Datenverantwortliche, Datenverarbeiter und Datenverarbeitungsvereinbarungen

Datenverantwortliche unterliegen im Zuge der DSGVO mehr Verpflichtungen, doch auch Datenverarbeiter müssen einige Dinge einhalten. Gegenwärtig müssen die Datenverantwortlichen die Datenverarbeiter vertraglich verpflichten, die Daten auf eine bestimmte Weise zu verarbeiten. Die DSGVO gibt nun detailliert an, was genau dabei beachtet werden muss.

Was ist ein Datenverantwortlicher und was ist ein Datenverarbeiter?

Woher weißt Du, ob Du ein Verantwortlicher oder Verarbeiter bist?

Es kommt alles auf die Entscheidungsfindung an. Du bist ein Datenverantwortlicher, wenn Du Dich entscheidest:

• Warum Daten verarbeitet werden sollen
• Wie diese verarbeitet werden sollen, um den beabsichtigten Zweck zu erreichen
• Oder beides

Verarbeiter hingegen entscheiden nie, warum sie Daten verarbeiten. Sie überlassen dies vollständig dem anweisenden Verantwortlichen. Verarbeiter können nur begrenzt Entscheidungen darüber treffen, wie sie die Daten für die vom Verantwortlichen festgelegten Zweck verarbeiten. Dies können jedoch nur "unwesentliche" Entscheidungen sein.

Dies bedeutet, dass wesentliche Entscheidungen immer dem für die Verarbeitung Verantwortlichen überlassen werden sollten. Einschließlich der Entscheidung, welche Daten zur Erreichung des Zwecks des für die Verarbeitung Verantwortlichen oder des wirtschaftlichen Modells des verfolgten Zwecks verarbeitet werden sollen.

Dabei ist vor allem zu beachten, dass die Rollenverteilung auf Basis von Fakten erfolgt.

Es ist beispielsweise nicht möglich, einen Vertrag abzuschließen, der festlegt:"X ist Verantwortlicher, Y ist Verarbeiter". Wenn Y faktisch entschieden hat, welche Daten für die Zwecke von X zu verarbeiten sind, wird Y zusammen mit X in die Rolle des gemeinsamen Verantwortlichen schlüpfen. Wenn Y beschließt, Daten für seine eigenen Zwecke zu verarbeiten, wird er alleiniger Verantwortlicher für diesen neuen Zweck sein.

Wer ist wer im Affiliate Marketing?

Im Affiliate Marketing ist der Advertiser immer ein Verantwortlicher, denn nur der Advertiser kann entscheiden, warum er Daten verarbeitet. Als Beispiel kann also nur der Advertiser entscheiden; "Wir machen Werbung im Internet und zahlen dafür eine Vergütung auf CPO Basis.".

Aber was ist mit Netzwerken und Publishern?  Sind sie Verarbeiter oder gemeinsam Verantwortliche mit dem Advertiser?

Awin ist gemeinsam mit dem Advertiser und den Publishern ein gemeinsam Verantwortlicher. Es gibt in der Tat eine dreiteilige gemeinsam Verantwortlichen-Beziehung. Denn Awin hat sich für das Wirtschaftsmodell entschieden und sowohl Awin als auch die Publisher entscheiden, welche Daten für die Affiliate- Kampagne des Advertisers verarbeitet werden sollen. 

Dies liegt an der Art und Weise, wie Transaktionen getrackt, abgefragt und in Reportings angezeigt werden.

Wie sind wir zu diesem Schluss gekommen?

Wir glauben, dass diese Schlussfolgerung genau widerspiegelt, wie die Dinge in der Praxis funktionieren.

Wenn beispielsweise Awin oder ein Publisher versuchen würden, innerhalb der Grenzen einer Datenverarbeitungsrolle zu arbeiten, müssten sie jede neue Datenverarbeitung im Voraus von dem jeweiligen Advertiser genehmigen lassen. Sie können diese Entscheidungen nicht selbst treffen.

Aus Sicht der Publisher stellt sich auch die Frage, wann sie mit der Bearbeitung im Auftrag des verantwortlichen Advertisers beginnen würden.  Publisher sind bereits Verarbeiter von Daten, um ihre eigenen User anzuwerben - nur sie haben einen weiteren Zweck selbst beschlossen: "Lasst uns mehr Traffic generieren, sodass möglichst viele User die Anzeigen sehen". 

Wenn Publisher Verarbeiter für Advertiser sein sollten, an welchem Punkt der Customer Journey ändert sich die Rolle? Dieses würde pro Anzeige und viel weniger pro Publisher oder pro Publishermodell variieren.

Was bedeutet das für Publisher?

Der Vorteil liegt darin, dass Awin keine Datenverarbeitungsvereinbarungen mit den Publishern abschließen muss.

Wir fügen jedoch unseren allgemeinen Geschäftsbedingungen neue Bedingungen hinzu, sodass wir Klarheit darüber schaffen, welcher gemeinsame Verantwortliche wofür zuständig ist. Diese Bedingungen beziehen sich zum Beispiel darauf, wie Awin und die Publisher Anfragen von Endkunden nach Daten behandeln oder wie sie mit einem möglichen Datenverstoß umgehen.

Indem diese Verantwortlichkeiten geklärt werden, kann verhindert werden, dass Publisher und Awin gegenseitig für Datenverstöße des anderen haften müssen.

Es bedeutet auch, dass die Publisher als Verantwortlicher mehr von den Verpflichtungen der DSGVO erfüllen müssen. Dies ist jedoch bereits bei der Verarbeitung von Daten für eigene Zwecke erforderlich. Die Folge ist, dass sie diese Verpflichtungen nun auch auf die verarbeiteten Daten anwenden müssen, wenn sie einen Verbraucher zu einem Advertiser weiterleiten.

Der Hauptvorteil besteht darin, dass die Publisher im Awin-Netzwerk, sofern dies in Übereinstimmung mit der DSGVO und den entsprechenden Vereinbarungen oder Geschäftsbedingungen erfolgt, selbst entscheiden können, wie sie die Daten verarbeiten, wenn sie Traffic für einen Advertiser generieren.