Pixel & Paragraphs: Rechtliche Spielräume und Grenzen beim In-Game-Advertising

In-Game-Advertising: Was ist das?

In-Game-Advertising bezeichnet die Einbindung von Werbeinhalten direkt in digitale Spielewelten – von der virtuellen Plakatwand im Rennspiel bis zum Rewarded-Video in der Mobile-App.  Anders als klassische Bannerwerbung im Browser findet die Ansprache im laufenden Spielgeschehen statt und ist in unterschiedlichem Maß in das Gameplay integriert oder unterbricht dieses in Form von Zwischensequenzen oder Overlays.

Typische Erscheinungsformen sind etwa statische Produktplatzierungen (Branding auf Trikots, Banden, Fahrzeugen), dynamische Video- oder Display-Werbung, die während des Spiels von Ad-Servern geladen wird, sowie spielähnliche Werbeformate bis hin zu interaktiven Mini-Games und Rewarded Ads, bei denen der Spieler für das Ansehen einer Anzeige Vorteile im Spiel erhält.  In der Praxis sind diese Werbeformen meist Bestandteil eines insgesamt auf Free-to-Play und In-App-Monetarisierung ausgerichteten Geschäftsmodells.

Technologien des In-Game-Advertisings

Technisch lassen sich zunächst zwei klassische Grundformen unterscheiden: statische und dynamische Werbung.  Statische In-Game-Ads werden bereits in der Entwicklungsphase fest in Spielgrafiken oder -objekte eingebaut und können nach Veröffentlichung nur durch Patches oder Updates geändert werden – vergleichbar mit Produktplatzierungen in Filmen.  Dynamische In-Game-Ads werden hingegen zur Laufzeit aus einem Ad-Server oder Ad-Netzwerk nachgeladen, können in Echtzeit ausgetauscht werden und reagieren auf Kontextfaktoren wie Level, Tageszeit oder Region.

Über diese Grundformen hinaus hat sich im Hintergrund ein komplexes programmatisches Ökosystem etabliert: Werbeflächen im Spiel werden häufig über Supply-Side-Plattformen (SSP), Demand-Side-Plattformen (DSP) und Ad Exchanges in Echtzeitauktionen (Real-Time Bidding, RTB) gehandelt.  Dabei übertragen die Spiele-Apps oder -Clients Nutzungs- und Gerätedaten an verschiedene Beteiligte, um Zielgruppen zu definieren, Gebote abzugeben und Auslieferungsentscheidungen zu treffen.  Ergänzend kommen mobile Ad-SDKs zum Einsatz, die Werbe-IDs, Telemetriedaten und Ereignisse im Spiel (z.B. Level-Fortschritt, Sessions, Käufe) erfassen und für Targeting, Frequenzkappung und Erfolgsmessung nutzen.

In der Praxis ist In-Game-Advertising zudem eingebettet in plattformseitige Ökosysteme (App-Stores, Konsolen- und Cloud-Gaming-Plattformen), Social- und Community-Funktionen sowie standardisierte Analysetools der Game-Engines, die detaillierte Nutzungsprofile über mehrere Geräte und Sessions hinweg ermöglichen.  Zunehmend werden KI-gestützte Optimierungsverfahren eingesetzt, um Gebote, Platzierungen und kreative Varianten automatisiert zu steuern; experimentell werden darüber hinaus Ansätze diskutiert, die Spielverhalten und Kontextdaten für besonders fein granulare, teilweise auch emotionale oder verhaltensbasierte Ansprache auswerten.

Die wirtschaftliche Bedeutung

Die Games-Branche gehört weltweit zu den umsatzstärksten Unterhaltungsindustrien: Für 2024 wird das globale Marktvolumen auf rund 187 Milliarden US-Dollar geschätzt, mit weiterem moderaten Wachstum.  In Europa ist die Branche ebenfalls ein zentraler Wachstumstreiber; aktuelle Übersichten der europäischen Branchenverbände weisen die EU als einen der größten Märkte mit hohen Nutzerzahlen, zunehmender Professionalisierung der Studios und wachsender Bedeutung von Online- und Mobile-Gaming aus.  In-Game-Advertising ist dabei ein wesentlicher Baustein der Monetarisierung, insbesondere in Free-to-Play-Modellen, die ohne Werbeeinnahmen in dieser Breite kaum tragfähig wären.

Für Deutschland zeigt der Branchenverband „game – Verband der deutschen Games-Branche“, dass der Gesamtumsatz mit Games, Hardware und Online-Diensten zuletzt knapp 10 Milliarden Euro erreicht hat; allein mobile Spiele überschritten 2024 erstmals die Marke von 3 Milliarden Euro Umsatz.  Die Bundesregierung und mehrere Landesregierungen haben die wirtschaftliche und kulturelle Bedeutung der Games-Industrie ausdrücklich hervorgehoben: In Strategie- und Förderdokumenten ist von Games als „Wachstums- und Innovationsbranche“ die Rede, die Kreativität, technologische Entwicklung und digitale Wertschöpfung in Deutschland maßgeblich mitprägt.  Entsprechend wurden auf Bundesebene spezialisierte Förderprogramme etabliert und zuletzt wieder deutlich aufgestockt; politisches Ziel ist es, den Standort Deutschland im internationalen Wettbewerb zu stärken und Games-Produktion – einschließlich innovativer Geschäftsmodelle wie werbefinanzierter Titel – langfristig zu sichern.

Der rechtliche Raum für IGA

Nach heutiger Rechtslage ist In-Game-Advertising grundsätzlich zulässig, bewegt sich aber – je nach Technologie und Ausgestaltung – in sehr unterschiedlichen datenschutzrechtlichen Risikozonen. Es gelten einige Vorschriften, die Studios, Entwickler und Werbetreibende kennen sollten.

Statische vs. dynamische Werbung (ohne/mit Tracking)

  • Statische In-Game-Ads ohne Tracking
    • Bei einer reinen Einblendung statischer Werbung, die vollständig lokal gerendert wird und keine zusätzlichen Daten an Dritte überträgt und kein Profiling mitsichbringt, ist häufig ohne Einwilligung der Betroffenen zulässig. Als Rechtsgrundlage kommt Artikel 6 Absatz 1 Satz 1 lit. f DSGVO (Direktwerbung als berechtigtes Interesse) in Betracht.
    • Weder DSGVO noch TDDDG stehen einer rein lokal eingebundenen statischen Werbefläche entgegen, weil keine zusätzliche Speicherung/Auslesung in der Endeinrichtung erfolgt, die über das Funktionsnotwendige hinausgeht.
  • Dynamische Ads ohne (oder mit sehr begrenztem) Profiling
    • Werden dynamische Werbemittel lediglich kontextbezogen (z.B. Level, Region, Sprache) ausgespielt, ohne Nutzer wiedererkennbar zu machen, muss unterschieden werden. Bei Spieler*innen unter 13 Jahren ist die Einwilligung zumindest die naheliegende Rechtsgrundlage (andere Auffassungen sind möglich, aber nicht ohne Risiko). Bei allen anderen Spieler*innen wäre es auch ohne Einwilligung möglich und könnte abermals auf Artikel 6 Absatz 1 Satz 1 lit. f DSGVO (Direktwerbung als berechtigtes Interesse) gestützt werden.
    • Damit das tragfähig bleibt, muss das Targeting technisch so gestaltet sein, dass keine Identifizierung oder (auch pseudonyme) Wiedererkennung über längere Zeiträume und Dienste hinweg stattfindet; sonst greifen die strengeren Profiling-Maßstäbe.

Programmatic Advertising, Tracking und Profiling

  • Programmatic IGA mit Tracking/Profiling
    • Sobald Werbe-IDs, Gerätekennungen, Cookie-ähnliche Identifier oder Fingerprinting eingesetzt werden, um Nutzer wiederzuerkennen, Profile zu bilden oder Verhalten über Geräte hinweg zu korrelieren (Cross-Device-Tracking), ist regelmäßig eine vorherige Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO erforderlich.
    • Parallel verlangt das TDDDG für das Speichern oder Auslesen von Informationen auf der Endeinrichtung (z.B. App-Tracking, SDK-IDs, Fingerprinting) grundsätzlich eine Einwilligung, sofern die Maßnahme nicht „unbedingt erforderlich“ für die Bereitstellung des vom Nutzer ausdrücklich gewünschten Dienstes ist. Ausnahmen („unbedingt erforderlich“) sind eng auszulegen; monetarisierungsbezogenes Tracking (z.B. Reichweitenmessung für Werbenetzwerke, Frequency Capping, programmatisches Targeting) fällt in der Regel nicht darunter.

Besondere Technologien (KI, Behavioral Biometrics, Emotion AI)

  • Verhaltensbasierte und emotionale Auswertung
    • Werden In-Game-Bewegungen, Reaktionszeiten oder Interaktionsmuster genutzt, um biometrische oder emotionale Profile zu erstellen oder daraus Zielgruppen für Werbung abzuleiten, steigt die Eingriffsintensität erheblich.
    • Solche Verfahren sind regelmäßig nur auf Grundlage informierter, freiwilliger und spezifischer Einwilligungen zulässig; in der EU sind emotionserkennende Systeme und ihre Nutzung zu manipulativen Zwecken zudem Gegenstand strenger Regulierung durch das KI-Regime.

Technische und organisatorische Maßnahmen (TOMs) der Spiele-Anbieter (Publisher/Studios)

  • Datenminimierung und Privacy by Design
    • Implementierung von IGA so, dass ohne Einwilligung nur das unbedingt erforderliche Tracking erfolgt (z.B. rein kontextuelle Ads), während personalisierte Werbung technisch sauber abtrennbar ist und erst nach Opt-in aktiviert wird. ​
    • Konfigurierbare Privacy-Einstellungen im Spiel (z.B. „personalisierte Werbung aktivieren/deaktivieren“) mit leicht zugänglichen Widerrufs- und Widerspruchsmöglichkeiten. ​
  • Consent-Management und TDDDG-Konformität
    • Einbindung eines Consent-Management-Systems, das vor dem ersten Laden der Werbe-SDKs/Tracker eine wirksame, dokumentierte Einwilligung einholt und granular zwischen verschiedenen Zwecken und Drittanbietern unterscheidet.
    • Technische Sicherstellung, dass ohne Einwilligung keine einwilligungsbedürftigen SDKs initialisiert und keine Identifier gesetzt oder ausgelesen werden (inklusive Server-Side-Tags, SDK-Vorkonfigurationen etc.).
  • Vertragliche und organisatorische Kontrolle der Werbepartner
    • Abschluss von Auftragsverarbeitungsverträgen oder Vereinbarungen über gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO mit Ad-Partnern, soweit diese im Auftrag oder gemeinsam mit dem Publisher handeln.
    • Vendor-Management: Prüfprozesse für eingesetzte Werbe-SDKs und Ad-Netzwerke (Datenflüsse, Drittlandübermittlungen, Subprozessoren, Sicherheitskonzept, Löschkonzepte).
  • Transparenz und Nutzerinformation
    • Datenschutzhinweise innerhalb des Spiels/App-Stores, die verständlich erklären, welche Daten für IGA verarbeitet werden, zu welchen Zwecken und welche Drittanbieter involviert sind.
    • Klare Kennzeichnung werblicher Inhalte im Spiel, insbesondere bei Rewarded Ads und gesponserten Items, um UWG- und Jugendschutzanforderungen zu erfüllen.

Technische und organisatorische Maßnahmen (TOMs) externer Werbetreibender und Ad-Tech-Anbieter

  • Rechtsgrundlagen- und Einwilligungs-Checks
    • Werbetreibende und Ad-Tech-Unternehmen müssen sich nicht darauf verlassen, dass Publisher „irgendwie“ Einwilligungen einholen, sondern vertraglich regeln, wie Consent-Informationen übermittelt werden (z.B. Signals, Frameworks) und welche Zwecke abgedeckt sind.
    • Eigene Prüfung, ob die angestrebten Targeting-Szenarien (z.B. granularer Behavioural- oder Lookalike-Ansatz) in der konkreten Konstellation tatsächlich vom Consent und den Informationspflichten des Publishers gedeckt sind.
  • Datenschutzfreundliche Parameter und Pseudonymisierung
    • Einsatz pseudonymer Identifier mit strengen Rotationsmechanismen und Begrenzung der Speicherfristen; Verzicht auf direkte Identifikatoren und unnötige Zusammenführung mit anderen Datenquellen, soweit nicht ausdrücklich eingewilligt.
    • Implementierung technischer Maßnahmen gegen Re-Identifikation (z.B. Hashing allein reicht nicht, wenn zusätzliche Datenquellen Re-Identifikation ermöglichen). ​
  • Informationssicherheit und Malvertising-Schutz
    • Technische Schutzmaßnahmen gegen Malvertising (z.B. Scanning der Creatives, Sandboxing, Whitelists für Skripte) sind notwendig, um Schadcode in Werbemitteln zu verhindern und die Integrität der Spielumgebung zu schützen.
    • Geeignete organisatorische Maßnahmen (z.B. Sicherheitsrichtlinien, Incident-Response-Pläne, regelmäßige Audits) zur Absicherung der Ad-Tech-Infrastruktur, da diese regelmäßig als kritische Knotenpunkte sensibler Nutzungsdaten fungiert.
  • Transparenz gegenüber Publishern und Endnutzern
    • Bereitstellung klarer Dokumentation für Publisher zu Datenkategorien, Zwecken, Speicherfristen und etwaigen Drittlandübermittlungen.
    • Unterstützung von Mechanismen, die Nutzern Auskunfts-, Widerrufs- und Löschungsrechte praktisch umsetzbar machen (z.B. Identifier-basiertes Opt-out, Consent-Status-Abfragen).