Datenschutz-Grundverordnung bei ADCELL

Datenschutz

Nicht erst seit gestern grassieren die Spekulationen, Vorhersagen und Hiobsbotschaften rund um die DSGVO. Wir versuchen hier grundlegend die Hintergründe zu klären und die Position von ADCELL (zum aktuellen Zeitpunkt!) zu erläutern.

DSGVO - Was ist das überhaupt?

Die Datenschutz-Grundverordnung (kurz DSGVO) beschreibt den EU-weiten Umgang mit Daten und tritt ab dem 25. Mai 2018 als rechtlich bindend (für alle EU-Mitglieder) in Kraft. Dies sorgt für einheitliche Datenschutz-Standards und somit für mehr Rechtssicherheit im europäischen Raum.

Aktueller Stand DSGVO und ePrivacy-Verordnung (Stand: 15. März 2018)

Die mit Datenschutz-Grundverordnung einhergehenden neuen ePrivacy-Richtlinien, dessen Verhandlungen noch nicht abgeschlossen sind, treten aller Voraussicht noch nicht zum 25. Mai 2018 in Kraft.
Bisher sehen die Prognosen des Bundesvderbands Digitale Wirtschaft (BVDW) e.V. vor, dass es vor Januar 2019 kein Inkrafttreten der ePrivacy-Verordnung gibt. Offene und wichtige Punkte in der Diskussion betreffen u.a die Regelung über elektronische Kommunikation (z.B. E-Mails), die Verhandlung über eine Entscheidung darüber, Browser als "Super Gatekeeper" einzusetzen (d.h. in den Browser-Voreinstellungen die grundsätzliche Einwilligung zu regeln) sowie den Einsatz von Diensten zur Reichweitenmessung (z.B. Google Analytics).
Alle hier nachfolgenden Aussagen beziehen sich auf den aktuellen Stand der Verhandlungen und werden im Zuge neuer Entscheidungen aktualisiert.

Was muss die Affiliate-Szene von der DSGVO befürchten?

Zunächst erst einmal nicht viel - wenngleich die Bedeutung der Grundverordnung und ihre Umsetzung für Werbetreibende im Internet eine große Relevanz hat. Ausgangspunkt sind vorab schwammige rechtliche Regelungen im Umgang mit personenbezogenen Daten, die nun (mit der DSGVO) deutlich "überarbeitet" wurden.
In Bezug auf Affiliate Marketing betrifft dies die Auswertung und spezifische Tracking-Daten, die z.B. von unserem Netzwerk erhoben werden. Gemeint sind hiermit Identifikations-Merkmale wie Cookie IDs, Fingerprint und andere technische Identifikatoren, die dazu genutzt werden, userspezifische Werbebotschaften "zu vermitteln". Diese werden aber als personenbezogene Daten in pseudonymisierter Form von der DSGVO verstanden.

Inwiefern diese weiter gespeichert werden und wie hier der Umgang vorgeschrieben wird, bleibt abzuwarten und soll in der ePrivacy-Verordnung näher bestimmt werden. Änderungen und explizite Vorgaben werden derzeit aber v.a. auch hinsichtlich einer (strengeren) Neuregelung der Einwilligung der User bezüglich der Erhebung dieser personenbezogenen Daten verhandelt. Wie jedoch diese Einwilligung stattfinden soll, ist noch nicht final entschieden.

Neben den "besonderen Tätigkeitsfeldern" des Affiliate Marketings, gilt es als Unternehmen, das Daten speichert, verarbeitet und ggf. weitergibt, den "Umgang" hiermit an die neue Verordnung anzupassen. ADCELL prüft und passt seine Daten-Prozesse gerade an und empfiehlt seinen Kunden eine entsprechende Prüfung und die Gewährleistung des rechtskonformen Umgangs mit Daten.

Was ist erlaubt und zu tun?

Aktueller Umgang von ADCELL mit Marketing-relevanten Daten gemäß der DSGVO

Nach Analyse der von ADCELL verwendeten, gespeicherten und vermittelten Daten für das Tracking im Affiliate Marketing ergibt sich gemäß der DSGVO folgender Umgang mit den Daten: Pseudonymisierte, personenbezogene Daten sind nur dann zu verwenden, wenn


a.) eine eindeutige Einwilligung des Nutzers vorliegt. Das bedeutet nicht zwingend eine explizite "Opt-In-Funktion". Sind Daten pseudonymisiert und nicht "sensibel" (Sensible Daten: personenbezogene Daten, aus denen rassische und ethnische Herkunft, politische Meinung, religioöse Überzeugungen etc.), reicht eine andere Form der eindeutigen Einwilligung. Hierbei muss eine einfach verständliche Form gewählt werden, um dem User zu erläutern, was mit seinen Daten gemacht wird bzw. wozu diese erhoben werden. Zudem muss eine entsprechende Kontrollmöglichkeit (Opt-Out) gegeben sein.
(ADCELL wird dies in Form eines einfach zu integrierenden Features in den folgenden Wochen seinen Programmbetreibern sowie Affiliates zur Verfügung stellen.)

b.) eine zweckgebundene Verarbeitung und Speicherung der Daten im Sinne der Betroffen stattfindet und die Interessen der Betroffenen gewahrt werden.
(Bezüglich dessen werden wir unsere vertraglichen Konditionen mit unseren Netzwerkteilnehmern prüfen, so dass eine gegenseitige Absicherung gegeben ist - sprich: die Netzwerkteilnehmer versichern in einer vertraglichen Ergänzung den "verantwortungsbewussten" und zweckgebundenen Umgang mit den Daten.)

Unsere "subjektive" Einschätzung der Situation

Da Affiliate Marketing auf Userdaten zugreift und den Rückschluss auf den User voraussetzt, wird die DSGVO auf das performancebasierte Marketinginstrument Affiliate Marketing Auswirkungen haben. Vor allem die Unklarheit über die Art und Weise der Voraussetzung der Einwilligung des Users, macht eine mögliche (!) Schwierigkeit aus und "verwässert" ggf. Daten z.B. in Bezug auf die Customer Journey; und hat im schlimmsten Fall Umsatzeinbußen zur Folge. Einfach herunter gebrochen: eine Transaktion (Sale oder Lead) kann nicht mehr einem User zugeordnet werden, da dieser der Datenspeicherung und -Verarbeitung widersprochen hat. Ein Rückschluss auf an der Transaktion beteiligte Affiliates ist somit auch nicht möglich.

All diese Prognosen - ob schlecht oder gut - sind nicht gesetzt. ADCELL gewährleistet daher zunächst der DSGVO konform zu handeln und dies für sich und alle Netzwerkbeteiligten zu sichern. Ohne finale Entscheidung bezüglich der ePrivacy-Verordnung distanzieren wir uns aber von möglichen Szenarien und blicken optimistisch in die Zukunft.

Welche Vorbereitungen unternimmt ADCELL für seine Kunden

Zum Schutz der User und deren Privatsphäre werden einige Sicherheitsvorkehrungen getroffen. Die Verarbeitung personenbezogener Daten ist allerdings für das Tracking notwendig. Nach Prüfung geht ADCELL rechtskonform mit personenbezogenen Daten im Zuge des Trackings um - diese sind pseudonymisiert und zweckgebunden. Eine explizite Einwilligung des Users ist nicht notwendig, dennoch stellt ADCELL zukünftig mögliche Informationsgrundlagen für Webseitenbetreiber zur Verfügung und bietet als Tool eine Opt-Out-Möglichkeit für den User.

Ob aus der ePrivacy-Richtlinie strengere Anforderungen entstehen, werden die folgenden Wochen zeigen. ADCELL wird diesen Prozess für seine Kunden weiter beobachten und die eigenen "Techniken" prüfen, damit diese rechtskonform entsprechend den Richtlinien und Verordnungen bleiben.

Was bietet ADCELL hinsichtlich der DSGVO?

Damit User dennoch frei entscheiden können, wie der Umgang mit ihren Daten vollzogen wird oder ein mögliches Tracking abwählen können, stellen wir unseren Affiliates und Programmbetreibern die individualisierte Opt-In/Opt-Out Möglichkeit mit Informationen für die User zur Verfügung. Diese wird in der kommenden Woche in den jeweiligen Accounts im Netzwerk hinterlegt und kann einfach im Impressum oder Datenschutz-Bereich der Website eingebaut bzw. verlinkt werden. Diese Sicherheitsmaßnahme ist derzeit noch freiwillig - wird aber im Zuge der DSGVO verpflichtend. Wir empfehlen daher einen zeitnahen Einbau. Ab Inkrafttreten der DSGVO wird auch für Mitglieder des Affiliate Netzwerkes ADCELL eine solche Einbindung von Informationen für den User sowie eine Opt-Out-Funktion obligatorisch. Zudem folgen (wie oben beschrieben) vertragliche Anpassungen zur gegenseitigen Absicherung der Netzwerkbeteiligten.

Des Weiteren versichert ADCELL nur die nötigsten und so wenig wie möglich personenbezogene Daten zu erheben. Wir werden an dieser Stelle auch im Folgenden auf weitere Entwicklungen aufmerksam machen. Bei Aktualisierung dessen versenden wir zudem Meldungen über unser System an die Mitglieder unseres Netzwerkes. Dies erreicht unsere User (je nach Account-Einstellungen) via E-Mail oder im Postfach des Accounts.

Bitte beachten Sie, dass es sich hierbei um eine Stellungnahme bzw. eine Einschätzung zum aktuellen Zeitpunkt handelt. Da weiterführende Richtlinien noch nicht final verabschiedet sind, kann unsere Beurteilung an dieser Stelle noch nicht abgeschlossen sein. Nach Veröffentlichung der Richtlinien sowie weiteren Ereignissen und Entscheidungen bezüglich der ePrivacy-Verordnung werden wir diese anpassen und hierüber informieren.

Allgemeine Informationen: Was ist im Vorfeld der DSGVO zu tun?

Marketingtreibende im eCommerce sollten prinzipiell ihre Daten auf Konformität zur DSGVO prüfen. Hierin wird genau festgelegt was personenbezogene Daten sind und wie hiermit umgegangen werden darf/ muss. Vor allem muss eine Einwilligung des Nutzers vorliegen - dies bedeutet beispielsweise fürs E-Mail-Marketing, dass Publisher als Versender von Newslettern eine eindeutige Einwilligung des Abonnenten benötigen, damit die E-Mail-Adresse zu Marketingzwecken verwendet werden kann. Als Betreiber eines Online-Shops mit einem Newsletter, benötigen sie ebenso eine rechtliche und datenschutzkonforme Einwilligung.

Stellen Sie sicher, dass

a.) Ihre Nutzer auf Ihrer Website einfach und schnell Informationen zum Umgang mit ihren Daten finden. Hierzu zählen Informationen zum Zweck der Daten. (In Bezug zu den für das Tracking mit ADCELL relevanten Daten bekommen Sie eine genaue Anleitung).

b.) Ihre Partner entsprechend der DSGVO Daten verarbeiten und ebenso entsprechende Möglichkeiten der Einwilligung oder des Entzugs der Erhebung von Daten bereitstellen (Für die Arbeit als Mitglied in unserem Netzwerk, erweitern wir für eine gegenseitige Absicherung die Verträge).

Für weiterführende Informationen stellt der BVDW auf seiner Website http://www.bvdw-datenschutz.de/ hilfreiche Lektüre zur Verfügung.

Lesetipp: BVDW-Praxisleitfaden zur EU-Datenschutzgrundverordnung 2018 (PDF)

Allgemeine Anfragen zum Datenschutz in diesem Unternehmen richten Sie bitte an den Datenschutzbeauftragten per E-Mail datenschutz@adcell.de oder schriftlich an: Firstlead GmbH (Datenschutzbeauftragter), Rosenfelder Str. 15-16, 10315 Berlin