Was der DSA abdeckt und für wen er gilt

Der DSA ist eine Verordnung, keine Richtlinie — er hat in allen EU-Mitgliedstaaten direkte Wirkung, ohne nationale Umsetzung zu erfordern. Er trat für sehr große Online-Plattformen und Suchmaschinen im August 2023 vollständig in Kraft und für alle anderen im Februar 2024, was bedeutet, dass Publisher nun zwei Jahre operative Erfahrung mit dem Regime haben. Das Gesetz schafft ein gestaffeltes Pflichtensystem basierend auf Größe und Plattformtyp: Kleinstunternehmen und kleine Unternehmen sind weitgehend ausgenommen, Vermittlungsdienste haben grundlegende Pflichten, Hosting-Anbieter unterliegen Inhaltsmoderierungspflichten, Online-Plattformen unterliegen zusätzlichen Transparenzregeln, und sehr große Online-Plattformen (über fünfundvierzig Millionen monatlich aktive EU-Nutzer) unterliegen den strengsten Pflichten einschließlich systemischer Risikobewertungen und externer Prüfungen.

Wo die meisten Publisher stehen

Die große Mehrheit der Publisher fällt in die Kategorie der Online-Plattform — sie hosten nutzergenerierte Inhalte (Kommentare, Forenbeiträge, Leserbeiträge), schalten Werbung und empfehlen Inhalte über algorithmische Feeds oder Module für ähnliche Artikel. Die Online-Plattform-Ebene ist dort, wo der DSA operativ relevant wird: Beschränkungen für zielgerichtete Werbung für Minderjährige, Transparenzpflichten zur Werbeschaltung und Targeting-Parametern, Erläuterungen zu Empfehlungssystemen und Opt-outs, und ein Meldesystem für rechtswidrige Inhalte. Publisher oberhalb der Schwelle der sehr großen Online-Plattform müssen zusätzlich systemische Risikobewertungen, Pflichten als eingetragener externer Prüfer und die Pflicht erfüllen, geprüften Forschern der Kommission Zugang zu Plattformdaten zu gewähren.

Der geografische Test

Der DSA gilt extraterritorial. Ein US-Publisher mit europäischen Besuchern fällt in den Anwendungsbereich, sobald EU-Nutzer mit dem Dienst interagieren können — was praktisch jede öffentlich zugängliche Website betrifft. Das Kriterium ist nicht der Sitz des Publishers, sondern ob der Dienst EU-Empfängern angeboten wird. Wie die GDPR erfasst dies standardmäßig den Großteil der globalen Verlagsbranche.

Die Beschränkungen für zielgerichtete Werbung

Die DSA-Schicht, die für Cookie-Einwilligung und Werbebetrieb am wichtigsten ist, ist Artikel 26, der zielgerichtete Werbung auf zwei spezifische Weisen einschränkt, um die Publisher herum technische Lösungen entwickeln müssen.

Das Verbot des Targetings von Minderjährigen

Der DSA verbietet zielgerichtete Werbung für Minderjährige auf Basis von Profiling mit personenbezogenen Daten. Das Verbot gilt, wann immer der Publisher weiß oder vernünftigerweise wissen sollte, dass der Empfänger minderjährig ist — was in der Praxis bedeutet, dass es für jedes Signal greift, auf das ein Publisher vernünftigerweise reagieren könnte (ein selbstdeklariertes Alter, ein Kindersicherungssignal, eine Inhaltskategorie, die stark auf ein junges Publikum hindeutet, ein Kontokennzeichen aus dem eigenen Nutzersystem des Publishers). Der CMP muss diese Beschränkung kodieren: Selbst wenn ein minderjähriger Nutzer Marketing-Cookies akzeptiert, muss der Pfad zur zielgerichteten Werbung standardmäßig deaktiviert sein. Die Alternative ist kontextuelle Werbung — Anzeigenauswahl basierend auf dem Seiteninhalt statt auf Nutzerprofilen — was die meisten großen SSPs und Werbeserver jetzt als erstklassigen Auslieferungsmodus anbieten.

Das Verbot sensibler Daten

Der DSA verbietet auch zielgerichtete Werbung auf Basis von Profiling, das besondere Kategorien personenbezogener Daten gemäß GDPR Artikel 9 verwendet — Rasse, Religion, politische Ansichten, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, sexuelle Orientierung, biometrische Daten, genetische Daten. Das Verbot ist absolut: Einwilligung hebt es nicht auf. Publisher, die Inhaltskategorien betreiben, die einen dieser Bereiche berühren — Gesundheitsverlage, religiöse Medien, politische Nachrichtenseiten, LGBTQ+-Publikationen — müssen sicherstellen, dass ihr Werbetechnik-Stack keine aus diesen Daten abgeleiteten Profilsignale an Werbetreibende weitergibt, selbst wenn der Nutzer allen Marketingkategorien zugestimmt hat.

Operative Auswirkungen auf den CMP

Der CMP muss die DSA-Beschränkungen als harte Sperren kodieren, nicht als Einwilligungsstatus-Schalter. Eine Einwilligungsbestätigung, die „alle Kategorien akzeptiert” besagt, erlaubt keine zielgerichtete Werbung für Minderjährige oder auf Basis von Artikel-9-Daten. Die saubersten Implementierungsrouten führen den Einwilligungsstatus, das Minderjährigensignal und die Klassifizierung sensibler Inhalte der Seite durch eine einzige Entscheidungsfunktion, die zwischen dem CMP und den Werbetechnik-Anbietern sitzt, und die Funktion fällt standardmäßig auf kontextuelle Auslieferung zurück, wenn eine der DSA-Sperren ausgelöst wird.

Das Opt-out vom Empfehlungssystem

Artikel 38 des DSA verpflichtet Online-Plattformen, die Empfehlungssysteme nutzen — algorithmisches Inhaltsranking in Feeds, Module für ähnliche Artikel, Warteschlangen für das nächste Video — die wichtigsten Parameter dieser Systeme zu erläutern und den Nutzern mindestens eine Option anzubieten, die nicht auf Profiling basiert. Publisher, die personalisierte Inhaltssuche betreiben, können Profiling nicht als einzigen verfügbaren Modus festlegen.

Wie der Nicht-Profiling-Modus aussieht

Der Nicht-Profiling-Modus ist typischerweise ein chronologischer Feed, ein nach Beliebtheit gerankter Feed oder ein redaktionell kuratierter Feed, der nicht auf dem individuellen Nutzerverhalten personalisiert. Der Nutzer muss über eine klar sichtbare Steuerung — nicht in Kontoeinstellungen vergraben — dorthin wechseln können, und die Auswahl muss für zukünftige Sitzungen gespeichert werden. Publisher sollten die Empfehlungssystemsteuerung als erstklassigen Teil der Einwilligungs-UX behandeln, der häufig über dieselbe CMP-Oberfläche angezeigt wird, die Cookie-Präferenzen verwaltet.

Transparenz bei Ranking-Parametern

Die Plattform muss in verständlicher Sprache die wichtigsten Parameter veröffentlichen, die ihr Empfehlungssystem verwendet — Aktualität, Beliebtheit, Ähnlichkeit mit früherem Verhalten, redaktionelle Gewichtung, Werberelevanz. Die Veröffentlichung ist typischerweise ein Abschnitt in der Datenschutzerklärung oder eine dedizierte Transparenzseite, und sie sollte spezifisch genug sein, dass ein Regulierer bei der Lektüre die Beschreibung mit dem tatsächlichen Plattformverhalten abgleichen kann. Vage Formulierungen wie „Wir nutzen NLP-basiertes Machine Learning, um Inhalte zu empfehlen, die Ihnen gefallen könnten” genügen dem Standard nicht.

Wie der DSA GDPR und ePrivacy überlagert

Der DSA ersetzt weder GDPR noch ePrivacy — er fügt plattformspezifische Regeln darüber hinaus hinzu. Die Wechselwirkungen sind überwiegend additiv, aber an zwei spezifischen Stellen schränken sie ein, was die Einwilligung allein ermächtigen kann.

Einwilligung kann DSA-Verbote nicht außer Kraft setzen

Das Verbot des Minderjährigen-Targetings und das Artikel-9-Verbot für sensible Daten sind absolut. Ein Nutzer kann in keinem der Fälle in den Erhalt zielgerichteter Werbung einwilligen. Dies ist eine wesentliche Designbeschränkung für CMPs, die Einwilligung historisch als universellen Schlüssel behandelt haben — unter dem DSA ist der Einwilligungsstatus notwendig, aber nicht hinreichend, und die CMP-Architektur muss dies widerspiegeln.

Transparenzpflichten liegen über denen der GDPR

Die Werbetransparenzpflichten des DSA — klare Kennzeichnung von Anzeigen, Nennung des Werbetreibenden, Erläuterung der wichtigsten Targeting-Parameter für die spezifische Anzeigenauslieferung — sind unabhängig von den Transparenzanforderungen der GDPR und müssen im Werbemittel selbst erfüllt werden. Die meisten Publisher handhaben dies über Werbeserver-Templates, die den DSA-Anzeigenkennzeichnungsblock automatisch in ausgelieferte Werbemittel einfügen.

Praktische CMP- und Werbestack-Änderungen

Der DSA-bewusste CMP und Werbestack hat eine kleine Anzahl wiederholbarer Elemente, die sich bis 2026 auf den großen kommerziellen Plattformen stabilisiert haben.

Minderjährigensignal-Verdrahtung

Der CMP muss ein Minderjährigensignal vom Nutzerkonto-System des Publishers, der Inhaltsklassifizierung der Seite oder der Kindersicherungsschicht akzeptieren und das Signal in die Einwilligungsentscheidung weitergeben. Die meisten CMPs bieten dies jetzt als „minor”-Attribut auf der Einwilligungsbestätigung an, die der Werbestack neben dem Einwilligungsstatus liest. Das Signal fließt über Google Consent Mode v2, den IAB TCF v2.3-String und jede anbieterspezifische Integration, die es unterstützt, nachgelagert weiter.

Klassifizierung sensibler Inhalte

Publisher sollten auf jeder Seite einen Inhaltsklassifizierungsdurchlauf durchführen, der sie den sensiblen Datenkategorien des DSA zuordnet. Die Klassifizierung kann für redaktionelle Seiten mit strukturierten Taxonomien manuell oder für hochvolumige Seiten mit NLP-basiertem Inhalts-Tagging automatisiert sein. Die Klassifizierung speist die Entscheidung zum kontextuellen Fallback des Werbestacks: Eine Seite, die mit einer sensiblen Kategorie gekennzeichnet ist, wird unabhängig vom Einwilligungsstatus nur zu kontextueller Werbung geleitet.

Umschalter für das Empfehlungssystem

Das Opt-out vom Empfehlungssystem sollte an derselben Stelle wie die Präferenzansicht des Einwilligungsbanners zu finden sein — die meisten CMPs bieten für diesen Zweck jetzt ein generisches Modul „Plattformsteuerungen” an. Der Umschalter ändert die Sitzungsebene-Präferenz des Nutzers und, wenn der Nutzer authentifiziert ist, seine Kontoebene-Präferenz. Der nachgelagerte Empfehlungsdienst liest die Präferenz bei jedem Ranking-Aufruf.

Häufige DSA-Fehler, die Befunde auslösen

Die DSA-Vollzugsentscheidungen in den Jahren 2024 und 2025 haben eine klare Liste von Mustern hervorgebracht, die zu Kommissionsuntersuchungen führen. Der CMP setzt das Minderjährigen-Targeting-Flag standardmäßig für jeden Nutzer auf false, ohne jemals die eigenen Alterssignale des Publishers zu prüfen. Das Opt-out vom Empfehlungssystem ist drei Klicks tief in den Kontoeinstellungen vergraben, anstatt in der Nähe des Einwilligungsbanners angezeigt zu werden. Der DSA-Anzeigenkennzeichnungsblock wird zu Display-Anzeigen hinzugefügt, fehlt aber bei Video-Werbemitteln. Die Klassifizierung sensibler Inhalte deckt offensichtliche Kategorien wie Gesundheit und Religion ab, übersieht aber politische Nachrichtenseiten, die dennoch unter den Schutz politischer Ansichten gemäß Artikel 9 fallen. Die Ebene der sehr großen Online-Plattform veröffentlicht ihre systemische Risikobewertung, behandelt sie jedoch als einmalige Übung statt als jährliches Lebendokument, das der DSA vorschreibt.

Das Fazit

Der DSA ist die erste große EU-Regulierung seit der GDPR, die wesentlich umgestaltet, was Publisher mit der Aufmerksamkeit des Publikums tun können, für die sie bereits Einwilligungen gesammelt haben. Das Minderjährigen-Targeting-Verbot und das Artikel-9-Verbot sind absolute Designbeschränkungen, keine Einwilligungsoptionen. Das Opt-out vom Empfehlungssystem ist eine erstklassige Nutzersteuerung, die neben dem Cookie-Banner sitzt. Die Transparenzpflichten zur Werbeschaltung erfordern Werbeserver-Templates, die automatisch die richtigen Kennzeichen in jedes ausgelieferte Werbemittel einfügen. Nichts davon ist optional, und nichts davon kann eilig nachgerüstet werden, wenn ein Vollzugsschreiben eintrifft. Publisher, die die DSA-Sperren während der Einführungsphase 2023–2024 in ihren CMP und Werbestack eingebaut haben, arbeiten jetzt regelkonform; Publisher, die den DSA als Dokumentationsübung behandelt haben, verbringen 2026 in der Vollzugswarteschlange der Kommission. Die Arbeit ist überschaubar, die Architektur ist gefestigt, und die Konsequenzen des Überspringens sind nicht mehr hypothetisch.