Tools eingesetzt werden und dass der urheberrechtliche Schutzstatus der erzeugten Inhalte entsprechend eingeschränkt sein kann.

Risiko: Reproduktion geschützten Trainingsmaterials

Hinzu kommt ein weiteres urheberrechtliches Risiko: KI-Modelle werden auf großen Mengen urheberrechtlich geschützten Materials trainiert. Bei der Generierung neuer Inhalte kann es vorkommen, dass das Modell geschützte Werke reproduziert oder stark angenäherte Inhalte erzeugt. Es ist denkbar, dass die generierten Inhalte Urheberrechte verletzen, auch wenn sie selbst urheberrechtlich nicht geschützt sind. Im Außenverhältnis trägt derjenige das Risiko, der den Inhalt verwendet und veröffentlicht. Eine sorgfältige Qualitätskontrolle vor Veröffentlichung ist daher nicht nur inhaltlich, sondern auch rechtlich geboten und sollte in den internen Freigabeprozess integriert werden.

Kennzeichnungspflichten für KI-Inhalte ab August 2026

Die EU-KI-Verordnung enthält Transparenzpflichten für bestimmte KI-generierte Inhalte. Diese Vorschrift wird in der öffentlichen Diskussion häufig überdehnt, weshalb eine genaue Einordnung wichtig ist. Relevant ist dabei auch der Zeitpunkt: Die Transparenzpflicht ist erst ab August 2026 vollständig anwendbar. Das klingt nach ausreichend Vorlaufzeit, ist es für viele Agenturen aber nicht — wer synthetische Inhalte in großem Umfang produziert, muss die dafür erforderlichen technischen und organisatorischen Prozesse jetzt entwickeln, nicht erst kurz vor Ablauf der Frist.

Inhaltlich gilt: Eine generelle Pflicht, jeden KI-generierten Text oder jedes KI-generierte Bild als solches zu kennzeichnen, existiert nicht. Die KI-Verordnung verpflichtet Betreiber von KI-Systemen, die Bild-, Audio- oder Videoinhalte erzeugen oder manipulieren, diese zu kennzeichnen, wenn die Inhalte tatsächlich existierende Personen, Orte oder Ereignisse täuschend echt darstellen — also bei sogenannten Deepfakes. Die Definition ist dabei enger als der Begriff im allgemeinen Sprachgebrauch. Generische KI-generierte Illustrationen, Stockbilder ohne erkennbaren Personenbezug oder abstrakte Datenvisualisierungen sind davon in aller Regel nicht erfasst, könnten es aber bei bestimmten Gestaltungen sein. Zur Wahrheit gehört auch, dass die Definition vermutlich erst durch die noch ausstehenden Orientierungshilfen der EU-Kommission geschärft werden wird.

Besondere Relevanz für Kampagneninhalte mit Personendarstellungen

Für die Werbe- und Mediabranche ist ein Szenario besonders relevant: der Einsatz von KI zur Erstellung täuschend echter Darstellungen von Personen — etwa für Kampagnenmotive, Testimonials oder bewegte Werbeinhalte. Wer solche Inhalte erzeugt und einsetzt, könnte ab August 2026 zur Kennzeichnung verpflichtet sein und sollte die Vorbereitung darauf nicht auf die lange Bank schieben. Es wird hierauf die Details ankommen.

Wettbewerbsrechtliche Grenzen

Unabhängig von der KI-VO gilt wettbewerbsrechtlich bereits heute: Nach dem UWG kann eine Irreführung durch Unterlassen vorliegen, wenn gegenüber Verbrauchern oder Geschäftspartnern der Eindruck erweckt wird, bestimmte Inhalte seien von Menschen erstellt worden, obwohl dies nicht der Fall ist und weitere Voraussetzungen erfüllt sind. Je mehr die Authentizität oder Individualität eines Inhalts im Vordergrund der Kommunikation steht — ein Bereich, in dem Werbeagenturen täglich arbeiten — desto eher kann der unerwähnte KI-Einsatz wettbewerbsrechtlich problematisch sein.

Fazit und Handlungsempfehlung

Für Unternehmen der Werbe-, Media- und Onlinebranche verdichtet sich der rechtliche Handlungsbedarf auf einige klar benennbare Punkte: Auftragsverarbeitungsverträge mit allen KI-Anbietern abschließen oder überprüfen, EU-Serverstandorte und vertraglichen Ausschluss von Trainingszwecken sicherstellen, eine zentrale datenschutzkonforme KI-Infrastruktur aufbauen, interne Nutzungsrichtlinien einführen, bestehende Kunden-AVV auf KI-Tauglichkeit prüfen, AGB und Werkverträge um Regelungen zu KI-generierten Inhalten ergänzen, und — mit Blick auf August 2026 — ein konkretes Konzept für die Kennzeichnung synthetischer Inhalte entwickeln.

Wer diese Punkte jetzt strukturiert angeht, ist nicht nur rechtlich auf der sicheren Seite, sondern schafft auch intern eine Grundlage, auf der KI-Werkzeuge effizient, verantwortungsvoll und mit echtem Mehrwert eingesetzt werden können. Für eine individuelle Beratung und Prüfung der eigenen Vertragsunterlagen stehen wir zur Verfügung.

Contextual Targeting ohne personenbezogene Daten – warum die DSGVO häufig gar nicht greift

Geschrieben am von Dr. Frank Eickmeier

Im Online-Marketing wird Targeting regelmäßig reflexartig mit hochen Datenschutz-Anforderungen gleichgesetzt. Insbesondere im Programmatic Advertising dominiert die Annahme, dass bei jeder Form der Werbeaussteuerung zwangsläufig personenbezogene Daten verarbeitet werden und damit die DSGVO anwendbar ist. Diese Sichtweise greift jedoch zu kurz.

Reines Contextual Targeting kann – bei entsprechender technischer Ausgestaltung – vollständig außerhalb des Anwendungsbereichs der DSGVO liegen. Dieser Beitrag zeigt, unter welchen Voraussetzungen das der Fall ist und welche Konsequenzen sich daraus auch für branchenübliche Standards wie das IAB Transparency & Consent Framework sowie für zukünftige Regulierungsvorhaben ergeben.

Ausgangspunkt: Die DSGVO setzt personenbezogene Daten voraus

Die DSGVO ist kein allgemeines „Internetregulierungsrecht“. Sie findet ausschließlich Anwendung, wenn personenbezogene Daten verarbeitet werden (Art. 2 Abs. 1 DSGVO).

Der zentrale Prüfungsmaßstab lautet daher nicht sofort, ob eine Verarbeitung „zulässig“ ist, sondern erst einmal, ob überhaupt personenbezogene Daten vorliegen.

Personenbezogen sind Daten nur dann, wenn sie sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Erforderlich ist stets ein Bezug zu einer konkreten Person – sei es unmittelbar oder mittelbar.

Rein sachbezogene Informationen, etwa über Inhalte von Webseiten, fallen nicht darunter.

Was ist Contextual Targeting im rechtlichen Sinne?

Beim Contextual Targeting wird Werbung ausschließlich anhand des Umfelds ausgespielt, in dem sie erscheint. Maßgeblich sind also Inhalte, nicht Nutzer.

Typischerweise werden dabei folgende Elemente analysiert:
– Themen und Keywords einer Seite
– semantische Strukturen
– Taxonomien und Kategorien
– Sentiment oder Tonalität

Diese Informationen werden zu Kontextsegmenten verdichtet, die als Entscheidungsgrundlage für die Werbeausspielung dienen.

Entscheidend ist: Diese Daten beziehen sich auf Inhalte, nicht auf Personen.

Wann Contextual Targeting tatsächlich „DSGVO-frei“ ist

Ob Contextual Targeting datenschutzrechtlich relevant ist, hängt ausschließlich von der konkreten technischen Umsetzung ab.

Ein Modell fällt nur dann vollständig aus der DSGVO heraus, wenn konsequent auf jeglichen Personenbezug verzichtet wird. Das setzt insbesondere voraus:

– keine Verarbeitung von IP-Adressen, auch nicht temporär
– keine Nutzung von Cookies, Device IDs oder vergleichbaren Identifikatoren
– keine Wiedererkennung von Nutzern über mehrere Interaktionen hinweg
– keine Bildung von Nutzerprofilen, auch nicht pseudonym
– keine Verknüpfung mit anderen Datenquellen
– keine Möglichkeit der Re-Identifizierung

Sind diese Voraussetzungen erfüllt, werden ausschließlich inhaltsbezogene Daten verarbeitet. Ein Personenbezug fehlt vollständig.

Warum Context IDs keine personenbezogenen Daten sind

In der Praxis werden häufig sogenannte Context IDs oder Segment-IDs verwendet. Diese stehen für bestimmte Inhaltskategorien oder Umfelder.

Rechtlich entscheidend ist, worauf sich diese IDs beziehen:

– Beziehen sie sich auf Nutzer oder Geräte, liegt personenbezogene Verarbeitung vor.
– Beziehen sie sich ausschließlich auf Inhalte oder Platzierungen, fehlt der Personenbezug.

Context IDs, die lediglich beschreiben, dass sich eine Anzeige etwa im Umfeld „Sport“, „Finanzen“ oder „Reisen“ befindet, enthalten keinerlei Information über eine natürliche Person.

Auch wenn solche Segmente im Auktionsprozess genutzt werden, bleibt die Verarbeitung rein sachbezogen.

Warum auch keine mittelbare Identifizierbarkeit vorliegt

Häufig wird argumentiert, ein Personenbezug könne bereits deshalb vorliegen, weil irgendwo in der Wertschöpfungskette personenbezogene Daten existieren. Diese Argumentation überzeugt nicht. Maßgeblich ist, ob die konkret verarbeiteten Daten eine Identifizierung ermöglichen oder zumindest einen Anknüpfungspunkt dafür bieten. Fehlen jegliche Identifier und erfolgt keine Verknüpfung mit Dritt-Daten, besteht auch keine theoretische Re-Identifizierbarkeit. Die bloße Einbettung in ein Ad-Tech-Ökosystem reicht nicht aus, um einen Personenbezug zu begründen.

Abgrenzung zu verhaltensbasiertem Targeting

Die rechtliche Bewertung wird klarer, wenn man Contextual Targeting vom klassischen Behavioral Targeting abgrenzt.

Während verhaltensbasiertes Targeting typischerweise auf folgenden Elementen beruht:
– Tracking über Cookies oder IDs,
– Wiedererkennung von Nutzern,
– Profilbildung über Zeit,
– geräteübergreifende Zuordnung,

fehlen all diese Elemente beim reinen Contextual Targeting vollständig.

Die Werbeentscheidung erfolgt nicht „wegen“ einer Person, sondern „wegen“ eines Inhalts.

Keine Anwendbarkeit der DSGVO

Fehlt es an personenbezogenen Daten, ist der sachliche Anwendungsbereich der DSGVO nicht eröffnet.

Das hat weitreichende Konsequenzen:
– keine Pflicht zur Rechtsgrundlage (Art. 6 DSGVO)
– keine Informationspflichten (Art. 13, 14 DSGVO)
– keine Betroffenenrechte
– keine Anforderungen an Auftragsverarbeitung oder Joint Controllership

Die datenschutzrechtliche Prüfung endet bereits auf der ersten Stufe.

Keine Einordnung als Vendor im TCF 2.0

Das IAB Transparency & Consent Framework (TCF 2.0) ist ein Branchenstandard zur Verwaltung von Einwilligungen im Programmatic Advertising. Es adressiert ausschließlich Verarbeitungsvorgänge, die personenbezogene Daten betreffen – insbesondere Tracking, Profiling und personalisierte Werbung. Ein „Vendor“ im Sinne des TCF ist daher zwingend ein Akteur, der personenbezogene Daten verarbeitet und hierfür eine Rechtsgrundlage benötigt.

Fehlt es – wie beim strikt umgesetzten Contextual Targeting – an jeder Verarbeitung personenbezogener Daten, entfällt diese Voraussetzung vollständig.

Die Folge ist klar:
– keine Einbindung in Consent-Mechanismen
– keine Verarbeitung von TC Strings
– keine Verpflichtung zur Teilnahme am TCF

Eine Einordnung als Vendor wäre systemwidrig, da das gesamte Framework auf der Existenz personenbezogener Daten aufbaut.

Warum auch zukünftige Regulierung („Digitaler Omnibus“) nichts ändert

Aktuelle regulatorische Entwicklungen auf EU-Ebene zielen darauf ab, bestehende Digitalregeln zu bündeln und zu schärfen. Unter Schlagworten wie „Digitaler Omnibus“ werden insbesondere Anpassungen im Zusammenspiel von DSGVO, ePrivacy, Digital Services Act und weiteren Regelwerken diskutiert.

Diese Initiativen verfolgen vor allem drei Ziele:
– Stärkung von Transparenz und Durchsetzung
– Vereinheitlichung von Pflichten
– Schließung von Regelungslücken bei datengetriebenen Geschäftsmodellen

Entscheidend ist jedoch: Auch zukünftige Regulierung knüpft weiterhin an bekannte Tatbestände an.

Insbesondere bleiben zentrale Anknüpfungspunkte:
– personenbezogene Daten
– Zugriff auf Endgeräte
– personalisierte Beeinflussung von Nutzern
– Plattformverantwortlichkeit

Ein Modell, das bewusst auf all diese Elemente verzichtet, bleibt strukturell außerhalb dieses Regelungsregimes. Weder die Bündelung bestehender Vorschriften noch deren Verschärfung führt dazu, dass rein sachbezogene Datenverarbeitungen plötzlich erfasst werden.

Fazit

Contextual Targeting ist nicht per se „datenschutzfrei“ – kann es aber sein.

Entscheidend ist eine konsequent personenbezogenheitsfreie Architektur. Sobald auf Identifier, Tracking und Nutzerbezug vollständig verzichtet wird, handelt es sich nicht mehr um eine Verarbeitung personenbezogener Daten.

Die Konsequenz ist grundlegend: Die DSGVO ist dann nicht anwendbar.

Darauf aufbauende Systeme wie das TCF greifen ebenfalls nicht. Und auch zukünftige regulatorische Entwicklungen ändern an dieser Einordnung nichts.

Für die Praxis bedeutet das: Wer Contextual Targeting technisch sauber umsetzt, kann sich bewusst außerhalb der datenschutzrechtlichen Regulatorik positionieren – nicht durch Gestaltung der Rechtsgrundlage, sondern durch Vermeidung ihres Anwendungsbereichs.

Cookie-Banner adé? Was der Digital Omnibus für die Online-Branche bedeutet

Geschrieben am von Dr. Frank Eickmeier

Die EU-Kommission verfolgt mit dem Digital-Omnibus ein ambitioniertes Reformpaket, das unter anderem die Regeln für Cookie-Banner und Online-Tracking grundlegend neu ordnen soll. Ziel ist erklärtermaßen die Reduzierung von Bürokratie und „consent fatigue“ – also der Ermüdung der Nutzer durch überbordende Einwilligungsabfragen. Ob das gelingt, ist allerdings fraglich. Eine erste Analyse zeigt: Es wird komplizierter, nicht einfacher.

Was ist der Digital-Omnibus?

Das Omnibus-Paket ist ein Änderungsrechtsakt, der in einer Vorlage gleich mehrere bestehende EU-Regelwerke anpasst – neben der Datenschutzgrundverordnung auch den AI Act und den Data Act. Für die Praxis im Bereich Cookies und Tracking relevant sind vor allem die neuen Artikel 88a und 88b DSGVO sowie eine Anpassung der Begriffsbestimmungen in Art. 4 DSGVO. Erwartet wird die Verabschiedung aktuell für Ende 2026. Die Konsultationsphase für Verbände wurde im März abgeschlossen.

Eine neue Definition personenbezogener Daten

Die DSGVO soll eine so genannte relationale Einschränkung erhalten: Informationen sind dann nicht mehr sofort für jedermann personenbezogen, nur weil irgendeine Stelle die betroffene Person darüber identifizieren könnte. Entscheidend ist, ob die jeweils datenverarbeitende Stelle selbst die Person mit vernünftigerweise einsetzbaren Mitteln identifizieren kann. Diese Klarstellung setzt vor allem die EuGH-Rechtsprechung in den Sachen Breyer, Gesamtverband Autoteile-Handel und SRB um und könnte für First-Party-Cookie-Szenarien praktische Entlastung bringen.

Das neue Kernelement: Artikel 88a DSGVO

Der neue Art. 88a DSGVO würde weite Teile des bisherigen Art. 5 Abs. 3 ePrivacy-Richtlinie (in Deutschland umgesetzt in § 25 TDDDG) in das DSGVO-Regime überführen. Für den praktischen Betrieb von Websites und digitalen Diensten ergeben sich daraus folgende einwilligungsfreie Tatbestände:

  1. Übertragung einer elektronischen Kommunikation (unverändert).
  2. Bereitstellung eines vom Nutzer ausdrücklich angeforderten Dienstes – Session-Cookies, Warenkorb-Cookies, Login-Persistenz
  3. Erstellung aggregierter Informationen über die Nutzung eines Online-Dienstes zur eigenen Reichweitenmessung – wichtige Einschränkung: nur durch den Betreiber selbst und nur für eigene Zwecke (Drittanbieter-Tracking bleibt also einwilligungspflichtig)
  4. Aufrechterhaltung oder Wiederherstellung der Sicherheit des Dienstes oder des genutzten Endgeräts – Bot-Schutz, Login-Sicherheit, 2-Faktor-Authentifizierung

Gegenüber dem bisherigen Recht wird darüber hinaus die allgemeine Schwelle abgesenkt: War eine Einwilligung bisher nur bei Datenverarbeitungen, die „for the sole purpose“ der Bereitstellung eines Online-Dienstes „strictly necessary“ allgemein entbehrlich, soll künftig eine „necessary“ Datenverarbeitung reichen. Das könnte eine spürbare, wenn auch moderate Erleichterung bedeuten.

Neue Pflichten beim Consent-Management: Artikel 88a Abs. 4 DSGVO

Wenn eine Einwilligung eingeholt wird, gelten künftig klare Anforderungen an die Banner-Gestaltung. Die Ablehnung muss mit einem einzigen Klick möglich sein („single-click button or equivalent means“). Liegt eine Einwilligung bereits vor, darf für denselben Zweck kein erneutes Consent-Banner angezeigt werden, solange die Einwilligung wirksam ist. Wurde die Einwilligung verweigert, darf für denselben Zweck mindestens sechs Monate lang kein neuer Consent-Request erfolgen. Praktisch bedeutet das, dass ein „Do-not-track“-Cookie für diesen Zeitraum gesetzt werden darf – und wohl auch muss.

Automatisiertes Consent-Management: Artikel 88b DSGVO

Betreiber werden verpflichtet, ihre Schnittstellen so zu gestalten, dass Nutzer Einwilligungen auch über automatisierte, maschinenlesbare Signale – also etwa Browser-Einstellungen – erteilen und verweigern können. Das entspricht im Ansatz dem Global Privacy Control (GPC)-Konzept, das bisher nur von einigen Datenschutzbehörden akzeptiert wird.

Für Mediendiensteanbieter gilt eine Ausnahme: Sie müssen diese automatisierten Signale nicht berücksichtigen. Die Begründung des Kommissionsentwurfs verweist auf die Werbefinanzierung von Medienangeboten. Das bedeutet in der Praxis für Mediendienste: Kein Zwang zur automatischen Consent-Verarbeitung, aber auch kein neues Privileg.

Auffällig ist eine Regelungslücke: Der automatisierte Widerruf einer bereits erteilten Einwilligung ist nicht ausdrücklich vorgesehen. Art. 7 Abs. 3 Satz 4 DSGVO verlangt aber, dass der Widerruf ebenso einfach sein muss wie die Einwilligung. Wenn Einwilligungen automatisiert erteilt werden können, müsste konsequenterweise auch der Widerruf automatisiert möglich sein – der Entwurf schweigt dazu.

Zwei Regime bleiben bestehen

Das zentrale Problem des Entwurfs aus Sicht der Rechtsanwendung bleibt dabei bestehen: Die ePrivacy-Richtlinie (in Deutschland in § 25 TDDDG umgesetzt) soll offenbar weiterhin parallel zu den neuen Art. 88a/88b DSGVO gelten. Beide Regime decken nämlich unterschiedliche Sachverhalte ab: Art. 5 ePrivacy-RL erfasst den Zugriff auf und die Speicherung von Informationen in Endgeräten allgemein, also auch bei nicht-personenbezogenen Daten. Art. 88a DSGVO gilt hingegen nur bei personenbezogenen Daten und Endgeräten natürlicher Personen.

Die paradoxe Folge: Nicht-personenbezogene Daten unterliegen weiterhin der ePrivacy-Richtlinie mit ihren tendenziell strengeren Anforderungen, während personenbezogene Daten künftig nach dem – etwas flexibleren – DSGVO-Regime behandelt werden. Datenschutzrechtlich ist das schwer zu rechtfertigen.

Was bedeutet das für die Praxis?

Die erhoffte Vereinfachung wird wohl ausbleiben. Stattdessen entstehen komplexe Hybridszenarien, in denen für denselben Webseitenbesuch unterschiedliche Regelungen gelten. Je nachdem, ob Daten personenbezogen sind, ob ein Endgerät einer natürlichen Person betroffen ist und ob es sich beim Anbieter um einen Mediendienst handelt, könnten bis zu sechs verschiedene Banner-Varianten, die je nach Konstellation rechtmäßig oder erforderlich sind, notwendig sein.

Für Unternehmen, die bereits ein sorgfältig aufgesetztes Consent-Management betreiben, bedeutet das zunächst: Abwarten bis zur endgültig verabschiedeten Neuregelung und dann eine sorgfältige Neubewertung des eigenen Tracking-Setups. Beratungsbedarf entsteht vor allem bei der Frage, welche Cookies und Tracking-Technologien unter welche Ausnahme des neuen Art. 88a Abs. 3 DSGVO fallen, wie das Zusammenspiel der beiden Regime für konkrete Dienste ausgestaltet werden muss und welche Anforderungen an das automatisierte Consent-Management bei Nicht-Mediendiensten gelten.

Für Medienunternehmen stellt sich zusätzlich die strategische Frage, ob die Ausnahme vom automatisierten Consent-Management ein Privileg oder – gemessen an der wachsenden Verbreitung von Browser-Signalen – ein kommerzielles Risiko ist.

Unverändert bleibt: Tracking ohne wirksame Einwilligung ist und bleibt teuer. Vier der zehn höchsten DSGVO-Bußgelder bis 2024 hatten unmittelbaren Bezug zu Tracking-Verstößen.

OLG München: Kostenloser Account auf Online-Plattformen berechtigt zum Versenden von Werbe-E-Mails ohne separate Newsletter-Einwilligung

Geschrieben am von Dr. Frank Eickmeier

Das Verarbeiten personenbezogener Daten zu Werbe- und Marketingzwecken ist in vielen Fällen nur mit vorheriger Einwilligung des Betroffenen zulässig, was für Unternehmen ein nicht unerhebliches Hindernis für die Vermarktung Ihrer Produkte und Dienstleistungen darstellt. Insbesondere die hohen Anforderungen an das wirksame Einholen einer Einwilligung von Verbrauchern ist nicht selten eine große Herausforderung, denn Fehler können schlimmstenfalls zu ihrer Unwirksamkeit und damit zu einem bußgeldbehafteten Datenschutzverstoß führen.

Von dem beschriebenen Grundsatz gibt es im Bereich des E-Mail-Marketings die sogenannte „Bestandskundenausnahme“, die in § 7 Abs. 3 UWG geregelt ist. In den engen Grenzen dieser Sondervorschrift ist es Unternehmen erlaubt, Werbe-Emails an ihre Kunden auch ohne vorherige Einwilligung zu senden.

OLG München: „Bestandskundenausnahme“ greift auch beim Anlegen eines kostenlosen Accounts

Genau mit dieser Ausnahme musste sich das OLG München in einem schon älteren, jedoch nach wie vor relevanten Urteil beschäftigten und darüber entscheiden, ob das Anlegen eines kostenlosen Accounts auf einer Online-Plattform (hier: einer Partnerbörse) durch einen Internetnutzer dazu berechtigt, diesen Kunden ohne separate Einwilligung Werbe-E-Mails zu versenden (Urteil vom 15.02.2018, Az. 29 U 2799/17). Kern des Urteils war die Frage, ob das Anlegen des kostenlosen Accounts einen „Verkauf einer Ware oder Dienstleistung“ nach § 7 Abs. 3 Nr. 1 UWG darstellt, was eine wesentliche Voraussetzung der Ausnahmeregelung ist.

Das OLG bejahte dies mit der Begründung, dass mit „Verkauf“ nicht nur der klassische Kaufvertrag – wie es das Wort andeuten würde –, sondern jeder Austauschvertrag gemeint ist. Um dies am vorliegenden Fall zu verdeutlichen:

  • Der Kunde erhält mit der Registrierung vom Plattformbetreiber (zumindest) die Möglichkeit, auf der Partnerbörse die Bilder anderer Mitglieder zu sehen, die ebenfalls auf Partnersuche sind.
  • Im Gegenzug erhält der Plattformbetreiber die Daten des Kunden wie dessen E-Mail-Adresse und weitere mittelbare „Vorteile“ (höhere Plattformattraktivität wegen größerer Zahl an Mitgliedern; Möglichkeit des Sendens von Werbebotschaften, wenn sich der Kunde auf der Plattform aufhält).

Auch die übrigen Anforderungen des § 7 Abs. 3 UWG sah das OLG München als erfüllt an, sodass eine Einwilligung für die Werbe-E-Mails nicht erforderlich war.
 
Was bedeutet die Entscheidung für Unternehmen?

Das Urteil stellt im Bereich der Bestandskundenwerbung eine erhebliche Erleichterung für Unternehmen dar, die kostenlose „Austauschverhältnisse“ anbieten – vorausgesetzt, dass auch die übrigen Anforderungen des § 7 UWG erfüllt sind. Zudem sollten auch die weiteren gesetzlichen Vorschriften, insbesondere das Datenschutzrecht (und bei eHealth-Anwendungen die DiGA-Verordnung) nicht außer Acht gelassen werden.

Mit unserer langjährigen Erfahrung im Bereich des Onlinemarketingrechts beraten und unterstützen wir Sie gern.

EU-US Data Privacy Framework: EU-Kommission veröffentlicht Angemessenheitsbeschluss für Datentransfers in die USA

Geschrieben am von Dr. Frank Eickmeier

Die Europäische Kommission hat heute den lange erwarteten Angemessenheitsbeschluss für die neue EU-US-Datenschutzvereinbarung („EU-US Data Privacy Framework“) veröffentlicht. Der Beschluss stellt fest, dass die Vereinigten Staaten nunmehr ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten, die auf der Grundlage des neuen Rahmens aus der EU an US-Unternehmen übermittelt werden. Auf der Grundlage des neuen Angemessenheitsbeschlusses können personenbezogene Daten also „gefahrlos“ aus der EU an US-Unternehmen, die an dem neuen Programm teilnehmen, übermittelt werden, ohne dass zusätzliche Datenschutzvorkehrungen getroffen werden müssen.

Welche Maßnahmen sieht die neue Vereinbarung vor?

Die jetzt geltende Vereinbarung zwischen der EU und den USA führt neue verbindliche Vorgaben ein, um die vom Europäischen Gerichtshof im berühmten „Schrems II“-Urteil geäußerten Bedenken auszuräumen, einschließlich einer Beschränkung der Zugriffrechte von US-Geheimdiensten auf EU-Daten auf das „notwendige und verhältnismäßige“ Maß und sogar der Einrichtung eines unabhängigen Datenschutzüberprüfungs-„Gerichts“ (DPRC), zu dem EU-Bürger Zugang haben. Das neue Programm sieht erhebliche Verbesserungen gegenüber dem alten Mechanismus vor, der unter dem so genannten „Privacy Shield“-Programm galt. Stellt das DPRC beispielsweise fest, dass Daten unter Verstoß gegen die neuen Vorgaben erhoben wurden, kann es die Löschung der Daten anordnen.

Der neue EU-US-Datenschutzrahmen soll so einen sicheren Austausch für Daten von EU-Bürgern gewährleisten und Unternehmen auf beiden Seiten des Atlantiks Rechtssicherheit bieten. Hintergrund der Entscheidung der EU-Kommission war eine Vereinbarung mit der US-Regierung, die darauf aufbauend wesentliche neue Verwaltungsvorschriften zum Schutz personenbezogener Daten von EU-Bürgern erlassen.

EU-Bürger können bestimmte Rechtsbehelfe in Anspruch nehmen, wenn ihre Daten von US-Unternehmen rechtswidrig verarbeitet werden. Darüber hinaus sehen die neuen Regelungen auf US-Seite eine Reihe von Garantien gegen den ungehemmten Zugriff von US-Behörden auf Daten vor, die auf der Grundlage des Programms übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugang zu den Daten soll auf das Maß beschränkt werden, das zum Schutz der nationalen Sicherheit notwendig und verhältnismäßig ist.

Wie geht es jetzt weiter?

US-Unternehmen können dem Programm nun beitreten, indem sie sich gegenüber der US-Regierung verpflichten, eine Reihe bestimmter Datenschutzregeln einzuhalten, darunter zum Beispiel die Verpflichtung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erhoben wurden, nicht mehr erforderlich sind, und eine Kontinuität des entsprechenden Schutzes zu gewährleisten, wenn personenbezogene Daten wiederum an Dritte weitergegeben werden. Es ist davon auszugehen, dass die großen Anbieter wie Google und Facebook zu den ersten Unternehmen gehören, die in das Register der US-Regierung aufgenommen werden und dass über die nächsten Monate nach und nach alle relevanten Dienstleister folgen werden.

Europäische Unternehmen müssen dann nur prüfen, ob ihre Anbieter bereits dem neuen Programm unterfallen und einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Mehr ist dann tatsächlich nicht zu tun.

Wird die neue Regelung Bestand haben?

Das Funktionieren der neuen Vereinbarung soll in regelmäßigen Abständen von der Europäischen Kommission zusammen mit Vertretern der europäischen Datenschutzbehörden und der zuständigen US-Behörden überprüft werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig in den US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren.

Es ist jedoch davon auszugehen, dass europäische Datenschutz-Aktivisten gegen die Entscheidung der EU-Kommission gerichtlich vorgehen werden – allen voran der Österreicher Max Schrems, der bereits zweimal einen Angemessenheitsbeschluss für die USA zu Fall gebracht hat. Das neue Data Privacy Framework ist aus Sicht seiner Organisation im Wesentlichen nur eine Kopie des gescheiterten Privacy-Shields, das wichtige der zuvor kritisierten Punkte vermissen lässt. Das letzte Wort hat dann wiederum der Europäische Gerichtshof. Echte Sicherheit besteht also erst nach einem entsprechenden Urteil, also in etwa zwei bis drei Jahren.