Expert Insights 09.05.2018, 08:02 Uhr

DSGVO und Affiliate: Pikante Stellungnahme der DSK

Die neue DSGVO sorgt für große Verwirrung in der Affiliate-Branche. Pikant ist nun eine neue Stellungnahme der Datenschutzkonferenz (DSK) vom 26. April 2018.
Markus Kellermann, geschäftsführender Gesellschafter bei xpose360
Am 25. Mai tritt die größte Änderung von Datenschutzgesetzen in Kraft, die unsere Generation je gesehen hat.
Derzeit vergeht kein Tag ohne neue Berichterstattung, Unsicherheit, Änderung oder Anpassung der Datenschutzgrundverordnung (DSGVO). Es ist daher auch nachvollziehbar, dass derzeit eine große Verunsicherung in der Affiliate-Branche herrscht.
Dieser Artikel soll keine rechtliche Beratung darstellen, er ist lediglich meine persönliche Interpretation der aktuellen Situation - die aber von unterschiedlichen Anwälten und Experten anders interpretiert wird. Daher kann man jedem nur empfehlen, die aktuelle Situation mit seinem Anwalt und seinem Datenschutzbeauftragten zu besprechen, den jedes Unternehmen ja mittlerweile bereitstellen muss.
Generell muss jedes Unternehmen die Vorgaben zur DSGVO zum 25. Mai umsetzen. Hierzu sollte jede Firma den genannten Datenschutzbeauftragten stellen, eine aktuelle Datenschutzverordnung online haben sowie eine Verarbeitungsübersicht, ein Verfahrensverzeichnis und eine Folgeabschätzung erstellt haben. Zudem sollte man Auftragsdatenverarbeitungsverträge (ADVs) mit seinen Dienstleistern abgeschlossen haben.

Speziell im Affiliate-Marketing

Speziell im Affiliate-Marketing ist zu empfehlen, als Partnerprogrammbetreiber (Advertiser) mit seinem Affiliate-Netzwerk- beziehungsweise Technologie-Anbieter, seiner Affiliate-Agentur und denjenigen Affiliates einen ADV abzuschließen, von denen man ein Pixel auf seiner Seite integriert hat.
Hinsichtlich der Einwilligung des Nutzers für das Tracking ist beispielsweise das Affiliate-Netzwerk Awin bisher der Meinung, dass laut DSGVO die rechtmäßige Verarbeitung personenbezogener Daten, auch ohne die ausdrückliche Einwilligung des Nutzers - vorbehaltlich einiger Sicherheitsvorkehrungen zum Schutz der Privatsphäre - möglich ist. Awin ist im Rahmen einer Folgenabschätzung zu dem Schluss gekommen, dass die Verarbeitung von personenbezogenen Daten für das Tracking gerechtfertigt ist.
Der Grund hierfür ist, dass aufgrund des sogenannten legitimierten Interesses Awin keine Einwilligung von Publishern oder Advertisern benötigt, um Transaktionen rechtskonform tracken zu können. Dies gilt für die Verarbeitung personenbezogener Daten, während ein User von der Website des Publishers über die Netzwerk-Domain zu den Websites der Advertiser gelangt. Das umfasst neben der erfolgreich getrackten Transaktion auch die entsprechenden Reportings auf der Netzwerk-Plattform. Awin kann nach eigenen Aussagen diesen Ansatz verfolgen, weil sie ein reines Affiliate-Netzwerk sind und personenbezogene Daten für Weiterleitungen zu Advertiser-Seiten nutzt. Es verwendet aber die daraus resultierenden Transaktionen und Reportings niemals für die Erstellung verhaltensbasierter Benutzerprofile, Verhaltensprofile oder anderer Zwecke.
Allerdings empfiehlt Awin auch seinen Publishern, dass diese eine Cookie-Einwilligung vor dem Setzen des Cookies vom User einholen sollten. Hierzu muss laut neuer Definition der User proaktiv zustimmen und damit sein Einverständnis bestätigen. Die Netzwerke bieten hierzu ihren Affiliates zum Teil bereits Universal Consent Tools an, also Technologien, die einen Hinweis ausspielen, sobald ein User eine Website erreicht und nach der Zustimmung fragen, die Aktivitäten auf der Seite zu tracken.

Stellungnahme der Datenschutzkonferenz

Pikant für die Affiliate-Branche ist nun eine neue Stellungnahme der Datenschutzkonferenz (DSK) vom 26. April 2018. Die DSK dient als gemeinsames Gremium der Datenschutzbehörden. Diese Stellungnahme sorgt mit ihrer kurzfristigen Aussage für eine weitere Verunsicherung in der Branche.
So waren sich doch viele Experten in den vergangenen Monaten sicher, dass das normale Affiliate-Tracking unter das "Berechtigte Interesse" fällt und somit durch den Art. 6 Abs. 1 der DSGVO ein direktes Cookie-Opt-In noch nicht nötig sei - respektive, dass eine Opt-Out-Möglichkeit auf der Datenschutzseite ausreicht, um damit datenschutzkonform zu sein.
Doch in der neuen Mitteilung heißt es nun, dass die bisherige ePrivacy-Richtlinie (auch Cookie-Richtlinie), die bis zum Wirksamwerden der ePrivacy-Verordnung die Anforderungen an Cookies formuliert, nun nicht mehr direkt anwendbar sei und dass der Einsatz von Tracking-Mechanismen nun bereits zum 25. Mai mit der DSGVO immer einer vorherigen informierten Einwilligung (Opt-In) bedarf.

Viele neue Fragen

Damit ließ also die Datenschutzkonferenz eine neue "Bombe platzen", die wiederum viele Fragen aufwirft, welche von unterschiedlichen Anwälten unterschiedliche Antworten liefert.
Doch was bedeutet das nun konkret für die Affiliate-Branche? Von den Affiliate-Netzwerken gibt es hierzu aktuell noch kein aktuelles Statement. Allerdings muss man auch bedenken, dass es sich derzeit bei dieser Stellungnahme "nur" um das Verständnis der deutschen Datenschutzbehörden handelt und dass Anwälte der Affiliate-Netzwerke hierzu eventuell eine andere Ansicht vertreten.
Es bleibt also davon auszugehen, dass es nach dem 25. Mai erst einmal zu einigen wegweisenden Gerichtsurteilen kommen wird, welche dann eine Rechtsgrundlage schaffen müssen. Dabei ist auch anzumerken, dass es sich bei der DSGVO ja um europäisches Recht handelt und somit die deutschen Datenschutzbehörden zwar ihre Einschätzung abgeben können, dass allerdings die von der EU beratende Datenschutzgruppe auf EU-Ebene - also über den EuGH - europaweite Gerichtsurteile abwarten muss.

Konflikt- und Risikopotenzial

Dennoch liefert die aktuelle Situation für alle Seiten erst einmal ein gewisses Konflikt- und Risikopotenzial.
Daher kann man jedem Advertiser und Publisher nur empfehlen, vor allem in der Zusammenarbeit mit Targeting-Publishern, also im Bereich Retargeting oder Online Bahavioural Advertising, die von den Affiliate-Netzwerken zur Verfügung gestellten Consent-Tools einzubinden, um zumindest dafür ein Opt-In der User abzufragen. Diese Tools stellen eine Funktion bereit, mit denen der Website-Betreiber sich die Erlaubnis zur Datenerfassung und -verarbeitung einholen kann.
Dabei hängt es vor allem davon ab, welche Daten von den Partnern erhoben werden, ob diese mit anderen Daten zusammengeführt werden und wie diese genutzt werden.
Und ob speziell Targeting über berechtigtes Interesse im Sinne des Art. 6 Abs. 1 legitimiert, hängt derzeit noch von einer Abwägung der Interessen des Webseitenbetreibers ab. Aber auch hier müssen wohl zukünftig Gerichte für eine eindeutige Rechtssicherheit sorgen.

ePrivacy - Was bringt die Zukunft

Weiterhin schwebt aber auch noch die ePrivacy-Verordnung (ePV) wie ein Damoklesschwert über der Affiliate-Branche. Auch wenn hier erst bis zum Sommer 2018 mit einer Entscheidung zu rechnen ist, sind sich viele Experten sicher, dass es irgendwann zum Opt-In kommen wird, wenn vielleicht auch in abgeschwächter Form.
Hierzu befindet sich allerdings die ePV derzeit noch in der Abstimmungsphase zwischen der EU-Kommission, dem EU-Ministerrat und dem Europaparlament.
Nichtsdestotrotz sollten sich die Affiliate-Anbieter (Netzwerke, Technologien) intensiv mit der Möglichkeit von Tracking-Alternativen über Log-In-Systeme beschäftigen und hierzu sowohl den Affiliates, als auch den Advertisern baldmöglichst Lösungen anbieten oder Alternativen aufzeigen.
Denn der Optimismus mancher Experten sollte sich in Grenzen halten, da die EU gegenüber Third-Party-Cookies eine harte Haltung vertritt.

Empfehlung

Dass die DSGVO für alle Unternehmen in Europa einschneidende Veränderungen mit sich bringt, ist nun mal Tatsache und lässt sich auch nicht schön reden.
Daher gilt es, sich mit der Situation auseinanderzusetzen und speziell im Affiliate-Marketing die Grundlagen für eine gewisse Rechtssicherheit zu schaffen. Folgende Maßnahmen möchte ich hierzu empfehlen:
  1. Die Voraussetzungen der DSGVO müssen natürlich absolut erfüllt werden.
  2. Als Advertiser und auch Affiliate sollten sämtliche verwendeten Tracking- und Targeting-Technologien neu bewertet werden.
  3. Mit allen Dienstleistern sollte ein ADV abgeschlossen werden.
  4. Für Retargeting sollte ein Consent Tool verwendet werden.
  5. Die eigenen Mitarbeiter sollten geschult und sensibilisiert werden.
  6. Auf der Datenschutzerklärung sollten die Opt-Out-Links der Affiliate-Netzwerke und möglicher Targeting-Partner eingebunden werden.
  7. Die User sollten auf der Datenschutzerklärung ausführlich über Cookies und Tracking informiert werden.
  8. Man sollte die Entwicklung der neuen Log-In-Systeme im Blick behalten und mögliche Trackingalternativen in Betracht ziehen.



Das könnte Sie auch interessieren