Awin Thoughts zum Planet49-Urteil des EuGH vom 01.10.2019

  • Verfasst von
  • .

Welchen Einfluss hat das Urteil auf Affiliate Marketing?

Teilen

DSGVO Banner

Das Urteil des EuGH in Sachen Planet49 hat erneut viele Fragen zur DSGVO und ePrivacy aufgewirbelt. Wir wollen zahlreiche Anfragen unserer Partner mit dem folgenden Artikel beantworten und beschreiben, was dieses Urteil für unsere Zusammenarbeit und „Einwilligung“ bedeutet. Wir möchten an dieser Stelle aber ausdrücklich darauf hinweisen, dass die nachfolgenden Ausführungen lediglich unsere eigene Rechtsauffassung darstellen und daher keineswegs einen Anspruch auf Richtigkeit oder Rechtsverbindlichkeit haben.

 

Welcher Sachverhalt lag dem Urteil zugrunde – eine Zusammenfassung

Planet49 veranstaltete ein Gewinnspiel zu Werbezwecken. Um hieran teilzunehmen, mussten die Nutzer Postleitzahl, Name und Adresse eingeben und per Häkchen zustimmen, von Sponsoren und Werbepartnern postalisch, telefonisch oder per E-Mail über Angebote informiert zu werden. Durch ein zweites, bereits gesetztes Häkchen stimmten die Nutzer der Verwendung ihrer Daten durch einen Webanalyseservice zum Zwecke verhaltensbasierter Werbung zu. Dieses Häkchen konnte ohne Einfluss auf die Gewinnspielteilnahme entfernt werden.

Auf das Widerrufsrecht hinsichtlich der Einwilligungen wurde hingewiesen.

 

Entscheidung des EuGH

Bevor wir auf die Entscheidung des EuGH dezidiert eingehen, ist voranzustellen, dass der EuGH den Fall nicht von Grund auf geprüft hat, sondern nur auf wenige konkrete Fragen des vorlegenden BGH eingegangen ist. Die Fragen bezogen sich ausschließlich darauf, (I.) wie eine wirksame Einwilligung auszusehen hat und (II.) welche Informationen der Nutzer bei der Einholung der Einwilligung erhalten muss. Es wurde daher weder gefragt noch entschieden, wann eine Einwilligung erforderlich ist und inwieweit andere Rechtsgrundlagen – wie u.a. auch § 15 Abs. 3TMG – geeignet sind.

Der EuGH beantwortet die Vorlagefragen zusammengefasst wie folgt:

  1. Für eine wirksame Einwilligung im Sinne der ePrivacy-Richtlinie in Verbindung mit der Datenschutz-Richtlinie sowie im Sinne der DSGVO reicht es nicht aus, wenn der Nutzer zur Verweigerung seiner Einwilligung ein voreingestelltes Ankreuzkästchen abwählen muss (Opt Out); vgl. Rn. 65.
  2. Nach dem Urteil des EuGH sind „Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, zu den Informationen zählen, die der Diensteanbieter dem Nutzer einer Website zu geben hat“; vgl. Rn. 81.

Auf Punkt II. gehen wir nachfolgend nicht weiter ein.

 

Was beutet das für Awin und unsere Partner

Nach unserer Auffassung hat dieses Urteil kaum Auswirkungen auf uns und unsere Partner, da es die bislang geltende Rechtslage nicht groß beeinflusst.

Man muss sich an dieser Stelle nur noch einmal genau vor Augen führen, was genau der EuGH hiermit festgestellt hat: Eine Einwilligung setzt, wenn sie denn erforderlich ist, ein aktives Handeln des Nutzers voraus.

Das ist insbesondere angesichts Erwägungsgrund 32 nichts Neues, der festlegt, dass ein vorangekreuztes Kästchen oder die Untätigkeit der betroffenen Person für keine Einwilligung darstellt.

Bevor die DSGVO in Kraft trat, galt in Deutschland zweifelsfrei das Telemediengesetz (TMG). Bereits dieses legt in § 12 Abs. 1 fest, dass eine Erhebung und Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn ein Gesetz das erlaubt oder der Nutzer eingewilligt hat.

  • 15 Abs. 3 TMG erlaubt es einem „Diensteanbieter (…) für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen (zu) erstellen, sofern der Nutzer dem nicht widerspricht“.

Im Umkehrschluss war es also bereits nach dem TMG erforderlich, ein Opt In einzuholen, wenn der betreffende Dienstanbieter nicht lediglich mit pseudonymen Nutzerprofilen arbeitet.

Und damit sind wir bei der Frage, ob die Ausspielung von interessenbasierter Werbung nach Auswertung des Surf- und Nutzerverhaltens noch als „pseudonymes Nutzerprofil“ zu werten ist. Wir sind der Meinung, dass dies nur solange der Fall ist, solange das Pseudonym (z.B. eine ID) nicht mit Informationen über den Träger des Pseudonymes (Identitätsdaten wie Name oder E-Mail-Adresse etc.) zusammenfügt wird. Unser Tracking Domain Cookie bzw. Conversion Pixel tut dies bekanntlich nicht, so dass ein Opt Out hier ausreichend ist.

Nicht ganz neu und auch nicht überraschend ist die Feststellung des Gerichts, dass reine Passivität (= Nichtentfernen des voreingestellten Häkchens) nicht als (informierte) Einwilligung zu werten ist, sondern eine Einwilligung immer einer aktiven Handlung bedarf.

Wie genau diese Aktivität auszusehen hat, lässt das Gericht offen. Zweifelsfrei sind die Kriterien erfüllt, wenn der Nutzer aktiv ein Häkchen setzt. Ob es aber auch ausreicht, wenn der Nutzer auf andere Weise mit der aufgerufenen Seite aktiv interagiert, ist bislang noch nicht entschieden.

 

Was es sonst noch zum Thema Einwilligung zu sagen gibt

An dieser Stelle möchten wir noch einmal an unseren Artikel zum Thema Publisher-Einwilligungen anknüpfen und auf einen oft vernachlässigten Aspekt eingehen.

Im Rahmen des Affiliate Marketings sind zwei verschiedene, voneinander unabhängige Einwilligungen zu beachten – die Cookie-Einwilligung und die Datenverarbeitungs-Einwilligung.

 

  • Datenverarbeitungs-Einwilligung

Wenn man das Wort „Einwilligung“ hört, denken die meisten an die Einwilligung nach der Datenschutzgrundverordnung (DSGVO).

Nach Art. 2 Abs. 1 gilt die DSGVO für die Verarbeitung personenbezogener Daten. Neben der Einwilligung stehen dem Verarbeiter noch weitere fünf Rechtsgrundlagen zur Verfügung, um die Verarbeitung von personenbezogenen Daten zu rechtfertigen.

Die von Awin selbst entwickelten Trackingtechnologien bedürfen beispielsweise keiner Einwilligung, sondern sind vom berechtigten Interesse nach Art. 6 Abs. 1 f) gedeckt.

Weiterführende Informationen zu diesem Thema finden sich in unserem Whitepaper zur DSGVO.

 

  • Cookie-Einwilligung

Daneben befasst sich die ePrivacy-Richtlinie (2002/58/EG in der Fassung 2009/136/EG), die bis zum 25.05.2011 umzusetzen war, mit der Frage, wann „die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind“ (also auch der Einsatz von Cookies) zulässig ist. Diese Richtline bezieht sich auf alle Informationen und ist nicht – wie die DSGVO und das TMG – auf personenbezogene Daten beschränkt.

Als EU-„Richtlinie“ ist die ePrivacy-Richtlinie jedoch nicht aus sich selbst heraus gegenüber privaten Organisationen (wie Unternehmen) verbindlich und wurde auch vom deutschen Gesetzgeber nie gesondert in nationales Recht überführt, da bereits durch § 15 Abs. 3 TMG und die inhaltlich identische Vorgänger-Regelung aus dem Teledienste-Datenschutzgesetz eine entsprechende Regelung existierte. Ihre Vorgaben konnten daher in Deutschland lange Zeit faktisch vernachlässigt werden.

Zudem hat die EU-Kommission auf Grundlage eines von der Bundesregierung ausgefüllten Fragebogens im Jahr 2014 bestätigt, dass sie die ePrivacy-Richtlinie in Deutschland als umgesetzt erachtet.

Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 ist die Rechtslage leider nicht mehr so eindeutig.

Während teilweise noch vertreten wird, dass sich die Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Trackingmechanismen weiterhin nach §§ 12, 13, 15 TMG richten, ist inzwischen die Meinung, dass das TMG neben der DSGVO keine Anwendung mehr finden kann, auf dem Vormarsch.

Bekanntlich war es nach § 15 Abs. 3 TMG für die Erstellung pseudonymer Nutzerprofile zu Werbe- und ähnlichen Zwecken ausreichend, den Nutzer über den Einsatz von Trackingtechnologien zu unterrichten und auf sein Widerspruchsrecht hinzuweisen (Opt Out). Ein Cookie-Hinweis mit Link zur Datenschutzerklärung und Opt Out-Möglichkeit war ausreichend.

Gemäß der ePrivacy-Richtlinie ist dagegen stets eine Einwilligung für das Schreiben eines Cookies erforderlich, es sei denn, das Cookie ist für die Bereitstellung des vom Nutzer angeforderten Dienstes unbedingt erforderlich (Opt In). So benötigen z.B. Cashback- und Loyalty-Seiten keine Cookie-Einwilligung für Affiliate-Cookies, soweit diese für ein funktionierendes Geschäftsmodell zwingend notwendig sind.

Grundlage dieses Rechtsstreits ist Art. 95 DSGVO. Hier wird festgelegt, dass nur die ePrivacy-Richtlinie - sowie die dieser nachfolgende (noch nicht erlassene) ePrivacy-Verordnung - der DSGVO in deren Anwendungsbereich vorgehen. Als Verordnung der EU ist die DSVGO bindendes Recht in den Mitgliedsstaaten.

Ob für das Setzen bzw. Arbeiten mit einem Cookie ein Opt In oder Opt Out erforderlich ist, entscheidet sich damit mit der Frage, ob man die ePrivacy-Richtlinie im deutschen Recht als umgesetzt erachtet oder nicht.

Wie obig bereits angesprochen, verdichten sich in dieser Rechtsfrage die Stimmen, dass das TMG nicht den Anforderungen der ePrivacy-Richtlinie entspricht, damit nicht als deren Umsetzungsakt zu werten ist und das TMG somit nicht mehr angewendet werden kann. Vielmehr sollen die DSGVO-Kriterien auch für die Cookie-Einwilligung gelten.

Auf diese Weise werden die Unterschiede zwischen Cookie- und Datenverarbeitungseinwilligung immer mehr aufgeweicht und aneinander angeglichen.

 

Was bedeutet das für Awins Publisher und Advertiser

Awin verpflichtet seine Advertiser und Publisher im Rahmen der AGB bereits seit Jahren zur Einholung einer Cookie-Einwilligung der Nutzer für unsere Cookies und andere Trackingtechnologien. Auf diese Weise stellen wir nicht nur sicher, dass sich unsere Partner an die geltenden Bestimmungen halten, sondern auch, dass sie die Cookie-Einwilligung im Namen von Awin einholen. Dies ist typisch für Netzwerke, da wir keinen direkten Kontakt mit Endkunden haben und daher die Einwilligung für unsere Technologien nicht selber einholen können.

Die Einwilligung, zu der wir unsere Publisher verpflichten, entspricht den Vorgaben der ePrivacy-Richtlinie, so dass sich für sie angesichts des Urteils des EuGH in Sachen Planet49 nichts ändert.

Die Pflicht zur Einholung einer Einwilligung auf Seiten unserer Advertiser ist offener gestaltet und enthält keine Vorgaben an die Ausgestaltung der Einwilligung.

Unsere Advertiser müssen sich also jetzt die Frage stellen, ob sie die Cookie-Einwilligung auf Grundlage des TMG oder auf Grundlage der DSGVO einholen und ihren Auftritt entsprechend anpassen.

Sofern sich ein Advertiser zur Zusammenarbeit mit einem Retargeting- oder vergleichbaren Publisher entschließt, raten wir auch bei Anwendung des TMG zur Einholung einer validen Einwilligung.

 

Keine Einwilligung – was nun?

Durch unser Server-zu-Server–Tracking auf Advertiser-Seite und das in Kürze auf Publisher-Seite zur Verfügung stehende Bounceless-Tracking sind wir in der Lage, in unserem Netzwerk vollständig mit 1st party Cookies zu arbeiten, die nicht ohne Weiteres vom Nutzer geblockt werden können.

Allerdings sind unsere Trackingtechnologien alle grundsätzlich auf Cookies angewiesen.

Liegen also die gesetzlich vorgeschriebenen Voraussetzungen für das Setzen dieser Cookies nicht vor, ist deren Nutzung unzulässig und kann mittels Bußgeld zu Lasten unserer beteiligten Partner und unseres Netzwerkes behördlich geahndet werden. Da dies nicht in unserem Sinne ist, werden unsere Cookies stets nur dann aktiv, wenn die gesetzlichen Vorgaben erfüllt sind.

Teilt uns also ein Publisher mit, dass ihm vom Nutzer keine Cookie-Einwilligung erteilt wurde, feuert unser Cookie nicht und wir können keine vergütungsfähige Transaktion aufzeichnen.

Kann ein Advertiser die erforderliche Cookie-Einwilligung nicht erlangen, scheidet an dieser Stelle der Einsatz eines 1st oder 3rd Party Cookies aus.

Einige unserer Advertiser verfügen über die technischen Möglichkeiten, die der Transaktion zugewiesene Klick-ID in der Session zu halten oder auf andere Weise mit einem Nutzer (z.B. nach dessen Log In in sein Kundenkonto) zu verknüpfen und uns nach Abschluss der Transaktion im Backend Server-zu-Server zurückzusenden, so dass wir auf diese Weise eine verprovisionierbare Transaktion erhalten.

Teilen