Affiliate Marketing und DSGVO: Das ist zu beachten

Copyright @ shutterstock/WAYHOME studio

Seit dem 25. Mai 2018 gilt europaweit die neue Datenschutzgrundverordnung (DVSGO). Bürger sollen mehr Kontrolle über ihre personenbezogenen Daten bekommen. Sie erhalten das Recht zu erfahren, welche Informationen über sie zu welchem Zweck gespeichert wurden. Die Betroffenen besitzen zudem Einflussmöglichkeiten bezüglich der Änderungen und Löschungen dieser Datensätze (Art. 17 DSGVO). Insbesondere für Partnerprogramme, wie sie bislang im Netz üblich waren, bedeutet dies einige neue Herausforderungen. DSGVO und Affiliate Marketing stehen in einem Spannungsverhältnis zueinander, das es konstruktiv aufzulösen gilt.

1. DSGVO und Affiliate Marketing: Das konzeptionelle Kernproblem

Affiliate Marketing ist ein einfaches Konzept. Beispielhaft sei es kurz an einem Webseitenbetreiber erläutert: Seine Besucher klicken auf ein eingebundenes Werbemittel wie z.B. einen Banner. Sie werden auf die Zielseite geleitet, beispielsweise einen Online-Shop. Kommt es hier zur Conversion (beispielsweise zum Kauf), erhält der Webseitenbetreiber eine finanzielle Vergütung vom Online-Shop für die Vermittlung des Kunden.

Dieses Konzept sieht notgedrungen vor, dass die Bewegung des Besuchers bzw. Kunden gespeichert wird. Es muss klar sein, dass er auf der Ausgangswebseite zum Online-Shop gekommen ist. Hier muss gespeichert werden, was er beispielsweise gekauft hat, um die Vergütung berechnen zu können. Personenbezogene Daten fallen unter Umständen an. Art. 13 DSGVO schreibt vor, dass in einem solchen Fall eine Informationspflicht gegenüber der betroffenen Person besteht. Sie muss darüber in Kenntnis gesetzt werden. Die Dokumentationspflichten, die damit einhergehen, sind umfassend. Beispielsweise müssen eigentlich der Name sowie die Kontaktdaten des Verantwortlichen (Art. 13 Ia) sowie etwaige Weiterverarbeitungsabsichten (Art. 13 Ic, If, II, III)) aufgeführt werden. Dies kann schon aus praktischen Gründen nicht erreicht werden. Zwischen DSVGO und Affiliate Marketing entsteht ein Spannungsverhältnis. Jenes soll durch technische Lösungen entschärft werden, die allerdings ihrerseits kritisch sind.

2. Die drei wichtigsten Sicherheitsaspekte auf einen Blick

• Cookies, die personenbezogene Daten verarbeiten, sind rechtlich bedenklich
• Die Datenschutzerklärung muss überarbeitet werden, aufzunehmen ist auf jeden Fall die Opt-Out-Option
• Affiliate Links sind als Werbung zu kennzeichnen

3. Cookies: Das Spannungsverhältnis zwischen DSGVO und Affiliate Marketing wird verschlimmert

Cookies sind das gängige Instrumente, um Nutzeraktivitäten zu erfassen bzw. zu tracken. Für DSGVO und Affiliate Marketing gilt, dass Cookies, die personenbezogene Daten verarbeiten, generell über eine Opt-Out-Funktion verfügen müssen. Dies bedeutet, dass der Nutzer die Möglichkeit besitzen muss, dem Setzen von Cookies, die personenbezogene Daten verarbeiten, aktiv zu widersprechen. Bislang informieren Seiten lediglich, dass die gesetzt werden und bieten über ein “Okay” die Möglichkeit, dem zuzustimmen. Ablehnen kann man häufig nicht. Ob dies den Ansprüchen der DSGVO und der ePrivacy-Verordnung genügt, ist rechtlich (noch) umstritten.

Noch wichtiger erscheint aber für das Zusammenspiel von DSVGO und Affiliate Marketing eine andere Frage: Genügt dem Gesetz lediglich der Hinweis, dass ein Cookie gesetzt wird? Dies wird breit angezweifelt. Verstärkt wird der Verweis auf Tracking-Tools deshalb mit einem Link zu “Mehr Informationen” versehen. Dieser führt in der Regel zur umfassenden Datenschutzerklärung. Ein Tracking-Tool dient zur Nachverfolgung des Klicks, also über welche Seite der User kam und ob es zu einer Conversion gekommen ist. Das Problem für DSGVO und Affiliate Marketing: Diese Seiten informieren nur generell. Sie können keine konkrete Auskunft darüber geben, welche Tracking-Daten konkret über ein Affiliate-Programm gespeichert werden, weil die entsprechenden Informationen fallspezifisch anfallen.

Zudem sind an einem Affiliate Programm (mindestens) zwei Partner beteiligt, die ihre Datensätze teilen und eigentlich gemeinsam aushändigen müssten. Hierfür setzt die DSGVO für das Affiliate Marketing allerdings noch keine praktikablen Regeln. 2019 tritt die ePrivacy-Verordnung in Kraft, welche die Lücken der DSGVO streng schließen soll. Insbesondere das Problem des mehrfachen Trackings beim Affiliate Marketing wird dann bedeutend, weil der Nutzer zwei Mal aktiv zustimmen müsste (“Opt-In”).

Cookies, die personenbezogene Daten speichern, sind bezüglich der DSVGO generell bedenklich. Sie verfolgen Nutzer häufig über mehrere Webseiten hinweg, zudem werden oft weit mehr Daten als beispielsweise nur für das Affiliate Programm erhoben. Bislang behelfen sich die Webseiten-Betreiber mit dem Hinweis, dass sie generell darüber informieren, was Cookies vermögen. Ob diese Begründung allerdings einer gerichtlichen Prüfung standhalten würde, ist zweifelhaft.

© OSG

4. Links als Lösung für das Spannungsverhältnis von DSGVO und Affiliate Marketing?

Das Problem ist, dass im Prinzip alle Cookies personenbezogene Daten speichern, da sie nutzerindividuell Anwendung finden. Affiliate Links sind gute Alternativen zu Cookies oder Plugins.

Der User gelangt beim Klick auf einen Affiliate Link direkt zum Werbepartner des Webseiten-Betreibers. Affiliate Links sehen oft kryptisch aus und sind meistens als solche gekennzeichnet. Außerdem zeigen sie dem Werbepartner und dem Webseiten-Betreiber an, ob es zu einer Conversion kam. Ein reiner Textlink beraubt ihn dieser Kontrollmöglichkeiten.

Allerdings wird nur noch ein Cookie gesetzt und dieser findet erst nach dem Verlassen der Publisher-Website Anwendung. D. h., der Publisher muss keinen Cookie mehr setzen, da der Cookie, der gesetzt wird, auf der Zielseite (z. B. Online Shop des Advertisers) erst ins Spiel kommt. Streng genommen hat also der Publisher damit nichts zu tun.

5. Affiliate Links in der Kritik

Zudem kommt ein weiterer Aspekt hinzu, weshalb viele Webseiten-Betreiber reine Links kritisch sehen. Es herrscht nämlich Unsicherheit darüber, ob Affiliate Links als solche gekennzeichnet werden müssen oder nicht. Sowohl der Rundfunkstaatsvertrag (§ 58) sowie auch das Telemediengesetz (§ 6) schreiben vor, dass eine kommerzielle Kommunikation als solche deutlich zu machen ist. Zwar gibt es bei Affiliate Programmen keine direkte Bezahlung. Allerdings findet eine nachlaufende Vergütung statt, die es ohne das Programm nicht geben würde. Vereinfacht gesagt: Wer einen Affiliate Link setzt, tut dies, weil er dafür bezahlt werden möchte. Er hat also ein Interesse, dass Personen auf den Link klicken und handelt entsprechend.

Eine Kennzeichnung ist juristisch deshalb ratsam. Ein deutlicher Hinweis wie “Werbung” oder “Anzeige” liest sich allerdings nicht gut und ist auch aus Gründen der Suchmaschinenoptimierung bedenklich. Eine Lösung ist ein Sternchen hinter dem Link, das am Anfang oder am Ende der Webseite auflöst, dass es sich um einen Affiliate Link handelt.

Konsequenz der DSGVO für das Affiliate Marketing: Datenschutzerklärung muss angepasst werden
Wichtig für alle Webseitenbetreiber ist, dass die Datenschutzerklärung angepasst wird, um DSGVO und Affiliate Marketing in Einklang zu bringen. Deutlich erkennbar muss eine Opt-Out-Möglichkeit gegeben werden. Zudem sind Wege aufzuzeigen, wie Nutzer ihre Daten erhalten oder beispielsweise Löschungen verlangen können. Ratsam ist es, diesbezüglich Standardformulare zu entwickeln, die direkt zur Verfügung gestellt werden. Generatoren helfen dabei, die Datenschutzerklärung relativ einfach gesetzeskonform zu gestalten.

6. Fazit: Cookies sollten nur mit großer Vorsicht zum Einsatz gebracht werden

Wer auf die Tools nicht verzichten möchte, sollte allgemeine Tracking-Cookies von denen für das Affiliate Marketing trennen. Grundsätzlich ist es zudem ratsam, alle Tools, die für den eigenen Webauftritt zum Einsatz gebracht werden, kritisch bezüglich der DSGVO zu analysieren. Beispielsweise erhebt auch Google Analytics personenbezogene Daten, gleiches gilt für Adsense. Externe Dienstleister oder automatisierte (allerdings auch kostenpflichtige Programme) können dies als Auftragsarbeit durchführen. Sie bieten in der Regel zudem Tipps, Empfehlungen und teilweise sogar Textvorlagen, um die Seite gesetzeskonform zu gestalten.

Wichtiger rechtlicher Hinweis: Informieren Sie sich in jedem Fall selbst umfangreich über das Thema DSGVO. Unser Blogbeitrag stellt keinen Ersatz für eine ordentliche Rechtsberatung stellt dar.

Titelbild: Copyright @ shutterstock/WAYHOME studio