SBS Firmengruppe Logos

| Datenschutzrecht

Cookies verboten? Datenschutz im Affiliate-Marketing


Laut einer Erhebung des Bundesverbands für Digitale Wirtschaft (BVDW) generierte Affiliate Marketing im Jahr 2019 rund zehn Milliarden Euro Umsatz im E-Commerce – und die Zahlen sind seitdem gestiegen. Beim Affiliate-Marketing handelt es sich um ein sehr beliebtes System. Hierbei arbeiten grundsätzlich zwei Parteien zusammen. Einmal der sogenannte “Merchant” (oder auch Advertiser), welcher ein bestimmtes Produkt vertreiben möchte.  Und auf der anderen Seite der sogenannte “Affiliate” (oder auch Publisher), welcher das Produkt für den Merchant bewirbt. Allerdings werden dabei regelmäßig mit Cookies die Daten der Nutzer verfolgt, damit das Affiliate-System effektiv funktioniert. Hierbei kann es zu Spannungen mit dem Datenschutzrecht kommen.

So funktioniert Affiliate-Marketing

Wie eingangs beschrieben, handelt es sich um eine bestimmte Art von Werbesystem. Dabei ist der Sinn, dass sowohl Merchant als auch Affiliate voneinander profitieren. Der Merchant bietet Produkte an, die er an möglichst viele Kunden vertreiben möchte. Hierbei gibt es natürlich eine Vielzahl an Möglichkeiten, Werbung zu schalten. Das Affiliate-Marketing bietet dabei eine Option, die recht einfach zu verstehen ist.

Nämlich tut sich der Merchant mit jemandem zusammen, der auf irgendeine Weise für die Produkte wirbt. Das kann bspw. ein Influencer mit vielen Fans sein oder jemand, der eine Website betreibt, auf der Produkte getestet werden. Dieser Affiliate setzt Links auf seine Kanäle, welche die Interessenten dann nutzen. Sie werden auf die Website des Merchants weitergeleitet und kaufen im Optimalfall das jeweilige Produkt.

Wie kann damit Geld verdient werden?

Affiliate-Marketing funktioniert dann so, dass der Affiliate für solche Weiterleitungen von dem Merchant bezahlt wird. Generell kann man hierbei drei verschiedene Möglichkeiten unterscheiden, den Affiliate am Gewinn zu beteiligen.

Zunächst einmal gibt es das sog. Pay-per-Click (PPC) - Provisionsmodell. Wie der Name nahelegt, wird der Affiliate hier für Klicks bezahlt, die Interessenten auf seiner Seite tätigen. Die jeweilige Bezahlung hält sich allerdings regelmäßig nur im Cent-Bereich. Hierfür gibt es einen wichtigen Grund: Nur, weil jemand auf den Link klickt, wird er noch lange nicht zum Kunden. Nur ein Bruchteil dieser Interessenten kauft am Ende tatsächlich ein Produkt.

Sozusagen das Gegenteil zum PPC-Modell ist das sog. Pay-per-Lead (PPL) - Modell. Hier wird der Affiliate erst bezahlt, wenn ein qualifizierter Kundenkontakt erfolgt. Klickt ein Interessent also auf den vom Affiliate bereitgestellten Link und füllt dann auf der Website des Merchants ein Kundenformular aus, erhält der Affiliate Geld. Dies stellt den Optimalfall dar, allerdings ist es natürlich schwierig, eine Vielzahl solcher qualifizierten Kundenkontake herzustellen. Die Entlohnung liegt daher in einem Bereich von ca. 0,50 EUR und 30 EUR pro Erfolgskontakt.

Das zweifellos beliebteste Modell hingegen ist das sog. Pay-per-Sale (PPS) - Modell. Hierfür braucht es keinen qualifizierten Kundenkontakt, sondern einen normalen erfolgreichen Verkauf auf der Seite des Merchants. Schwierigkeiten begründet allerdings die Nachverfolgung einer solchen Interaktion.

Cookies als Gefahr

Der Begriff „Cookies“ ist heutzutage beinahe jedem bekannt, der im Internet unterwegs ist. Das liegt vor allem daran, dass man auf sehr vielen Webseiten aufgefordert wird, explizit in die Nutzung von Cookies einzuwilligen. Dieser Umstand geht auf das vergleichsweise strenge europäische Datenschutzrecht zurück.

Cookies

Cookies sind kleine Textdateien, die über eine Webseite im Internetbrowser eines Nutzers gespeichert werden können.

Sie helfen bspw. dabei, dass beim Online-Shopping ein Warenkorb, in dem bereits Artikel liegen, zu einem späteren Zeitpunkt wieder aufgerufen werden kann. Generell werden sie von Webseitenbetreibern verwendet, um Nutzeraktivitäten nachverfolgen zu können.


Wenn wir uns jetzt nochmal das beliebteste Modell des Affiliate-Marketings vor Augen führen, wird auch schnell klar wieso. Damit der Affiliate bezahlt wird, muss nachgewiesen werden, dass jemand von seiner Seite auf die des Merchants geleitet wurde und dann ein Produkt gekauft hat. Um das verfolgen zu können, müssen Cookies erhoben werden. Und das führt uns zu den datenschutzrechtlichen Problemen.

Einwilligung notwendig

Spätestens, seit das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutz-Gesetz - TTDSG) in Kraft getreten ist, lässt sich eines klar sagen: Für Cookies bedarf es der Einwilligung des Nutzers.

§ 25 TTDSG

Schutz der Privatsphäre bei Endeinrichtungen

Abs. 1: Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

[…]


Einfach so Nutzerdaten zu tracken, ist also verboten. Dies passte einigen Betreibern nicht, weshalb wir uns nun einige Versuche anschauen, dagegen vorzugehen.

Personenbezogene Daten nach DSGVO

Viele Betreiber von Internetseiten haben versucht, sich dagegen auf die Datenschutz-Grundverordnung (DSGVO) zu stützen. Beim Tracking für Affiliate-Marketing würden nämlich keine sog. personenbezogenen Daten verarbeitet werden. Art. 4 Nr. 1 DSGVO versteht darunter Daten, anhand welcher man einen Menschen identifizieren kann.

Beim Affiliate-Marketing geht es gerade nicht darum, ein persönliches Nutzerprofil anzulegen. Sondern soll bloß nachverfolgt werden, wie ein Nutzer auf die Webseite geleitet wurde und was er dann gekauft hat.

Allerdings ist das in diesem Fall keine Befreiung von der Einwilligungspflicht. Denn § 25 TTDSG unterscheidet nicht zwischen verschiedenen Daten, sondern nennt bloß „Informationen in der Endeinrichtung des Endnutzers.“ Darunter fallen definitiv auch solche Daten, die durch Cookies verarbeitet werden. Nach einer überwiegenden Ansicht stellen Cookies außerdem sehr wohl einen Unterfall personenbezogener Daten im Sinne der DSGVO dar.

Umgehungsversuche scheiterten

Es gab bereits einige Bestrebungen, das Einwilligungserfordernis zu umgehen. Denn der Verkaufsprozess gestaltet sich flüssiger, wenn der Interessent nicht in irgendeine Datenverarbeitung einwilligen muss.

§ 25 TTDSG kennt Ausnahmetatbestände, von denen einer hier einschlägig sein könnte.

§ 25 Abs. 2 Nr. 2 TTDSG

Die Einwilligung nach Absatz 1 ist nicht erforderlich, wenn […] die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.


„Unbedingt erforderlich“ sind die Cookies beim Affiliate Marketing nur, um den Vorgang vom Link des Affiliates zum Verkauf auf der Seite des Merchants nachvollziehen zu können. Sie sind gerade nicht technisch erforderlich, um überhaupt die Website nutzen zu können. Daher sind solche Cookies nicht von der Ausnahme erfasst.

Außerdem wurde versucht, das Einwilligungserfordernis zu umgehen, indem man erst auf der Webseite des Merchants Cookies einsetzte. Könnte dies den Affiliate von jeglichen Risiken befreien? Die Antwort ist nein. Denn der Affiliate und der Merchant sind regelmäßig gem. Art. 26 DSGVO datenschutzrechtlich gemeinsam verantwortlich, da sie gemeinsam die Zwecke und Mittel der Verarbeitung festlegen. Sie können also trotzdem für Verstöße haften. Wer also auf der sicheren Seite bleiben will, holt stets die erforderlichen Einwilligungen ein.


SBS LEGAL – Ihre Kanzlei für das Datenschutzrecht

Datenschutz ist bereits seit einiger Zeit ein Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Kanzlei für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).  Für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes ist hierbei besonders das Erstellen einer korrekten Datenschutzerklärung attraktiv.

Haben Sie noch Fragen zum Datenschutzrecht?

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für den korrekten Umgang Cookies beim Affiliate-Marketing? Dann sind Sie bei uns richtig.

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht