Affiliate Cookies & DSGVO | IT-Medienrecht

Erfahren Sie, welche Risiken Affiliate Cookies und CPA Werbung für Ihre Webseite bergen. Schützen Sie sich vor Abmahnungen durch die aktuelle…

Das Wichtigste in Kürze

  • Die EuGH-Entscheidung zu Cookies hat weitreichende Folgen für Affiliate- und CPA-Werbung.
  • Cookies zur Nutzerverfolgung oder für Marketingzwecke erfordern die ausdrückliche Zustimmung des Nutzers.
  • Website-Betreiber sind für die Einhaltung der Cookie-Regeln und die Einholung der Zustimmung haftbar.
  • Datenübertragungen an US-amerikanische Werbeanbieter sind datenschutzrechtlich kritisch.
  • Eine Überprüfung der eigenen Werbemittel und Anbieter sowie professionelle Beratung sind dringend ratsam, um Abmahnungen und Bußgelder zu vermeiden.

Cookies gehen um: Werbung und die rechtlichen Folgen der EuGH-Entscheidung

In der letzten Zeit wurde viel über die Cookie-Entscheidung des EuGH geschrieben. Viele Mandanten und potenzielle Mandanten fragten mich, welche Bereiche beim Betrieb einer Website davon noch betroffen sind. Ein entscheidender Bereich ist die Werbung, über die sich viele Websites finanzieren.

Dies stellt ein nicht zu unterschätzendes Problem dar. In den meisten Fällen werden für Werbezwecke Agenturen oder Netzwerke eingesetzt. Diese binden Werbebanner oder Affiliate-Links über JavaScript-Code in die Website ein. Als Website-Betreiber haben Sie in der Regel keinerlei Einfluss auf die genauen Inhalte der Werbebanner und erst recht nicht auf deren technische Details.

Herausforderungen für Website-Betreiber durch Drittanbieter

Viele dieser Werbeanbieter sind möglicherweise in den USA ansässig. Hier ist Vorsicht geboten, wenn es um die Übertragung von Daten an diese Anbieter geht. Meine Erfahrung zeigt, dass sich viele kleinere Anbieter keine Gedanken darüber gemacht haben, wie und welche Daten von deutschen oder europäischen Nutzern einfach in die USA übertragen werden. Das ist datenschutzrechtlich höchst problematisch.

CPA-Vermarkter im Fokus: Datenschutz und die DSGVO

Besonders betroffen sind Anbieter im Computerspiel- und IT-Bereich. Viele haben bislang nicht hinterfragt, ob ein gleichwertiger DSGVO-Datenschutzstandard durch ihre Dienstleister gewährleistet wird. Die Übertragung von Daten wie IP-Adressen in die USA dürfte in diesem Fall zumindest hochproblematisch, wenn nicht sogar unzulässig sein.

Bei größeren Anbietern wie Adsense ist das Problem oft geringer. Diese verfügen häufig über EU-Niederlassungen, die offiziell für EU-Websites zuständig sind. Größere Unternehmen wie Google bemühen sich zudem, den Anforderungen der DSGVO zu entsprechen. Sie verpflichten beispielsweise auch den Seitenbetreiber zu umfangreichen Aufklärungen in den eigenen Datenschutzerklärungen. Dies gilt selbstverständlich auch für die dabei gesetzten Cookies.

Affiliate-Cookies: Rechtliche Fallstricke und Konsequenzen

Für die fehlende Aufklärung und Zustimmung der Nutzer ist der Website-Betreiber verantwortlich und haftbar. Er könnte in Zukunft abgemahnt werden. Das gilt insbesondere für Cookies, die erfolgsbasierte Werbung (Cost per Action – CPA) ermöglichen. Diese dienen der Ermittlung, ob ein Nutzer nach einem Klick auf einen Banner oder Link eine bestimmte Handlung auf der Zielseite vorgenommen hat, beispielsweise eine Anmeldung zu einem Dienst.

Der Nutzer muss über das Setzen solcher Cookies aufgeklärt werden. Dies macht die Nutzung von Affiliate-Links und -Bannern (im Gaming-Bereich oft CPA-Werbung genannt) sehr schwierig und deutlich unprofitabler. Es ist dabei irrelevant, ob Nutzer über Banner, Videos oder Links auf Zielseiten gelangen. Meist werden bereits beim Anzeigen der Werbemittel oder dem automatischen Einfügen der Affiliate-Links entsprechende Cookies gesetzt.

Selbst wenn diese Cookies erst beim Klicken auf die Werbemittel gesetzt werden, dürften Gerichte in Zukunft eine Verantwortung der Seitenbetreiber annehmen. Unproblematisch ist zunächst nur die Version, bei der ein Cookie erst auf der Zielseite gesetzt wird. Hierbei wird der Nutzer mit einem speziellen Affiliate-Link, der als Parameter die ID des Affiliates enthält, zur Zielseite geschickt.

Spätestens die Zielseite muss dann jedoch zustimmungspflichtige Cookies setzen. Es ist davon auszugehen, dass viele Nutzer diese in Zukunft ablehnen werden. Dies dürfte direkten Einfluss auf die Profitabilität derartiger Werbungen haben, denn wenn ein Nutzer nicht verfolgt wird, kann die Provision der Website nicht zugeordnet werden.

Aktuelle Rechtslage: Abmahnrisiken für Website-Betreiber

Aktuell sind mir zwar noch keine Abmahnungen bekannt, doch dies muss nichts heißen. Die Rechtslage ist derzeit ziemlich eindeutig. Jeder Website-Betreiber ist gut beraten, die eigenen Werbemittel und Anbieter auf Konformität zu überprüfen. Insbesondere Affiliate- und CPA-Werbung ist nur noch mit Einschränkungen realisierbar.

Dies dürfte einige Geschäftskonzepte erheblich erschweren, beispielsweise das Anbieten von SEO-optimierten Produktsammlungen für Hardware oder Online-Spiele. Daher ist es ratsam, im Zweifel frühzeitig Rücksprache zu halten. Als Unternehmer, der selbst 10 Jahre lang eine Marketingagentur im Computerspielbereich betreut hat, kann ich hier hilfreiche Tipps und Ratschläge erteilen.

Auch Agenturen ist dringend anzuraten, umfangreiche Beratung einzuholen. Nur DSGVO-konforme Dienste werden in Zukunft sicher in der EU betrieben und von Kunden genutzt werden können. Es ist zudem anzunehmen, dass Datenschutzaufsichtsbehörden zukünftig Anbieter ins Visier nehmen, die die DSGVO konsequent ignorieren. Dies gilt insbesondere für solche, die Daten in die USA übertragen oder in der EU unzulässig speichern.

Fazit

Affiliate- und CPA-Werbung stellt in vielen Bereichen, insbesondere im Computerspielsektor, einen wichtigen Wirtschaftsfaktor dar. Die rechtlichen Anforderungen an Cookies und Datentransfers sind jedoch gestiegen. Website-Betreiber müssen ihre Praktiken prüfen und anpassen, um Abmahnungen und Bußgelder zu vermeiden.

Häufig gestellte Fragen

Welche Cookies benötigen eine ausdrückliche Zustimmung des Nutzers?
Cookies, die zur Nutzerverfolgung, zum Retargeting oder für sonstige Marketingfunktionen eingesetzt werden, benötigen nach aktueller Rechtslage eine ausdrückliche Zustimmung. Dazu gehören auch Cookies, die Klicks oder Banner-Sichtungen erfassen.
Wer ist für die Einholung der Cookie-Zustimmung verantwortlich?
Der Website-Betreiber ist für die fehlende Aufklärung und Zustimmung der Nutzer verantwortlich und haftbar. Dies gilt auch, wenn Drittanbieter die Cookies setzen.
Sind Datenübertragungen an US-amerikanische Werbeanbieter problematisch?
Ja, die Übertragung von Daten wie IP-Adressen an US-amerikanische Anbieter ist datenschutzrechtlich höchst problematisch, wenn nicht sogar unzulässig, da oft kein gleichwertiger DSGVO-Datenschutzstandard gewährleistet wird.
Was sind die Konsequenzen bei Nichteinhaltung der Cookie-Regeln für Affiliate/CPA-Werbung?
Website-Betreiber riskieren Abmahnungen und Bußgelder. Zudem kann die Profitabilität von Affiliate- und CPA-Werbung erheblich sinken, wenn Nutzer die Zustimmung zu Tracking-Cookies verweigern.