Der Digital Services Act ist seit Februar 2024 vollumfänglich anwendbar; die Werbe-Transparenz-Pflichten nach Art. 39 treffen ausschließlich Very Large Online Platforms (VLOPs) und Very Large Online Search Engines (VLOSEs), also Dienste mit mindestens 45 Millionen monatlich aktiven Nutzern in der Union. Die EU-Kommission hat seit 2023 in mehreren Designations-Wellen 25 VLOPs und zwei VLOSEs benannt; die jüngsten Hinzufügungen 2025 betrafen vor allem Adult-Content-Plattformen und einen mittelgroßen Marktplatz.

Was die Pflicht praktisch bedeutet, ist seit den ersten Vollzugsverfahren 2025 messbar geworden. Die Kommission hat Ende 2025 gegen Meta, X und TikTok formelle Proceedings eröffnet, die unter anderem auf Lücken in der Werbe-Repository-Pflicht zielen. Wer 2026 in der AdOps-Praxis mit VLOP-Inventar arbeitet, sollte die Konformitätsanforderungen kennen, nicht zuletzt weil die Strafen bis zu sechs Prozent des weltweiten Jahresumsatzes erreichen können — bei Meta entspricht das einem oberen Strafrahmen von etwa zehn Milliarden Euro pro Verfahren.

Was Art. 39 verlangt

Art. 39 Abs. 1 DSA verpflichtet VLOPs, ein öffentlich zugängliches Werbe-Repository zu führen, das jede auf der Plattform ausgespielte Anzeige für die Dauer eines Jahres nach der letzten Ausspielung speichert. Konkret müssen folgende Informationen pro Werbeeinheit zugänglich sein: der Anzeigeninhalt selbst (einschließlich Bild- und Textmaterial), der Name der natürlichen oder juristischen Person, für die die Werbung ausgespielt wurde, der Zahlende (sofern abweichend), der Zeitraum der Ausspielung, die Targeting-Parameter (einschließlich Lookalike-Audiences), die geschätzte Reichweite pro Mitgliedstaat und die Information, ob die Anzeige in Folge einer behördlichen Anordnung entfernt wurde.

Die Repository-Schnittstelle muss nach Art. 39 Abs. 2 maschinenlesbar sein und „durchsuchbare und zuverlässige Tools” für Mehrfach-Kriterien-Abfragen bereitstellen. In der Vollzugspraxis hat sich daraus eine API-Pflicht etabliert: die Kommission akzeptiert keine reinen Web-Frontends mehr, die nur einzelne Anzeigen pro Suche zurückgeben. Anfragen 2025 an Meta und Google forderten explizit die Bereitstellung einer Bulk-Download-Schnittstelle für Forschungs- und Aufsichtszwecke.

Repository-Praxis: Meta Ad Library, Google Ads Transparency Center, TikTok Commercial Content Library

Die drei großen Repositories haben sich operativ ausdifferenziert. Die Meta Ad Library deckt Facebook und Instagram ab; sie bietet eine HTML-Suchoberfläche, eine REST-API für authentifizierte Forscher und einen Download-Modus für „issue, electoral and political ads”. Letztere müssen weltweit sieben Jahre archiviert werden, was über die DSA-Mindestpflicht hinausgeht. Die Kommission hat 2025 bemängelt, dass die API-Rate-Limits — historisch bei 200 Requests pro Stunde pro Forschungs-Account — zu niedrig für strukturierte Audits sind.

Das Google Ads Transparency Center deckt YouTube, Search-Anzeigen und Display-Inventar im Google-Display-Netzwerk ab. Die Granularität ist hier asymmetrisch: für YouTube und Search stehen detaillierte Targeting-Parameter zur Verfügung, für GDN-Inventar nur aggregierte Reichweiten-Daten. Das ist ein bekannter Schwachpunkt, an dem die Kommission seit Q3 2025 arbeitet.

TikToks Commercial Content Library war bei Launch 2023 die schmaleste der drei Repositories; mit der Designations-Erweiterung 2024 wurden die gespeicherten Felder erweitert. Aktuell deckt sie kommerzielle und politische Inhalte ab, allerdings mit einer Delivery-Coverage, die laut unabhängiger Forschung von AlgorithmWatch und EDMO im DACH-Raum bei nur etwa 65 Prozent aller tatsächlich ausgespielten Anzeigen liegt. Die fehlenden 35 Prozent sind primär Spark-Ads — Creator-Posts, die als bezahlte Werbung amplifiziert werden — die laut TikTok-Definition nicht unter „Werbeanzeige” im Sinne der internen Klassifikation fielen. Die Kommission sieht das anders und hat dazu im Q1 2026 eine formelle Anfrage gestellt.

Targeting-Offenlegung: Was „Parameter” konkret bedeutet

Art. 39 Abs. 1 lit. e fordert die Offenlegung der „Hauptparameter, die zur Bestimmung der Empfänger der Werbung verwendet wurden, und gegebenenfalls die Hauptparameter, die zum Ausschluss bestimmter Gruppen verwendet wurden”. Der ECG (European Centre for Algorithmic Transparency) hat in seinem Leitfaden Oktober 2025 präzisiert, was darunter zu verstehen ist.

Konkret müssen folgende Parameter im Repository sichtbar sein: demographische Targeting-Kriterien (Alter, Geschlecht, Standort auf Mitgliedstaats-Granularität), Interessens-Kategorien aus dem Targeting-System der Plattform, Custom-Audience-Trigger (Customer-List, Pixel-basierte Retargeting-Audiences, Lookalike-Audiences inklusive Source-Audience-Größe), sowie Behavioral-Signals, die zur Optimierung der Auslieferung herangezogen wurden.

Die Lookalike-Audience-Offenlegung ist der Bereich mit dem größten Streit. Plattformen argumentieren, dass die zugrundeliegende Source-Audience aus Datenschutz-Gründen nicht offengelegt werden kann; die Kommission verlangt mindestens die Information, dass eine Lookalike-Audience verwendet wurde, plus die deklarierte Audience-Größe (1-Prozent-, 5-Prozent-, 10-Prozent-Match). Diese Offenlegung ist seit Q2 2025 in allen drei großen Repositories implementiert, allerdings in unterschiedlicher Granularität.

Art. 28: Verbot zielgerichteter Werbung gegenüber Minderjährigen

Parallel zur Repository-Pflicht greift Art. 28 Abs. 2 DSA, der zielgerichtete Werbung gegenüber Minderjährigen auf Basis von Profiling im Sinne von Art. 4 Nr. 4 DSGVO untersagt. Das gilt für alle Online-Plattformen mit Diensten gegenüber Minderjährigen, nicht nur für VLOPs.

In der Praxis bedeutet das: kein Alters-Targeting auf unter 18-Jährige, kein Interest-Targeting, das aus dem Verhalten Minderjähriger abgeleitet ist, keine Custom-Audiences mit Minderjährigen-Anteilen oberhalb einer „mit verhältnismäßigem Aufwand erkennbaren” Schwelle. Was nicht verboten ist: kontextuelles Targeting auf Inhalte, die sich nicht spezifisch an Minderjährige richten, und allgemeine Reichweiten-Buchungen ohne Behavioral-Komponente.

Die Vollzugs-Lücke liegt bei Plattformen ohne verlässliche Alters-Verifikation. Meta hat 2024 eine KI-basierte Alters-Schätzung eingeführt, die laut eigenen Angaben mit einer Genauigkeit von etwa 96 Prozent arbeitet; die Kommission hat das im laufenden Verfahren als unzureichend bezeichnet, weil die verbleibenden 4 Prozent in absoluten Zahlen Millionen unbemerkt-betroffener Minderjähriger entsprechen. Die Anforderung an „angemessene und verhältnismäßige Maßnahmen” nach Art. 28 Abs. 3 wird sich in den nächsten Verfahren weiter konkretisieren.

DMA Art. 5 Abs. 2: Targeting-Limits für Gatekeeper

Art. 5 Abs. 2 DMA verbietet Gatekeepern, personenbezogene Daten zum Zweck der Werbung über verschiedene zentrale Plattformdienste zu kombinieren, sofern der Endnutzer dem nicht ausdrücklich zugestimmt hat. Das betrifft im Kern Meta (Facebook, Instagram, WhatsApp), Google (Search, YouTube, Maps, Chrome) und in Teilen Apple und Amazon.

In der Targeting-Praxis bedeutet das: ein Werbetreibender kann eine Custom-Audience nicht mehr ohne weiteres aus Daten kombinieren, die ein Gatekeeper über mehrere seiner Dienste gesammelt hat, sofern der Nutzer keinen DMA-konformen Consent erteilt hat. Meta hat darauf 2024 mit der „Pay or Consent”-Konfiguration reagiert, die wiederum vom Europäischen Datenschutzausschuss in seinen Opinions 08/2024 als nicht-DSGVO-konform bewertet wurde.

Die Schnittmenge Art. 39 DSA und Art. 5 Abs. 2 DMA ist operativ relevant: das Werbe-Repository muss die Targeting-Parameter offenlegen, wodurch die DMA-Konformität nachträglich prüfbar wird. Wenn das Repository zeigt, dass eine Audience aus Cross-Service-Datenkombination gebildet wurde, ohne dass der dazu nötige Consent dokumentiert ist, ist das ein paralleler Verstoß gegen beide Verordnungen — mit der Möglichkeit kumulierter Strafen (DSA: 6 Prozent Welt-Jahresumsatz, DMA: 10 Prozent für Erstverstöße, 20 Prozent für Wiederholungen).

Was AdOps-Teams 2026 dokumentieren sollten

Die DSA-Repository-Pflicht trifft den Publisher nur mittelbar — der Repository-Betreiber ist die Plattform. Praktisch wichtig wird Art. 39 für AdOps-Teams auf Werbetreibenden-Seite, wenn Kampagnen-Briefings, Audience-Definitionen und Creative-Versionen so dokumentiert werden müssen, dass sie im Falle einer Repository-Anfrage durch Kommission oder Forscher rekonstruierbar sind.

Konkret empfiehlt sich: eine pro Kampagne geführte Audience-Spezifikation (Plattform-Targeting-Parameter, Source-Files für Custom-Audiences, Lookalike-Konfigurationen), eine Creative-Versionierung mit Hashes der ausgespielten Assets, eine Documentation der Auslieferungs-Optimierungs-Signale (insbesondere wenn die Plattform automatische Targeting-Erweiterung wie Advantage+ oder Performance Max einsetzt). Diese Dokumentation hilft auch beim parallel anstehenden TTDSG-§-25-Compliance-Audit, wo die Frage nach „strikt notwendig vs. einwilligungspflichtig” pro Tracking-Pixel beantwortet werden muss.

Wer 2026 mit VLOP-Inventar arbeitet, sollte zudem die Repository-APIs aktiv prüfen: ein Stichproben-Vergleich zwischen Buchungs-Reporting der Plattform und dem öffentlichen Repository-Eintrag deckt häufig Discrepancies auf, die nicht zwingend Konformitätsfehler sind, aber die spätere Auditierbarkeit erschweren. Die Kommission hat in den 2025er-Verfahren mehrfach genau solche Discrepancies als Indiz für nicht-vollständige Repository-Erfassung herangezogen.