DSGVO: Die häufigsten Kundenanfragen
Verfasst von Alexandra Bietz am 5 Minuten zum Lesen
Wir haben die häufigsten Anfragen der letzten drei Wochen gesammelt und zusammengefasst.
Aktuell herrscht noch immer viel Verwirrung und Unsicherheit darüber, wie Publisher das Affiliate-Tracking korrekt im Sinne der DSGVO einbauen und verwenden können. Viele Fragen konnten bereits in dem Whitepaper geklärt werden. Awin möchte jedoch die Gelegenheit nutzen, um die häufigsten Kundenanfragen aufzugreifen und zu beantworten.
Warum sind Publisher gemeinsame Verantwortliche bzw. Joint Controller mit Awin?
Auf unserem DSGVO-Portal haben wir einen Beitrag veröffentlicht, der die verschiedenen Rollen unter der DSGVO beschreibt und erklärt, welche davon Publisher, Advertiser oder Netzwerke einnehmen. Warum Publisher ebenfalls Datenverantwortliche sind, erklären wir nun näher.
Eine Datenverarbeitung würde ohne Integration von Tracking seitens der Publisher nicht stattfinden. Die Stellungnahme 2/2010 von der Datenschutzgruppe, einem unabhängigen Beratungsgremium der Europäischen Union in Datenschutzfragen, ist hierzu sehr deutlich. Ein Publisher (oder eine andere Person) kontrolliert Daten, wenn diese Daten – durch ihn selbst oder eine andere Person - verarbeitet werden. Meistens geschieht dies, wenn sie einen Link über eine Affiliate-Netzwerk-Domain posten.
Publisher sind demnach Controller bzw. Datenverantwortliche für alle anderen Datenverarbeitungsaktivitäten, die sie für ihre eigenen Zwecke durchführen. Indem sie auch ein Controller für Affiliate-Tracking sind, wird die Controller-Rolle in begrenztem Umfang erweitert. Aus Sicht der DSGVO ist Affiliate-Tracking weitaus weniger riskant, als die meisten Dinge, die Publisher in ihrem eigenen Namen tun.
Wir sind der Überzeugung, dass unsere Position die Realität und gängie Praxis widerspiegelt. Keinem Publisher ist es möglich, nur nach Aufforderung jedes einzelnen Advertisers zu handeln. Die Aufforderungen würden höchstwahrscheinlich überhaupt nicht erteilt werden. Falls doch, ist die Aussicht auf konkrete Anweisungen gleich Null. Der Status als Datenprozessor scheint daher unweigerlich zu einer Lähmung zu führen.
Als Controller müssen Publisher nicht alle Entscheidungen weitergeben. Sie müssen nicht jedem einzelnen ihrer Advertiser und jedem Netzwerk ein Prüfungsrecht einräumen. Publisher, die Controller sind, können ihr Geschäft nach eigenem Ermessen führen. An dieser Stelle wollen wir unsere Publisher entlasten und ihnen die Freiheiten ermöglichen, die sie für ihr Geschäft benötigen.
Der Status des Controllers behandelt Advertiser, Publisher und Netzwerke als gleichwertig. Wir wollen jedoch betonen, dass keine Partei für die Fehler des anderen haftet. Jeder trägt die alleinige Verantwortung für sein eigenes Handeln, da jeder für seine eigene Verarbeitung verantwortlich ist.
Auf welche rechtliche Grundlage bezieht sich Awin?
Unter der DSGVO verwendet Awin das berechtigte Interesse als Rechtsgrundlage. Insgesamt gibt es 6 Rechsgrundlagen. Eine Hierarchie zwischen den Rechtsgrundlagen gibt es nicht.
Warum müssen Publisher trotzdem die Zustimmung des Users einholen?
Nach der bereits vor Jahren erlassenen ePrivacy Richtlinie muss jeder, der einen Cookie auf einem Endgerät setzt (oder auf andere Weise auf den Endbenutzer zugreift, z.B. durch Fingerprint), die Zustimmung des Users einholen. Nur dann darf der Cookie (oder die zugehörige Technologie) gesetzt werden.
Das ist keine neue DSGVO-Anforderung, sondern wurde bereits vor Jahren in nationales Recht umgesetzt. Deshalb wurde dies bereits 2012 in die allgemeinen Geschäftsbedingungen für Publisher aufgenommen. Dass eine Zustimmung erforderlich ist, steht somit außer Frage. Lediglich die Definition der Zustimmung unterscheidet sich von Land zu Land. Und hier wird es nun kniffelig:
In Deutschland fand die Umsetzung der Richtlinie in nationales Recht innerhalb des Telemediengesetzes (TMG) statt. Es ist jedoch aktuell umstritten, ob dies eine rechtmäßige Umsetzung der Richtlinie war. Gegenwärtig verlangen die deutschen Zustimmungserfordernisse lediglich eine Opt-Out-Lösung (bspw. über die Browser-Einstellung) und einen Datenschutzhinweis.
Ein Hinweis darauf, dass ein Publisher mit einem Affiliate Netzwerk zusammenarbeitet bzw. Affiliate-Tracking nutzt, reicht hier aus. Um für den User volle Transparanz zu schaffen, können Publisher an dieser Stelle zusätzlich auf die Privacy Policy von Awin verlinken. Laut unseren AGB ist es jedoch verbindlich, mindestens in den eigenen Datenschutzbestimmungen auf die Privacy Policy von Awin hinzuweisen.
Wenn ein Publisher freiwillig eine eindeutige Zustimmung des Users (Opt-In) einholen will, kann er dafür das Awin Consent Tool nutzen.
Welche Rolle spielt die kürzlich veröffentliche Stellungnahme der deutschen Datenschutzbehörde?
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat auf ihrer Sitzung vom 26. April 2018 in Düsseldorf ihre Position „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ bestimmt. Mit Blick auf die künftige ePrivacy-Verordnung nimmt die DSK-Position zum Spannungsverhältnis zwischen TMG, DSGVO und ePrivacy-Richtlinie Stellung und trifft allgemeine Aussagen zum Einsatz von Tracking-Mechanismen im Internet und zur Erstellung von Nutzerprofilen.
Anders gesagt, geht diese Stellungnahme davon aus, dass ePrivacy in Deutschland nicht ordnungsgemäß in nationales Recht umgesetzt wurde. Mit dieser Thematik beschäftigt sich aktuell der Europäische Gerichtshof, eine Entscheidung steht noch aus.
Auf dem deutschen Markt führt die Annahme der Datenschutzbehörden und die ausstehende EuGH-Entscheidung zu Verwirrung, inwieweit diese nun gilt. Awin hat entschieden, dass wir unser Geschäft nach den geltenden Gesetzen weiterführen werden, da die Annahme der Datenschutzbehörde als Fehler durch den EuGH deklariert werden könnte.
Wir können aber nicht mit voller Sicherheit sagen, dass sich Publisher darauf verlassen können, keine Einwilligung zum Tracking einholen zu müssen. Das birgt ein Risiko, welches Awin jedoch bereit ist einzugehen, um unsere Publisher erheblich zu entlasten.
Warum hat Awin das Whitepaper und das Consent Tool erst kurz vor Inkrafttreten der DSGVO veröffentlicht?
Wie oben beschrieben, wurde die Stellungnahme der deutschen Datenschutzbehörde erst am 24. April 2018 veröffentlicht. Zu dieser Zeit liefen die Vorbereitungen und nötigen Maßnahmen auf Hochtouren. Die Situation in Deutschland ist weiterhin unklar und wir wollten keine Leitfäden veröffentlichen, die nach einigen Wochen oder Tagen hinfällig gewesen wären. Da wir unsere Kunden jedoch bestmöglich unterstützen wollten, haben wir uns dazu entschlossen, unsere Position als Joint Controller zu veröffentlichen und unseren Weg zu erklären. Wir werden weiterhin jede Entwicklung auf dem Markt streng beobachten und etwaige Anpassungen schnellstmöglich bekanntgeben.
Unsere Anwälte haben unser Geschäftsmodell und unsere Beziehung zu Advertisern und Publishern ausführlich bewertet. Über unsere AGB und unsere Auslegung als Joint Controller haben wir für unser Business und unsere Partner sichere Rahmenbedingungen geschaffen. Jeder einzelne Beteiligte muss aber unabhängig von uns für die Einhaltung und Umsetzung der DSGVO Sorge tragen.
Wir bitten um Verständnis, dass wir keine Rechtsberatung leisten können. Um unsere Kunden trotzdem bestmöglich zu unterstützen, haben wir alle Artikel zur DSGVO auf diesem Portal zusammengestellt.
Wir hoffen, dass wir hiermit einige offene Fragen klären konnten und stehen gern unter global-privacy@awin.com für Rückfragen zur Verfügung.