Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Grundzüge personalisierter Online-Werbung

04/2026

1. Die Rolle personalisierter Online-Werbung im digitalen Wirtschaftskreislauf

Der digitale Wirtschaftskreislauf hat personalisierte Online-Werbung zu einem zentralen Element der digitalen Ökonomie heranwachsen lassen und Daten einen monetären Wert verliehen. Die Finanzierung zahlreicher kostenloser digitaler Dienste basiert auf dem Handel von Daten zum Zweck personalisierter Online-Werbung. Soziale Netzwerke, Suchmaschinen und Nachrichtenseiten offerieren ihre Dienstleistungen in der Regel kostenfrei für Nutzer:innen und refinanzieren sich stattdessen über Werbeeinnahmen. Online-Werbung wird insofern personalisiert, als dass sie inhaltlich auf die (vermeidlichen) Interessen der Nutzer:innen zugeschnitten wird. Hierfür müssen diese Interessen jedoch zunächst bekannt sein. Bekannt sein können diese Informationen entweder, weil Nutzer:innen ihre Interessen gegenüber den werbetreibenden Parteien unmittelbar offengelegt haben oder weil diese die Interessen anderweitig „ermitteln“ konnten. Dabei werden Rohdaten wie das Surfverhalten, demografische Angaben oder Standortinformationen in wertvolle Informationen umgewandelt, um so eine präzise Schaltung von Anzeigen sowie eine Effizienzmaximierung derselben zu ermöglichen. Die Funktionsweise personalisierter Online-Werbung basiert auf Analysetechnologien. Algorithmen verarbeiten Nutzer:innendaten, um Profile zu erstellen, die Vorhersagen über individuelle Interessen, Kaufbereitschaft und mögliche Reaktionen auf bestimmte Werbeinhalte erlauben. Das Ziel besteht in der Maximierung der Relevanz der Anzeigen. Die Präsentation von Anzeigen, die für die jeweiligen Nutzer:innen von persönlichem Interesse sind, soll dazu führen, dass die Wahrscheinlichkeit einer Konversion, beispielsweise eines Kaufs, erhöht wird. In der Konsequenz etabliert sich ein Markt, auf dem eine hohe Nachfrage nach Nutzer:innendaten zu verzeichnen ist. Die resultierende Nachfrage führt zu einer weiteren Intensivierung der Datenverarbeitung. Plattformen und digitale Dienste zeigen ein gesteigertes Interesse daran, Nutzer:innen möglichst lange „online“ zu halten, um möglichst viele Daten von ihnen zu erfassen. Die Dauer der Online-Präsenz auf Plattformen sowie das Engagement der Nutzer:innen haben einen unmittelbaren Einfluss auf die Generierung von Daten durch die Plattformen. Dies führt zu einer direkten Korrelation zwischen der Zeit, die Nutzer:innen online verbringen, und der Lukrativität der jeweiligen Plattform. Dieser Zusammenhang wurde unter anderem durch die Facebook-Whistleblowerin Francis Haughen aufgedeckt. Im Gegensatz zu klassischer, sprich kontextualisierter Online- Werbung verspricht personalisierte Online-Werbung diverse Vorteile. Die Effizienz der Werbemaßnahmen soll durch Reduzierung von Streuverlusten und eine gezielte Ansprache potenzieller Interessent:innen gesteigert werden. Obgleich personalisierte Werbung eine wesentliche Einnahmequelle für digitale Dienstleistungen darstellt, ist sie nicht unumstritten. Neben den datenschutzrechtlichen Fragestellungen wird auch diskutiert, ob die Personalisierung von Werbung diskriminierende Folgen mit sich bringen könnte. Ferner wird die Befürchtung geäußert, dass sich durch die erheblichen Datenverarbeitungen einzelner Digitalunternehmen Marktstrukturen etablieren könnten, die wettbewerbsrechtlich bedenklich sind.

2. Begrifflichkeiten im Zusammenhang personalisierter Online-Werbung

Im Bereich der Online-Werbung haben sich viele verschiedene Werbeformen entwickelt. Überall dort, wo Werbung der Finanzierung von digitalen Diensten und Angeboten dient, findet man sie in verschiedenen Erscheinungsformen, beispielsweise auf Suchmaschinen, sozialen Medien oder auf Nischenplattformen. Die Werbeform kann sich anhand der Informationen unterscheiden, die zur Personalisierung der Werbung zur Verfügung stehen. Im Rahmen der suchbasierten Werbung geben Nutzer:innen selbst Informationen preis, die zur Personalisierung verwendet werden können. Man spricht hier auch vom sog. Search Advertising. Nutzer:innen legen dabei durch die eingegebenen Suchbegriffe, z.B. durch Eingabe in eine Suchmaschine wie Google, offen, wofür sie sich interessieren. Die eingegebenen Suchwörter (englisch: Keyword) werden dann verwendet, um hierzu passende Anzeigen in die Suchergebnisse einzubetten. Man spricht deshalb auch von Keyword-Anzeigen. Diese Form der Online-Werbung begegnet einem nicht nur bei den Ergebnissen, die Suchmaschinen fabrizieren. Auch Online-Marktplätze wie Amazon arbeiten damit.

Hiervon zu unterscheiden ist die sog. Display-Werbung. Diese findet typischerweise auf Webseiten oder in Apps statt, wenn Nutzer:innen keine Suchanfrage stellen. Inhaltlich kann sie daher jedenfalls dann nicht unmittelbar aus der Partizipation der Nutzer:innen an deren Interesse angepasst werden. Haben Nutzer:innen ihre Interessen nicht unmittelbar gegenüber dem digitalen Dienst offengelegt, wie sie dies durch die Eingabe von Suchbegriffen tun, ist eine Personalisierung von Anzeigen nur möglich, wenn dem Dienst die Interessen von Nutzer:innen anderweitig vorliegen. Dass diese allen Werbetreibenden dennoch zugänglich sind, wird im Rahmen dieser Arbeit noch zu erörtern sein.

Nicht immer sind suchbasierte Anzeigen und Display-Werbung scharf voneinander zu trennen. Klassischerweise fand Search Advertising bei der Verwendung von Suchmaschinen statt, während Display-Werbung sich in Form von Videos und Bannern im „Rest des Internets“ abspielte. Nutzer:innen wenden Suchmaschinen hingegen immer öfter den Rücken zu. Sie nehmen vermehrt plattform- oder dienstinterne Suchanfragen vor. Statt bei Google nach einer Antwort auf ihr Anliegen zu suchen, wenden Nutzer:innen sich dann direkt der Plattform oder dem Dienst zu, wo sie eine Antwort am ehesten vermuten. Wird beispielsweise eine Videoanleitung gesucht, verwendet man direkt die interne Suchfunktion von YouTube, sucht man eine Bastelanleitung oder Geschenkidee, wendet man sich Pinterest zu, usw. Besonders junge Nutzer:innen, der Generation Z, verwenden digitale Dienste auf diese Weise. Beinahe 40 % dieser Kohorte nutzen für Suchanfragen nicht Google, sondern Social-Media-Plattformen – namentlich TikTok und Instagram.

Egal auf welcher Plattform Werbung ausgespielt wird, in der Regel ist Online-Werbung heute personalisiert. Diese Arbeit spricht in der Folge daher zusammenfassend von personalisierter Online-Werbung. Gemeint ist damit stets Werbung, die den Versuch unternimmt, den Interessen und Vorlieben der Nutzer:innen zu entsprechen, denen sie angezeigt wird. So sollen die Streuverluste, die bei Schaltung von Werbung auf klassische Weise dadurch erzeugt werden, dass die Werbung immer auch Personen angezeigt wird, die kein Interesse an ihrem Inhalt haben, vermieden werden. Die Möglichkeit einer derartigen Personalisierung setzt voraus, dass die Interessen und Vorlieben der Personen, die als Zielgruppe für die Werbung definiert wurden, bekannt sind. Andererseits muss ein Weg existieren, wie diese Zielgruppe isoliert angesprochen werden kann. Diese Herausforderung ist die Werbeindustrie in den letzten Jahrzehnten angegangen und hat ein Verfahren etabliert, welches verspricht personalisierte Werbung in Echtzeit für alle Nutzer:innen und Werbenden schalten zu können. Hierzu wird auf partizipierenden Werbeflächen – wie Webseiten – Werbung geschaltet, die diese Seiten aufrufende:n Nutzer:innen ansprechen soll. Dieser Prozess wird als Real Time Advertising bezeichnet, da die Werbung mit jedem Aufruf einer Webseite in Echtzeit geschaltet wird. Die Schritte, die für diese Art der Werbung erforderlich sind, sind gleichsam komplex wie invasiv. Sie werden in dieser Untersuchung nachstehend ausführlich dargestellt und sodann auf ihre datenschutzrechtliche Zulässigkeit hin überprüft.

3. Zur Bedeutung von politischer Online-Werbung

Bei der Diskussion über personalisierte Online-Werbung wird häufig eine Assoziation zu politischer Werbung hergestellt. Dies lässt sich dadurch erklären, dass personalisierte Online-Werbung erst im Kontext der Rolle von Cambridge Analytica bei der US-amerikanischen Präsidentschaftswahl oder dem Brexit-Referendum in Großbritannien eine breite Wahrnehmung in der Gesellschaft erfahren hat. Dadurch ist diese Form der Werbung untrennbar mit den genannten Beispielen verbunden. Auch gegenwärtig besteht Anlass zur Sorge hinsichtlich des Einflusses personalisierter Online-Werbung mit politischem Inhalt. Gesamtgesellschaftlich viel diskutiert ist beispielsweise die Frage, inwiefern Russland über digitale Dienste Einfluss auf die europäische und insbesondere deutsche Bevölkerung ausübt. Beispielhaft hierfür seien die Nachweise über russische Fake-News-Kampagnen genannt, die mittels Bots und Fake-Accounts in sozialen Medien verbreitet werden. Obgleich politische Online-Werbung als eigenständiges Phänomen oder Risiko diskutiert und sogar vom Gesetzgeber reguliert wird, stellt sie letztlich eine Form der personalisierten Online-Werbung dar. Der Terminus „personalisierte Online-Werbung“ umfasst sämtliche Werbeformen, bei denen die jeweilige Anzeige aufgrund der individuellen Interessen oder Vorlieben der Nutzer:innen ausgespielt wird. Der Inhalt der Anzeige ist dabei von untergeordneter Bedeutung. Unabhängig davon, ob es sich um eine Anzeige für kosmetische Produkte oder eine politische Partei handelt, ist die Art und Weise wie diese Anzeige auf den jeweiligen Endgeräten der Nutzer:innen angezeigt wird die gleiche.

Wenn im Rahmen dieser Arbeit also von personalisiserter Online-Werbung die Rede ist, sind hierunter auch Werbeanzeigen politischen Inhaltes zu verstehen. Aus diesem Grund bedarf es keiner finalen Definition des Begrifft der politischen Werbung. Die Abgrenzung zwischen politischer Werbung und anderen Werbeformen ist ohnehin schwierig. Die Abgrenzung zwischen politischen und unpolitischen Inhalten erweist sich insbesondere bei politisch diskutierten Themen, die per se keine eigene politische Agenda aufweisen als schwierig. Diesbezüglich seien die Klimakrise und Maßnahmen zu ihrer Bekämpfung sowie die Tätigkeit von Nichtregierungsorganisationen angeführt, die sich nur schwer unter den Begriff subsumieren lassen. In Bezug auf personalisierte Online-Werbung mit politischem Inhalt stellt sich jedoch die gleiche Frage wie bei allen personalisierten Werbeanzeigen: Sind die hierfür erforderlichen Datenverarbeitungsprozesse mit dem geltenden Datenschutzrecht vereinbar?

Technische Abläufe

Um die Rechtmäßigkeit personalisierter Online-Werbung beurteilen zu können, ist es unerlässlich, die zugrunde liegenden technischen Prozesse zu verstehen, die im Kontext dieser Datenwirtschaft ablaufen. Im folgenden Kapitel werden daher die relevanten Abläufe dargelegt. Sie unterteilen sich in die Prozesse, die für die Datenerhebung erforderlich sind, in die Technologien, die zur Gewinnung zusätzlicher Daten eingesetzt werden und das sogenannte Real-Time-Bidding-Verfahren, mit welchem die Werbeplätze versteigert werden.

1. Technische Abläufe zur Datenerhebung

Die Verfügbarkeit einer signifikanten Menge an Daten stellt eine grundlegende Voraussetzung für die Schaltung personalisierter Online-Werbung dar. Diese Daten stellen das Fundament dar, auf welchem das Geschäftsmodell der personalisierten Werbung aufgebaut ist. Die Sammlung solcher Daten ermöglicht es Unternehmen der Werbebranche – hierzu gehören soziale Medien, Plattformen, Werbeagenturen etc. –, individuelle Präferenzen und vermutliches zukünftiges Verhalten von Nutzer:innen vorherzusagen und hierauf mit Werbung zu reagieren. Daher existieren sog. Tracking-Technologien, die zum Sammeln von Nutzer:innendaten dienen. Beim Aufrufen einer Website werden nicht lediglich die Inhalte der Seite geladen, welche die Nutzer:innen sehen. Bei Aufrufen der Webseite eines Nachrichtensenders werden beispielsweise nicht nur die neusten Nachrichten als Inhalte der Seite geladen, sondern vermutlich auch eingebettete Werbung und Tracking-Technologien, welche das Nutzungsverhalten der Besucher:innen aufzeichnen. Im Folgenden wird ein Überblick über einige dieser Tracking-Technologien gegeben.

2. Tracking mittels Browser-Cookies

Die im allgemeinen Sprachgebrauch häufig als Cookies bezeichneten Browser-Cookies stellen die am weitesten verbreitete Tracking-Technologie dar. Diese sind nichts anderes als einfache Textdateien, die auf dem Endgerät der Nutzer:innen abgelegt werden, sodass Nutzer:innen wiedererkannt werden können.

Der BGH definiert Cookies als

„Textdateien, die der Anbieter einer Internetseite auf dem Computer des Benutzers speichert und beim erneuten Aufrufen der Webseite wieder abrufen kann, um die Navigation im Internet oder Transaktionen zu erleichtern oder Informationen über das Nutzerverhalten abzurufen.“

Genutzt wird also die Speicherfunktion des Endgerätes, um Nutzer:innen wiederzuerkennen. Bei dem Besuch einer Webseite werden durch diese kleine Datenstücke, beispielsweise Spracheinstellungen, Login-Daten oder Nutzer:innen-IDs, an den benutzten Browser übermittelt. Bei einem späteren Besuch der Webseite kann diese die gespeicherten Informationen aus dem Cookie auslesen. Hintergrund dieser Tracking-Technologie ist, dass das Internet-Protokoll „http“ selbst nicht den Austausch von Daten aus unterschiedlichen Serveranfragen ermöglicht. Nachdem eine Serveranfrage abgeschlossen ist, beispielsweise eine Internetseite aufgerufen wurde, „vergisst“ das Internet-Protokoll alle vorherigen Interaktionen. Mittels Browser-Cookies können solche Daten jedoch über mehrere Sitzungen hinweg erinnert werden. Die Technologie wurde für diesen Zweck entwickelt. Sie macht es z.B. möglich, dass auf der Webseite eines Online-Shops durchgehend der Bestand des Warenkorbes angezeigt wird, auch wenn die Seite aktualisiert wird oder weitere Unter-Seiten des Shops aufgerufen werden. Außerdem kann die Internetseite sich an zuvor von Nutzer:innen getroffene Entscheidungen „erinnern“, wie die ausgewählte Ausgabesprache. Neben solchen offensichtlich – auch für Nutzer:innen – nützlichen Vermerken, können Cookies diverse weitere Daten speichern. Es gilt daher klar anhand des Inhalts zu differenzieren. Browser-Cookies die zu vorgenannten Zwecken gesetzt werden, stellen keine „Tracking- Cookies“ nach dem allgemeinen Sprachgebrauch dar.

Browser-Cookies sind mithin nach Anbietern, Speicherdauer und Nutzungszweck zu unterscheiden. Je nach dem von wem Browser-Cookies gesetzt werden, bezeichnet man diesen als First-Party- und Third-Party-Cookies. Erstere sind solche, die von der Domain der Webseite, auf der sich die jeweiligen Nutzer:innen aktuell befinden, gesetzt werden. Um Third-Party-Cookies handelt es sich immer dann, wenn nicht die Domain sie gesetzt hat, die den Nutzer:innen in der URL-Zeile angezeigt wird. Während First-Party-Cookies meistens dazu dienen, Informationen wie Login-Status, Spracheinstellungen und Warenkorbdaten zu speichern und so die Funktionalität der Website zu optimieren, besteht der Hauptzweck von Third-Party-Cookies vorwiegend darin, das Nutzer:innenverhalten über verschiedene Websites hinweg zu verfolgen und zu analysieren.

Cookies werden jedoch nicht ausschließlich zur initialen Datenerhebung verwendet. Die von Cookies gesammelten Nutzer:innendaten können direkt in dem Cookie gespeichert werden. Es handelt sich zumeist um sog. Session Cookies, die nur temporär gesetzt werden und es ermöglichen die Benutzer:innen während ihrer Sitzung zu erkennen und die notwendigen Sitzungsinformationen zu verwalten. Die Speicherung im Cookies selber ermöglicht einen schnellen Zugriff und spart Webserver-Ressourcen. Nachteilhaft ist jedoch, dass die Speicherkapazität begrenzt ist. Sobald eine Sitzung beendet ist oder der Browser geschlossen wird, werden die Session-Cookies daher normalerweise gelöscht. Aus diesem Grund greifen Anbieter:innen vermehrt auf die Möglichkeit zurück, Cookies lediglich eine Laufnummer (Nutzer:innen-IDs) zukommen zu lassen. Diese Persistent-Cookies können über einen längeren Zeitraum bestehen bleiben, bis sie ein programmiertes Ablaufdatum erreichen oder manuell gelöscht werden. Ihre Verwendung erfolgt häufig zur Speicherung von Nutzungspräferenzen und Anmeldeinformationen, sodass der:die Benutzer:in bei zukünftigen Besuchen wiedererkannt wird und so konsistent personalisierte Inhalte präsentiert bekommt. Die Profilinhalte, die dieser Nutzer:innen-ID dann zuzuordnen sind, werden auf einem Webserver gespeichert. So kommt es zur individuellen Profilbildung aller Nutzer:innen.

Cookies kommen im gesamten Kreislauf der digitalen Werbewirtschaft zum Einsatz. Werbetreibende können Cookies beispielsweise wiederum in die von ihnen geschalteten Anzeigen einbetten. Wenn Nutzer:innen eine Webseite besuchen, die solche Anzeigen enthält oder diese anklicken, können diese Cookies auf dem jeweiligen Endgerät platziert werden. Als Third-Party-Cookies ermöglichen diese den Werbetreibenden, das Verhalten der Nutzer:innen auch außerhalb der eigentlichen Website zu verfolgen, auf der die Anzeige geschaltet wurde. Im Laufe dieses Kreislaufs können die Daten mittels des sog. Cookie-Matchings auch ausgetauscht werden, worauf die Untersuchung nachstehend eingehen wird.

Im Kontext personalisierter Online-Werbung werden Cookies häufig als sog. Werbe-Cookies bezeichnet. Diese Eigenschaft ist jedoch kein spezifisches Merkmal dieser Cookies. Vielmehr werden Eigenschaften, die Cookies ohnehin mit sich bringen, von Akteuren genutzt, um an Informationen zu gelangen, die aus marketingtechnischer Perspektive vorteilhaft sind. Als Beispiel kann hier die Retargeting-Funktion angeführt werden. Die Fähigkeit von Cookies, notwendige Informationen zu speichern, wie etwa den Stand eines Warenkorbes in einem Online-Shop, kann auch dafür genutzt werden, zu erkennen, ob Nutzer:innen eine Webseite verlassen haben, ohne einen angefangenen Einkauf abzuschließen. Diese Nutzer:innen können dann mit den im Warenkorb verbliebenen Produkten auf anderen Seiten werbend angesprochen werden.

3. Tracking mittels Fingerprinting

Auch wenn Cookies die bekannteste und meist verbreitetste Tracking-Technologie darstellen, existieren hierneben noch weitere Tracking-Technologien, welche alternativ oder parallel neben Cookies eingesetzt werden, sog. Cookieless-Tracking.

Eine Technologie, die der Kategorie des Cookieless-Trackings unterfällt, ist das sog. Fingerprinting. Hierbei sammelt ein Dienst oder eine Seite kleine Informationen über die Geräte von Nutzer:innen und setzt diese einzelnen Teile zu einem einzigartigen Bild zusammen – einer Art digitalem Fingerabdruck.  Zu unterscheiden ist zwischen dem sog. Browser Fingerprinting und Device Fingerprinting. Fingerprinting ist unter den Methoden, die ohne Cookies auskommen, die am meisten verbreitete. Unter den 10.000 am häufigsten besuchten Webseiten des sog. Alexa-Rankings, nutzen ein Viertel diese Technologie.

Beim Browser Fingerprinting werden Informationen durch und über den Browser der Nutzer:innen gesammelt. Browser dienen Nutzer:innen als Einfallstor für das Internet. Um eine Internetseite abzurufen, sendet der Browser eine Anfrage an den Server der Webseite. Hierbei werden durch den Browser Informationen übermittelt, die notwendig sind, um die Webseite abzurufen, wie die IP-Adresse oder Informationen darüber, welcher Browser genutzt wird. Browser können darüber hinaus noch diverse weitere Daten übermitteln, beispielsweise CPU- oder GPU-Spezifikationen, den Standort des Gerätes, Informationen zur Sprach- oder Zeiteinstellung. Dieser Datenstrang wird, je länger er ist, immer einzigartiger. Es ist somit möglich, einzelne Endgeräte aufgrund der Einzigartigkeit der Einstellungen zu identifizieren.

Das Device Fingerprinting funktioniert ähnlich wie das Browser Fingerprinting. Die übermittelten Informationen beziehen sich jedoch nicht auf den Browser, sondern auf das Endgerät der Nutzer:innen. Browser werden primär durch Endgeräte wie Laptops oder PCs genutzt. Mobile Endgeräte verwenden hingegen vorwiegend Apps. Auch die Apps übermitteln während der Nutzung diverse Informationen. Diese beziehen sich in der Regel auf das jeweils genutzte Endgerät, beispielsweise Seriennummer, MAC-Adresse, IMEI-Nummer u.ä. Hinzu kommt stets die Übermittlung der IP-Adresse. Auch hier gilt: Je länger die Spezifikationsliste, desto unwahrscheinlicher wird es, dass ein weiteres Endgerät mit den gleichen Einstellungen existiert, sodass die Identifikation des Endgerätes möglich wird.

Sowohl beim Browser als auch beim Device Fingerprinting werden grundsätzlich nur Endgeräte identifiziert. Die Technologie selbst ermöglicht es nicht, dass einzelne Nutzer:innen wiedererkannt werden. Selbst wenn die Spezifikationsliste derart einzigartig ist, dass ein Endgerät sicher identifiziert werden kann, so ist dies noch nicht mit der Identifikation von Nutzer:innen gleich zu setzen. Regelmäßig werden Smartphones zwar nur eine:n Endnutzer:in haben. Bei anderen Endgeräten wird dies hingegen nicht stets der Fall sein. So ist es nicht unüblich, dass Haushalte einen Rechner o.ä. teilen.

Die Identifizierung einzelner Nutzer:innen kann im Rahmen des Fingerprintings dennoch vorgenommen werden. Dies wird dadurch ermöglicht, dass die sowieso übermittelten Daten mit anderen Daten gekoppelt werden, die eine Identifizierung erlauben. Beispielhaft hierfür ist die Facebook-ID, die es ermöglicht Nutzer:innen auch auf Familiengeräten zweifelsfrei zu identifizieren. Beim Browser Fingerprinting ist selbiges durch Login-Daten möglich. Das populärste Beispiel hierfür ist der Like-Button von Facebook bzw. dem Mutterkonzern Meta.

Zusammenfassung und Bewertung der Trackingtechnologien

Die meistverbreiteten Tracking-Technologien sind Cookies und das Fingerprinting. Die Technologien unterscheiden sich wesentlich in ihrer Erkennbarkeit. Während Cookies auf den Endgeräten der Nutzer:innen gespeichert werden, hinterlässt Fingerprinting keine Spuren auf dem jeweiligen Gerät. Die Ziele, die durch den Einsatz der Technologien verfolgt werden, unterscheiden sich hingegen nicht. Auch die Möglichkeiten, die die Techniken ermöglichen, sind weitestgehend gleich. Dennoch ist aufgrund der dargestellten Unterscheidung eine weitergehende Differenzierung im Rahmen dieser Arbeit geboten. Durch Technologien, die auf den Endgeräten von Nutzer:innen gespeichert werden, findet ein Eindringen in die Sphäre der Nutzer:innen statt. Gleichzeitig sind diese Technologien für Nutzer:innen ersichtlich. Hinterlassen Tracking-Technologien, wie Cookies, auf Endgeräten Spuren, so ist das Vorgehen gegen dieselben für Nutzer:innen jedenfalls theoretisch möglich. Im Gegensatz hierzu mangelt es Technologien, die keine Speicherung auf Nutzer:innengeräten vornehmen, an Transparenz. Mangelnde Transparenz birgt dabei immer das Risiko der Waffenungleichheit. Nutzer:innen werden sich gegen Technologien immer erst dann zur Wehr setzen können, wenn sie Kenntnis von diesen erlangen. Mithin ist das Kriterium der Erkennbarkeit von Tracking-Technologien bei der Bewertung dieser stets mitzudenken. Diese Erkenntnisse lassen sich auf andere Tracking-Technologien übertragen. Insbesondere wenn neue Tracking-Technologien von Unternehmen eingesetzt werden, kann auf diese Differenzierung zurückgegriffen werden. Das von Google einst angedachte kohortenbasierte Tracking hätte beispielsweise ebenfalls keine Speicherung auf den Endgeräten vorgenommen und somit dem Fingerprinting – auch in der rechtlichen Bewertung – geähnelt.

1. Weitere Ableitung von Daten

Aus Daten, die Nutzer:innen bereit stellen oder die Verantwortliche beobachten, lassen sich weitere Erkenntnisse ableiten. Die zuvor ermittelten Daten „z.B. besuchte Seiten, auf jeder Seite verbrachte Zeit, Anzahl der erneuten Verbindungen zu dieser Seite, Wörter, nach denen Nutzer:innen suchen, Hyperlinks, denen sie folgen, ,Gefällt mir‘-Markierungen, die sie vergeben“ werden beispielsweise dazu verwendet die Interessen von Nutzer:innen zu ermitteln. Die Ableitung kann mithin nur durch die Analyse von Primärdaten erfolgen. Um über die Interessen und Vorlieben von Nutzer:innen bestmöglich informiert zu sein, ist daher ein stetiges Targeting erforderlich. Je länger der Zeitraum der Beobachtung ist, desto besser, das heißt genauer können weitere Daten abgeleitet werden. Diese Prozesse gelingen durch die Nutzung einer Datenanalyse. Hierzu werden häufig Datenanalyseunternehmen beauftragt. Die Daten können aber auch direkt von den Akteuren analysiert werden, die sie erhoben haben. Eine solche Analyse bietet beispielsweise Meta an und kann von Advertisern direkt verwendet werden, um die eigene Werbung entsprechend auszurichten. Die von Facebook aggregierten Informationen werden in Form sog. Zielgruppen-Insights aufbereitet und für zwei unterschiedliche Personengruppen bereitgestellt. Die Zielgruppen-Insights umfassen einerseits die Personen, die mit der Facebook-Seite eines Advertisers verbunden sind, sowie weitere auf Facebook aktive Personen. Zu den bereitgestellten Informationen zählen Daten über die Demografie, darunter Altersgruppe, Geschlecht, Bildungsstand, Beruf, Beziehungsstatus, sowie über Interessen und Hobbys und die jeweiligen Lebensstile. Darüber hinaus kombinieren die Zielgruppen-Insights auch den Beziehungsstatus der jeweiligen Nutzer:innen mit ihrem Standort. Eine ähnliche Datenanalyse bieten auch andere Intermediäre an, beispielsweise LinkedIn. Die Analyse von Daten erfolgt durch Algorithmen. Mithin läuft die Kategorisierung automatisiert ab und ohne dass die Ergebnisse überprüft werden könnten.

Es lässt sich nur erahnen, welche Daten Analysefirmen oder Intermediäre selbst in der Lage sind, aus Rohdaten abzuleiten. Forschenden ist es jedoch gelungen, den Facebook- Algorithmus zu modellieren, der auf der Basis von Rohdaten Nutzer:innenprofile erstellt. Durch die Analyse der Facebook-Likes von 58.000 freiwilligen Teilnehmer:innen einer Studie gelang es den Forscher:innen, latente Merkmale zu modellieren. Die modellierten Merkmale, welche mit einer Übereinstimmungsrate von achtzig bis neunzig Prozent korrelierten, umfassten unter anderem die „sexuelle Orientierung, ethnische Zugehörigkeit, religiöse und politische Ansichten, Persönlichkeitsmerkmale, Intelligenz, Glück, Konsum von Suchtmitteln, Trennung der Eltern, Alter und Geschlecht“. Dabei ist zu beachten, dass der Algorithmus über keine weiteren Informationen zu den genannten Personen oder deren Eigenschaften verfügte. Dennoch konnten in 82 % der Fälle Christ:innen und Muslim:innen korrekt ermittelt werden. Für die Einordnung in Demokrat:innen und Republikaner:innen wurden ähnliche Ergebnisse erzielt (85 %). Die sexuelle Orientierung ließ sich bei Männern (88 %) leichter bestimmen als bei Frauen (75 %). Die Ermittlung weiterer Merkmale auf Basis von Rohdaten stellt zwar ein etabliertes Verfahren dar. Die schiere Menge an Daten, die digital zum Zweck personalisierter Online-Werbung gesammelt werden, ermöglicht jedoch ganz neue Ergebnisse zu erreichen. So können Daten und Erkenntnisse über Nutzer:innen gewonnen werden, die diese freiwillig nie bekannt geben würden. Beispielsweise konnten Forscher:innen bereits Personen identifizieren, die eine hohe Wahrscheinlichkeit für eine Depression aufweisen, bevor hierfür klinische Symptome auftraten.

Die fortlaufende Akquise und Analyse von Daten resultiert in umfassenden Nutzer:innenprofilen, welche Informationen zu den Interessen der Nutzer:innen enthalten, jedoch auch sensible Merkmale wie die Sexualität oder Religion umfassen. Dies ermöglicht es Werbenden, ein detaillierteres Bild von Nutzer:innen zu gewinnen.

Vergabe von Werbeplätzen mittels Real Time Bidding

Die Personalisierung von Online-Werbung erfolgt durch die Anpassung der einzelnen Werbeanzeigen in Echtzeit an die individuellen Nutzer:innen. Zu diesem Zweck wird ein Verfahren eingesetzt, das unter dem Begriff „Real Time Bidding” bekannt ist. Bei dem Verfahren handelt es sich um eine automatisierte Auktion, im Rahmen derer Werbeflächen in Echtzeit versteigert werden. Erahnen lässt sich diese Methode beim Besuch einer Internetseite, etwa einer Tageszeitung, bei der kurz nach dem Laden der Seite Werbeanzeigen eingeblendet werden und die Inhalte sich daraufhin neu sortieren. Obgleich dieses Verfahren im Verborgenen stattfindet und den wenigsten Nutzer:innen bekannt sein wird, ist es ein Kernelement des digitalen Werbemarktes. Es stellt das Rückgrat der gesamten Online-Werbebranche dar. Mithin ist es wichtig, das Verfahren in seinen Grundzügen zu verstehen, um seine datenschutzrechtliche Zulässigkeit beurteilen zu können.

1. Akteure und ihre Rollen

Um den Ablauf des Real Time Biddings zu verstehen, müssen zunächst die Akteure bekannt sein, die in dieser Branche agieren.

Zunächst sind hier die sog. Publisher zu nennen. Publisher sind diejenigen Akteure, welche den Ort für Online-Werbung zur Verfügung stellen. Publisher können somit alle Plattformbetreibenden sein, indem sie Advertisern die Möglichkeit einräumen, einen Platz auf ihrer Plattform zum Schalten von Werbung zu nutzen. Hierzu zählen Webseiten oder Apps von Medienunternehmen, soziale Medien oder Plattformen aber auch die Ergebnisseite von Suchmaschinen. Als Advertiser werden diejenigen Akteure bezeichnet, welche im Internet werben. Theoretisch können alle Unternehmen und natürliche Person zum Advertiser werden, indem sie das Internet als Werbefläche verwenden. In der Branche werden die freien Plätze für mögliche Werbeanzeigen als Inventar bezeichnet. Selbst bei analoger Werbung gestaltet sich der Prozess, für einen Werbeplatz eine geeignete Werbung zu finden, als äußerst komplex. Während um den Preis für die Werbefläche und die Platzierung von Werbung auf einer Litfaßsäule oder in einer Tageszeitung jedoch noch in Person verhandelt werden konnte, ist dies bei personalisierten digitalen Anzeigen nicht mehr möglich. Aus diesem Grund hat sich zwischen Advertisern und Publishern ein hochkomplexes System entwickelt, an welchem diverse Akteure beteiligt sind.

Auf Seiten der Advertiser sind i.d.R. sog. Bidder tätig. Sie werden auf sog. Demand Side Platforms (DSP) gebündelt. Bei DSPs handelt es sich um Einkaufsplattformen. Sie übernehmen den Einkauf, das heißt die Ersteigerung von Werbeplätzen. DSPs nutzen die Daten von Nutzer:innen um die potentiell geeignetste Zielgruppe für die Produkte zu finden, die die jeweiligen Publisher suchen. Teilweise kaufen DSPs zu diesem Zweck externe Datensätze ein.

Publisher bieten ihre Werbeplätze ebenfalls gebündelt an, über sog. Supply Side Platforms (SSP). SSPs stellen Verkaufsplattformen dar, welche mit Hilfe technischer Standards Anfragen für Gebote auf Werbeplätze aussenden. Jede dieser Gebotsanfragen (sog. Bid Requests) enthält eine Vielzahl personenbezogener Informationen über die Person, die die Website oder App lädt.

Zwischen den SSPs und DSPs sind die sog. AdExchange-Plattformen geschaltet. Sie sind vergleichbar mit einem Börsensaal, in dem sich SSPs und DSPs begegnen.

2. Bildung von Nutzer:innenprofilen und Zielgruppen

Die Arbeit hat bereits einen ausführlichen Einblick in die Datenerhebung gegeben. Diese Daten sind ohne weitere Verarbeitungsvorgänge für den RTB-Prozess jedoch nicht nutzbar. Damit die Nutzer:innendaten als Marschrichtung für die Werbeanzeige auf ihrem Weg zu ihrem Werbeplatz der jeweiligen Nutzer:inenn verwendet werden können, müssen sie zuvor in Nutzer:innenprofilen zusammengefügt werden. Hier kommen die sog. Data Management Platforms (DMP) ins Spiel. Sie fungieren als eine Art Aktenschrank, in welchem Informationen über Nutzer:innen gespeichert werden. Cambridge Analytica war beispielsweise eine Datenmanagementplattform. Auch Unternehmen wie Google betreiben jedoch derartige Plattformen. Die Nutzungsdaten und -profile können bei den DMPs im Laufe des RTB- Prozesses abgefragt werden. Ein Werkzeug, welches diese Verknüpfung von Nutzer:innen mit ihren Profilen im RTB-Prozess ermöglicht, ist die sog. Cookie-Synchronisierung. In seiner einfachsten Form bedeutet dies, dass ein Dritter mit einem Cookie (Tracker1) den Browser des:r jeweiligen Nutzer:innen dazu bringt, einen zweiten Dritten (Tracker2) mit einer URL abzufragen, die die Kennung von Tracker1 enthält. Da der Browser von Nutzer:innen Tracker2 abfragt, kann Tracker2 seine eigenen Cookies auf der Website einsehen. Da die Abfrage die Kennung enthält, die Tracker1 gerade in seinen eigenen Cookies gesehen hat, hat dies den Effekt, dass Tracker2 beide Kennungen gleichzeitig besitzt und seine eigene Cookie- Kennung mit der Cookie-Kennung von Tracker1 verknüpft. Die beiden Parteien können dann über einen Rückkanal (sog. Server-zu-Server-Übertragung) Daten austauschen, um die bisher erstellten Profile miteinander zu verbinden. Handelt es sich bei diesen beiden Parteien um Bidder und AdExchange, so können Nutzer:innen im Verlauf des RTB-Prozesses wiedererkannt und mit den über sie bereits vorhandene Daten, in Verbindung gebracht werden. Die verschiedenen Akteure sind auf diese Weise darüber informiert, welche:r Nutzer:in Gegenstand der Auktion ist, d.h. hinter dem versteigerten Profil steht.

Über verschiedene Domains hinweg entsteht sukzessive ein immer detaillierteres Bild der Nutzer:innen, das dann von Advertiser- und Technologie-Unternehmen genutzt werden kann. Um ein noch genaueres Bild von Nutzer:innen zu erlangen, können diese online gewonnen Daten zudem mit offline gewonnenen Daten verknüpft werden, wie z. B. Kundeninformationen, mit Online-Identifikatoren wie E-Mail-Adressen, Telefonnummern oder Postanschriften. In Deutschland am bekanntesten ist das Unternehmen Payback, welches sich auf eben diese Datenverknüpfung spezialisiert hat.

Neben den DMPs als Speicherstätte, gibt es sog. Customer Data Plattforms (CDP). Hierbei handelt es sich um eine Sammlung von Software, die eine dauerhafte, einheitliche Kund:innendatenbank erstellt, auf die andere Systeme zugreifen können. Hierzu werden Daten aus mehreren Quellen gezogen, bereinigt und kombiniert, um ein einziges Kundenprofil zu erstellen. In CDPs sollen vor allem die sog. 1st-Party-Daten gebündelt werden. Hingegen speichern DMPs scheinbar vorwiegend 3rd-Party-Daten. Dennoch werden sowohl auf CDPs als auch auf DMPs hochpersonalisierte Nutzer:innenprofile gebildet. Diese Profile sind ein wesentlicher Bestandteil der digitalen Werbewirtschaft.

3. Ablauf des Real Time Biddings

Im Folgenden soll ein vereinfachter Überblick über den technischen Ablauf des RTB-Prozesses gegeben werden. Dieser kann für diese Untersuchung als Ausgangspunkt der späteren rechtlichen Bewertung der einzelnen Prozesse dienen.

Wenn Nutzer:innen eine App oder Webseite aufrufen, wird hierdurch der Prozess des Real Time Biddings ausgelöst. Vom Publisher gelangt die Meldung, dass Inventar zur Verfügung steht, über die SSPs auf die Ad Exchenge Plattform. Dort können DSPs für ihre Advertiser auf das Inventar bieten. Zu diesem Zweck erhalten die DSPs eine Kopie des Bid Requests als Gebotsanfrage. Diese enthält Informationen über die jeweilige Person, die die Anzeige später sehen wird. Diese Informationen sind je nach Spezifikation leicht unterschiedlich. Im Internet wird der Inhalt dieser „Gebotsanfrage“ durch eine von zwei Spezifikationen bestimmt. Die erste ist Authorized Buyers, eine von Google festgelegte Spezifikation. Die zweite ist OpenRTB/AdCOM, die von der Technologieabteilung des Interactive Advertising Bureau (IAB) gepflegt wird, einer Mitgliederorganisation großer und kleiner Werbefirmen, die von Google, Meta (vormals Facebook) und X (vormals Twitter) bis hin zu kleineren Akteuren reicht.

Auch wenn der Bid Request bereits personenbezogene Daten enthalten kann, ist die Person, die die Werbung später sehen soll, durch ihn allein nicht notwendig identifizierbar. Für Advertiser ist es jedoch wesentlich zu wissen, wer ihre Werbung später sehen wird. Nur so kann es überhaupt zum Ausspielen personalisierter Werbung kommen. Aus diesem Grund leiten die DSPs, den Bid Request an DMPs weiter. Diese stellen eine Art Data Warehouse dar, wo Daten zum einen gespeichert, aber auch sortiert und klassifiziert werden. DMPs speichern vorwiegend die Cookie-IDs und nehmen eine Klassifizierung der Daten vor (z.B. Weinliebhaber:in), sodass auf diese Informationen im Werbeprozess einfach zurückgegriffen werden kann. Im „Idealfall“ gelingt es DSPs die jeweiligen Nutzer:innen anhand der schon vorhandenen Informationen und den Informationen aus dem Bid Request zu identifizieren.

Gelingt dies nicht, kann jedenfalls mit den Informationen gearbeitet werden, die der Bid Request selbst enthält. Einige, für diese Ausarbeitung relevanten Informationen, die im Fall von Authorized Buyers und OpenRTB enthalten sind, sind:

  • Standort
  • URL der besuchten Seite
  • Kategorie oder Thema der Website
  • Gerät
  • Betriebssystem
  • Browser-Software und -Version
  • Gerätehersteller, Modell
  • Mobilfunkanbieter
  • Abmessungen des Bildschirms
  • Benutzer:innen
  • Eindeutige Identifikatoren, die von Verkäufer:in und/oder Käufer:in festgelegt werden
  • Eindeutiger Personenidentifikator der Werbebörse, oft aus dem Cookie der Werbebörse
  • Cookie der Werbebörse
  • Die Benutzer:innenkennung einer nachfrageseitigen Plattform, die oft aus dem Cookie der der Werbebörse entnommen wird, die mit einem Cookie von der Domain der nachfrageseitigen Plattform synchronisiert wurde
  • Geburtsjahr
  • Geschlecht
  • Interessen
  • Metadaten, die über die erteilte Zustimmung berichten
  • Geografie
  • Längengrad und Breitengrad
  • Postleitzahl

In einem weiteren Schritt senden die DSPs Gebotsanfragen an Datenverwaltungsplattformen, die diese anreichern, indem sie versuchen, den:die Nutzer:in in der Anfrage zu identifizieren. Hierzu nutzen sie eine Vielzahl von Datenquellen, wie z.B. vom Werbetreibenden hochgeladene Daten (z.B. Kundenbeziehungsdatenbanken), aus anderen Quellen gesammelte Daten (z.B. eine Liste eines anderen Unternehmens) oder von Datenmaklern gekaufte Daten. Die nachfrageseitige Plattform mit dem höchsten Gebot erhält durch den Zuschlag einerseits das Recht, die Anzeige über die angebotsseitige Plattform an die Person zu liefern. Darüber hinaus ermöglicht der Zuschlag auch, die eigenen Cookies mit der Anzeigenbörse zu synchronisieren, um in Zukunft einfacher Daten verknüpfen und Profile von Nutzer:innen erstellen zu können.

4. Consent Management Plattformen

Seit das Datenschutzrecht den digitalen Raum erreicht hat, erscheinen Nutzer:innen beim Besuch regelmäßig Pop-up-Fenster, die den Zugang zu Internetseiten blockieren. Diese Schaltflächen, auf denen Nutzer:innen einstellen können, welche Daten eine Webseite sammeln und verarbeiten darf, bezeichnet man als Consent Managemet Platforms (CMP). Eine CMP hat die Form eines Pop-up-Fensters, das bei der ersten Verbindung mit einer Website erscheint, um die Zustimmung der Internetnutzer:innen zur Platzierung von Cookies und anderen identifizierenden Informationen einzuholen.

Ein wesentlicher Bestandteil des Eingriffs einer CMP ist die Erzeugung einer Zeichenkette, die aus einer Kombination von Buchstaben, Zahlen und anderen Zeichen besteht. Diese Zeichenfolge wird vom Interactive Advertising Bureau Europe (kurz: IAB Europe), ein internationaler Wirtschaftsverband der Onlinewerbebranche, als „TC String“ bezeichnet, was für „Transparency and Consent String“ steht. Der TC-String dient dazu, die Präferenzen von Nutzer:innnen strukturiert und automatisiert zu erfassen, wenn diese eine Website oder App eines Publishers besuchen, der die CMP integriert hat. Dies betrifft insbesondere die Erfassung der Zustimmung (oder Nicht-Zustimmung) zur Verarbeitung personenbezogener Daten für Marketing- und andere Zwecke, die Frage, ob personenbezogene Daten an Dritte (Adtech-Anbieter) weitergegeben werden sollen oder nicht, und die Ausübung oder Nichtausübung des Widerspruchsrechts.

Die CMP kann die bevorzugten Daten eines Nutzers speichern und jederzeit abrufen und diese Informationen an Adtech-Anbieter weitergeben, die sie benötigen. Die Anbieter entschlüsseln den TC-String, um festzustellen, ob sie über die erforderliche Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der jeweiligen Nutzer:innen für die angegebenen Zwecke verfügen. In ihrer Entscheidung gegen IAB Europe hat die belgische Datenschutzbehörde diesen Prozess in sechs Schritten beschrieben:

  1. Ein:e Internetnutzer:in besucht die Website eines Publishers, z.B. eine Nachrichten- Website.
  2. Der Publisher stellt sicher, dass eine CMP auf seiner Website oder in seiner App aktiviert ist, wenn der:die Benutzer:in ankommt.
  3. Die CMP prüft, ob für diese:n Nutzer:in bereits ein TC-String existiert oder nicht. Hierzu wird auf die Datenbank von IAB Europe zurückgegriffen.
  4. Ergibt der dritte Schritt, dass der TC-String noch nicht existiert oder nicht aktuell ist, zeigt die CMP dem:der Nutzer:in in einem vierten Schritt eine Benutzeroberfläche an, auf der er:sie der Erhebung und Weitergabe seiner personenbezogenen Daten zustimmen kann.
  5. Der:die Internetnutzer:in trifft in der Benutzerschnittstelle eine Auswahl.
  6. Die CMP generiert den TC-String und platziert ein Cookie auf dem Gerät des:der Nutzer:in oder aktualisiert das bestehende Cookie.

5. Zusammenfassung

Mit Real Time Advertising und insbesondere dem Verfahren des Real Time Biddings hat sich ein hochkomplexer und facettenreicher Markt entwickelt. Dieser hat wiederum neue Unternehmen mit eigenen und ebenfalls komplexen Strukturen hervorgebracht. Die Untersuchung hat gezeigt, dass die zunächst erhobenen Daten von Nutzer:innen durch viele Hände wandern, nachdem sie zum Zwecke der Online-Werbung erhoben wurden. Ob und inwieweit diese Verwendung mit datenschutzrechtlichen Vorgaben übereinzubringen ist, wird noch zu untersuchen sein.

Die Risiken personalisierter Werbung

Die Erhebung, Analyse und der Handel von Daten, welcher zum Zweck der personalisierten Online-Werbung erfolgt, sind mit erheblichen Risiken verbunden. Im Rahmen dieser Ausarbeitung ist eine Beleuchtung der mit personalisierter Online-Werbung verbundenen Risiken erforderlich, da diese unmittelbar auf den Schutzgedanken des Datenschutzrechtes zurückzuführen sind. Die DSGVO schützt nicht nur die personenbezogenen Daten, sondern auch die Grundrechte und Grundfreiheiten natürlicher Personen. Mögliche Risiken, wie das Risiko der Diskriminierung marginalisierter Gruppen, müssen daher im Rahmen dieser Ausarbeitung beleuchtet werden, um im weiteren Verlauf Berücksichtigung finden zu können. Dabei ist es das Ziel, die diskutierten Risiken im Kontext personalisierter Online-Werbung objektiv zu analysieren. Dazu werden im Folgenden die Ergebnisse interdisziplinärer Forschung abgebildet.

1. Diskriminierung

Im Zusammenhang von algorithmischen Systemen kommt es immer wieder zum Vorwurf der Diskriminierung. In der Soziologie versteht man unter Diskriminierung die soziale Ungleichbehandlung bzw. Benachteiligung anderer Menschen durch Verhaltensweisen und Einstellungen. Übernehmen algorithmische Systeme Entscheidungen, so ist es möglich, dass sie Unterscheidungen zwischen Menschen vornehmen, die zur Benachteiligung dieser führen. Vieldiskutiert ist dies, wenn algorithmische Systeme hochkomplexe Entscheidungen übernehmen, die einst Menschen trafen. Beispiele hierfür sind die Nutzung solcher Systeme im Strafprozess, bei Personalentscheidungen oder zur Vergabe von Darlehen. Auch bei personalisierter Online-Werbung kommen algorithmische Systeme zum Einsatz, deren Entscheidungen diskriminierende Ergebnisse erzeugen können.

Bereits 2015 ließ sich die Ungleichbehandlung bei zielgerichteter Werbung im Programm Google Mail nachweisen. Lecuyer et al. konnten belegen, dass für die Schaltung personalisierter Werbung auch sensible geschützte Merkmale verwendet werden. Mittels Fallstudien wiesen sie nach, dass beispielsweise die ethnische Zugehörigkeit, der Gesundheitszustand, die religiöse Zugehörigkeit und Interessen, sexuelle Orientierung und eine ernste finanzielle Situation mögliche Kriterien waren, mittels derer Zielpersonen werbend angesprochen werden konnten.

Auch bei anderen Google-Diensten konnte die Ungleichbehandlung bei der Schaltung von Werbung nachgewiesen werden, so hat beispielsweise das Geschlecht von Nutzer:innen Auswirkungen auf die Werbung, mittels derer sie angesprochen werden. Online wird weniger Werbung für hochbezahlte Stellen angezeigt, wenn das Geschlecht in den Profileinstellungen von „männlich“ auf „weiblich“ geändert wurde.

Wie bereits die Ergebnisse der Studie von Lecuyer et al. zeigten, kann auch die ethnische Herkunft ein mögliches Kriterium für die Platzierung personalisierter Werbung sein. Die Ungleichbehandlung nach ethnischer Herkunft bei der Platzierung von Werbung konnte gezielt von Sweeney nachgewiesen werden. Untersucht wurden die per Google AdSense ausgespielte Werbung, wenn Nutzer:innen einen Namen in die Suchmaschine eingeben. Die Autorin untersuchte konkret die Möglichkeit, dass Werbung ausgespielt wurde, welche auf eine Webseite oder einen Onlinedienst verweist, der es ermöglicht, die Vorstrafen einer gesuchten Person abzufragen. Diese sog. „arrest records“ sind in den USA häufig öffentlich einsehbar, sodass inzwischen Suchmaschinen auf dem Markt sind, die digital nach dem Vorstrafenregister einer Person suchen. Sweeney wies nach, dass die Wahrscheinlichkeit, Werbung besagter arrest-records-checking-Dienste angezeigt zu bekommen höher ist, sucht man über eine Suchmaschine einen Namen, der traditionell von Schwarzen getragen wird. Auch wenn Google AdSense Anzeigen als Werbung gekennzeichnet sind, kann hierdurch die Assoziation erweckt werden, dass die Person, deren Namen man soeben gegoogelt hat, eine strafrechtlich relevante Vergangenheit hat. Die auf ethnischen Merkmalen beruhende Differenzierung bei der werbenden Ansprache kann dann unmittelbar zu Diskriminierung gegenüber eben diesen ethnischen Gruppen in der analogen Welt führen.

Auch auf Facebook konnte eine Ungleichbehandlung nach Geschlecht bei der Ausspielung von Werbung nachgewiesen werden. Im Rahmen der der Studie wurden Werbeanzeigen testweise in 191 Ländern geschaltet, welche auf Jobangebote im sog. STEM-Bereich aufmerksam machen sollten. Dabei wurde von den Autorinnen eine Werbeanzeige gestaltet, welche sich durch eine explizite Geschlechtsneutralität auszeichnet. Dennoch wurde Frauen die Anzeige seltener angezeigt als männlichen Nutzern. Die Differenz muss zudem vor dem Hintergrund betrachtet werden, dass Frauen eine höhere click-trough-rate haben als männliche Nutzer, das heißt wenn sie die Anzeige sehen, klicken sie sie eher an. Die Autorinnen verweisen darauf, dass diskriminierenden Erkenntnisse der Studie besorgniserregend sind, da heute immer noch weniger Frauen in STEM-Berufen tätig sind als Männer. Wenn Nutzerinnen zudem seltener Jobanzeigen solcher Berufsgruppen angezeigt werden, könne sich dies auch nicht ändern.

Die Erkenntnisse von Lambrecht und Tucker lassen sich durch andere Studien belegen. Ali et al. untersuchten in ihrer Studie die Ungleichbehandlung nach Geschlecht durch Algorithmen zur Werbeschaltung. Hierfür beobachteten die Autor:innen wem Werbung ausgespielt wird, wenn nicht voreingestellt wird, ob sie männlichen oder weiblichen Nutzer:innen gezeigt werden soll. Die Autor:innen bedienten sich hierfür stereotypischer männlicher oder weiblicher Werbeobjekte, wie Brautsträuße und Baumaschinen. Teilweise waren die Objekte für das menschliche Auge nicht, für einen Bilderkennungsalgorithmus aber sehr wohl, erkennbar. In jedem Fall wurden die Anzeigen der stereotypischen Zielgruppe angezeigt. Hieraus ließ sich schließen, dass der Algorithmus die Bilder analysiert und unabhängig von den Voreinstellungen nach eigenen Kriterien einer Zielgruppe zuordnet. Diese algorithmischen Kriterien können diskriminierend sein.

Neben diesen Beispielen ist denkbar, dass es zu einer aktiven Diskriminierung von Minderheiten bei der Schaltung personalisierter Werbung kommt. Die Tools, mittels derer Werbende die Zielgruppen für ihre Anzeigen bestimmen, können ebenso gut verwandt werden, um einzelne Gruppen von der Ansicht der Anzeigen auszuschließen. So können beispielsweise bei der Schaltung von Stellenanzeigen Adtech-Tools eingesetzt werden, um zu verhindern, dass diese von bestimmten Gruppen wie Frauen, Migrant:innen oder BIPoC gesehen werden. Die Nachrichtenredaktion ProPublica wollte demonstrieren, wie dies funktionieren könnte, indem sie Anzeigen für „zu vermietende Häuser“ auf Facebook kaufte. Sie nutzten dann die Facebook-eigenen Tools, um zu verlangen, dass die Anzeigen bestimmten Nutzer:innenkategorien nicht angezeigt werden, wie Afroamerikaner:innen, Müttern von High-School-Kindern, Menschen, die sich für Rollstuhlrampen interessieren, Personen jüdischen Glaubens, Auswanderer:innen aus Argentinien und Spanisch sprechenden Personen. Alle diese Ausschlüsse sind bereits nach einem bestimmten Teil des US-Wohnungsgesetzes, das Diskriminierung verbietet, unzulässig. Trotz ihrer Rechtswidrigkeit wurden alle diese Anzeigen innerhalb von Minuten von Facebook genehmigt, was ernste Fragen über die Einhaltung der Antidiskriminierungs- und Antivoreingenommenheitsgesetze durch Facebook und das gesamte Adtech-Ökosystem aufwirft.

Obwohl die von ProPublica verwendeten Tools inzwischen von Facebook deaktiviert wurden, haben Forscher:innen herausgefunden, dass Facebooks eigener Algorithmus zur Anzeigenschaltung möglicherweise voreingenommen ist. Eine kürzlich durchgeführte Studie der University of Southern California ergab, dass Facebooks Anzeigenauslieferungssystem Frauen und Männern unterschiedliche Stellenanzeigen anzeigt, obwohl die Stellen dieselben Qualifikationen erfordern. Um zu testen, ob es zu Verzerrungen kommt, gaben die Suchenden Stellenanzeigen auf, die zwar dieselben Qualifikationen erforderten, sich aber in ihrer realen Demografie unterschieden, ohne jedoch eine gewünschte Zielgruppe für die Anzeigen anzugeben. Dies bedeutete, dass die Ausrichtung auf der Grundlage der eigenen algorithmischen Bewertung von Facebook erfolgte, um die besten Ergebnisse für die Anzeige zu erzielen. Es wurde festgestellt, dass die Stellen, die in der realen Welt von Frauen dominiert werden, mehr Frauen angezeigt wurden und umgekehrt.

Im Ergebnis bergen die komplexen technischen Abläufe der personalisierten Online-Werbung das Risiko, diskriminierende Werbung zu erzeugen oder schon bestehende Diskriminierung zu verstärken.

2. Markt-Macht-Spirale

Als Markt-Macht-Spirale wird in dieser Arbeit das Phänomen einer besonders dominanten Marktstellung bezeichnet, welche die jeweiligen Unternehmen mit erheblicher Macht ausstattet, Einfluss auf die gesamte Branche auszuüben. Das Phänomen der Markmacht- Spirale ist kein auf den digitalen Werbemarkt beschränktes Phänomen. In diesem Kontext manifestiert sich das Phänomen jedoch in ausgeprägter Form und führt zu weiteren Problemen. An dieser Stelle soll daher ein kurzer Abriss erfolgen, um eine Verknüpfung mit den nachfolgenden Punkten zu ermöglichen.

Die Marktmacht-Spirale manifestiert sich in besonderem Maße im personalisierten Werbemarkt, da hierbei eine signifikante Menge an Daten akquiriert und generiert wird. Um personalisierte Werbung und die digitale Werbebranche zu ermöglichen, müssen große Mengen an Nutzer:innendaten gesammelt werden. Nutzer:innen geben ihre Daten mehr oder weniger freiwillig für digitale Dienste preis, um eine kostenlose Gegenleistung zu erhalten. Dadurch sind Daten zur Währung im digitalen Raum geworden. Personalisierte Werbung basiert auf der Annahme, dass mehr Daten über Nutzer:innen zu besserer, das heißt personalisierterer, Werbung führen. Deshalb sind Tech-Unternehmen in der digitalen Werbewirtschaft unverzichtbar, da sie große Mengen an Nutzer:innendaten sammeln. Hierzu gehören beispielsweise soziale Netzwerke wie die Plattformen von Meta sowie Suchmaschinen wie Google. Diese Unternehmen nutzen Nutzer:innendaten zur Personalisierung ihrer Angebote. Die Antworten, die die Suchmaschine Google den Nutzer:innen auf ihre Anfrage hin liefert, werden genauer und passender, wenn die Interessen der jeweiligen Nutzer bekannt sind. Gleiches gilt auch für Vorschläge in sozialen Netzwerken. Die Daten können aber auch für die Schaltung personalisierter Werbung genutzt werden. Hierfür sind sie sogar unverzichtbar. Unternehmen, die am digitalen Werbemarkt teilnehmen möchten, jedoch keine eigenen Nutzer:innendaten besitzen, sind auf die gesammelten Daten großer Tech-Unternehmen angewiesen. Diese Abhängigkeit ist der Grund, warum Unternehmen wie Google, Meta oder Amazon zu so erfolgreichen Unternehmen herangewachsen sind. Die gesamte digitale Werbebranche ist auf einige wenige große Unternehmen angewiesen, was diesen Unternehmen eine besonders Marktmacht verleiht. In diesen Fällen besteht immer das Risiko, dass diese Unternehmen ihre Marktmacht nutzen, um Einfluss auf den gesamten Markt zu nehmen und ihre Stellung zu sichern. Eine Situation, die der Gesetzgeber versucht durch das Kartellrecht zu kontrollieren. Im Falle digitaler Unternehmen und insbesondere der digitalen Werbewirtschaft gibt es jedoch Anzeichen dafür, dass diese wettbewerbsrechtliche Regulierung nur eine Symptombekämpfung ist und den besonderen Marktbedingungen nicht gerecht wird.

Das Phänomen der Markt-Macht-Spirale lässt sich anhand der kartellrechtlichen Entscheidung in Sachen Google-Preisvergleich verdeutlichen. Im Jahr 2008 etablierte Google eine Strategie für den von der eigenen Suchmaschine durchgeführten Preisvergleich, welche nicht auf objektiven Kriterien basierte, sondern auf der marktbeherrschenden Stellung von Google im Bereich der allgemeinen Internetsuche. Die EU-Kommission kam in ihrer Untersuchung 2017 daher zu dem Ergebnis, dass Google einerseits den eigenen Preisvergleich systematisch am besten platziert hätte. Die Ergebnisse des Preisvergleichsdiensts von Google würden Nutzer:innen, die einen Begriff suchen, ganz oder sehr weit oben auf der Suchergebnisliste angezeigt werden. Ferner benachteilige Google konkurrierende Preisvergleichsdienste aktiv, indem der am besten platzierte Wettbewerber im Durchschnitt erst auf Seite vier der Suchergebnisse von Google angezeigt werde. Google verschaffe seinem eigenen Preisvergleichsdienst durch dessen Platzierung ganz oben in den Suchergebnissen und durch die schlechtere Platzierung seiner Wettbewerber einen erheblichen Vorteil gegenüber konkurrierenden Diensten.

2017 verhängte die EU-Kommission gegen Google ein Bußgeld i.H.v. 2,42 Milliarden EUR, nachdem 2009 mehrere Beschwerden von Google-Konkurrenten anhängig geworden waren und die EU-Kommission bereits 2010 das Kartellverfahren eröffnet hatte. Erst 2021 kam der Streit vor dem EuG zu einem Ende, der sich weitgehend der rechtlichen Würdigung der EU- Kommission anschloss.

Die Zeitspanne von 13 Jahren ist in der Digitalwirtschaft eine Ewigkeit. Der Gang des Verfahrens verdeutlicht, dass das Kartellrecht gegenüber sehr großen Digitalkonzernen bei der Rechtsdurchsetzung hinterherhinkt.

Die besondere Relevanz von Daten in einer digitalisierten Welt ist einerseits darauf zurückzuführen, dass die digitale Werbebranche die Erhebung und Verarbeitung von Nutzer:innendaten befördert und ermöglicht. Die erhobenen Daten können jedoch für nahezu jede andere Branche relevant sein. Ein Beispiel hierfür sind die Datenmengen, die benötigt werden, um KI-Systeme zu trainieren, von denen sich aktuell jede Branche einen nutzbringenden Einsatz erhofft. Die Marktmacht großer Unternehmen in der digitalen Werbebranche kann sich somit schnell auf andere Branchen ausdehnen. Beispielhaft ist hierfür die angestrebte Einführung eines KI-Systems durch Meta. Der Digitalkonzern strebte an, ein Konkurenzprodukt zum Chat-Bot ChatGPT von OpenAI auf den Markt zu bringen und dieses mit Nutzer:innendaten zu trainieren. Es sollte jedoch nicht erst geprüft werden, ob ihre Marktstellung legitim ist, wenn ihre Marktmacht bereits gefestigt ist. Stattdessen sollte die Rechtmäßigkeit der Datenwirtschaft als Ursache für diese Marktmacht im Fokus der Überprüfung stehen.

Demokratiegefährdende Risiken

Die Datenwirtschaft, welche zum Zweck personalisierter Online-Werbung betrieben wird, fördert und erzeugt darüber hinaus demokratiegefährdende Risiken. Zu diesen Risiken zählen das Microtargeting, Desinformation sowie Sicherheitsbedenken.

1. Microtargeting

Microtargeting meint die gezielte Ansprache von Personen oder Personengruppen mit Inhalten. Geprägt wurde der Begriff und die dahinterstehende Strategie in der Politik.

Losgelöst von digitaler Werbung wurde im politischen Wahlkampf bereits früh versucht, gezielt Wähler:innengruppen anzusprechen, um ihnen ein bestimmtes Bild von Kandidierenden zu präsentieren. Die Digitalisierung ermöglicht es, diese personalisierte Ansprache in den digitalen Raum zu tragen oder Erkenntnisse aus digitalen Daten im analogen Wahlkampf zu nutzen. Bereits im Wahlkampf Barack Obamas 2012 wurde der Versuch unternommen, die Wähler:innen gezielt mit den Themen anzusprechen, die sie vermutlich interessierten. Dafür wurde eine aus dem Markting stammende Datenanalyse verwendet, bei welcher versucht wird, auf der Grundlage bereits vorhandener Daten eine Prognose über das zukünftige Verhalten von Konsument:innen zu treffen. Ein berühmtes Beispiel für ein solches prognosegestütztes Marketing ist der Fall der US-amerikanischen Supermarktkette Target, welche aufgrund des Einkaufsverhaltens einer Teenagerin annahm, diese sei schwanger und ihr hierauf abgestimmte Werbung zukommen ließ. Erst durch diese Werbung erfuhr der Vater von der Schwangerschaft seiner Tochter, was den Schluss zulässt, dass die Datenanalyse eine bessere Kenntnis von den Lebensumständen der werdenden Mutter hatte als nahe Familienangehörige.

Microtargeting muss also nicht immer einen politischen Bezug aufweisen. Durch den Einsatz der Strategie im Rahmen politischer Kampagnen ist der Begriff jedoch erst allgemein bekannt geworden. Vor allem durch den Cambridge-Analytica-Skandal hat die Thematik Einzug in den öffentlichen Diskurs gehalten. Die Datenanalysefirma half sowohl der republikanischen Partei im US-Wahlkampf 2016 als auch den Brexit-Befürworter:innen vor dem Referendum dabei, personalisierte Werbung auf Facebook zu schalten. Um eine derartige Einflussnahme auf die Wahlen des EU-Parlamentes zu verhindern, sollte ursprünglich noch vor den Wahlen im Frühjahr 2024 die Verordnung über die Transparenz und das Targeting politischer Werbung (Targeting-VO) auf den Weg gebracht werden.

Eine gezielte Ansprache mit politischen Botschaften ist jedoch nicht bloß auf Wähler:innen reduziert. Denkbar ist hingegen jegliche Ansprache von Entscheidungsträgern und damit auch eine Einflussnahme auf Entscheidungsprozesse. Mittels Microtargetings können beispielsweise auch Politiker:innen angesprochen werden. Eine derartige Kampagne fand u.a. vor der Abstimmung über den DSA statt. Meta, die CCIA, das IAB und Amazon schalteten Anzeigen, insbesondere auf X (vormals Twitter), in welchen sie die vermeidlichen Vorteile von personalisierter Werbung betonten und insbesondere die hohe Relevanz von personalisierter Werbung für kleinere, lokale Unternehmen betonten. Sie zielten auf ein bestimmtes Publikum ab: entweder auf Personen, die als Akademiker:innen oder politische Entscheidungsträger:innen bezeichnet wurden, oder sie suchten nach Zielgruppen mit ähnlichen Profilen wie die Tech-Politik-Journalist:innen. In Deutschland wurden ähnliche Zielgruppen angesprochen, z.B. Konten, die denen von deutschen Ministerien ähneln.

Wenn durch Microtargeting verschiedene Zielgruppen mit auf diese abgestimmte Informationen versorgt werden, bringt dies das Risiko von Filterblasen mit sich. Filterblasen stellen „eine individuell zusammengestellte und vor allem solchermaßen sortierte Plattform- bzw. Medienseite“ dar, die Nutzer:innen „oftmals keine valide Aussage mehr über die überindividuelle gesellschaftliche Relevanz einer Thematik (,Titelseitenäquivalent‘), sondern nur noch über das eigene vorherige Informations(konsum)muster von (Mehrheits-)Meinungen“ bietet. Nutzer:innen transformierten sich „zu einer endlosen Zeitschleife ihrer selbst, zu ihrem immerwährenden Status quo.“

Wird das Microtargeting zum Bewerben einzelner Politiker:innen eingesetzt, lässt sich argumentieren, dass Wähler:innen keine informierte Entscheidung vor einer Wahl treffen können, wenn sie lediglich ein fragmentiertes Bild der Kandidierenden gezeigt bekommen. Selbes gilt, wenn Microtargeting von Parteien verwendet wird. Im schlimmsten Fall könnte Microtargeting im Kontext von Wahlen dazu führen, dass Wähler:innen nur noch in eine Richtung informiert werden und so den Blick für die gesellschaftliche Pluralität verlieren könnten, welcher für das Prinzip der Öffentlichkeit von Wahlen aus Art. 38 Abs. 1 S. 1 GG i.V.m. Art. 20 Abs. 1 und 2 GG jedoch unabdingbar ist. Denkbar ist dadurch auch, dass Microtargeting den Grundsatz der Freiheit der Wahl aus Art. 38 Abs. 1 GG untergräbt, wenn eine freie Information hierdurch erschwert wird.

Befürworter:innen von Microtargeting argumentieren, dass dies auch positiv verstärkend wirken könne. So sei denkbar, dass durch gezielte Kampagnen die Wahlbeteiligung steige. Würde es gelingen, isoliert Personen zu bewerben, die gewöhnlich kein gesteigertes Interesse an Politik aufweisen und auch ihr Wahlrecht nicht ausüben, könnte dies dazu führen, dass diese Personen von dem Gang zur Wahlurne überzeugt werden könnten. Eine ähnliche Logik steckte hinter dem „I Voted Button“ von Facebook, mit dem Nutzer:innen ihren Kontakten oder der ganzen Welt mitteilen konnten, dass sie gewählt hatten. Die Aktion konnte die Wahlbeteiligung von Facebook-Nutzer:innen tatsächlich steigern. Verwenden Befürworter:innen von Microtargeting dies als Pro-Argument, übersehen sie jedoch das erhebliche Risiko, welches mit dieser potentiellen Möglichkeit einher geht. Über die Möglichkeit einzelne Wähler:innengruppen zu mobilisieren, entscheiden dann letztendlich die sog. Gatekeeper, das heißt Plattformen wie Facebook, Instagram, X (Twitter) oder TikTok. Unabhängig von der Frage, ob die Annahme, Nichtwähler:innen ließen sich durch Microtargeting mobilisieren, zutrifft, ist die Frage zu stellen, ob digitale Plattformen über die Fähigkeit einer solchen partiellen Mobilisierung verfügen sollten. Diese Frage kann im Rahmen dieser Ausarbeitung nicht beantwortet werden und ist vorrangig eine politische, keine juristische. Dass Nutzer:innendaten die Möglichkeit zu Microtargeting bieten und diese Technologie wie zuvor beschrieben genutzt werden und so erhebliche Rsisiken bergen, muss jedoch auch für den Gegenstand dieser Arbeit und die Frage nach der Rechtmäßigkeit von Datenerhebungen zum Zweck personalisierter Werbung mitgedacht werden.

2. Desinformation

Die Funktionsweisen digitaler Dienste, die das Microtargeting ermögliche, stehen im direkten Zusammenhang mit dem Risiko der Desinformation. Die gezielte Ausrichtung von Werbung oder Botschaften an bestimmte Nutzer:innengruppen, birgt die Gefahr der Verbreitung von Desinformation. Durch die Analyse des Nutzer:innenverhaltens und deren Interessen können gezielt Falschinformationen an empfängliche Zielgruppen ausgespielt werden. Microtargeting ermöglicht es, gezielt bestimmte Nutzer:innengruppen mit individuell auf diese zugeschnittenen Botschaften zu erreichen. Durch die Analyse des Nutzer:innenverhaltens auf Social-Media-Plattformen können Profile erstellt und zielgerichtete Werbung oder auch Falschnachrichten ausgespielt werden. Dies birgt die Gefahr, dass Nutzer:innen in ihrer eigenen Filterblase isoliert und nur noch mit Informationen versorgt werden, die ihre bereits vorhandene Meinung bestätigen. Die Rationalität der öffentlichen Debatte wird dadurch abgeschwächt, eine sachliche Auseinandersetzung mit kontroversen Themen wird erschwert.

Insbesondere soziale Medien werden zunehmend für die gezielte Verbreitung von Falschnachrichten und Propaganda genutzt. Ein Beispiel ist die russische Internet Research Agency, die während des US-Wahlkampfs 2016 gezielt polarisierende Botschaften an Trump- Unterstützer auf Facebook adressierte. Auch während der Corona-Pandemie verbreiteten sich viele Falschinformationen und Verschwörungstheorien über Social Media, die gezielt an bestimmte Nutzer:innengruppen adressiert waren.

Die Risiken von Desinformation durch Microtargeting sind vielfältig. Es droht eine Polarisierung der Gesellschaft durch Filterblasen und eine Abschwächung der Rationalität in der öffentlichen Debatte. Auch die Beeinflussung demokratischer Wahlen und Prozesse ist denkbar. So wurde beispielsweise vor den Wahlen des Europäischen Parlaments im Jahr 2019 gezielt Desinformation verbreitet. Da die Europäische Kommission mit sozialen Plattformen zusammenarbeitete, um vor allem äußere Einflüsse zu vermeiden, konnten Beweise gesichert werden, die die Europäische Kommission als anhaltende Desinformationsaktivität durch russische Akteure bezeichnete, um sowohl die Wahlbeteiligung als auch Wahlentscheidungen zu beeinflussen.

Jüngst konnten Forscher:innen zudem nachweisen, dass über Facebook auch sog. Nanotargeting möglich ist, das heißt dass einzelne Personen gezielt angesprochen werden können. Bis 2018 konnten auf Facebook einzelne Zielgruppen aus 20 Personen werbend angesprochen werden. Nach massiver Kritik wurde diese Zahl auf 1.000 erhöht. Diese Größenordnung kann jedoch ganz einfach umgangen werden. Möglich gemacht wird die individuelle Ansprache mittels der Interessen, die Nutzer:innen über Facebook bekannt geben. Die Interessen bilden neben dem Geschlecht, Alter oder Wohnort der Nutzer:innen diejenigen Parameter, welche Werbende dann auswählen können, um zu bestimmen, wem ihre Werbung angezeigt werden soll. Den Forscher:innen gelang es, die Identität von 2.390 Facebook-Nutzer:innen ausschließlich mithilfe dieses Interessenparameters zu bestimmen. Die Identifikation konkreter Nutzer:innen auf Facebook kann bereits durch die Analyse von vier seltenen oder 22 willkürlichen Interessen erfolgen. Die Autor:innen verweisen darauf, dass die Risiken von Nanotargeting psychische Beeinflussung, Nutzer:innenmanipulation oder Erpressung sein können. Wenn nun also bereits das Microtargeting bei Facebook zur Verbreitung von Desinformation und der Beeinflussung von Entscheidungsträger:innen verwendet wird, ist dieses Risiko verstärkt im Rahmen des Nanotargetings vorhanden. So ist denkbar, dass gezielt einzelne Entscheidungsträger:innen mittels Nanotargeting angesprochen und beeinflusst werden. So hat die AfD über soziale Medien beispielsweise die Tätigkeit als Schöff:in bei ihren Anhänger:innen beworben, um sie für dieses Amt zu begeistern und so Einfluss auf gerichtliche Entscheidungen zu nehmen. Man stelle sich vor, die Einflussnahme auf Schöff:innen wäre mittels Nanotargetings während Prozessen noch gezielter möglich. In einigen Konstellationen könnte hierdurch die Gewalt der Judikative ausgehebelt werden, indem die Entscheidungsfreiheit von Richter:innen untergraben würde, welche in Art. 97 GG verfassungsrechtlich zementiert ist.

Sicherheitsbedenken

Die vielfältigen Möglichkeiten, die sich aus der umfassenden Datenwirtschaft sowie der personalisierten Ansprache von Nutzer:innen ergeben, sind mit einem gewissen Missbrauchsrisiko verbunden. Diese Korrelation wird in zwei Berichten der irischen Datenschutzorganisation ICCL aus dem Jahr 2023 evident. Demnach ergeben sich sowohl für die Europäische Union als auch für die USA ernsthafte Sicherheitsbedrohungen aus dem, für die Schaltung personalisierter Werbung notwendigen, Real Time Bidding. In den Berichten deckt ICCL auf, dass der Handel mit Daten, wie er beim RTB-Prozess erfolgt, auch kompromittierende, sensible Daten über Führungskräfte und Militärangehörige der USA und EU mit einschließt. Hierdurch würden diese den Risiken von Erpressung oder Hacking ausgesetzt, was die Sicherheit der jeweiligen Behörden und Staaten untergrabe. Explizit belegen die Berichte, dass Google über den RTB-Prozess gewonnene Daten auch nach Russland oder China übersendet.

Eine jüngst veröffentlichte Recherche von WIRED, dem Bayerischen Rundfunk und Netzpolitik.org verdeutlicht, dass aus den zu Werbezwecken erhobenen Daten detaillierte Profile von in Deutschland stationierten US-Militärs erstellt werden können. So ist beispielsweise die Erstellung von Bewegungsmustern möglich, aus denen die Wohnadresse von Soldat:innen, die Schulen ihrer Kinder, die Standorte von Flugzeugbunkern und Luftwaffenstützpunkten, inklusive solcher, in denen US-Atomwaffen gelagert werden, hervorgehen. Für die Recherche wurde ein Datensatz ausgewertet, der bei einem in den USA ansässigen Databroker erworben werden kann. Der Datensatz umfasst 3,6 Milliarden Standortdaten aus Deutschland von rund 11 Millionen verschiedenen Gerätekennungen, wobei sich diese lediglich auf einen Zeitraum von rund zwei Monaten Ende 2023 beziehen. Zu diesen im Datensatz enthaltenen Geräte gehörten zahlreiche in mutmaßlichen NSA- Überwachungs- oder Signalanalyseeinrichtungen, mehr als tausend Geräte auf einem weitläufigen US-Gelände, auf dem im Jahr 2023 ukrainische Truppen ausgebildet wurden, und fast 2.000 weitere auf einem Luftwaffenstützpunkt, der amerikanische Drohneneinsätze entscheidend unterstützt. Es ist somit nicht übertrieben, wenn kritisiert wird, dass aus dem Datenhandel zum Zwecke personalisierter Online-Werbung ein erhebliches Sicherheitsrisiko resultiert. Basierend auf den vorgenannten Rechercheergebnissen muss befürchtet werden, dass ausländische Regierungen diese Daten nutzen könnten, um Personen mit Zugang zu sensiblen Bereichen zu identifizieren. Terrorist:innen oder Kriminelle könnten entschlüsseln, wann US- Atomwaffen am wenigsten bewacht werden. Spion:innen und andere schädlichen Akteure könnten peinliche Informationen für Erpressungen nutzen.

Bewertung

Die expansive Datenwirtschaft zum Zweck personalisierter Online-Werbung ist folglich mit demokratiegefährdenden Risiken verbunden. Diese Aspekte sind im Rahmen dieser Ausarbeitung zu berücksichtigen. Bereits bei der Datenerhebung sowie der nachfolgenden Verarbeitung ist regelmäßig eine Interessenabwägungen oder Risikobewertungen vorzunehmen. Obgleich Daten häufig zu simplen Werbezwecken, beispielsweise Anzeigen für Konsumgüter von einzelnen Akteuren, erhoben werden, ermöglicht die Werbeindustrie bewusst auch Akteuren aus Drittstaaten sowie politischen Akteuren die Nutzung dieser Daten. Somit stellen Microtargeting, Desinformation und Sicherheitsbedenken keine Risiken dar, die ausschließlich politische Werbung oder lediglich die Regulierung von Intermediären betreffen. Sie müssen vielmehr bei der Beurteilung datenschutzrechtlicher Fragestellungen stets mitgedacht werden.

Zusammenfassende Bewertung der Risiken

Personalisierte Online-Werbung übt einen maßgeblichen Einfluss auf die digitale Ökonomie aus. Dabei hat die Werbestrategie einen Markt für die Nachfrage nach Rohdaten über Nutzer:innen geschaffen. Die erheblichen Mengen an Nutzer:innendaten, die für die Personalisierung von Werbung erforderlich sind, haben zur Etablierung umfangreicher Tracking-Technologien geführt, die in der Lage sind, das digitale Verhalten von Nutzer:innen lückenlos aufzuzeichnen. Für die weiteren Verarbeitungsprozesse hat sich eine digitale Werbebranche etabliert, in welcher diverse Akteure hoch komplexe Verarbeitungsprozesse vornehmen. Umfassende Nutzer:innenprofile werden angelegt, die nicht nur die Daten beinhalten, die Nutzer:innen durch ihr Verhalten offengelegt haben, sondern auch weitere Merkmale über Personen, die mittels hochkomplexer algorithmischer Analyseverfahren aus den Rohdaten abgeleitet werden. Dies erfolgt mit dem Ziel, personalisierte Online-Werbung zu ermöglichen. Im Rahmen der Versteigerung freier Werbeplätze werden diese Nutzer:innenprofile einer unbestimmten Anzahl von Akteuren eines Werbenetzwerkes offengelegt.

Die personalisierte Online-Werbung führt folglich zu einer Akkumulation von erstaunlichen Datenmengen und detaillierten Nutzer:innenprofilen. Des Weiteren eröffnet sie die Möglichkeit, Nutzer:innen individuell anzusprechen. Unter dem Deckmantel der Werbetreibenden kann nahezu jede Botschaft an einen potenziellen Interessentenkreis gebracht werden.

Die extensive Datenwirtschaft, welche hochkomplexe technische Verarbeitungsmethoden umfasst, birgt das Risiko, Diskriminierung zu ermöglichen oder zu fördern. Die hohe Nachfrage nach Rohdaten im personalisierten Werbemarkt hat dazu geführt, dass Unternehmen, die über den ersten und größten Zugriff auf derartige Daten verfügen, eine besonders mächtige Position einnehmen. Hierbei handelt es sich insbesondere um soziale Medien und Plattformen. Daher ist zu befürchten, dass diese Unternehmen ihre Macht missbrauchen könnten, beispielsweise indem sie die Nachfrage nach Daten für andere Märkte nutzen, wie bei der Entwicklung von KI-Systemen. Zudem ermöglicht die Technologie das Microtargeting bestimmter Nutzer:innengruppen und birgt daher das Risiko der Verbreitung von Desinformationen. Die genannten Risiken müssen bereits bei der Datenerhebung berücksichtigt werden, die der Erstellung personalisierter Online-Werbung dient. In diesem Zusammenhang ist zu untersuchen, ob die zuvor beschriebenen Verarbeitungsprozesse den Anforderungen des Datenschutzrechts genügen.

Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.

Mehlan, A. (2026). Hintergründe zur personalisierten Online-Werbung. In: Personalisierte Online-Werbung. Juridicum – Schriften zum Medien-, Informations- und Datenrecht.

Springer, Wiesbaden, 2025

https://doi.org/10.1007/978-3-658-49891-7_2

http://creativecommons.org/licenses/by/4.0/deed.de

Bei der Swiss Infosec AG arbeiten mehr als 50 Fachspezialistinnen und Fachspezialisten eng zusammen und verbinden ihre Kompetenzen zu massgeschneiderten Lösungen. Unsere Kombination von Recht, Technik und Organisation ist dabei einzigartig und neben unserer Erfahrung und Unabhängigkeit ein weiteres Alleinstellungsmerkmal.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12infosec@infosec.ch 

Weitere Datenschutz-Themen
Kategorie: Datenschutz

Das Gesetz zur Cyber-Resilienz als neues Paradigma für die Produktsicherheit

Ein Leitfaden zur Einhaltung der Vorschriften

04/2026

1 Einleitung

Die moderne Gesellschaft ist zunehmend von vernetzten digitalen Produkten abhängig, von intelligenten Haushaltsgeräten und Spielzeug bis hin zu Software für die industrielle Steuerung. Dennoch leiden solche Produkte seit langem unter unzureichender Cybersicherheit. So haben Hersteller beispielsweise häufig Geräte mit bekannten Schwachstellen auf den Markt gebracht oder unregelmäßige Sicherheitsupdates bereitgestellt, und den Nutzern fehlten angemessene Informationen, um die Sicherheitsmerkmale verschiedener Produkte zu vergleichen. Dieses Marktversagen hat zu weit verbreiteten Cybervorfällen geführt, wobei die weltweiten Kosten der Cyberkriminalität für das Jahr 2021 auf 5,5 Billionen Euro geschätzt werden. Bis vor kurzem schrieb das EU-Recht im Allgemeinen kein Mindestmaß an Cybersicherheit für Produkte vor, insbesondere nicht für eigenständige Softwareprodukte. Die Erkenntnis dieser regulatorischen Lücke veranlasste die EU zur Verabschiedung des Cyber Resilience Act (CRA), einer horizontalen Verordnung, die Hersteller verpflichtet, Cybersicherheitsmaßnahmen in das Produktdesign und die Wartung zu integrieren, analog zur Regulierung von Sicherheitsstandards für physische Produkte. Der CRA trat am 10. Dezember 2024 als Verordnung (EU) 2024/2847 in Kraft, und seine wichtigsten Verpflichtungen gelten nach einer Übergangsphase ab dem 11. Dezember 2027.

Der CRA zielt darauf ab, „sicherzustellen, dass Hardware- und Softwareprodukte mit weniger Schwachstellen auf den EU-Markt gebracht werden und dass Hersteller die Cybersicherheit während des gesamten Produktlebenszyklus ernst nehmen“, während gleichzeitig die Transparenz erhöht wird, damit Nutzer die Cybersicherheit bei ihren Entscheidungen berücksichtigen können. Tatsächlich schafft er ein neues öffentlich-rechtliches Paradigma für die Produktsicherheit, indem er Ex-ante-Anforderungen an die Cybersicherheit auferlegt, die durch die EU-Marktüberwachung und -Durchsetzung untermauert werden, anstatt sich allein auf die Ex-post-Haftung zu stützen. Dies stellt einen bedeutenden Wandel dar: Die Cybersicherheit von Produkten wird nun als eine Frage der Einhaltung von Vorschriften behandelt (ähnlich wie elektrische Sicherheit oder elektromagnetische Verträglichkeit), anstatt der Selbstregulierung der Industrie überlassen zu bleiben. Die CRA ergänzt andere EU-Initiativen zur Cybersicherheit (wie den Fokus der NIS2-Richtlinie auf die Betriebssicherheit von Diensten), indem sie sich mit der Sicherheit der Produkte selbst befasst. Für Hersteller, Importeure und Händler schafft die CRA spezifische Verpflichtungen und erfordert eine proaktive Compliance-Strategie. Dieser Artikel bietet einen Überblick über diese Verpflichtungen und einen Fahrplan für die praktische Umsetzung. Er erörtert zudem die Funktionsweise der Durchsetzungsmechanismen der CRA und die potenziellen strafrechtlichen Folgen bei Nichteinhaltung. Somit stellt er einen umfassenden Leitfaden für Akteure dar, die sich auf die Erfüllung der Anforderungen der CRA vorbereiten.

2 Anwendungsbereich und wesentliche Verpflichtungen gemäß dem CRA

2.1 Breiter Anwendungsbereich: „Produkte mit digitalen Elementen“

Das CRA gilt für die meisten Produkte, die Software oder Hardware enthalten und direkt oder indirekt mit einem Gerät oder Netzwerk verbunden werden können. Die Rechtsvorschrift definiert ein „Produkt mit digitalen Elementen“ als „ein Software- oder Hardwareprodukt und dessen Lösungen zur Fernverarbeitung von Daten, einschließlich Software- oder Hardwarekomponenten, die separat in Verkehr gebracht werden“. Diese weit gefasste Definition umfasst fast alle derartigen Produkte, die auf dem EU-Markt angeboten werden, von Gadgets des Internet der Dinge (IoT) für Verbraucher (Smart-TVs, Spielzeug, Kameras und Haushaltsgeräte) bis hin zu industrieller Software und Betriebssystemen. Bemerkenswert ist, dass sogar eigenständige Software einbezogen ist; dies schließt eine erhebliche Lücke, die im bisherigen Rechtsrahmen bestand. Es gibt begrenzte Ausnahmen: Produkte, die bereits ebenso strengen sektorspezifischen EU-Cybersicherheitsvorschriften unterliegen, sind ausgenommen, um Doppelregelungen zu vermeiden. So unterliegen beispielsweise Medizinprodukte, Luftfahrtausrüstung und „ “-Fahrzeuge eigenen Vorschriften, einschließlich Cybersicherheitsbestimmungen, und fallen daher im Rahmen der bestehenden Vorschriften nicht in den Anwendungsbereich der CRA. Ebenso ist freie und Open-Source-Software, die außerhalb kommerzieller Aktivitäten entwickelt oder bereitgestellt wird, ausgenommen; solche Software, die jedoch in kommerziellen Produkten verwendet wird, fällt unter die Anforderungen der CRA. Im Allgemeinen unterliegt jedes Unternehmen, das ein vernetztes Produkt oder Software in der EU verkauft oder vertreibt, wahrscheinlich der CRA, entweder als Hersteller oder als anderer Wirtschaftsakteur in der Lieferkette.

2.2 Pflichten der Hersteller hinsichtlich „Secure by Design“

Die CRA erlegt den Herstellern, die in erster Linie für die Produktkonformität verantwortlich sind, die umfangreichsten Verpflichtungen auf. Hersteller müssen sicherstellen, dass Produkte mit digitalen Elementen gemäß den in Anhang I der Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen entworfen, entwickelt und hergestellt werden. Diese grundlegenden Anforderungen umfassen sowohl technische als auch organisatorische Maßnahmen. In der Praxis bedeutet dies, dass Hersteller bereits ab der frühesten Entwurfsphase und während der gesamten Entwicklung modernste Sicherheitsfunktionen und Schutzmaßnahmen integrieren müssen. So verlangt die CRA beispielsweise ausdrücklich, dass Hersteller für jedes Produkt eine Cybersicherheits-Risikobewertung durchführen; diese Bewertung muss untersuchen, wie das Produkt bei seiner bestimmungsgemäßen Verwendung und in vernünftigerweise vorhersehbaren Verwendungskontexten missbraucht oder angegriffen werden könnte. Das Produkt muss auf der Grundlage dieser Risikobewertung so konstruiert werden, dass Cybersicherheitsrisiken minimiert und Vorfälle verhindert werden, wobei potenzielle Auswirkungen auf die Gesundheit, Sicherheit und Privatsphäre der Nutzer zu berücksichtigen sind. Im Wesentlichen bedeutet dies, dass Sicherheitsaspekte die Entscheidungen beim Software- und Hardware-Design bestimmen müssen (sichere Softwareentwicklungspraktiken, starke Authentifizierungskontrollen, sichere Standardkonfigurationen usw.), sowohl um Schwachstellen zu reduzieren als auch um den durch verbleibende Schwachstellen verursachten Schaden zu mindern.

Ein von der CRA eingeführter Kerngrundsatz lautet, dass kein Produkt mit einer bekannten ausnutzbaren Schwachstelle auf den Markt gebracht werden darf. Dies schafft einen rechtlichen Anreiz für Hersteller, vor der Produktfreigabe gründliche Tests durchzuführen und bekannte Sicherheitsmängel zu beheben (z. B. durch Patches oder Designänderungen). Darüber hinaus müssen Hersteller Richtlinien und Verfahren für den Umgang mit Schwachstellen implementieren, die möglicherweise zu einem späteren Zeitpunkt im Produktlebenszyklus entdeckt werden. Anhang I (Teil 2) der CRA schreibt vor, dass Hersteller Prozesse einrichten müssen, um Schwachstellen in ihren Produkten kontinuierlich zu überwachen, zu identifizieren und zu beheben. Dazu gehört auch die Fähigkeit, Sicherheitsupdates zeitnah an die Nutzer zu verteilen. Die CRA schreibt keine genauen technischen Maßnahmen vor, sondern entscheidet sich für einen risikobasierten Ansatz, verankert jedoch das Konzept von „Security by Design“ und „Security by Default“ als gesetzliche Verpflichtung. Wenn ein Produkt beispielsweise Komponenten von Drittanbietern oder Open-Source-Bibliotheken enthält, ist der Hersteller dafür verantwortlich, sicherzustellen, dass diese Komponenten die Gesamtsicherheit des Produkts nicht beeinträchtigen. Er sollte solche Komponenten auf Schwachstellen überprüfen und auf dem neuesten Stand halten, was eine Sorgfaltspflicht widerspiegelt, die sich auf die Lieferkette erstreckt.

2.3 Transparenz des Lebenszyklus und Benutzerinformationen

Im Gegensatz zu traditionellen Produktsicherheitsgesetzen verfolgt die CRA einen expliziten Produktlebenszyklusansatz in Bezug auf Cybersicherheit. Hersteller müssen einen Supportzeitraum festlegen und bekanntgeben, während dessen sie Sicherheitsupdates für das Produkt bereitstellen. Diese Dauer sollte auf der Grundlage der erwarteten Lebensdauer und Nutzung des Produkts festgelegt werden (unter Berücksichtigung von Faktoren wie der Betriebsumgebung und der Kritikalität des Produkts). Wichtig ist, dass der Hersteller dokumentieren muss, wie die Dauer des Supportzeitraums festgelegt wurde, und auf Anfrage der Regulierungsbehörden die Gründe für diese Entscheidung darlegen muss (damit wird effektiv ein Rechenschaftsprinzip in die Produktsicherheit eingeführt). Die Nutzer sollten darüber informiert werden, wie lange sie mit Sicherheitsunterstützung rechnen können. Die CRA- e erhöht somit die Transparenz hinsichtlich der Sicherheitseigenschaften von Produkten und ermöglicht es Verbrauchern und Unternehmen, fundierte Entscheidungen zu treffen. Darüber hinaus müssen den Produkten klare Sicherheitsanweisungen beiliegen, beispielsweise Leitlinien zur sicheren Konfiguration, zu Standardpasswörtern und zur Meldung von Schwachstellen.

2.4 Technische Dokumentation und Aufbewahrung von Unterlagen

Um die Überprüfung der Einhaltung der Vorschriften zu erleichtern, sind Hersteller verpflichtet, für jedes Produkt eine umfassende technische Dokumentation zu erstellen (gemäß Artikel 31 und Anhang VII der CRA). Dazu gehören die Dokumentation der Cybersicherheits-Risikobewertung, Einzelheiten zur Produktkonstruktion und zu den Sicherheitsvorkehrungen, die zur Erfüllung jeder grundlegenden Anforderung getroffen wurden, Prüfberichte, Verfahren zum Umgang mit Schwachstellen und vieles mehr. Die Dokumentation, die als Nachweis dafür dient, dass das Produkt die Anforderungen der CRA erfüllt, muss auf dem neuesten Stand gehalten und den Behörden auf Anfrage zur Verfügung gestellt werden, auch nachdem das Produkt in Verkehr gebracht wurde (für die voraussichtliche Lebensdauer des Produkts). Diese Verpflichtung steht im Einklang mit dem neuen Rechtsrahmen der EU für die Produktkonformität und bekräftigt das Konzept, dass Cybersicherheit in regulatorischer Hinsicht mittlerweile ebenso entscheidend ist wie Sicherheit oder elektromagnetische Verträglichkeit.

2.5 Pflichten von Importeuren und Händlern

Die CRA dehnt bestimmte Konformitätspflichten auf andere Wirtschaftsakteure in der Lieferkette aus, um „Schwachstellen“ zu vermeiden. Importeure (d. h. diejenigen, die Produkte von außerhalb der EU einführen) müssen vor dem Inverkehrbringen eines Produkts auf dem EU-Markt die gebotene Sorgfalt walten lassen. Konkret muss der Importeur überprüfen, ob der Hersteller eine angemessene Konformitätsbewertung durchgeführt hat, ob das Produkt mit der CE-Kennzeichnung versehen ist und ob das Produkt mit der erforderlichen EU-Konformitätserklärung (DoC) und Sicherheitshinweisen ausgestattet ist. Der Importeur muss außerdem sicherstellen, dass der Hersteller die erforderliche technische Dokumentation erstellt hat und dass diese den Behörden auf Anfrage vorgelegt werden kann. Kurz gesagt dienen Importeure als zusätzliche Kontrollinstanz, um nicht konforme Produkte auszusortieren und zu verhindern, dass sie auf den EU-Markt gelangen. Händler (d. h. diejenigen, die Produkte innerhalb der EU verkaufen) haben etwas geringere Verpflichtungen, müssen aber ebenfalls mit der gebotenen Sorgfalt handeln. So muss ein Händler beispielsweise überprüfen, ob Produkte die CE-Kennzeichnung tragen und mit den entsprechenden Unterlagen (der Konformitätserklärung sowie Benutzer- und/oder Sicherheitsinformationen) versehen sind, bevor er sie zum Verkauf anbietet. Wenn Importeure oder Händler feststellen, dass ein Produkt nicht den Anforderungen der CRA entspricht (z. B. weil die CE-Kennzeichnung fehlt oder eine bekannte Schwachstelle vorliegt), dürfen sie es nicht verkaufen und sollten den Hersteller oder gegebenenfalls die Behörden informieren. Darüber hinaus übernehmen Importeure und Händler bestimmte Meldepflichten: Wenn sie Kenntnis von einer Schwachstelle oder einem Cybersicherheitsvorfall im Zusammenhang mit dem Produkt erhalten, müssen sie den Hersteller (und in einigen Fällen die Aufsichtsbehörden) unverzüglich informieren. Dies stellt sicher, dass Informationen über Risiken an diejenigen weitergeleitet werden, die diese beheben können; außerdem wird so die gesamte Lieferkette in das Resilienzparadigma einbezogen.

2.6 Meldepflichten bei Sicherheitslücken

Neben der Prävention und dem Management von Schwachstellen führt die CRA ein obligatorisches Meldesystem für Cybersicherheitslücken und -vorfälle ein. Hersteller müssen die nationalen Behörden und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) über jede aktiv ausgenutzte Schwachstelle in ihrem Produkt oder jeden Vorfall, der erhebliche Auswirkungen auf die Sicherheit des Produkts hat, innerhalb von 24 Stunden nach Bekanntwerden benachrichtigen. Diese knappe Frist („unverzüglich und in jedem Fall innerhalb von 24 Stunden“) spiegelt die Dringlichkeit von Cybersicherheitsbedrohungen wider. Die Erstmeldung soll eine Beschreibung des Problems und vorläufige Abhilfemaßnahmen enthalten. Darüber hinaus sind die Hersteller verpflichtet, in der Regel innerhalb von 72 Stunden einen detaillierteren Folgebericht und innerhalb eines Monats (bei einem schwerwiegenden Vorfall) oder innerhalb von 14 Tagen im Falle einer aktiv ausgenutzten Schwachstelle einen abschließenden Vorfallbericht vorzulegen. Sie müssen zudem die Nutzer über solche Vorfälle oder Schwachstellen informieren und bei Bedarf Anweisungen zur Risikominderung oder Patches bereitstellen. Die ENISA wird ein zentrales Meldesystem (eine „einheitliche Meldeplattform“ gemäß Artikel 16 der CRA) betreiben, um diese Meldungen zu straffen. Insbesondere wenn ein Hersteller eine Schwachstelle in einer von ihm verwendeten Komponente (z. B. einer Open-Source-Bibliothek oder einem Modul eines Drittanbieters) entdeckt, verpflichtet die CRA ihn, diese Schwachstelle dem Entwickler oder Betreuer der Komponente zu melden und ihm alle verfügbaren Korrekturen zur Verfügung zu stellen. Diese innovative Anforderung fördert die Zusammenarbeit in der Lieferkette und stellt sicher, dass die für die Komponente Verantwortlichen Korrekturmaßnahmen ergreifen können, was allen Produkten zugutekommt, die auf dieser Komponente basieren. Zusammenfassend zielen die im CRA festgelegten Meldepflichten darauf ab, ein Frühwarn- und Reaktionssystem für Produktsicherheitsprobleme zu schaffen, damit die Behörden ihre Maßnahmen koordinieren und die Nutzer gewarnt werden können; dies ähnelt der Vorgehensweise bei Datenschutzverletzungen im Rahmen der Vorschriften zum Schutz personenbezogener Daten. Diese Pflichten spiegeln auch die Tatsache wider, dass Cybersicherheit zu einer Angelegenheit von öffentlichem Interesse und öffentlicher Sicherheit geworden ist und nicht mehr nur ein privates Anliegen darstellt.

3 Risikobasierte Einstufung und Konformitätsbewertung

Ein Eckpfeiler der CRA ist ihr risikobasierter Ansatz zur Einhaltung der Vorschriften, durch den die Strenge der Konformitätsbewertungsverfahren auf das vom Produkt ausgehende Cyberrisiko zugeschnitten wird. Im Einklang mit dem neuen Rechtsrahmen der EU müssen alle Produkte mit digitalen Elementen vor dem Inverkehrbringen einer angemessenen Konformitätsbewertung unterzogen werden, um zu überprüfen, ob sie die grundlegenden Anforderungen der CRA erfüllen. Die CRA legt mehrere Produktklassen fest, die deren Kritikalitätsgrad widerspiegeln, und weist entsprechend unterschiedliche Bewertungswege zu.

Gemäß dem endgültigen Text fallen die meisten Produkte in eine „Standardkategorie“ (normales Risiko), für die Hersteller die Konformität selbst bewerten dürfen. Diese Selbstbewertung bedeutet in der Regel, dass sie Modul A (interne Fertigungskontrolle) der Entscheidung Nr. 768/2008/EG befolgen sollten, bei dem der Hersteller intern überprüft, ob das Produkt die Anforderungen erfüllt, ohne dass eine Bewertung durch einen Dritten erfolgt. Dies dürfte den Großteil der Verbraucher- und Unternehmensprodukte abdecken. Die CRA definiert jedoch auch „wichtige“ Produkte (unterteilt in die Klassen I und II) sowie eine kleine Gruppe „kritischer“ Produkte, die höhere inhärente Cybersicherheitsrisiken aufweisen (zum Beispiel Betriebssysteme, Passwortmanager und bestimmte IoT-Sicherheitskomponenten). Welche Produkttypen genau als „wichtig“ der Klasse I, „wichtig“ der Klasse II und „kritisch“ eingestuft werden, wird im Rahmen eines Durchführungsrechtsakts näher festgelegt (die Kommission wurde beauftragt, diese Kategorien innerhalb von 12 Monaten nach Inkrafttreten der CRA zu spezifizieren). Im Allgemeinen gilt: Je höher die Klasse, desto strenger ist die Konformitätsbewertung.

3.1 Standardkategorie

Hersteller können zwischen einer Selbstbewertung und einer Bewertung durch Dritte (wie einer EU-Baumusterprüfung oder einem zertifizierten Cybersicherheitssystem) wählen. Bei den meisten typischen Geräten ist es wahrscheinlich, dass Hersteller den Weg der Selbstbewertung wählen, der die Erstellung der technischen Dokumentation und einer EU-Konformitätserklärung erfordert, aber standardmäßig keinen externen Prüfer einbezieht.

3.2 Wichtige Produkte der Klasse I

Hierbei handelt es sich um Produkte mit höherem Risiko (die möglicherweise kritische Sektoren oder sensible Daten betreffen), jedoch nicht um solche der allerhöchsten Risikostufe. Bei Produkten der Klasse I ist eine Selbstbewertung nur zulässig, wenn der Hersteller bestimmte anerkannte Cybersicherheitsstandards oder -spezifikationen anwendet. In der Praxis kann der Hersteller eines Produkts der Klasse I eine Bewertung durch Dritte vermeiden, wenn er sich vollständig an harmonisierte europäische Normen (die für die Anforderungen der CRA entwickelt werden) oder von der Europäischen Kommission herausgegebene „Common “-Spezifikationen hält oder wenn das Produkt im Rahmen eines EU-Zertifizierungssystems für Cybersicherheit zertifiziert ist. Der Grund dafür ist, dass die Verwendung von Normen oder Zertifizierungen eine zusätzliche Sicherheitsebene bietet. Verwendet der Hersteller solche Normen und/oder Zertifizierungen nicht, muss eine benannte Stelle hinzugezogen werden (z. B. durch eine EU-Baumusterprüfung des Produkts oder ein Audit des Qualitätsmanagementsystems). Somit drängt diese Klassifizierung die Hersteller effektiv dazu, modernste Standards anzuwenden, oder erfordert Prüfungen durch Dritte.

3.3 Wichtige und kritische Produkte der Klasse II

Für Produkte in den Kategorien mit dem höchsten Risiko ist eine Selbstbewertung überhaupt nicht zulässig. Der Hersteller muss sich einer Konformitätsbewertung durch eine (benannte) dritte Stelle unterziehen, unabhängig davon, welche Normen angewendet wurden. In der Regel würde dies entweder eine EU-Baumusterprüfung oder ein formelles Audit-/Zertifizierungsverfahren für die Sicherheit des Produkts beinhalten. Die Einbeziehung unabhängiger, akkreditierter Experten soll eine objektive Bewertung von Produkten gewährleisten, bei denen eine Kompromittierung sehr schwerwiegende Folgen haben könnte (z. B. Komponenten kritischer Infrastrukturen oder zentrale Softwaresysteme). Die einzige eng gefasste Ausnahme von den Anforderungen für Produkte dieser Hochrisikostufe gilt für Open-Source-Produkte, die der Definition eines „wichtigen Produkts“ entsprechen; wenn der Quellcode und die technische Dokumentation für das Produkt veröffentlicht werden, gestattet die CRA dem Hersteller die Nutzung des internen Selbstbewertungsverfahrens. Diese Ausnahme wurde eingeführt, um Open-Source-Projekte nicht übermäßig zu belasten, und beruht auf der Idee, dass Transparenz die Überprüfung durch die Community als alternative Sicherheitsmaßnahme ermöglicht. Ansonsten benötigen wichtige und kritische Produkte der Klasse II eine Zulassungsbescheinigung einer benannten Stelle, bevor sie das CE-Zeichen tragen dürfen.

3.4 Nach dem Bewertungsverfahren

Nach Abschluss des entsprechenden Konformitätsbewertungsverfahrens müssen Hersteller eine EU-Konformitätserklärung erstellen und das CE-Zeichen auf dem Produkt anbringen. Das CE-Zeichen bedeutet, dass das Produkt allen geltenden EU-Rechtsvorschriften entspricht, zu denen nun gemäß der CRA auch die Cybersicherheit gehört. Wichtig ist, dass der Hersteller, wenn ein Produkt mehreren EU-Rechtsvorschriften unterliegt (z. B. ein Medizinprodukt, das sowohl medizinische Vorschriften als auch die Cyber-Anforderungen der CRA erfüllen muss), eine einzige Konformitätserklärung erstellen kann, die alle relevanten Rechtsvorschriften abdeckt, und das CE-Zeichen die Konformität mit allen relevanten Rechtsvorschriften abdeckt. Durch die Forderung nach einer CE-Kennzeichnung für Cybersicherheit nutzt die CRA die bestehende Infrastruktur zur Konformitätssicherung; Wirtschaftsakteure und Marktüberwachungsbehörden sind bereits mit der Überprüfung von CE-gekennzeichneten Produkten vertraut. Die CRA ändert zudem die Verordnung (EU) 2019/1020 über die Marktüberwachung, um Cybersicherheit in ihren Anwendungsbereich aufzunehmen, und integriert damit die Durchsetzung der Cybersicherheit in das etablierte EU-System zur Produktkonformität.

Hersteller sollten sich bewusst sein, dass Normen eine entscheidende Rolle bei der Erleichterung der Konformität spielen werden. Es wird erwartet, dass die Europäische Kommission und die europäischen Normungsorganisationen (CEN/CENELEC/ETSI) harmonisierte Normen für die grundlegenden Anforderungen der CRA entwickeln. Produkte, die im Einklang mit solchen Normen entwickelt wurden, können von einer Konformitätsvermutung profitieren (was sowohl die Selbstbewertung als auch die Zertifizierung durch Dritte erleichtert). In Bereichen, in denen Normen noch nicht vorliegen oder unzureichend sind, kann die Kommission gemeinsame Spezifikationen herausgeben. Dabei handelt es sich im Wesentlichen um technische Anforderungen, die im Amtsblatt veröffentlicht werden und denen Hersteller folgen können, um die gesetzlichen Vorgaben zu erfüllen. Dieser Mechanismus wird sicherstellen, dass die hohen Anforderungen der CRA in konkrete technische Maßstäbe (Verschlüsselungsstärke, sichere Programmierpraktiken usw.) umgesetzt werden, anhand derer Produkte bewertet werden können. Unternehmen sollten sich daher weiterhin an der Entwicklung von Standards beteiligen und planen, die technischen Standards, sobald sie verfügbar sind, in ihre Compliance-Roadmap aufzunehmen.

4 Marktüberwachungs- und Durchsetzungsmechanismen

Die Gewährleistung der Einhaltung der CRA obliegt den nationalen Marktüberwachungsbehörden, bei denen es sich um Stellen handelt, die befugt sind, Produkte auf dem Markt zu überwachen und EU-Produktvorschriften durchzusetzen. Jeder Mitgliedstaat muss mindestens eine solche Behörde für diese Aufgabe benennen (bei der es sich um eine bestehende Behörde handeln kann, beispielsweise die nationale Cybersicherheitsagentur oder die Verbraucherschutzbehörde). Diese Behörden verfügen sowohl nach der CRA als auch nach der Verordnung (EU) 2019/1020 über eine Reihe von Ermittlungs- und Abhilfebefugnissen zur allgemeinen Marktüberwachung. Sie können proaktive Inspektionen oder Audits durchführen, beispielsweise indem sie technische Unterlagen von Herstellern anfordern, um zu überprüfen, ob die für ein Produkt gemachten Sicherheitsangaben belegt sind. Die CRA fördert ausdrücklich koordinierte Marktkontrollen („Sweeps“), bei denen Behörden in der gesamten EU bestimmte Produktkategorien gleichzeitig auf die Einhaltung der Cybersicherheitsvorschriften überprüfen. Diese sollen systemische Probleme aufdecken (beispielsweise einen Trend zu billigen IoT-Geräten ohne grundlegende Verschlüsselung) und eine einheitliche Durchsetzung im gesamten Binnenmarkt gewährleisten.

Stellt eine Marktüberwachungsbehörde fest, dass ein Produkt mit digitalen Elementen nicht der CRA entspricht – sei es aufgrund der Nichteinhaltung wesentlicher Anforderungen, einer fehlerhaften CE-Kennzeichnung oder unzureichender Dokumentation –, kann sie den verantwortlichen Wirtschaftsakteur auffordern, die Nichtkonformität oder das Risiko innerhalb einer bestimmten Frist zu beheben. Dies kann die Veranlassung eines Rückrufs oder die Bereitstellung eines Sicherheitspatches oder die Herstellung der Konformität des Produkts auf andere Weise beinhalten. In schwerwiegenden Fällen können die Behörden das Inverkehrbringen des Produkts verbieten oder einschränken. Wenn beispielsweise ein Smart-Gerät eine nicht behebbare kritische Schwachstelle aufweist, die Nutzer einem Schaden aussetzt, könnte eine Behörde den Rückruf dieses Modells vom EU-Markt anordnen. Solche Maßnahmen müssen in einem angemessenen Verhältnis zu dem bestehenden Risiko stehen. Die CRA sieht auch einen Mechanismus für die grenzüberschreitende Koordinierung vor: Wenn die Behörde eines Landes aufgrund eines Cybersicherheitsrisikos Maßnahmen gegen ein Produkt ergreift, muss sie die Europäische Kommission und die anderen Mitgliedstaaten darüber informieren. Die Kommission kann die Maßnahme dann prüfen, insbesondere wenn der Hersteller sie anficht, um sicherzustellen, dass keine ungerechtfertigten Handelshemmnisse bestehen. Dies ähnelt dem in den Produktsicherheitsvorschriften verwendeten Schutzklauselverfahren der Union, das eine harmonisierte EU-weite Reaktion auf unsichere Produkte gewährleisten soll.

4.1 Verwaltungsstrafen

Zusätzlich zu Abhilfemaßnahmen drohen Unternehmen bei Verstößen gegen die CRA potenziell erhebliche Geldbußen. Die CRA verpflichtet die Mitgliedstaaten, Vorschriften über Sanktionen (Verwaltungsstrafen) für Verstöße festzulegen, die „wirksam, verhältnismäßig und abschreckend“ sein müssen. Wichtig ist, dass die Verordnung aus Gründen der Einheitlichkeit Höchststrafen festlegt, die nationale Gesetze nicht überschreiten dürfen. Bei den schwerwiegendsten Verstößen – d. h. der Nichteinhaltung wesentlicher Cybersicherheitsanforderungen oder dem Inverkehrbringen von Produkten mit bekannten ausnutzbaren Schwachstellen – können die Geldbußen bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Unternehmens betragen, je nachdem, welcher Betrag höher ist. Dies entspricht der Bußgeldstruktur der Datenschutz-Grundverordnung und spiegelt die hohe Priorität wider, die die EU der Cybersicherheit beimisst. Bei anderen Verstößen (z. B. der Nichteinhaltung administrativer Verpflichtungen wie Dokumentations- oder Berichtspflichten) sind die Höchststrafen etwas niedriger und betragen bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes. Diese Obergrenzen schaffen eine gemeinsame Grundlage für alle Mitgliedstaaten, wobei jedes Land selbst entscheiden kann, wie die Geldbußen umgesetzt werden, wobei einige möglicherweise einen abgestuften Ansatz oder eine Einzelfallprüfung innerhalb dieser Grenzen anwenden. Bei der Festsetzung der Höhe der Geldbuße für einen bestimmten Verstoß sollten die Behörden Faktoren berücksichtigen, darunter die Art und Schwere des Verstoßes, die Größe und den Marktanteil des Unternehmens, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde, sowie etwaige mildernde Maßnahmen. Dieser Ansatz spiegelt die differenzierte, verhältnismäßige Strafbemessung wider, die im Datenschutz- und Wettbewerbsrecht angewendet wird.

Bemerkenswert ist, dass die CRA den Mitgliedstaaten auch erlaubt, Bußgeldeinnahmen für Cybersicherheitsinitiativen (z. B. die Finanzierung von Sicherheitsforschung oder -schulungen) zu verwenden, was eine politische Entscheidung für die Reinvestition in die Widerstandsfähigkeit der Informations- und Kommunikationstechnologie ( ) verdeutlicht. Unternehmen sollten diese potenziellen Geldbußen als ernstzunehmenden Anreiz zur Einhaltung der Vorschriften betrachten, da eine Geldbuße am oberen Ende der Skala finanziell verheerende Folgen haben könnte. Zusätzlich zu direkten Geldbußen kann die Nichteinhaltung von Vorschriften Konsequenzen wie Reputationsschäden, vorgeschriebene öffentliche Warnungen an Kunden oder die Kosten für den Austausch oder die Fehlerbehebung von Produkten unter behördlicher Aufsicht nach sich ziehen.

4.2 Strafrechtliche Auswirkungen

Obwohl die CRA in erster Linie durch das Verwaltungsrecht durchgesetzt wird, können ihre Anforderungen und das dadurch geschaffene öffentlich-rechtliche Paradigma in Extremfällen auch die strafrechtliche Haftung beeinflussen. Die Verordnung selbst schafft keine neuen Straftatbestände auf EU-Ebene; die Durchsetzung erfolgt durch Verwaltungsmaßnahmen und Geldbußen. Die Mitgliedstaaten können jedoch bestimmte Formen der Nichteinhaltung unter Strafe stellen oder die in der CRA festgelegten Pflichten in bestehende Strafgesetze aufnehmen. So kann beispielsweise in mehreren Rechtsordnungen das wissentliche Inverkehrbringen unsicherer Produkte oder die Fälschung von Konformitätsdokumenten (wie CE-Zertifizierungen) nach nationalem Recht eine Straftat (Betrug oder Gefährdung) darstellen. So könnten beispielsweise die Forderung der CRA, dass Produkte frei von bekannten ausnutzbaren Schwachstellen sein müssen, und die Anforderung, dass sie keine Gefahr für die Nutzer darstellen dürfen, als Festlegung eines Sorgfaltsstandards ausgelegt werden. Wenn ein Hersteller diesen Standard grob missachtet und den Nutzern dadurch Schaden entsteht (beispielsweise wenn eine kritische Schwachstelle zu einem katastrophalen cyber-physischen Vorfall führt, der Verletzungen oder erheblichen wirtschaftlichen Schaden verursacht), könnten Staatsanwälte Anklage nach allgemeinen Strafgesetzen wie Fahrlässigkeit oder Gefährdung von Verbrauchern erheben. Nationale Produktsicherheitsgesetze enthalten oft Strafbestimmungen für schwere Verstöße; so sieht beispielsweise das deutsche Produktsicherheitsgesetz vor, dass vorsätzliche oder grob fahrlässige Verstöße gegen Sicherheitspflichten, sofern diese eine Gefahr für Leib und Leben darstellen, mit Geld- oder Freiheitsstrafen geahndet werden können. Ein ähnlicher Ansatz könnte auf die Cybersicherheit angewendet werden: Wenn die Missachtung der Cybersicherheit durch ein Unternehmen (in Form eines Verstoßes gegen das CRA) zu Personen- oder Vermögensschäden führt, könnten die verantwortlichen Führungskräfte einer strafrechtlichen Haftung wegen Fahrlässigkeit ausgesetzt sein (z. B. wegen fahrlässiger Körperverletzung oder sogar fahrlässiger Tötung gemäß §§ 222, 229 StGB). Tatsächlich verbindet das CRA Cybersicherheit ausdrücklich mit Produktsicherheit, da die Unsicherheit eines Produkts unmittelbar zu physischen Gefahren führen kann (man denke an ein gehacktes medizinisches Gerät oder ein autonomes Fahrzeug). Die Nichteinhaltung der Anforderungen des CRA könnte daher von Gerichten als Verletzung der von Herstellern erwarteten Sorgfaltspflicht angesehen werden, was die Argumentation für Fahrlässigkeit in zivil- oder strafrechtlichen Verfahren stützen würde.

Zumindest könnten einzelne Führungskräfte persönlich haftbar gemacht werden, wenn festgestellt wird, dass sie die Einhaltung der Vorschriften vorsätzlich ignoriert haben. In einigen Rechtsordnungen wird die Möglichkeit diskutiert, Vorstände für schwerwiegende Cybersicherheitsmängel zur Verantwortung zu ziehen. So sieht beispielsweise das entsprechende britische Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur (Product Security and Telecommunications Infrastructure Act) in bestimmten Fällen eine Haftung der Vorstände bei Nichteinhaltung vor. Obwohl die CRA dies den Mitgliedstaaten überlässt, stellte das Weltwirtschaftsforum fest, dass die Strafen in einigen Ländern „Freiheitsstrafen und Geldbußen“ umfassen, was darauf hindeutet, dass Europa beabsichtigt, Cybersicherheitsverpflichtungen mit der ganzen Härte des Gesetzes durchzusetzen. Unternehmen sollten die Einhaltung der CRA daher nicht nur als reine Abhakübung betrachten, sondern als Teil ihrer grundlegenden Pflicht zur Gewährleistung der Produktsicherheit. Aus strafrechtlicher Sicht könnte der Nachweis einer sorgfältigen Einhaltung (z. B. die Durchführung ordnungsgemäßer Sicherheitstests sowie die umgehende Behebung und Meldung von Problemen) eine starke Verteidigung darstellen, falls doch etwas schiefgeht, da dies zeigen würde, dass keine strafbare Fahrlässigkeit vorlag. Umgekehrt könnte ein eklatanter Verstoß gegen die Vorschriften in Verfahren nach einem schwerwiegenden Vorfall als Beweis für Leichtsinn oder grobe Fahrlässigkeit herangezogen werden. Zusammenfassend lässt sich sagen, dass die tägliche Durchsetzung der CRA zwar administrativer Natur sein wird, die Möglichkeit einer strafrechtlichen Haftung für Cybersicherheitsmängel jedoch einen zusätzlichen Anreiz für die Unternehmensleitung darstellt, eine Kultur der Sicherheit und Compliance zu fördern.

5 Umsetzung der Compliance in der Praxis: ein Fahrplan

Die Anpassung an die CRA erfordert von Herstellern und anderen Unternehmen, die Cybersicherheits-Compliance in ihre Produktentwicklungs- und Governance-Prozesse zu integrieren. Nachfolgend finden Sie einen praktischen Fahrplan, der die wichtigsten Schritte und bewährten Verfahren hervorhebt, die bei der Umsetzung der CRA-Compliance über den gesamten Produktlebenszyklus hinweg zu befolgen sind.

5.1 Bestandsaufnahme und Produktumfang

Unternehmen sollten zunächst ermitteln, welche ihrer Produkte (Hardwaregeräte, Software, Firmware usw.) in den Anwendungsbereich der CRA fallen. Praktisch alle vernetzten Produkte fallen darunter, doch ist eine Bestandsaufnahme unerlässlich. Dazu muss der Verwendungszweck und die Konnektivität jedes Produkts ermittelt werden, um dessen voraussichtliche Einstufung (Standard, wichtig oder kritisch) abzuschätzen. Beispielsweise fällt ein IoT-Gerät für Endverbraucher wahrscheinlich in die Standardklasse, während ein industrielles Steuerungssystem oder ein Netzwerkrouter durchaus als wichtig oder kritisch eingestuft werden kann. Unternehmen sollten zudem prüfen, ob ein Produkt aufgrund sektorspezifischer Vorschriften ausgenommen sein könnte (wenn das Unternehmen beispielsweise Medizinprodukte herstellt, sollte es prüfen, wie sich die CRA und medizinische Vorschriften gegenseitig beeinflussen).

5.2 Governance und Fachwissen

Die Einhaltung der CRA ist nicht nur eine technische, sondern auch eine rechtliche und organisatorische Angelegenheit. Unternehmen sollten ein internes Compliance-Team oder eine Arbeitsgruppe einrichten, der Produktsicherheitsingenieure, Rechts- und/oder Regulierungsberater sowie Produktmanager angehören. Dieses Team wird Risikobewertungen, die Dokumentation und Konformitätsverfahren überwachen. Wenn das interne Fachwissen begrenzt ist, ist es ratsam, externe Berater hinzuzuziehen oder Mitarbeiter in Cybersicherheitsstandards zu zertifizieren. Die Unternehmensleitung sollte ihr Engagement für die Cybersicherheit von Produkten signalisieren, da die Einhaltung der CRA wahrscheinlich die Zuweisung von Budgets und Ressourcen erfordert (z. B. für neue Testtools, Schulungen oder die Einstellung von Sicherheitsexperten). Eine frühzeitige Zuweisung von Verantwortlichkeiten – beispielsweise welche Personen mit der benannten Stelle interagieren und die Meldung von Schwachstellen bearbeiten – wird den Weg zur Konformität ebnen.

5.3 Integration von „Secure by Design“

Hersteller müssen die Prinzipien von „Secure by Design“ in ihren Produktentwicklungszyklus integrieren. Dies bedeutet, dass die Designprotokolle aktualisiert werden müssen, um sie an die grundlegenden Anforderungen der CRA anzupassen. Konkret sollten Hersteller in der Anforderungsphase für jedes Produkt eine Bedrohungsmodellierung und eine Cybersicherheits-Risikobewertung durchführen; die aus dieser Risikoanalyse abgeleiteten Sicherheitsziele (z. B. Datenverschlüsselung, Zugriffskontrolle, Secure Boot) definieren; und Sicherheitskontrollpunkte in die Entwicklung einbeziehen (wie Code-Reviews auf Schwachstellen, den Einsatz statischer und dynamischer Analyse-Tools sowie die Überprüfung von Abhängigkeiten auf bekannte Fehler). Sofern relevante Normen oder technische Leitlinien existieren (wie ISO/IEC 27001 und ETSI EN 303 645 für IoT-Sicherheit oder künftige CRA-harmonisierte Normen), sollten diese in die technischen Checklisten aufgenommen werden. Die Führung einer Software-Stückliste (einer Liste aller Komponenten und Bibliotheken von Drittanbietern) für jedes Produkt hilft Herstellern bei der Bewältigung von Risiken in der Lieferkette und wird von den Behörden erwartet (die CRA ermächtigt Regulierungsbehörden, in bestimmten Fällen Software-Stücklisten anzufordern). Hersteller sollten zudem darauf hinarbeiten, „bekannte ausnutzbare Schwachstellen“ vor der Veröffentlichung zu beseitigen: Dies kann den Einsatz von Tools zum Schwachstellenscanning und das Abonnieren von Bedrohungsinformationen umfassen, um neu bekannt gewordene allgemeine Schwachstellen und Sicherheitslücken zu erkennen, die das Produkt betreffen.

5.4 Einrichtung von Prozessen für Updates und die Reaktion auf Sicherheitslücken

Ein wesentlicher praktischer Aspekt der CRA-Konformität ist ein robuster Prozess zum Umgang mit Sicherheitslücken. Dieser sollte eine Möglichkeit umfassen, über die externe Forscher oder Nutzer Sicherheitslücken melden können (eine „Meldestelle“), interne Verfahren zur Einstufung und Behebung von Problemen sowie die Fähigkeit, Sicherheitspatches zeitnah zu entwickeln und bereitzustellen . Diese Verfahren sollten klar dokumentiert werden, da sie Teil der technischen Dokumentation sind und die Anforderungen von Anhang I (Teil 2) erfüllen müssen. Darüber hinaus sollte der Supportzeitraum für jedes Produkt frühzeitig festgelegt werden; hierfür sind Beiträge aus den Bereichen Produktstrategie und Entwicklung erforderlich (Abwägung zwischen der Nutzungsdauer des Produkts durch die Kunden und der Machbarkeit der Bereitstellung von Updates). Hersteller sollten in der Lage sein, die Supportdauer anhand von Kriterien wie technologischer Veralterung, Nutzungsdaten und Risikoauswirkungen zu begründen. Es ist ratsam, bei kritischen Produkten eher längere Supportzeiträume anzusetzen, um die Anforderungen der Regulierungsbehörden zu erfüllen, sowie eine Infrastruktur für Over-the-Air-Updates oder Benachrichtigungen der Nutzer zu implementieren, damit Patches effektiv an Produkte im Feld ausgeliefert werden können, sobald sie verfügbar sind (die CRA schreibt nicht vor, wie Updates bereitgestellt werden sollen, aber die Regulierungsbehörden erwarten, dass Updates für die Nutzer zugänglich sind).

5.5 Erstellung der technischen Dokumentation und Aufzeichnungen

Wenn sich Produkte der Markteinführung nähern, müssen Hersteller technische Unterlagen (Anhang VII) zusammenstellen, die die Konformität nachweisen. In der Praxis ist es ratsam, bereits während der Entwicklung mit der Erstellung dieses „Konformitätsdossiers“ zu beginnen; dies erfordert die Führung von Aufzeichnungen über die Risikobewertung und die getroffenen Designentscheidungen hinsichtlich der Sicherheit sowie über Testergebnisse (z. B. Penetrationstestberichte) sowie eine Liste der angewandten Normen oder bewährten Verfahren und eine Zusammenfassung darüber, wie jede wesentliche Anforderung erfüllt wurde. Die Dokumentation sollte auch Kopien der mit dem Produkt gelieferten Gebrauchsanweisungen und Sicherheitsinformationen enthalten. Da die Dokumentation gepflegt werden muss, sollte eine Versionskontrolle implementiert und die Verantwortung für die Aktualisierung zugewiesen werden, wann immer das Produkt geändert wird (beispielsweise wenn ein umfangreiches Sicherheitsupdate veröffentlicht wird, das das Sicherheitsprofil des Produkts verändert). Hersteller sollten zudem die EU-Konformitätserklärung im Voraus entwerfen. Diese formelle Erklärung bescheinigt die Konformität des Produkts mit der CRA (und allen anderen geltenden Richtlinien und/oder Verordnungen) unter Angabe des Produkts, des Herstellers, der angewandten Normen usw. Vorlagen für Konformitätserklärungen werden in der Regel von der EU oder als Teil harmonisierter Normen bereitgestellt, die für CRA-Zwecke angepasst werden können.

5.6 Strategie zur Konformitätsbewertung

Welcher Konformitätsbewertungsweg für ein bestimmtes Produkt gilt, sollte frühzeitig festgelegt werden, insbesondere wenn das Produkt in eine „wichtige“ oder „kritische“ Klasse fallen könnte, die die Einbeziehung einer dritten Partei erfordert. Wenn eine Selbstbewertung zulässig ist, sollte der Hersteller sicherstellen, dass seine internen Prozesse streng sind, und simulieren, was eine dritte Partei prüfen könnte. Ist eine benannte Stelle erforderlich, sollte die Zusammenarbeit rechtzeitig vor der Produkteinführung aufgenommen werden. Dazu gehört die Identifizierung einer geeigneten benannten Stelle (die Stellen erhalten von den Mitgliedstaaten für CRA-Zwecke bis Ende 2025 oder 2026 den Status „benannt“), die über Fachkenntnisse im Produktbereich verfügt, sowie die Bereitstellung der relevanten technischen Dokumentation und des Zugangs zum Produkt für die Bewertung. Die Bewertung durch Dritte (sei es für die Produktzertifizierung oder ein Qualitätssystem-Audit) kann zeitaufwändig sein und sollte im Projektzeitplan berücksichtigt werden. Europäische Cybersicherheits-Zertifizierungssysteme (gemäß dem Cybersecurity Act) sollten genutzt werden, sofern sie verfügbar und relevant sind, da diese für bestimmte Produkte die CRA-Konformität erfüllen können (die CRA erlaubt in einigen Fällen ausdrücklich die Verwendung eines EU-Cybersicherheitszertifikats als Teil der Konformitätserklärung). Bei Produkten der Klasse I könnte der Hersteller, falls er eine Bewertung durch Dritte vermeiden möchte, von Anfang an in die Umsetzung harmonisierter Normen oder gemeinsamer Spezifikationen investieren. Dies erleichtert nicht nur die Einhaltung der Vorschriften, sondern verbessert auch objektiv die Sicherheit. Sobald die Konformität bestätigt wurde, sollte der Hersteller schließlich das CE-Zeichen auf dem Produkt oder dessen Verpackung anbringen und die Konformitätserklärung bereithalten, um sie Kunden oder Inspektoren auf Anfrage vorzulegen.

5.7 Arbeitsablauf für die Meldung von Vorfällen und Schwachstellen

Hersteller sollten einen internen Arbeitsablauf einrichten, um die von der CRA festgelegten strengen Meldefristen für Schwachstellen und Vorfälle einzuhalten. Beispielsweise könnten sie eine Rolle (oder ein Team) benennen, die bzw. das als rund um die Uhr erreichbare Kontaktstelle für die Benachrichtigung der ENISA und des nationalen Computer Security Incident Response Teams fungiert, falls in ihrem Produkt „in freier Wildbahn“ eine ausnutzbare Schwachstelle entdeckt wird. Dies könnte Teil der Aufgaben eines Chief Information Security Officers sein oder einem Produkt-Sicherheitsvorfall-Reaktionsteam zugewiesen werden. Die Erstellung von Berichtsvorlagen würde es dem zuständigen Team oder der zuständigen Person ermöglichen, innerhalb von 24 Stunden nach Bekanntwerden eines Problems eine Meldung mit den erforderlichen Details zu versenden (viele Unternehmen werden dies möglicherweise automatisieren, sobald die zentrale Meldeplattform aktiv ist). Es wird auch wichtig sein, die Folgemaßnahmen zu planen, indem sichergestellt wird, dass das technische Personal bereit ist, Untersuchungen durchzuführen und die erforderlichen 72-Stunden-Updates sowie Abschlussberichte zu erstellen. Es ist ratsam, dies durch Übungen zu trainieren, z. B. indem man vorgibt, dass eine kritische Zero-Day-Sicherheitslücke in einem Produkt gefunden wurde, und die Benachrichtigungsschritte durchgeht, um etwaige Engpässe im Voraus zu erkennen. Darüber hinaus sollte die Verpflichtung zur Benachrichtigung von Komponentenlieferanten in den Arbeitsablauf integriert werden, indem Kontaktlisten für wichtige Drittanbieter von Software geführt werden, damit diese bei Bedarf schnell benachrichtigt werden können. Die Einhaltung dieser Vorschriften verhindert nicht nur Bußgelder, sondern mindert auch Schäden für Nutzer und den Ruf des Unternehmens, indem sie eine koordinierte Reaktion ermöglicht.

5.8 Marktüberwachung und Überwachung nach dem Inverkehrbringen

Auch nach der Markteinführung von Produkten müssen die Compliance-Bemühungen fortgesetzt werden. Hersteller sind gemäß der CRA allgemein verpflichtet, die Sicherheit bereits auf den Markt gebrachter Produkte zu überwachen und mit den Marktüberwachungsbehörden zusammenzuarbeiten. In der Praxis bedeutet dies, wachsam auf Berichte über neue Sicherheitslücken zu bleiben, die Produkte betreffen (durch das Abonnieren von Schwachstellendatenbanken, Threat-Intelligence-Feeds usw.). Wenn eine nationale Behörde nach einem Produkt fragt oder Informationen anfordert (beispielsweise im Rahmen einer EU-weiten „Razzia“), ist es notwendig, umgehend und umfassend zu antworten, da eine Nichtkooperation an sich bereits einen Verstoß darstellen kann. Es ist ratsam, ein internes Protokoll über alle CRA-bezogenen Maßnahmen (veröffentlichte Updates, gemeldete Vorfälle usw.) zu führen, da dieser Nachweis einer Compliance-Kultur im Falle von Fragen wertvoll sein könnte. Hersteller sollten außerdem sicherstellen, dass die Importeure und Händler, mit denen sie zusammenarbeiten, sich ihrer Pflichten bewusst sind, beispielsweise indem sie ihnen Kopien der Konformitätserklärung und der Sicherheitsanweisungen zur Verfügung stellen und Kanäle einrichten, über die diese etwaige Probleme melden können. Ein gut organisierter Kundendienst und ein Mechanismus zur Reaktion auf Vorfälle helfen dem Hersteller nicht nur, seine CRA-Verpflichtungen zu erfüllen, sondern ermöglichen es ihm auch, Vertrauen bei Kunden und Aufsichtsbehörden aufzubauen.

5.9 Zusammenfassung

Durch die Befolgung dieses Fahrplans können Hersteller und andere Interessengruppen die CRA-Konformität in ihren Produktlebenszyklus integrieren. Der Schlüssel liegt darin, Cybersicherheit als integralen Qualitätsaspekt des Produkts zu betrachten, vom Entwurf bis zum Ende der Lebensdauer. Viele Unternehmen werden die Reife ihrer Cybersicherheit erhöhen müssen, wie es die CRA faktisch vorschreibt. Obwohl dies anfänglichen Aufwand mit sich bringt und die Entwicklungskosten erhöhen könnte, dürfte es die langfristigen Kosten im Zusammenhang mit Sicherheitsvorfällen, Rückrufaktionen und Haftungsansprüchen senken. Darüber hinaus können Unternehmen durch die Einhaltung der CRA einen Wettbewerbsvorteil erlangen: Das Angebot zertifizierter sicherer Produkte mit transparenten Sicherheits-Support-Laufzeiten könnte in einer Zeit zunehmenden Cyberbewusstseins bei Verbrauchern und Unternehmenskunden ein Verkaufsargument sein.

6 Schlussfolgerung

Die CRA läutet eine neue Ära in der EU-Produktregulierung ein, in der Cybersicherheit als gesetzliche Voraussetzung für den Marktzugang gleichberechtigt neben der Sicherheit steht. Dieser transformative Rahmen verpflichtet Hersteller dazu, ihre Produkte proaktiv gegen Cyberbedrohungen zu sichern und diese Sicherheit durch Updates und Transparenz unter behördlicher Aufsicht aufrechtzuerhalten. Die CRA verfolgt einen umfassenden Ansatz, der von Designprinzipien vor der Markteinführung bis hin zur Meldung von Vorfällen nach der Markteinführung reicht und jeden Aspekt der Lieferkette in den Geltungsbereich der Compliance einbezieht. Tatsächlich verlagert die CRA die Last des Cyberrisikos weg von den Endnutzern (die in der Vergangenheit unsichere Produkte „akzeptieren oder in Kauf nehmen“ mussten) hin zu den Herstellern und Anbietern, die am besten in der Lage sind, diese Risiken zu bewältigen.

Aus rechtstheoretischer Sicht kann die CRA als lex specialis betrachtet werden, die das Produktsicherheitssystem der EU durch cybersicherheitsspezifische Normen ergänzt. Sie stärkt den Binnenmarkt, indem sie Vorschriften harmonisiert und verhindert, dass Mitgliedstaaten unterschiedliche nationale Cybersicherheitsanforderungen für Produkte einführen. In der Praxis wird ihr Erfolg von einer wirksamen Umsetzung abhängen: Dazu gehören die Entwicklung klarer technischer Standards, die Bereitschaft benannter Stellen und Behörden sowie die Einbindung der Cybersicherheits-Community in die Überwachung der Einhaltung der Vorschriften. Unternehmen haben bis Ende 2027 Zeit, die Anforderungen der CRA zu erfüllen; angesichts des Umfangs der erforderlichen Änderungen ist es jedoch ratsam, frühzeitig Maßnahmen zu ergreifen. Wer sich zügig anpasst, vermeidet nicht nur Strafen, sondern verbessert wahrscheinlich auch seine allgemeine Sicherheitslage, wodurch Vorfälle reduziert werden und das Vertrauen der Kunden gestärkt wird.

Das CRA regt auch zum Nachdenken über Haftung und Anreize für Cybersicherheit an. Durch die Kodifizierung einer Sorgfaltspflicht in Bezug auf die Produktsicherheit könnte es indirekt die delikt- und strafrechtlichen Standards dafür beeinflussen, was als „angemessene“ Sicherheit von Technologieprodukten gilt. Im Laufe der Zeit könnte sich die Rechtsprechung mit dem Zusammenspiel von CRA-Konformität und Herstellerhaftung bei Cyberschäden auseinandersetzen. Darüber hinaus könnten die strengen Verpflichtungen des CRA Innovationen bei Cybersicherheitslösungen vorantreiben – beispielsweise automatisierte Update-Mechanismen, Tools zum Scannen von Schwachstellen und sichere Software-Entwicklungskits –, da die Branche nach kosteneffizienten Wegen sucht, um die neuen Vorschriften zu erfüllen.

Insgesamt stellt die CRA ein mutiges Regulierungsmodell dar, das darauf abzielt, das Vertrauen in den digitalen Markt zu stärken. Sie fasst Resilienz nicht als abstraktes Konzept, sondern als messbares Compliance-Ergebnis auf. Für Unternehmen erfordert die Bewältigung dieser Herausforderungen Sorgfalt und möglicherweise einen kulturellen Wandel, doch das angestrebte Ergebnis ist ein sichereres digitales Ökosystem. Die CRA bietet einen Compliance-Fahrplan, der, wenn er befolgt wird, zu weniger Vorfällen, besser informierten Nutzern und standardmäßig sichereren Produkten führen dürfte. Für Gesetzgeber und Regulierungsbehörden schafft sie einen Präzedenzfall, der weltweit oder auf andere Bereiche ausgeweitet werden könnte. Für die Rechtsgemeinschaft und Forscher bietet sie reichhaltiges Material für Analysen, von der Theorie der Risikoregulierung bis hin zu den praktischen Aspekten der Durchsetzung in verschiedenen Rechtsordnungen. Im Zuge der Weiterentwicklung des CRA-Systems wird ein kontinuierlicher Dialog zwischen Industrie, Regulierungsbehörden und Forschern unerlässlich sein, um diesen öffentlich-rechtlichen Ansatz zur Produktsicherheit zu verfeinern. In der Zwischenzeit ist der Weg zur Compliance klar: Sicherheit muss von Grund auf in die Produkte integriert werden, und diejenigen, die digitale Produkte entwickeln und davon profitieren, sind nun eindeutig für die Cybersicherheit dieser Produkte verantwortlich.

Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.

Übersetzung Boris Wanzeck, Swiss Infosec AG

Teichmann, F. The cyber resilience act as a new paradigm for product security: a compliance roadmap. 

Int. Cybersecur. Law Rev. 7, 1–17 (2026).

https://doi.org/10.1365/s43439-025-00162-4

http://creativecommons.org/licenses/by/4.0/

Cybersecurity-Beratung: Praxisnah, rechtskonform und auf Ihre Unternehmens-Risiken abgestimmt.

Ein dediziertes Team von Cyber- und IT Security-Spezialisten und Penetration Testern unterstützen Sie mit einem breiten Portfolio an Beratungsdienstleistungen und Trainings zum Thema Cyber- und IT Security.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Zur Cybersecurity-Beratung
Kategorie: Cybersecurity | Datenschutz
© Swiss Infosec AG 2026