Unternehmen wissen längst, wie wichtig eine ausdrucksstarke und repräsentative Online-Präsenz ist, um Produkte zu vermarkten. Der Verkäufer muss demnach rentable Marketingstrategien, wie das Affiliate-Marketing anwenden, die nicht nur die gezielte Kundenansprache, sondern auch eine große Streubreite von Produktwerbung im Internet ermöglichen. Was Affiliate-Marketing ist, wie es funktioniert und welche Datenschutzprobleme damit einhergehen, soll der folgende Artikel zeigen.
Der Inhalt im Überblick
Was ist Affiliate-Marketing und wie funktioniert das?
Das Affiliate-Marketing hat sich bereits in den letzten Jahren bewährt und ist im Bereich des Online-Marketing eine der beliebtesten Vertriebsformen zur Umsetzung von Marketingzielen.
Definition von Affiliate-Marketing
Das Affiliate-Marketing kann definiert werden als
„eine auf vertriebszwecken basierende Zusammenarbeit zwischen werbetreibendem Unternehmen (Advertiser) und Websitebetreiber (Affiliate) im Rahmen des Online-Marketing Geschäfts“
Bei dieser Zusammenarbeit nutzt das werbetreibende Unternehmen den Affiliate zur optimierten Vermarktung seiner Produkte, indem er auf den Internetseiten des Affiliates eigene Werbung platziert. Der Affiliate bewirbt demnach fremde Produkte auf seiner eigenen Website. Für diese Produkte oder Werbemittel stellt er folglich den entsprechenden Platz zur Verfügung und erhält vom Unternehmen erfolgsbasierte Vermittlungsprovision für seine Werbedienstleistung. Interessiert sich der Internetuser für ein Produkt auf der Website des Affiliates und klickt dieses, Werbebanner oder vom Advertiser gesetztes sonstige Werbemittel an, erfolgt eine Weiterleitung zur Produktseite (Website, Landingpage, etc.) des Advertisers.
Ob eine hierdurch erzielte Vermittlung tatsächlich erfolgreich war und beispielsweise eine Bestellung oder ein Produktkauf aus dem Affiliate-Marketing resultierte, muss jedoch auch nachweisbar sein. Grund hierfür ist der Umstand, dass die Provision am Ende auch an die korrekten Affiliates ausgezahlt werden muss. Um diese Nachverfolgung umzusetzen, findet oft ein Tracking des Websitebesuchers nach dem Minimalprinzip statt. Demnach werden diejenigen Daten durch Cookies erhoben und auf dem Gerät des Websitebesuchers gespeichert, die für die Zuweisung der Transaktion notwendig sind. Auf diese Weise kann der Websitebesucher kostenlos von einer vielfältigen Produktpalette profitieren. Gleichzeitig wird dem Advertiser die Zuordnung zum richtigen Affiliate, im Nachgang zum Verkaufsprozess, ermöglicht.
Public oder Private Affiliate-Networks
Beim Affiliate-Marketing wird zwischen Private und Public Affiliate Networks unterschieden. Der maßgebliche Unterschied lässt sich bei einem Vergleich der Networks vor allem an der Zahl der teilnehmenden Parteien festmachen.
Das Public Affiliate Network ist ein öffentlich zugängliches Affiliate-Modell, auf welches sowohl der Advertiser als auch der Affiliate zugreifen können. In diesem Netzwerkbereich können beide Parteien interagieren. Der Advertiser kann seine Werbemittel präsentieren und Provisionen für gewonnene Kontakte offenlegen. Im gleichen Zuge können sich Affiliates, in Anbetracht der Advertiser Informationen, für die Dienstleistung als Affiliates über spezielle Affiliate-Programme des Advertiser bewerben.
Das Private Affiliate Network ist im Gegensatz zum Public Network ein Netzwerk, welches für große Kunden, die immens in Affiliate-Marketing investieren, interessant ist. Es handelt sich dabei um ein Netzwerk, indem Advertiser speziell ausgewählte und umsatzstarke Affiliates gesondert betreuen.
Beispiele für Affiliate-Marketing Geschäftsmodelle
Es gibt einige bekannte Affiliate-Marketing Geschäftsmodelle. Hierzu zählen:
- Cashback- & Loyalty-Plattformen
- Vergleichs- & Bewertungsportale
- Deal- & Gutschein-Portale
- News- & Content-Blogs
- Bannerwerbung – Retargeting
Datenschutzproblem beim Affiliate-Marketing: Rentabilität durch Nutzerverfolgung
Die Transaktionszuweisung zu Abrechnungszwecken bedarf der Nutzung von Trackingmechanismen, wie dem Setzen von Cookies. Wird bspw. ein Cookie auf dem Endgerät des Users gesetzt, kann der Advertiser anhand dieses Cookies später auslesen, von welcher Affiliate-Seite der User auf die Advertiser Seite weitergeleitet wurde. Durch diese Handhabung wird die kostenfreie Nutzung der Dienstleistung für den Websitebesucher garantiert. Problematisch ist, dass alle Affiliate-Modelle auf der erfolgsbasierten Provision beruhen und demnach die Rentabilität des Affiliate-Marketings unweigerlich von der Transaktionsattribution und damit auch von der Nutzerverfolgung abhängt.
Wenn eine Nutzerverfolgung durch Tracking Anwendung findet, verlangt die Datenschutzkonferenz allerdings eine wirksam eingeholte aktive Einwilligung des Nutzers. Da eine solche Cookie-Einwilligung freiwillig ist und demnach in einigen Fällen wohl nicht getätigt wird, entsteht hier ein Spannungsverhältnis zum grundsätzlichen Geschäftsmodell des Affiliate-Marketings.
DSGVO und TTDSG beim Affiliate-Marketing beachten
Die Verarbeitung von Daten im Rahmen des Affiliate-Marketing bedarf der Beachtung der Vorgaben der DSGVO sowie des TTDSG. Zwar zielt das Grundmodell des Affiliate-Marketings gar nicht darauf ab, Nutzerprofile zu bilden und mehr Daten als zwingend nötig zu erheben, dennoch sind an das Tracking mittels Cookies hohe datenschutzrechtliche Anforderungen geknüpft, wobei die Umstände des Einzelfalles berücksichtigt werden müssen.
Affiliate-Marketing nur noch mit Einwilligung?
Auf die Frage, ob das Affiliate-Marketing nur noch mit Einwilligung stattfinden darf, wird man nach den Ausführungen der Datenschutzkonferenz und unter Hinzuziehung des TTDSG mit JA antworten können.
§ 25 Abs. 1 TTDSG verlangt eine Einwilligung des Endnutzers auf Grundlage einer klaren und umfassenden Information, wenn Informationen in der Endeinrichtung des Endnutzers gespeichert werden oder ein Zugriff auf Informationen erfolgt, die bereits in der Endeinrichtung gespeichert sind. Hierbei muss es sich gerade nicht zwangsläufig um Informationen in Form von personenbezogenen Daten handeln. Angewendet auf die Situation im Affiliate-Marketing und die dort gesetzten Tracking-Cookies handelt es sich um die Speicherung von Informationen in der Endeinrichtung des Nutzers, weshalb dessen Einwilligung nach den Vorgaben der DSGVO eingeholt werden sollte. Auch die Ausnahme nach § 25 Abs. 2 Nr. 2 TTDSG ist in Anlehnung an die Orientierungshilfe der DSK vorliegend nicht einschlägig. Die Ausnahme besagt, dass eine Einwilligung entbehrlich ist,
„wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst zur Verfügung stellen kann.“
Das Setzen des Tracking-Cookies zum Zwecke der Affiliate-Zuordnung ist zwar wirtschaftlich für das Modell des Affiliate-Marketings erforderlich, aber nicht streng technisch erforderlich, um dem Endnutzer ausdrücklich gewünschte Dienste zur Verfügung zu stellen. Die DSK führte hierzu aus
„Eine Ausnahme von der Einwilligungsbedürftigkeit kann daher nicht dadurch begründet werden, dass das Speichern von oder der Zugriff auf Informationen im Endgerät wirtschaftlich für das Geschäftsmodell erforderlich ist, in das der Telemediendienst eingebunden ist“
Dennoch wird daneben noch von Teilen der Literatur vertreten, dass nicht in jedem Fall eine Einwilligung erforderlich sei, sondern auch das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO herangezogen werden könne. Die Stimmen aus der Literatur berufen sich für Ihre Argumentation gegen das Einwilligungserfordernis hierbei insbesondere auf den sog. Fashion-ID-Fall des EuGH. Spätestens nach Inkrafttreten des neuen TTDSG sollte die Berufung auf das berechtigte Interesse jedoch sehr kritisch betrachtet werden.
Affiliate-Marketing ohne Cookies: Links als Alternative?
Das Betreiben von Affiliate-Marketing ohne Cookies würde bedeuten, dass keine Notwendigkeit für die Einholung der Einwilligung des Nutzers besteht. Setzt der Affiliate auf seiner Affiliate-Website demnach gar kein eigenes Cookie, könnte man argumentieren, dass er in diesem Fall auch nicht verantwortlich für die Einholung der Einwilligung des Nutzers ist. Eine hierfür beispielhafte Situation wäre die folgende: Es wird nur ein gewöhnlicher Text-Link durch den Affiliate auf der Affiliate-Website gesetzt. Sodann kann der User auf den Link klicken, jedoch wird erst nach dem Klick ein Cookie gesetzt, und zwar auf der Website des Advertisers oder auf dem Affiliate-Network. Ob in dem Beispiel auf das Einwilligungserfordernis verzichtet werden kann und der Affiliate tatsächlich nicht als Verantwortlicher angesehen wird, hängt von der technischen Umsetzung im Einzelfall ab und ist mit einem datenschutzrechtlichen Risiko verbunden. Insbesondere, da im Rahmen des Affiliate-Marketing meist eine gemeinsame Verantwortlichkeit angenommen werden kann. In diesem Rahmen genügt es bereits für die Begründung der Mitverantwortlichkeit, dass der Affiliate die Datenverarbeitung über den gesetzten Link nur auslöst und im Anschluss gar nicht zusätzlich an der Datenverarbeitung beteiligt ist.
Gemeinsame Verantwortlichkeit beim Affiliate-Marketing
Zwischen Advertisern, Affiliate-Networks und Publishern kann eine dreiteilige gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen. Diese liegt vor, wenn zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung festlegen. Demnach muss zunächst im konkreten Fall geprüft werden, welche Beteiligten des Affiliate-Marketings als Verantwortliche nach der DSGVO zählen. Hier finden man weitere Informationen zur Bestimmung der Verantwortlichkeit. Handeln tatsächlich alle als Verantwortliche und liegen die Voraussetzungen des Art. 26 Abs. 1 S. 1 DSGVO vor, bedarf es des Abschlusses einer Joint Controllership Vereinbarung.
Kein Vorteil ohne datenschutzrechtliche Herausforderung
Das Affiliate-Marketing nimmt im Bereich des Online-Marketings eine bedeutende Rolle ein. Es bringt nicht nur den Werbetreibenden und Affiliates einen immensen Vorteil bei der Vermarktung von Produkten, sondern bietet auch dem Konsumenten eine vielfältigere Marken- und Produktauswahl, die schnell per Klick in einen Kauf umgesetzt werden kann. Diese Vorteile sind nun teilweise auch mit neuen datenschutzrechtlichen Herausforderungen verknüpft. Wird wie im Affiliate-Marketing mit Tracking-Cookies gearbeitet muss neben der DSGVO auch das neue TTDSG beachtet werden. Die Einholung der Einwilligungen der Nutzer wird hier in den meisten Fällen unumgänglich sein.
Interessanter Beitrag! Spannend wären aber konkrete Aussagen zu „Affiliate-Marketing ohne Cookies“. Denn die hier genannte alternative Gestaltung kommt ja nicht ohne Cookies aus, die Cookies werden nur an anderer Stelle gesetzt. Welche Alternativen (serverside tagging etc.) gäbe es, um komplett ohne Cookies arbeiten zu können und damit auch all diejenigen Nutzer zu erfassen, die an keiner Stelle im Prozess ihre Einwilligung nach TTDSG geben?
Allein die Verwendung anderer Trackingmethoden schließt die Notwendigkeit einer Einwilligung nicht zwangsläufig aus, sofern auch in diesen Fällen personenbezogene Daten erhoben werden. Hierzu zählt bereits die IP-Adresse.
Matomo arbeitet angeblich komplett anonymisiert ohne Cookie Einwilligung und DSGVO konform. Und es gibt auch andere Tools die nutzerdaten angeblich komplett anonym erfassen. Es ist nur etwas schwierig aktuell noch hier durchzublicken ohne juristischen Background. Aus der Not heraus entstehen jedoch zahlreiche Alternativen. Wäre hierzu ein zusätzlicher Beitrag denkbar?
Hallo Anonymous, ich beschäftige mich mit den gleichen Fragen und habe bereits einige Alternativen für anonymes Tracking ohne Einwilligung dennoch DSGVO konform recherchiert. Wollen wir uns vernetzen und austauschen?
Was wäre denn, wenn sich der Publisher vom Werbetreibenden einen einzigartigen Rabattcode geben lässt? So könnte man anhand des Rabattcodes nachweisen, dass der Publisher den Käufer zum Kauf angeregt hat.
Sofern die Nutzung des Rabattcodes eine Nachverfolgung ohne Tracking des Websitebesuchers ermöglicht, könnte hierdurch, je nach Ausgestaltung eine Alternative zu den bisherigen Trackingmethoden gesehen werden. Es hängt jedoch immer von der konkreten Ausgestaltung und der Prüfung im Einzelfall ab, ob und inwieweit die Vorgaben der DSGVO oder des TTDSG greifen und eine Einwilligung des Nutzers erforderlich ist.
Hallo, ein kurzes Beispiel. Ich verlinke mit einem einfachen Textlink, der lediglich meine Partner-ID enthält, zu Amazon.de. Auf der Amazon-Seite gibt es zunächst den Cookie-Consent, wo der Nutzer die entsprechende Auswahl hat. Ist die gemeinsame Verantwortlichkeit in folgendem Fall nicht gewährleistet? Wenn auf den Affiliate-Seiten dann zusätzlich ein Cookie-Consent notwendig ist (ohne dass von diesen Seiten Cookies gesendet werden), wäre das ja irgendwie eine Dopplung.
Hier muss man noch einmal etwas unterscheiden, denn der reine Cookie-Consent nach TDDDG ist nicht komplett Deckungsgleich mit der datenschutzrechtlichen Anforderung nach DSGVO. Durch die Nutzung des Textlinks setzt man keinen eigenen Cookie, daher ist man diesbezüglich auf der eigenen Webseite nach TDDDG nicht verpflichtet, einen Consent-Banner o.ä. zu benutzen. Allerdings setzt man hier einen spezifischen Link mit eigener Affiliate-ID, kooperiert mit Amazon und ist damit in die Datenverarbeitung seitens Amazon mit eingebunden, in einer Art und Weise, die einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO wohl entspricht. Das heißt, man müsste zwar ggf. nicht viel Cookie-Banner eine Einwilligung einholen, aber jedenfalls transparent in der Datenschutzerklärung auf die gemeinsame Verantwortlichkeit hinweisen und wohl auch im Bezug auf die Links transparent damit umgehen, dass hier gemeinsame Verantwortlichkeit besteht und was das für die Datenverarbeitung bedeutet, wenn der Link geklickt wird. Und eine entsprechende Vereinbarung mit Amazon haben, in der ggf. weitere Konkretisierungen stehen, wie die datenschutzrechtlichen Pflichten gegenüber den Betroffenen gewahrt werden. Komplett pflichtenfrei wird man mit dieser Methode sicher nicht.
Vielen Dank für die nette und hilfreiche Erläuterung.
Fraglich eigentlich, ob Cookies nach TDDDG tatsächlich nur mit Consent erfolgen dürfen. Werden sie mit Javascript im Client gesetzt, auf jeden Fall, aber werden sie vom Server gesetzt, „eigentlich“ nicht. Ein Server kann Cookies setzen und lesen, aber nicht direkt im Client, sondern sie werden über den HTTP-Header übertragen. Der Client sendet sie freiwillig mit und schreibt sie auch, sofern er Cookies im Header findet. Ein direkter Zugriff findet so eigentlich nicht statt. Ob das ein Richter ebenso sieht, steht auf einem anderen Blatt, allerdings sagen die Datenschützer von BW explizit, dass nach (ok, veraltet) TTDSG die Nutzung der Header-Daten eigentlich kein Problem ist.
Datenschutz Bademwürtemberg > faq-zu-cookies-und-tracking-2 Abschnitt 3.1
Somit eigentlich auch die Cookie-Informationen, die über den Header übertragen werden, aber wie gesagt: Risiko.
Problem beim Affiliate-Marketing ist allerdings ein anderes. Selbst wenn man das Cookie-Problem lösen kann (der gleiche Link geht auf eine Art Cookieless-Tracking ein, wie Matomo, etracker oder auch Econda nutzen), besteht aus Datenschutz-Sicht das Problem, dass für die Zuordnet des Sales zu einem vorhergehenden Klick bzw. Publisher eine eindeutige Klick-ID verwendet wird, die man im Request für den Sale an das Netzwerk zurück sendet. Diese identifiziert zwar nicht direkt eine Person, aber wenn das Netzwerk vorher beim Klick die IP-Adresse erfasst hat, wäre eine Zuordnung indirekt wieder möglich. Das wäre zwar kein Problem nach TDDDG, aber wieder ein persönliches Datum nach DSGVO. Kontern könnte man das ggfs mit berechtigtem Interesse, wobei ich dazu zwar nichts gelesen habe (DSK nennet Tracking, aber ich glaube nicht Vergütung), allerdings hat der Nutzer ja vorher auch aktiv eine Leistung (die des Affiliates) in Anspruch genommen, da ist eine Vergütung eigentlich nur konsequent.
Wie sieht da die Meinung der juristischen Expertin zu aus? :)
Aus Klarstellungsgründen soll hier zunächst noch einmal festgehalten werden, dass das „Cookieless-Tracking“ nicht immer direkt den Anwendungsbereich des TDDDG ausschließt. Wie auch sehr gut im Beitrag zum Thema Cookieless Tracking erklärt, bezieht sich der § 25 Abs. 1 TDDDG gerade nicht ausschließlich auf Cookies, sondern erfasst sämtliche Tracking-Formen, bei denen „auf Informationen, die bereits in der Endeinrichtung gespeichert sind“ zugegriffen wird.
Handelt es sich bei der Trackingtechnik hingegen tatsächlich um eine Lösung ohne Zugriff auf das Endgerät, ist der Anwendungsbereich des § 25 TDDDG nicht eröffnet. Davon unabhängig bedarf es aber, wie Sie bereits richtig geschrieben haben, der Beachtung der DSVO Vorgaben, wenn personenbezogene Daten verarbeitet werden. Ob aber tatsächlich die Verarbeitung personenbezogener Daten im Rahmen des Affiliate-Marketing auf ein überwiegendes Interesse nach Art. 6 Abs. 1 S.1 lit. f) DSGVO gestützt werden kann, kann von uns nicht pauschal in einem Kommentar beantwortet werden. Es mag Einzelfällen geben, in denen ein solches argumentiert werden könnte. Dies wäre aber für den jeweiligen Einzelfall zu prüfen. In der Regel wird es bei der Einwilligung, gem. Art. 6 Abs. 1 S.1 lit. a) DSGVO als Rechtsgrundlage bleiben.