Digital Fairness Act Unpacked: Unfaire Personalisierungspraktiken

Was sind „Personalisierungspraktiken“?

Personalisierung in der Digitalwirtschaft beruht in der Regel auf Profiling‑Techniken, das heißt, auf der Personalisierung von Angeboten für Verbraucherinnen und Verbraucher auf Grundlage ihres Profils. Die Datenschutz‑Grundverordnung (DSGVO) definiert „Profiling“ als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass personenbezogene Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich der Arbeitsleistung, der wirtschaftlichen Lage, der Gesundheit, der persönlichen Vorlieben, der Interessen, der Zuverlässigkeit, des Verhaltens, des Aufenthaltsorts oder der Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Personalisierung wird in der Digitalwirtschaft breit eingesetzt, etwa für die Reihenfolge von Empfehlungen oder Suchergebnissen, für Werbung und teils auch für die Preisgestaltung. Die EU‑Kommission sieht Personalisierung kritisch, wenn Personalisierung auf der Ausnutzung der besonderen Schutzbedürftigkeit der Nutzerinnen und Nutzer beruht, also beispielsweise wenn personalisierte Werbung besondere Kategorien personenbezogener Daten (sensible Daten wie Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gesundheitsdaten) nutzt, oder wenn Informationen über die individuelle Schutzbedürftigkeit von Verbraucherinnen und Verbrauchern (z. B. Alter, emotionale oder finanzielle Belastung, geistige Gebrechen etc.) herangezogen werden.

Wie ist der aktuelle Rechtsrahmen für Personalisierungspraktiken?

Im Digital Fairness Fitness Check, einem ersten Schritt hin zur DFA‑Konsultation, kam die Europäische Kommission zu dem Ergebnis, dass das EU‑Verbraucherrecht nicht als ausreichend wirksam oder klar angesehen wird, um die vielschichtigen Bedenken im Hinblick auf kommerzielle Personalisierung anzugehen.

Personalisierung im B2C‑Kontext unterliegt jedoch bereits mehreren verstreuten Regelungen und Leitlinien. Während einige dieser Regelungen breit anwendbar sind, gelten andere Anforderungen nur für bestimmte Akteure, etwa Online‑Plattformen (z. B. Marktplätze, soziale Netzwerke etc.) oder Vermittlungsdiensteanbieter mit einer bestimmten Reichweite (d. h. sehr große Online‑Plattformen oder sehr große Online‑Suchmaschinen nach dem Digital Services Act oder Gatekeeper nach dem Digital Markets Act), oder nur für bestimmte Praktiken (z. B. personalisierte Preise). Dieser Abschnitt gibt einen Überblick über die bereits geltenden Vorschriften.

Allgemeine Anforderungen

Datenschutzanforderungen – Da Personalisierungspraktiken die Verarbeitung personenbezogener Daten beinhalten, unterliegen sie den allgemeinen Datenschutzregeln der Datenschutz‑Grundverordnung (DSGVO). Insbesondere sieht die DSGVO spezifische Transparenzanforderungen hinsichtlich des Bestehens automatisierter Entscheidungen einschließlich Profiling vor, jedoch nur, wenn die Entscheidung gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt (Art. 22). Der Europäische Datenschutzausschuss (EDSA) hat hierzu Leitlinien veröffentlicht. Die DSGVO gewährt betroffenen Personen außerdem das Recht, eine Einwilligung jederzeit zu widerrufen, sowie das Recht, der Verarbeitung ihrer personenbezogenen Daten zu Zwecken der Direktwerbung, einschließlich Profiling, soweit es mit solcher Direktwerbung zusammenhängt, jederzeit zu widersprechen.

Da Personalisierungspraktiken üblicherweise auch Tracking‑Technologien einbeziehen, unterliegen sie zudem der ePrivacy‑Richtlinie.

Fairness‑Anforderungen – Die Richtlinie über unlautere Geschäftspraktiken („UCPD“) untersagt unlautere Geschäftspraktiken, darunter irreführende oder aggressive Praktiken, die dazu führen (oder voraussichtlich dazu führen), dass Verbraucherinnen oder Verbraucher eine geschäftliche Entscheidung treffen, die sie ansonsten nicht getroffen hätten– einschließlich der Ausnutzung durch den Unternehmer einer besonderen Misslage oder eines Umstands von solcher Schwere, dass das Urteilsvermögen der Verbraucherinnen und Verbraucher beeinträchtigt wird. Bei der Beurteilung der Lauterkeit ist zudem zu berücksichtigen, ob die Verbraucherin bzw. der Verbraucher einer klar identifizierbaren Gruppe angehört, die gegenüber der fraglichen Praxis besonders schutzbedürftig ist (vulnerable Verbraucherin bzw. Verbraucher). Die Leitlinien der EU‑Kommission zur UCPD behandeln auch Personalisierungspraktiken und führen Faktoren auf, unter denen solche Praktiken als unlauter eingestuft werden können.

Einsatz von KI‑Systemen – Der AI Act verbietet bestimmte Anwendungsfälle von KI‑Systemen, die den Einsatz unterschwelliger, gezielt manipulativer oder täuschender Techniken oder die Ausnutzung der besonderen Schutzbedürftigkeit durch Alter, Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation beinhalten und zu einem erheblichen Schaden führen oder vernünftigerweise voraussichtlich führen werden (Art. 5).

Verbot der Diskriminierung – Personalisierungspraktiken dürfen schließlich nicht auf diskriminierenden Kriterien beruhen, das heißt, sie dürfen nicht aufgrund persönlicher Merkmale wie Geschlecht, Herkunft, Religion, Hautfarbe, Familienstand etc. diskriminieren.

Preis‑Personalisierungspraktiken

Die Verbraucherrechte‑Richtlinie verpflichtet Unternehmer, Verbraucherinnen und Verbraucher klar und verständlich darüber zu informieren, dass der Preis auf automatisierter Entscheidungsfindung basiert und personalisiert ist.

Transparenzanforderungen zu Ranking und Produktempfehlungen für Marktplätze und Vergleichsanbieter

Für Online‑Marktplätze und Unternehmer, die Verbraucherinnen und Verbrauchern die Möglichkeit bieten, nach Produkten verschiedener Anbieter oder Verbraucher zu suchen, sehen Art. 7 Abs. 4a UCPD und Art. 6a CRD Transparenzanforderungen vor.

Anforderungen für Online‑Plattformen, VLOP und VLOSE nach dem Digital Services Act (DSA)

Der Digital Services Act enthält mehrere Vorschriften, die nur für Online‑Plattformen gelten (z. B. soziale Netzwerke oder Online‑Plattformen, die Verbraucherinnen und Verbrauchern den Abschluss von Fernabsatzverträgen mit Unternehmern ermöglichen), oder für sehr große Online‑Plattformen bzw. sehr große Online‑Suchmaschinen (d. h. Online‑Plattformen oder Suchmaschinen mit einer durchschnittlichen monatlichen Zahl aktiver Nutzerinnen und Nutzer in der EU von mindestens 45 Millionen, die durch Beschluss der EU‑Kommission entsprechend benannt werden).

Personalisierte Werbepraktiken – Der DSA legt Online‑Plattformen Transparenzpflichten für jede einzelne auf ihrer Benutzeroberfläche präsentierte Werbung auf, einschließlich aussagekräftiger Informationen über die Hauptparameter, die zur Bestimmung der Empfängerin bzw. des Empfängers herangezogen werden, der die Werbung angezeigt wird (was Personalisierungsfaktoren einschließen kann), sowie – soweit anwendbar – darüber, wie diese Parameter geändert werden können (Art. 26 Abs. 1). Für sehr große Online‑Plattformen oder sehr große Online‑Suchmaschinen gelten zusätzliche Transparenzpflichten (Art. 39).

Art. 26 Abs. 2 DSA untersagt Online‑Plattformen zudem, Werbung zu präsentieren, die auf Profiling unter Verwendung bestimmter personenbezogener Daten beruht.

Schutz Minderjähriger – Der DSA enthält auch Vorschriften zum Schutz von Minderjährigen. Insbesondere verbietet Art. 28 Abs. 2 DSA Werbung auf Grundlage von Profiling, wenn die Plattform mit hinreichender Sicherheit weiß, dass die empfangende Person minderjährig ist.

Empfehlungssysteme – Art. 27 DSA verpflichtet Online‑Plattformen zu bestimmten Transparenzmaßnahmen in Bezug auf die Hauptparameter ihrer Empfehlungssysteme und die verfügbaren Optionen, diese zu verändern oder zu beeinflussen. Sehr große Online‑Plattformen und Suchmaschinen müssen zudem für jedes ihrer Empfehlungssysteme mindestens eine Option anbieten, die nicht auf Profiling beruht (Art. 38).

Systemische Risiken bei VLOP und VLOSE – Personalisierungspraktiken, sei es für Werbung, Ranking, Preisgestaltung oder andere Zwecke, können Teil der systemischen Risiken sein oder diese beeinflussen, die sehr große Online‑Plattformen und Suchmaschinen nach dem DSA beurteilen und mindern müssen (z. B. tatsächliche oder absehbare negative Auswirkungen auf die Ausübung der Grundrechte, den Schutz Minderjähriger, gravierende negative Folgen für das körperliche und geistige Wohlbefinden von Personen etc.).

Anforderungen für sog. Gatekeeper nach dem Digital Markets Act (DMA)

Der Digital Markets Act beschränkt Datenkombinationen durch Gatekeeper (d. h. große digitale Plattformen, die zentrale Plattformdienste erbringen, wie Online‑Suchmaschinen, App‑Stores, Messenger‑Dienste, die von der EU‑Kommission als solche benannt werden) zu Werbezwecken.

Sektor‑spezifische Vorschriften

Einige Personalisierungspraktiken sind auch auf bestimmte Branchenakteure bezogen. So müssen Kreditgeber und Kreditvermittler Verbraucherinnen und Verbraucher klar und verständlich informieren, wenn ihnen ein personalisiertes Angebot präsentiert wird, das auf einer automatisierten Verarbeitung personenbezogener Daten beruht (Art. 13 Verbraucherkreditrichtlinie).

Werden diese Vorschriften bereits durchgesetzt?

Es gab bereits einige auf unterschiedliche Rechtsgrundlagen (Verbraucherrecht, Datenschutzrecht etc.) gestützte Durchsetzungsfälle zu Personalisierungspraktiken auf EU‑Ebene.

Im Bereich der Durchsetzung des Verbraucherrechts stellte das Consumer Protection Cooperation Network (CPC‑Netzwerk) im März 2024 fest, dass die Dating‑App Tinder gegen EU‑Verbraucherrecht verstoßen hat, weil Nutzerinnen und Nutzer nicht darüber informiert wurden, dass ihnen Preise angezeigt wurden, die mittels automatisierter Verfahren personalisiert waren.

Auch DSA‑Regeln werden bereits durchgesetzt: Die Europäische Kommission richtete beispielsweise ein Auskunftsersuchen an LinkedIn, um die Konformität seiner Dienste mit dem Digital Services Act zu überprüfen, nachdem zivilgesellschaftliche Organisationen eine Beschwerde eingereicht hatten. Laut der Beschwerde könnte LinkedIn Werbetreibenden ermöglicht haben, LinkedIn‑Nutzerinnen und ‑Nutzer auf Grundlage besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO – wie Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit – gezielt anzusprechen, die sich aus der Mitgliedschaft der Nutzerinnen und Nutzer in LinkedIn‑Gruppen ergaben. Im Juni 2024 gab LinkedIn bekannt, dass die Funktionalität, die Werbetreibenden in der EU das gezielte Ansprechen von LinkedIn‑Nutzerinnen und ‑Nutzern auf Basis ihrer Mitgliedschaft in LinkedIn‑Gruppen ermöglicht, vollständig deaktiviert wurde.

Welche konkreten Maßnahmen erwägt die Europäische Kommission?

Der Teil der Konsultation, der sich mit unfairen Personalisierungspraktiken befasst, soll klären, ob aus Sicht der Öffentlichkeit die bestehenden EU‑Vorschriften unfaire Personalisierungspraktiken angemessen regeln, ob zusätzliche regulatorische oder nicht‑regulatorische Maßnahmen (z. B. Leitlinien) erforderlich sind oder ob eine effektivere Durchsetzung bestehender Regeln nötig ist.

Im Einzelnen stehen die folgenden spezifischen Ansätze ausdrücklich zur Diskussion:

• Verbraucherinnen und Verbrauchern mehr Kontrolle über personalisierte Werbung oder Preise durch Opt‑out‑ und Opt‑in‑Mechanismen einzuräumen,
• personalisierte Werbung unter Verwendung bestimmter personenbezogener Daten (z. B. sensibler Daten) oder Informationen über die individuelle Verwundbarkeit von Verbraucherinnen und Verbrauchern unter allen Umständen zu beschränken,
• personalisierte Werbung, die Minderjährige adressiert, zu verbieten,
• personalisierte Preisgestaltung auf Grundlage personenbezogener Daten/Profiling beim gezielten Ansprechen besonders schutzbedürftiger Verbraucherinnen und Verbraucher (wobei Minderjährige als vulnerabel gelten) oder generell zu beschränken.

Im Einklang mit den Ergebnissen des Digital Fairness Fitness Checks erwägt die Europäische Kommission, neue Regeln für Personalisierungspraktiken einzuführen, unter anderem durch die Einführung einer ausdrücklichen Möglichkeit, nicht‑personalisierte statt personalisierte kommerzielle Angebote zu erhalten, sowie durch die Verankerung gleichwertiger Pflichten im EU‑Verbraucherrecht wie derjenigen, die für Online‑Plattformen im DSA vorgesehen sind (siehe oben), und damit die Ausdehnung des Anwendungsbereichs solcher Pflichten auf alle Unternehmer.

Einige der Vorschriften, deren Änderung die Europäische Kommission in Betracht zieht, sind sehr neu und wurden noch nicht durchgesetzt. Ein erster Schritt könnte daher sein, ihre Durchsetzung abzuwarten und neue Regeln erst dann zu erlassen, wenn Durchsetzungsfälle die Notwendigkeit belegen. Zwar würde das Vorhandensein allgemeiner Regeln, die für alle Unternehmer gelten, den anwendbaren Rechtsrahmen vereinfachen, doch könnte dies die spezifischen Besonderheiten der jeweiligen Akteure unzureichend berücksichtigen, da die Personalisierungspraktiken digitaler Akteure je nach Tätigkeit, Größe und Reichweite unterschiedliche Risikostufen aufweisen. Daher könnten erhöhte Transparenzanforderungen und die Möglichkeit für Nutzerinnen und Nutzer, sich abzumelden (Opt‑out), ausreichen, um ein hohes Schutzniveau zu gewährleisten, ohne Nutzerinnen und Nutzer generell bestimmter Personalisierungspraktiken zu berauben, die ihnen nützlich sind.