Aus datenschutzrechtlicher Sicht muss ein Unternehmen beurteilen, ob es ein Verantwortlicher oder Auftragsverarbeiter im Sinne der DSGVO ist. In diesem Artikel erklären wir Euch, welche Rolle Awin einnimmt und wie sich das auf unsere Advertiser auswirkt.
Als Teil der Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO) müssen Organisationen abwägen, in welchem Umfang sie als Datenverantwortlicher agieren und ab wann sie in ihrem Datenverarbeitungsprozess als Auftragsverarbeiter gelten.
Das Konzept von Verantwortlichen und Auftragsverarbeitern im Zuge der DSGVO ist nicht neu, wird aber aufgrund der strengeren Anforderungen für Datenverantwortliche nun noch relevanter. Als Teil einer umfänglichen Datenschutz-Folgenabschätzung haben auch wir uns mit dem Thema auseinandergesetzt und unsere eigene Position unter der DSGVO ausgewertet. Folgend lest Ihr mehr zu unseren wichtigsten Erkenntnissen sowie die damit einhergehenden Auswirkungen auf unsere Advertiser.
Definition des Datenverantwortlichen
Verantwortliche bestimmen den Zweck für die Datenverarbeitung und die Mittel mit denen diese durchgeführt wird. Ist der Zweck definiert, weiß man, warum eine Datenverarbeitung stattfinden soll. Die Mittel zur Datenverarbeitung hingegen bestimmen die Art und Weise, also wie die Daten verarbeitet werden. Die Festlegung des Zwecks und der Mittel kann nur durch einen, aber auch durch zwei oder mehr Verantwortliche gemeinsam erfolgen.
Bestimmung des Zwecks - "Das Warum"
Im Zusammenhang mit Awins Trackinglösungen wird der Zweck der Datenverarbeitung von unseren Advertisern bestimmt. Denn die Advertiser legen fest, ob sie ein Partnerprogramm in unserem Affiliate Netzwerk starten möchten oder nicht. Somit stellt die Umsetzung einer Affiliate Marketing Kampagne bei Awin den eigentlichen Zweck zur Verarbeitung von personenbezogenen Daten im Zuge des Trackings dar.
Als Affiliate Marketing Netzwerk hat Awin das mit der Datenverarbeitung verbundene allgemeine Wirtschaftsmodell festgelegt, nämlich: Advertiser zahlen leistungsabhängige Provisionen an Publisher und Netzwerkgebühren an Awin, welche sich nach der dem Publisher zu zahlenden Vergütung berechnet. Demzufolge bestimmt auch Awin einige Elemente des Zwecks der Datenverarbeitung.
Bestimmung der Mittel - "Das Wie"
Bei der Bestimmung darüber, wie die Datenverarbeitung abläuft, muss beachtet werden, wer über die wesentlichen Aspekte der Verarbeitung entscheidet. Nach der Artikel-29-Datenschutzgruppe Opinion 1/2010 [“the means include both the technical and organisational questions where the decision can be well delegated to processor and the essential elements, which are traditionally and inherently reserved to the determination of the controller, such as “which data shall be processed?”, "for how long shall they be processed?”, “who shall have access to them?”, and so on”.]
Beim Tracking bestimmt Awin wesentliche Elemente der Datenverarbeitung. Das schließt auch Awins Bestimmung zur Verarbeitung von personenbezogenen Daten für ein korrektes Tracking ein. Beispiele für Datenverarbeitung sind:
- Tracking Domain Cookies und die Journey Tags
- Device Fingerprinting
Gemeinsam für die Verarbeitung Verantwortliche
Wie bereits angemerkt, können auch zwei oder mehr Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen. Hierbei werden alle Beteiligten am Datenverarbeitungsprozess als gemeinsam Verantwortliche unter der DSGVO betrachtet.
In Awins Beziehung mit Advertisern wird der Zweck vorrangig von den Advertisern bestimmt, wohingegen die Mittel hauptsächlich von Awin festgelegt werden.
Demzufolge kommen wir zu dem Schluss, dass im normalen Geschäftsverlauf Awin und der jeweilige Advertiser gemeinsam für die Verarbeitung der Daten verantwortlich sind.
Was das für Awin und unsere Advertiser bedeutet
Als gemeinsam für die Verarbeitung Verantwortliche übernehmen wir gemäß der DSGVO die gleichen Verpflichtungen wie unsere Advertiser. Das bedeutet, dass beide verantwortlich für eine sichere Verarbeitung der im Rahmen des Tracking erhobenen Daten umgehen müssen und von Datenschutzbehörden die gleichen Verpflichtungen und Verantwortlichkeiten auferlegt bekommen.
Naturgemäß bedeutet dies auch, dass das klassische Verantwortlicher-Verarbeiter-Modell auf diese Beziehung nicht anwendbar ist, da wir stattdessen gemeinsam mit den Advertisern als für die Verarbeitung Verantwortliche agieren.
Um sicherzustellen, dass wir dieser Situation auch vertraglich gerecht werden, haben wir eine Muster-Datenverarbeitungsvereinbarung vorbereitet, die unsere Rechte und Pflichten als gemeinsam für die Verarbeitung Verantwortliche definiert.
In den nächsten Wochen überprüfen wir bereits bestehende Datenverarbeitungsvereinbarungen, um sicherzustellen, dass der aktuelle Status-quo sachlich wie rechtlich gemäß der DSGVO korrekt ist. Selbstverständlich halten wir Euch über jegliche Änderungen auf dem Laufenden.
Wie sieht es bei den Publishern aus?
Awin prüft aktuell den Datenverarbeitungsprozess mit Publishern und wird die Ergebnisse zeitnah teilen. In der Zwischenzeit kannst Du Dich bei Fragen zur DSGVO gerne an uns wenden.
Weiterführende Quellen
Lokale Datenschutzbehörden erklären die Funktionen von Datenverantwortlichen und Auftragsverarbeitern im Detail. Weiterführende Informationen findest Du hier für Deutschland und hier für Österreich.