Was die Performance-Marketing-Branche über die DSGVO zu sagen hat

Als Teil der laufenden Vorbereitungen zum Datenschutz im Vorfeld der DSGVO wurden wir vor kurzem zum Unterzeichner eines Branchenstatements zum Thema DSGVO. Den Inhalt dieses Statements findest du unten:

Wie du sicher weißt, tritt die DSGVO (Datenschutz-Grundverordnung) am 25. Mai 2018 in Kraft. Angesichts der großen Wichtigkeit, diese Richtlinie einzuhalten, haben sich eine Reihe von Affiliate-Unternehmen innerhalb Großbritanniens zusammengeschlossen, um sicherzustellen, dass du klare und branchenweite Betreuung sowie eine einheitliche Message der Unternehmen erhältst, mit denen du zusammen arbeitest.

Diese Unternehmen sind: affilinet, Awin, CJ Affiliate, Impact Radius, Optimise, Performance Horizon, Rakuten Affiliate Marketing, Skimlinks, Tradedoubler und Webgains.

Was ist die DSGVO?

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist die neue rechtliche Rahmenbedingung, welche die Nutzung persönlicher Daten innerhalb aller Märkte der EU regelt. Man kann sie sich wie eine neue Reihe an Datengesetzen vorstellen, die auf das digitale Zeitalter angepasst sind.

Sie ersetzt die momentanen nationalen Datenschutzgesetze und ebenso die derzeitigen Datenschutzrichtlinien der EU. Die DSGVO ist so konzipiert, dass den Konsumenten mehr Kontrolle über deren persönliche Daten gegeben wird, und findet überall in der EU gleichermaßen Anwendung.

Die neuen Regelungen

Wir haben diejenigen Abschnitte der DSGVO herausgesucht, von denen wir denken, dass sie für die Affiliate-Branche derzeit am relevantesten sind. Trotzdem ist es wichtig, dass du dich mit allen Einzelheiten vertraut machst, da es noch sehr viel mehr Implikationen gibt, die unbedingt verstanden werden müssen. Zusätzlich stellen wir dir am Ende dieses Artikels einige nützliche Links zur Verfügung.

1. Persönliche Daten

Die persönlichen Daten der Konsumenten bilden das Kernstück der DSGVO. Die Klassifizierung persönlicher Daten wird im Rahmen der DSGVO erweitert. Das bedeutet, dass Daten, auf welche die Affiliate-Branche angewiesen ist und die derzeit nicht als persönliche Daten betrachtet werden, im Zuge der DSGVO als solche eingestuft werden könnten. Obwohl es derzeit noch keine definitive Liste der persönlichen Kennungen für Affiliate-Marketer gibt, können wir davon ausgehen, dass dies Informationen wie Cookie-IDs, Kundennummern, IP-Adressen, Gerätekennungen etc. beinhalten wird. Dies sind Kennungen, die viele Netzwerke und Plattformen als Teil deren Standard-Trackings erfassen.

Diejenigen Publisher, die das Affiliate-Tracking nutzen, sind deshalb verpflichtet sicherzustellen, dass sie rechtskonform zu der neuen Richtlinie handeln.

2. Rechtsgrundlage zur Verarbeitung persönlicher Daten

Unternehmen werden eine Rechtsgrundlage zur Verarbeitung persönlicher Daten benötigen. Es sind insgesamt sechs Rechtsgrundlagen verfügbar; die beiden, die im Bereich Digital Advertising am meisten verwendet werden, sind Einwilligung und berechtigtes Interesse.

Berechtigtes Interesse unterscheidet sich von der Einwilligung. Laut des ICO ist es wahrscheinlich überall dort am geeignetsten, wo man die Daten der Menschen in einer Art und Weise verwendet, die sie vernünftigerweise erwarten würden, und die einen minimalen privaten Einfluss haben oder wo eine zwingende Begründung für die Verarbeitung besteht. Sollte ein Unternehmen sich für das berechtigte Interesse entscheiden, dann muss es sich dessen bewusst sein, eine angemessene Rechtsgrundlage vorweisen zu können.

Wann immer die Einwilligung als notwendig angesehen wird,
meint das Information Commissionier’s Office (ICO): Einwilligung bedeutet, die Individuen vor eine echte Wahl zu stellen und ihnen die Kontrolle darüber zu geben. Eine aufrichtige Einwilligung sollte den Individuen die Verantwortung geben, Kundenvertrauen und –engagement zu bilden und Ihren Ruf zu verbessern.”

“Vertrag” ist ebenfalls eine Rechtsgrundlage, die in manchen Fällen herangezogen werden kann. Das bezieht sich auf Fälle, in denen spezifische Vertragsvereinbarungen zwischen einem Unternehmen und dessen Kunden (Datensubjekten) getroffen werden und die dem Unternehmen erlauben, persönliche Daten zu sammeln und zu verarbeiten. Einige Publisher (wie zum Beispiel Cashback-Unternehmen) könnten durchaus solche Vereinbarungen mit ihren Nutzern getroffen haben.

Angesichts der vielfältigen Natur des Affiliate-Kanals und der Vielfalt an digitalen Kanälen, die von Affiliates zur Generierung von Sales genutzt werden, ist es für Netzwerke sehr schwer, Empfehlungen auszusprechen. Wann immer bindende Vorschriften notwendig sind, werden die einzelnen Netzwerke dies zu gegebener Zeit kommunizieren.

Weitere Einzelheiten zu allen Rechtsgrundlagen findest du hier: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/

3. Die Datenschutzrichtlinie zu elektronischer Kommunikation

Die Datenschutzrichtlinie zu elektronischer Kommunikation (Cookie-Richtlinie) wird zum größten Teil mit den Bannern und Pop-Ups assoziiert, die auf sämtlichen Webseiten aufpoppen, um die Konsumenten über die Nutzung von Cookies zum Tracken der Online-Aktivität zu informieren. (Die Richtlinie bezieht sich ebenfalls auf die Einwilligung zu E-Mail-, SMS- und Anruf-Marketing, die auf einige Unternehmen, die Affiliate-Kampagnen durchführen, anwendbar sind).

Die Richtlinie zur elektronischen Kommunikation wird nicht durch die DSGVO ersetzt, sie läuft eher parallel zu ihr. Diese Richtlinie wird im Moment überprüft, um sicherzustellen, dass sie mit der DSGVO in Einklang steht, sobald diese fertiggestellt worden ist. Ein Kernpunkt der Überprüfung liegt darin, die Transparenz für Konsumenten zu verbessern und strengere Einverständniserklärungen für Cookies (und ähnliche Tracking-Technologien) einzuführen. Unter der existierenden Richtlinie zur elektronischen Kommunikation machte das ICO deutlich, dass für die Nutzung von “Cookies und ähnlichen Technologien” eine Einwilligung notwendig ist. Daher bleibt die Richtlinie zur elektronischen Kommunikation bestehen, unabhängig davon, welche Rechtsgrundlage für die Verarbeitung persönlicher Daten unter der DSGVO verwendet wird. Das bedeutet, dass eine eindeutige Einwilligung für die Nutzung vieler Cookies erforderlich ist, denn die DSGVO sieht die Einwilligung nur als ausreichend an, wenn diese “eindeutig” ist. Das bedeutet, dass Publisher ihre Einwilligungsmechanismen ebenso wie die Anleitung des ICO überprüfen und entsprechende Änderungen vornehmen sollten.

4. Eine Lösung für die Einwilligung innerhalb der Branche

Angesichts des potenziell sehr bedeutsamen Einflusses auf alle Formen des Online-Advertisings hat sich die Branche zusammengetan, um generelle Standards und Konzepte zu erarbeiten. Im November 2017 gab die IAB Europe einen technischen Standard für die Online-Einwilligung bekannt und die Stakeholder der Branche entwickeln ein Einwilligungs-Tool, das rechtzeitig bis zur Deadline im Mai die Einhaltung der DSGVO und der Richtlinie zur elektronischen Kommunikation sicherstellen soll. Hier kannst du dich zu den Updates dazu anmelden.

Wenn du dich dazu entscheidest, eine Einwilligungslösung auf deiner Webseite anzubieten, kannst du dafür kostenlose Versionen nutzen, die online erhältlich sind. Eine ganze Reihe an Unternehmen ist gerade dabei, entsprechende Einwilligungs-Tools zu entwickeln; wir raten dir außerdem, auch andere Einwilligungslösungen, die zu deinem Unternehmen passen, in Erwägung zu ziehen. Online gibt es eine große Vielfalt an Optionen und Tools und wir raten dir, diese Lösungen zunächst genau zu prüfen, um sicherzustellen, dass sie gemäß der Richtlinien implementiert werden können.

Zusätzlich dazu bietet das Kollektiv der oben aufgelisteten Unternehmen ebenfalls Support an.

5. Checkliste der nächsten Schritte für Publisher
  • Publisher sollten zunächst untersuchen, inwiefern die DSGVO ihr Unternehmen beeinträchtigt und die Maßnahmen, die zur Einhaltung der Richtlinien ergriffen wurden, entsprechend dokumentieren.
  • Publisher sollten gut darauf achten, den Konsumenten Transparenz zu bieten und die geeignetste Rechtsgrundlage für die Sammlung und Verarbeitung der persönlichen Daten ihrer Webseitenbesucher auswählen.
  • Um Transparenz zu schaffen und die Erfassung der Zustimmung zu aktualisieren, sollten Publisher die Datenschutzbestimmungen sowie die Mittteilungen zu Cookies überprüfen und anpassen.
    Publisher sollten auch selbst juristischen Rat suchen. Dieser Artikel sollte nicht als juristischer Rat verstanden werden.
  • Für eine spezielle Beratung oder detailliertere Informationen zu bestimmten Voraussetzungen für DSGVO-konformes Handeln sollten sich Publisher an ihre individuellen Affiliate-Netzwerke und -Plattformen werden.

Die DSGVO symbolisiert Veränderungen, die alle Unternehmen durchlaufen müssen, und es ist an dieser Stelle noch unsicher, welchen Einfluss das auf die Branche hat. Trotzdem können diese Einflüsse mit nachweislichem Verständnis, Einsatz sowie Maßnahmen zur Einhaltung der Regeln gemildert werden. Die Deadline am 25. Mai 2018 kennzeichnet den Beginn dieser neuen Epoche des Datenschutzes.

Es ist wichtig, dass du als Unternehmen deine Pflichten bezüglich der DSGVO kennst und alle notwendigen Anpassungen vornimmst, um konform dazu zu handeln. Bitte besuche die unten bereitgestellten Links für weitere Informationen und folge den oben genannten Ratschlägen.

Nützliche Links:

IAB Merkblatt Richtlinie zur elektronischen Kommunikation: https://www.iabuk.net/policy/briefings/iab-factsheet-eu-eprivacy-regulation

IAB DSGVO Hub: https://www.iabuk.net/gdpr-hub

ICO Guide zur DSGVO: https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/

ICO Anleitung für Datenverantwortliche und Datenverarbeiter: https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf

IAB Einwilligungsmechanismus: https://www.iabeurope.eu/policy/gig-working-paper-on-gdpr-consent/