Lange Zeit wurde die Compliance im Bereich digitaler Werbung in Österreich vor allem durch die Datenschutz-Grundverordnung sowie nationale Gesetze wie das TKG und das UWG geprägt. Der Fokus lag dabei insbesondere auf der korrekten Einholung von Cookie-Einwilligungen und dem Schutz personenbezogener Daten.
Dieser Rechtsrahmen wird nun jedoch grundlegend erweitert und verschärft: Mit dem Inkrafttreten des Digital Services Act (DSA) und den weitreichenden Auswirkungen des Digital Markets Act (DMA) stehen Unternehmen vor einer neuen Ära der Werbetransparenz und strengeren Einschränkungen beim Targeting.
Für lokale KMU und Informationsdienste (wie etwa aktuelle Casino-Informationen auf AustriaCasino) bedeutet diese Neuregulierung, dass sie ihre gesamten Online-Marketing-Strategien überdenken müssen, um Bußgelder zu vermeiden und in einer zunehmend komplexen Compliance-Landschaft bestehen zu können.
In diesem Artikel erklären wir, wie sich die neuen Vorgaben konkret auf die digitale Werbung auswirken und was Unternehmen jetzt wissen müssen, um rechtssicher zu bleiben.
Österreichische Rechtslage für Werbung
Das Fundament des digitalen Werberechts in Österreich bilden folgende Rechtsakte:
DSGVO (Datenschutz-Grundverordnung)
Es definiert das Zustimmungsgebot (Opt-in) für jede Verarbeitung personenbezogener Daten, die für Tracking und Targeting genutzt werden. Die österreichische Datenschutzbehörde (DSB) setzt dies rigoros durch und verbietet manipulatives Cookie-Banner-Design (Dark Patterns).
TKG 2021 (Telekommunikationsgesetz)
Das Telekommunikationsgesetz regelt die Zulässigkeit elektronischer Direktwerbung (E-Mail, SMS) und fordert hierfür ein striktes Opt-in, abgesehen von wenigen Ausnahmen wie der Bestandskunden-Ausnahme.
UWG (Gesetz gegen den unlauteren Wettbewerb)
Es gewährleistet die allgemeine Fairness des Wettbewerbs und schreibt die klare Kennzeichnung von kommerziellen Inhalten (z. B. Influencer Marketing und Native Advertising) vor, um Schleichwerbung zu unterbinden.
Digital Services Act (DSA)
Es ist eine neue EU-Verordnung, die Transparenzpflichten für Online-Plattformen einführt (z. B. Offenlegung des Werbetreibenden und der Targeting-Parameter) und personalisiertes Targeting auf Basis sensibler Daten oder gerichtet an Minderjährige strikt verbietet.
Digital Markets Act (DMA)
Es reguliert große Technologiekonzerne (“Gatekeeper“) und zwingt sie, Nutzern Optionen für weniger personalisierte Anzeigen anzubieten.
Während DSGVO, TKG und UWG schon länger die Grundlage für Compliance bilden, sind der DSA und der DMA neue, richtungsweisende Regelwerke, denen Unternehmen jetzt besondere Aufmerksamkeit schenken müssen. Auf sie gehen wir im Folgenden genauer ein.
Der Digital Services Act (DSA)
Der DSA hat zum Ziel, mehr Transparenz in das bislang schwer durchschaubare Ad-Tech-System von Online-Plattformen zu bringen. Artikel 26 DSA schreibt vor, dass jede Werbung auf einer Online-Plattform direkt und leicht zugänglich folgende Informationen enthalten muss:
- Werbende Person: Die natürliche oder juristische Person, in deren Namen die Werbung geschaltet wird.
- Zahler: Die Person oder das Unternehmen, das für die Anzeige bezahlt hat (falls dies nicht mit der werbenden Person identisch ist).
- Targeting-Parameter: Verständliche Informationen über die wichtigsten Kriterien, aufgrund derer die Nutzer ausgewählt wurden, denen die Werbung angezeigt wird – sowie Hinweise darauf, wie diese Kriterien gegebenenfalls geändert werden können.
Für KMU, die auf die standardisierten Werbe-Tools großer Plattformen zurückgreifen, stellt sich nun die Frage, wie sie diese Transparenzanforderungen in der Praxis erfüllen können. Zwar müssen sehr große Online-Plattformen (VLOPs) umfangreiche Maßnahmen wie öffentlich zugängliche Werbe-Repositorien bereitstellen, doch die Verantwortung für die Einhaltung der Werbetransparenz liegt am Ende immer beim werbenden Unternehmen selbst.
Absolute Verbote beim Profiling
Der DSA verschärft die DSGVO-Anforderungen an das Targeting durch die Einführung absoluter Verbote für Profiling-basierte Werbung:
Verbot I: Targeting mit sensiblen Daten
Online-Plattformen dürfen keine Werbung anzeigen, die auf Profiling im Sinne von Art. 4 Nr. 4 DSGVO basiert, wenn dafür besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verwendet werden. Dazu gehören u. a. Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten, Gesundheitsdaten oder Informationen zum Sexualleben.
Die Einhaltung dieses Verbots ist entscheidend. KMU, die Kundenlisten (Custom Audiences) auf Plattformen hochladen, müssen sicherstellen, dass diese Listen keine direkten oder indirekten Hinweise auf solche sensiblen Daten enthalten. Wird zum Beispiel die Kundenliste eines spezialisierten Gesundheitsdienstleisters hochgeladen, kann die Plattform diese Zielgruppe als gesundheitsbezogen einstufen. Das kann dazu führen, dass die Plattform die gesamte Zielgruppenerstellung blockiert oder ablehnt.
Deshalb liegt die Verantwortung für die Prüfung, Bereinigung und rechtliche Konformität der Daten immer beim werbenden KMU, bevor die Liste überhaupt hochgeladen wird.
Verbot II: Personalisierte Werbung an Minderjährige
Online-Plattformen dürfen keine Werbung anzeigen, die auf Profiling nach Art. 4 Nr. 4 DSGVO basiert, wenn sich diese Werbung an Minderjährige richtet (Art. 28 DSA).
Dieser Schutz betrifft vor allem große soziale Netzwerke wie Instagram oder TikTok. Zwar verpflichtet der DSA die Plattformen nicht dazu, zusätzliche personenbezogene Daten zur Altersbestimmung zu verarbeiten, dennoch müssen sie wirksame Maßnahmen ergreifen, um Minderjährige vor personalisierter Werbung zu schützen.
Für Werbetreibende bedeutet das: Sie müssen in ihren Kampagnen-Einstellungen klar ausschließen, dass Minderjährige in der Zielgruppe enthalten sind.
Der Digital Markets Act (DMA)
Der DMA ist die zweite zentrale EU-Regulierung neben dem DSA. Er richtet sich an große Digitalkonzerne wie Meta und Google (sogenannten Gatekeeper) und soll deren Marktmacht begrenzen. Auch wenn der DMA vor allem die Plattformen reguliert, hat er spürbare Auswirkungen auf alle Unternehmen, die dort Werbung schalten.
Der DMA verpflichtet Gatekeeper dazu, Nutzern echte Wahlmöglichkeiten zu geben. Das frühere Pay or Consent-Modell von Meta wurde als nicht DMA-konform eingestuft, weil es keine datensparsame Alternative bot.
Meta führt deshalb seit Ende 2024 ein neues Modell ein: Nutzer können zwischen voll personalisierter Werbung (mit breiter Datenfreigabe) oder einer Version mit deutlich weniger personalisierten Anzeigen wählen.
Was bedeutet das für KMU?
Wenn viele Nutzer die datensparsame Option wählen, stehen Werbetreibenden automatisch weniger Daten zur Verfügung. Dadurch verlieren besonders präzise Targeting-Methoden an Wirkung, z. B. Retargeting. KMU müssen also ihre Strategien anpassen und unabhängiger von Plattformdaten werden. Dies beinhaltet:
Stärkung von First-Party-Daten: Die Sammlung und Aktivierung eigener, DSGVO-konformer Kundendaten (z.B. CRM-Daten) wird zum Wettbewerbsvorteil.
Rückkehr zum Kontext: Verstärktes Contextual Targeting, das Werbung basierend auf dem Inhalt der Seite statt auf dem Profil des Nutzers ausspielt, wird relevanter.
Audit der Zielgruppen-Compliance: Aufgrund der erhöhten DMA-Compliance-Risiken der Gatekeeper (die bei Verstößen mit bis zu 5% ihres weltweiten Umsatzes bestraft werden können), sind die Plattformen gezwungen, strengere interne Audits durchzuführen. Dies betrifft besonders Custom Audiences. KMU müssen bei der Erstellung von Lookalike Audiences sicherstellen, dass die zugrunde liegende Samen-Zielgruppe (Seed Audience) rechtskonform ist und keine unzulässigen Daten (wie Art. 9 DSGVO-Daten) enthält, da die Plattformen andernfalls die Zielgruppe ablehnen könnten.
Fazit: Die Konsequenzen der Nichteinhaltung der Regeln
Die neuen Regeln für digitale Werbung durch DSGVO, DSA und DMA schaffen einen komplexen Rechtsrahmen, den lokale Unternehmen beachten müssen. Ein einfaches Cookie-Banner reicht nicht mehr aus.
Bei Verstößen gegen die DSGVO verhängt die österreichische Datenschutzbehörde bereits Geldstrafen zwischen EUR 5.900 und EUR 50.000. Mehrere Verstöße können sich summieren. Zusätzlich entstehen durch DSA und DMA neue Risiken, denn Fehler bei der Werbetransparenz, Verstöße gegen Targeting-Verbote oder nicht konforme Custom Audiences können zur Ablehnung oder Deaktivierung kompletter Werbekampagnen führen.
Unternehmen benötigen deshalb eine klare und rechtssichere Compliance-Strategie. Sie schützt vor finanziellen Schäden und stärkt das Vertrauen der Konsumentinnen und Konsumenten in einer zunehmend regulierten digitalen Werbewelt.
