Russmedia-Urteil: Was Publisher tun müssen, um compliant zu bleiben

by
Alexandra Spiropoulos
Erstellt:
February 25, 2026
4
min read

Im ersten Teil dieser Serie haben wir das Russmedia-Urteil erläutert und die Pflichten stehen fest: konkrete Vorabprüfungspflichten für sensible personenbezogene Daten im Sinne von Artikel 9 DSGVO, Identitätsmanagement, Content-Screening und ein funktionierendes Risikomanagement- system. Die Zeit drängt – in drei bis sechs Monaten beginnen die Behörden mit der Durchsetzung.  Jetzt geht es um die Umsetzung in der Praxis: Welche Schritte müssen eingeleitet werden, bevor die Datenschutzbehörden mit der Durchsetzung beginnen?

Starten Sie jetzt mit Analyse und Quick Wins. Perfektion ist (noch) nicht möglich, aber Untätigkeit ist keine Option. Unternehmen, die früh handeln, verschaffen sich einen klaren Wettbewerbsvorteil, wenn der regulatorische Ernstfall eintritt.

Die drei zentralen Maßnahmen

1. Identitätsmanagement einführen
Publisher müssen künftig genau wissen, wer auf ihrer Plattform Inhalte oder Anzeigen veröffentlicht. Anonymes Publizieren ist nicht länger erlaubt.
Konkret heißt das: Führen Sie ein verlässliches System zur Identitätsprüfung ein – von einfachen Plausibilitätschecks wie Geburtsdatum und Adresse bis hin zu vollständiger Dokumentenverifikation. In geschlossenen Systemen, etwa in Retail Media Networks, reichen häufig Registrierungen mit vorab verifizierten Werbetreibenden aus.

2. Inhalte vor Veröffentlichung prüfen
In Zukunft gilt: Jeder veröffentlichte Inhalt muss vorab auf das Vorliegen sensibler Daten im Sinne von Artikel 9 DSGVO überprüft werden. Dabei geht es nicht um eine hundertprozentige Garantie, sondern um eine dokumentierte „Best-Effort“-Prüfung mit den verfügbaren technischen Mitteln.
Das kann zum Beispiel durch Upload-Filter für sensible Daten, KI-gestützte Screening-Systeme oder standardisierte Pre-Publication-Workflows erfolgen. Ziel ist es, die unrechtmäßige Verbreitung sensibler Informationen so weit wie technisch möglich zu verhindern.

3. Risikomanagementsystem aufbauen
Ohne dokumentiertes Risikomanagementsystem wird es künftig schwer, den eigenen Sorgfaltspflichten nachzukommen. Publisher müssen ihre Datenschutzprozesse nach anerkannten Standards – etwa den ISO-Zyklen Plan-Do-Check-Act – strukturieren, regelmäßig Datenschutz-Folgenabschätzungen durchführen und sämtliche Abläufe nachvollziehbar dokumentieren.
Im Streitfall gilt: Wer die Einhaltung der Vorgaben nicht belegen kann, trägt die Beweislast. Verträge mit Partnern allein genügen nicht – entscheidend sind belastbare technische und organisatorische Maßnahmen.

Programmatic Advertising: Zwischen Effizienz und Compliance

Programmatic Advertising macht den Werbehandel in Millisekunden möglich, doch genau darin liegt die Herausforderung. Die neuen Prüfpflichten lassen sich kaum mit Systemen vereinbaren, die in Echtzeit mit Tausenden von Partnern interagieren.

Was aktuell funktioniert, ist eine Reduktion der Anbieterzahlen: Wer mit 50 statt 800 Partnern arbeitet, kann dieselbe Performance und ähnliche Umsätze erzielen bei deutlich geringerem Risiko. Ergänzend sollten Publisher Zwecke und Datentypen in Bid Requests stark begrenzen und eine strikte Datenminimierung vornehmen, um unnötige Datenübertragungen zu vermeiden. Was hingegen nicht mehr funktioniert, ist Standard-Programmatic in seiner bisherigen Form. Die Branche steht vor der Aufgabe, neue technische Standards zu entwickeln.

Gemeinsame Verantwortlichkeit: Die juristische Konsequenz

Aktuelle Urteile, etwa aus Köln und Frankfurt, machen deutlich: Publisher tragen die Verantwortung nicht allein. Sie gelten als gemeinsam Verantwortliche mit allen Beteiligten der Programmatic-Kette:

  • Ad Servern
  • DSPs, SSPs, DMPs 
  • Ad Exchanges.

Das bedeutet in der Praxis: Für jeden Partner ist eine Vereinbarung nach Artikel 26 DSGVO erforderlich. Dieser Prozess ist komplex und langfristig, daher sollten Publisher mit den wichtigsten Partnern beginnen und Schritt für Schritt weitere einbinden.

Consent Management: Anforderungen steigen

Ein einfacher „Alle akzeptieren“-Button reicht künftig nicht mehr aus, wenn sensible Daten verarbeitet werden. Für Artikel 9-Daten ist eine ausdrückliche, gesonderte Einwilligung nötig. Eine mögliche Lösung könnte ein Zwei-Banner-Modell sein – einer für gewöhnliche Daten, ein weiterer für sensible Kategorien. Das mag die Nutzerinteraktion etwas erschweren, ist aber rechtlich womöglich die sicherste Variante. Zu technischen Lösungen zählt der von JENTIS patentierte Twin Server, der die ursprüngliche Serveranfrage abfängt und parallel verarbeitet und nur diese neutralisierten Daten weiterleitet. Nähere Informationen zu Artikel 9 DSGVO können hier nachgelesen werden.

Ihr Plan zur sofortigen Umsetzung:

Schritt 1: Analyse

  • Artikel 9-Datenflüsse identifizieren
  • Alle Dritt-Publisher und Empfänger erfassen
  • Aktuelle Maßnahmen dokumentieren

 Schritt 2: Quick Wins

  • Identitätsverifikation für neue Publisher einführen
  • Programmatic-Anbieter reduzieren
  • Erste Screening-Tools evaluieren

Schritt 3: Systeme

  • Risikomanagementsystem etablieren
  • Screening-Workflows implementieren
  • Artikel 26-Vereinbarungen mit Top-Partnern starten

Strategische Perspektive

Wer profitiert:

  • Publisher mit etablierten redaktionellen Prozessen (haben meist schon Identitätsmanagement und menschliche Prüfung)
  • Early Adopter von Compliance-Lösungen
  • Unternehmen, die Compliance als Innovation verstehen, nicht als Belastung

Wer muss mit Herausforderungen rechnen:

  • Plattformen mit reinem UGC-Modell
  • Programmatic-Anbieter ohne Standardisierung
  • Kleinere Player ohne Ressourcen für eine Compliance-Infrastruktur

Die Realität ist eindeutig: Programmatic Advertising in seiner derzeitigen Form wird sich grundlegend verändern müssen. Die Frage lautet nicht ob, sondern wie schnell und wie radikal der Wandel erfolgt.

Über dieses Webinar

Dieser Artikel basiert auf einem Webinar mit Rechtsexperte Tilman Herbrich von Spirit Legal, der die praktischen Implikationen des Russmedia-Urteils für Publisher und AdTech-Unternehmen analysiert hat.

Alexandra Spiropoulos

Alexandra ist Marketing Content Specialist bei JENTIS und erstellt Inhalte für Kampagnen sowie digitale Marketinginitiativen. Seit 2024 ist sie Teil des Teams und arbeitet daran, die Markenbotschaft über verschiedene Kanäle hinweg zu schärfen. Zuvor sammelte sie Erfahrungen im Marketing und in der Kommunikation bei Unternehmen wie Austrian Airlines.

Mehr erfahren

Russmedia-Urteil und Programmatic Advertising: Neue Haftungsrisiken für Publisher

Ende 2025 fällte der Europäische Gerichtshof mit dem Russmedia-Urteil eine wegweisende Entscheidung, die die Haftung von Publishern und Plattformen für Datenschutzverstöße in der digitalen Werbung grundlegend verändert.

Was ist Artikel 9 DSGVO? Alles über sensible Daten und wie Unternehmen compliant bleiben

Datenschutzkonformes Tracking mit JENTIS

Mit dem serverseitigen Tracking von JENTIS lässt sich die vollständige Kontrolle über Webdaten übernehmen und die Anforderungen der DSGVO sowie anderer Datenschutzvorgaben unkompliziert erfüllen.

Produkt

Tag ManagementSynthetic UsersEssential ModePrivacy Controls

Plattform

ÜberblickKonnektorenHostingCustomer Service

Teams

MarketingE-CommerceAnalytics & BIDPOs & Legal

Sprache

Select
expand_circle_down

JENTIS © 2025

DatenschutzerklärungAGBImpressumCookie-Einstellungen

Use Cases

Ad PerformanceAttributionDatenschutz-CompliancePersonalisierungFirst-Party DatenstrategienConsent RecoveryTesting & Optimierung

Ressourcen

EventsBlogDokumentationCase StudiesGuides & ReportsFAQs

Branchen

Handel & E-CommerceBanken & FinanzMedien & VerlageEnterprise

Firma

Über unsKarrierenSales kontaktierenJENTIS auf LinkedInJENTIS auf Youtube
JENTIS ist ein nach ISO 27001 zertifiziertes Unternehmen.
Track better. Convert more.