Cookies gehen um
In der letzten Zeit habe ich schon Einiges zur Cookie-Entscheidung des EuGH geschrieben. Viele Mandanten oder potenzielle Mandanten fragten mich, welche Bereich beim Betrieb einer Webseite davon denn noch betroffen sind. Und einer davon ist Werbung, über die sich viele Webseiten finanzieren.
Und das ist ein durchaus nicht zu unterschätzendes Problem, denn in den allermeisten Fällen werden zu diesem Zweck Agenturen oder Netzwerke eingesetzt, die die Werbebanner oder Affiliate-Links über Javascript-Code in die Webseite einbauen. Bei diesen Werbebannern hat der Webseitenbetreiber in der Regel keinerlei Einfluss auf die genauen Inhalte der Werbebanner und schon gar nicht auf die technischen Details. Viele dieser Werbeanbieter sind unter Umständen auch in den USA und daher ist hier Vorsicht geboten, wenn es um die Frage geht, welche Daten an diese Anbieter übertragen werden. Viele kleinere Anbieter dürften sich keinerlei Gedanken dazu gemacht haben, wie und welche Daten von deutschen/aber auch von europäischen Nutzern einfach so in die USA übertragen werden. Das ist jedenfalls meine Erfahrung.
Gerade CPA-Vermarkter betroffen
Ziemlich sicher kann ich das beispielsweise für einige Anbieter im Computerspiel- und IT-Bereich sagen, die bislang nicht problematisiert haben, ob Dinge wie ein gleichwertiger DSGVO-Datenschutzstandard durch diese Anbieter garantiert werden. Die Übertragung von Daten wie IP-Adressen in die USA dürfte in diesem Fall zumindest hochproblematisch, wenn nicht gar unzulässig sein. Bei größeren Anbietern wie Adsense ist das Problem dabei geringer, da diese oft EU-Niederlassungen haben, die für EU-Webseiten offiziell zuständig sind. Zudem geben größere Unternehmen wie Google sich durchaus Mühe den Anforderungen der DSGVO zu entsprechen und verpflichten beispielsweise auch den Seitenbeitreiber zu umfangreichen Aufklärungen in den eigenen Datenschutzerklärungen. Das gilt im übrigen auch für Cookies die dabei gesetzt werden.
Aber zurück zu den Cookies: Derartige Cookies dürfen wohl nach aktueller Rechtslage nicht mehr ohne ausdrückliche Zustimmung der Nutzer gesetzt werden, denn Cookies zum Zwecke der Nutzerverfolgung, des Retargeting oder sonstiger Marketingfunktionen sind sicherlich unzweifelhaft keine technisch notwendigen Cookies mehr. Das gilt auch für Cookies der meisten Anbieter, die speichern, wie oft eine bestimmte Person auf ein Banner oder Link schon geklickt hat, wie oft diese ein Banner schon gesehen hat und viele weitere Funktionen. Für die fehlende Aufklärung und Zustimmung der Nutzer wäre der Seitenbetreiber verantwortlich, haftbar und könnte in Zukunft abgemahnt werden.
Affiliates Cookies problematisch
Das gilt übrigens besonders für Cookies, egal welcher technischen Natur, die erfolgsbasierte Werbung ermöglichen, also die zur Ermittlung dienen, ob ein Nutzer, der auf einen Banner/Link geklickt hat, auf der Zielseite eine bestimmte Handlung, wie die Anmeldung zu einem Dienst, vorgenommen hat. Über das Setzen derartiger Cookies muss der Nutzer aufgeklärt werden, was die Nutzung von Affiliate-Links/Banner (im Bereich Gaming auch CPA (Cost per Action) – Werbung genannt, zumindest sehr schwierig, aber auf jeden Fall deutlich unprofitabler macht. Dabei ist es irrelevant, ob die Nutzer über Banner, Videos oder Links auf die Zielseiten gebracht werden, denn in aller Regel dürften bereits beim Anzeigen der Werbemittel (oder dem automatischen Einfügen der Affiliate-Links) entsprechende Cookies gesetzt werden. Aber auch, wenn diese Cookies erst beim Klicken auf die Werbemittel gesetzt werden, dürften Gerichte in Zukunft eine Verantwortung der Seitenbetreiber annehmen. Für den Seitenbetreiber unproblematisch dürfte zunächst nur die Version sein, bei der Cookies Cookie wird erst auf der Zielseite gesetzt werden und der Nutzer mit einem speziellen Affiliatelink, der als einen Parameter die ID des Affiliates enthält, zum Ziel geschickt wird. Spätestens die Zielseite muss dann jedoch zustimmungspflichtige Cookies setzen, von denen auszugehen ist, dass viele Nutzer diese in Zukunft ablehnen werden, was wiederum direkten Einfluss auf die Profitabilität derartiger Werbungen haben dürfte. Denn wenn ein Nutzer nicht verfolgt wird, kann die Provision auch der Webseite nicht zugeordnet werden.
Noch gibt es keine Abmahnungen
Zwar sind mir aktuell noch keine Abmahnungen bekannt, das muss aber nichts heißen. Die Rechtslage ist aktuell wohl ziemlich eindeutig und jeder Webseitenbetreiber ist geraten die eigenen Werbemittel und Anbieter auf Konformität zu überprüfen, denn vor allem Affiliate/CPA Werbung ist nur mit Einschränkungen realisierbar. Da dies durchaus einige Geschäftskonzepte, wie das Anbieten von SEO-optimierten Produktsammlungen (sei es für Hardware, Onlinespiele etc.) sehr erschweren dürfte, ist anzuraten hier im Zweifel Rücksprache zu erhalten. Als Unternehmer, der selber 10 Jahre lang eine Marketingagentur im Computerspielbereich betreut hat, kann ich hier hilfreiche Tipps und Ratschläge meinen Mandanten erteilen.
Beratung ist anzuraten
Aber auch Agenturen ist anzuraten, umfangreiche Beratung einzuholen, denn nur DSGVO-konforme Dienste werden in Zukunft sicher in der EU betrieben werden und von Kunden genutzt werden können. Es ist zudem anzunehmen, dass in Zukunft Datenschutzaufsichtsbehörden auch Anbieter, die konsequent die DSGVO ignorieren und Daten in die USA übertragen oder in der EU unzulässig speichern, ins Visier nehmen und Bußgelder verhängen. Diese könnten dann unter Umständen, je nach juristischer Konstruktion und Art und Weise des Auftritts, auch an europäischen Vertretern, Partnern oder sonstigen verbundenen Unternehmern vollstreckt werden.
Da Affiliate/CPA Werbung in vielen Bereichen, wie im Bereich Computerspiele, ein sehr wichtiger Wirtschaftsfaktor für die Vermarktung von Produkten, Software oder Dienstleistungen ist, werde ich mich in der nächsten Zeit noch mit einigen weiteren Besonderheiten beschäftigen.