DSGVO, ePrivacy & Awin

Für Unternehmen, die in der digitalen Industrie tätig sind, ist es entscheidend, die Feinheiten der DSGVO und der ePrivacy zu verstehen. In diesem Whitepaper versuchen wir, die Auswirkungen auf das Affiliate Marketing zu erklären und praktische Anleitungen für Publisher und Advertiser zu geben.

Awin & die DSGVO
DSGVO im Überblick
Das ganze Bild mit ePrivacy
Wie wirkt sich die DSGVO auf die Affiliate-Marketing-Branche aus?
Awins Vorbereitung auf die DSGVO
Verwendung von persönlichen Daten
Verbraucherdaten
Datenkontrolleur oder -verarbeiter?
Aber was ist mit Netzwerken und Publishern? Sind sie Verarbeiter oder gemeinsame Verantwortliche mit dem Advertiser?
Wie unterscheidet sich dies von den Positionen anderer Netzwerke?
Welche Datenschutzvereinbarungen hat Awin?
Berechtigtes Interesse und Abwägungstest
Warum nicht zustimmen?
Einhalten der Zustimmung
Die ePrivacy-Richtlinie
Warum sprechen wir also schon wieder über Cookie-Einwilligungen?
Wie wirkt sich die DSGVO auf die Cookie-Zustimmung aus?
Was ist der Unterschied zwischen Cookie-Zustimmung und Daten-Zustimmung?
Wie beeinflusst dies die Art und Weise, wie Publisher und Advertiser mit Awin zusammenarbeiten?
Awins Position kurz zusammengefasst
Was bedeutet das alles, wenn ich als Advertiser oder Publisher mit Awin zusammenarbeite?
Wo finde ich mehr heraus?

Awin & die DSGVO

Die Allgemeine Datenschutzverordnung (DSGVO) trat am 25. Mai 2018 in Kraft. Sie stellte eine bedeutende Änderung in der Regulierung von personenbezogenen Daten in der EU dar und ersetzte einen bestehenden rechtlichen Rahmen, der den raschen Anstieg der Nutzung von personenbezogenen Daten durch Unternehmen, der in den letzten 20 oder so Jahren zur Normalität geworden ist, nicht vorausgesehen hatte.

Die DSGVO stellte eine bedeutende Änderung in der Regulierung von personenbezogenen.

Im Vorfeld des Inkrafttretens der DSGVO haben jedes Affiliate-Marketing-Netzwerk und jede SaaS-Plattform ihre eigene Sorgfaltspflicht durchgeführt und rechtliche Beratung zu ihrer Rechtsposition zur Datenverarbeitung eingeholt und wie sie glauben, dass sie in das Advertiser/Publisher-Ökosystem passen.

Da die Verwendung von Daten durch Affiliate-Netzwerke nicht einheitlich gehandhabt wird, gibt es noch keinen Konsens, was in der Branche unweigerlich zu Verwirrung führen kann. Dieses Dokument soll die Logik hinter der Position von Awin und unsere Erwartungen an die Unternehmen, mit denen wir zusammenarbeiten, darlegen.

1. Die DSGVO kurz und bündig

Die DSGVO, einschließlich der britischen DSGVO, soll EU/UK-Verbraucher stärken und ihre Rechte hinsichtlich der Verwendung ihrer Daten verankern. Für digitale Industrien nimmt dies eine erhöhte Bedeutung an, da die Definition dessen, was als personenbezogene Daten gilt, erweitert wurde, um alles einzuschließen, was eine Einzelperson ausmachen kann, aber nicht unbedingt offensichtlich persönlich identifizierbar ist. So ist eine E-Mail-Adresse offensichtlich personenbezogene Daten, aber der Geltungsbereich umfasst auch pseudonyme Kennungen wie eine IP-Adresse oder Bestell-ID.

Um diese Daten zu verarbeiten, müssen Unternehmen eine rechtliche Grundlage wählen, von denen es sechs gibt. Für einige Aktivitäten ist es offensichtlich, aber viele digitale Marketingunternehmen wählen typischerweise entweder ‘Einwilligung’ oder ‘berechtigtes Interesse’. Mehr dazu später.

Privacy by Design verlangt von Unternehmen, dass sie grundsätzlich überdenken, wie sie neue Tools und Technologien entwickeln, und gewährleistet, dass Datenschutz und Datenkontrollen Teil der DNA von Upgrades und Releases sind.

Die Datenminimierung verlangt von Unternehmen, nur die Daten zu erfassen, die sie zur Durchführung der beschriebenen Verarbeitungsfunktion benötigen.

Zusätzlich sind die Schulung der MitarbeiterInnen und die Ernennung von Personen, die für die Durchsetzung zuständig sind, zwei wichtige Überlegungen.

Neben der rechtlichen Grundlage sind auch einige Kernprinzipien in der DSGVO verankert.

Nichteinhaltung der Regeln könnte zur ultimativen Sanktion führen; erhebliche Geldstrafen.

Die DSGVO ist daher weitreichend und allumfassend. Aber über dieses Gesetz hinaus sollten auch die bestehenden Regeln für digitales Marketing, die in den Umsetzungsgesetzen der Mitgliedstaaten zur ePrivacy-Richtlinie verankert sind, gründlich berücksichtigt werden.

2. Das ganze Bild mit ePrivacy

Die ePrivacy-Richtlinie (oder kurz ePrivacy) gewährt Menschen spezifische Datenschutzrechte in Bezug auf elektronische Kommunikation, wobei der bedeutendste Bereich für das Affiliate Marketing die Verwendung von Cookies und ähnlichen Technologien ist. In Großbritannien sind diese Regeln in PECR, den Datenschutz- und elektronischen Kommunikationsvorschriften, festgelegt. Hier werden wir aus Gründen der Konsistenz auf die ePrivacy-Richtlinie verweisen.

Die ePrivacy-Richtlinie ergänzt allgemeine Datenschutzgesetze und legt spezifischere Datenschutzrechte bei elektronischen Kommunikationen fest. Es gibt eine Komplexität im Verständnis dessen, was ePrivacy für Awin und jedes Unternehmen, das in der EU tätig ist, bedeutet, die aus der Art des Gesetzes resultiert.

Während die DSGVO, wie der Name schon sagt, eine Verordnung ist und somit direkt anwendbar ist, ist die ePrivacy in ihrer jetzigen Form lediglich eine Richtlinie, die die Umsetzung den Mitgliedstaaten überlässt. Der endgültige Text des ePrivacy-Gesetzes wurde daher von den einzelnen Mitgliedstaaten festgelegt und infolgedessen unterliegen die Anforderungen an Cookies (und ähnliche Technologien) unterschiedlichen Anforderungen in ganz Europa.

Daher wird die DSGVO zwar universell angenommen, die ePrivacy hingegen unterliegt der lokalen Interpretation.

Diese rechtliche Unsicherheit wird geklärt, sobald die lang erwartete ePrivacy-Verordnung in Kraft tritt. Bis dahin müssen jedoch Unternehmen, die in mehreren Rechtsordnungen tätig sind, in Betracht ziehen, lokale Beratung einzuholen, um die Einhaltung sicherzustellen.

Um eine weitere Verwirrung hinzuzufügen, können die DSGVO und ePrivacy nicht isoliert interpretiert werden.

In einigen Rechtsordnungen kann ePrivacy eine DSGVO-konforme Zustimmung für Cookies erfordern (unabhängig davon, ob über dieses Cookie personenbezogene Daten gesammelt werden oder nicht). Wir haben versucht, eine klare Unterscheidung zwischen den beiden zu ziehen, wenn wir unten die Zustimmung zu Daten und Cookies behandeln.

Daher wird in dieser Anleitung, obwohl sie sich mit den Auswirkungen der DSGVO auf das Affiliate Marketing befasst, auch auf die ePrivacy verwiesen, um die Datenregulierung in ihrer Gesamtheit zu behandeln.

3. Wie wirkt sich die DSGVO auf die Affiliate-Marketing-Branche aus?

Der erweiterte Geltungsbereich der DSGVO und ihre Anwendung auf Arten von personenbezogenen Daten bedeuteten, dass je nach Kontext bestimmte Arten von Daten, die möglicherweise zuvor nicht durch Datenschutzgesetze reguliert wurden, reguliert wurden. Dies beinhaltet Geräte-IDs, Cashback-Mitglieds-ID, Kundenreferenznummern und andere technische Kennungen. Darüber hinaus stellt die DSGVO strengere Anforderungen an die Einholung der Zustimmung des Benutzers zur Verarbeitung personenbezogener Daten.

Es ist wichtig zu beachten, dass in seiner reinsten Form und in Bezug auf die spezifischen Dienstleistungen von Awin, die Art der für das Affiliate Marketing verarbeiteten personenbezogenen Daten nicht sensibel und größtenteils technisch ist.

Es ist wichtig zu beachten, dass in seiner reinsten Form und in Bezug auf die spezifischen Dienstleistungen von Awin, die Art der für das Affiliate Marketing verarbeiteten personenbezogenen Daten nicht sensibel und größtenteils technisch ist..

Allerdings arbeiten einige Marken mit Publishern zusammen, die diese Art von Aktivität auf CPA-Basis über den Affiliate-Kanal durchführen und in einigen Fällen unterliegen Verhaltenswerbung und andere auf Performance basierende Marketingmaßnahmen, die stark auf Benutzerprofilierung für den Versand von gezielter Werbung angewiesen sind, größeren regulatorischen Verpflichtungen.

Einige andere Affiliate-Plattformen verwenden von Publishern generierte Daten, um Profile für Personalisierung und Remarketing-Dienste zu erstellen. Daher könnten sie das Gefühl haben, dass sie eine andere rechtliche Grundlage als das berechtigte Interesse benötigen, um dies zu tun, was wiederum unterschiedliche regulatorische Verpflichtungen mit sich bringt, an die sich Publisher halten müssen.

Daher werden sich Publisher zwangsläufig in einer Position wiederfinden, in der die Verpflichtungen eines Netzwerks sich von denen eines anderen unterscheiden. Als die DSGVO im März 2018 erstmals in Kraft trat, versuchten Affiliate-Plattformen, angeführt von Awin, einen Branchenkonsens zu schaffen, indem sie sich trafen, um einen einheitlichen Ansatz zu vereinbaren. Obwohl dies nicht möglich war, stimmten alle Teilnehmer zu, ihren Namen unter eine Branchenerklärung zu setzen.

Awins Empfehlung für Publisher ist, alle Netzwerke, mit denen sie zusammenarbeiten, zu kontaktieren und sich über die Datenschutzanforderungen dieser Netzwerke und deren Gründe im Klaren zu sein.

4. Awins Vorbereitung auf die DSGVO

Eine der Hauptauswirkungen der DSGVO war, dass alle Unternehmen dazu gezwungen waren, ihre Nutzung von persönlichen Daten im Kontext des Umfangs, der Grundsätze und der Rechte, die die DSGVO bietet, zu überprüfen. Awin hat diese Bewertung im Rahmen einer detaillierten Datenschutz-Folgenabschätzung (DSFA) durchgeführt. Die DSFA von Awin hat mehrere Ziele, unter anderem:

1. Erstellen eine detaillierte Übersicht über alle Daten, die im Rahmen der Tracking-Aktivitäten von Awin gesammelt wurden
2. Prüfe, ob Awin in Bezug auf diese Daten als Verantwortlicher oder als Auftragsverarbeiter handelt
3. Bewerten den Zweck und die rechtliche Grundlage jeder Verarbeitungsaktivität
4. Führe einen 'Abwägungstest' durch, wenn ein berechtigtes Interesse als rechtliche Grundlage der Verarbeitung identifiziert wurde.*
5. Identifiziere die notwendigen Sicherheitsmaßnahmen zum Schutz der Daten
6. Minimiere die Verwendung von persönlichen Daten, wenn es möglich ist

*T*Mit diesem Test wird geprüft, ob die Annahmen von Awin bei der Wahl des berechtigten Zwecks zutreffend sind.

Zum Verständnis von Awins Position unter der DSGVO ist es wichtig zu wissen, wie Awin personenbezogene Daten verarbeitet und welche Auswirkungen das auf die Privatsphäre der betroffenen Personen hat.

5. Nutzung von persönlichen Daten

Im normalen Geschäftsverlauf verarbeitet Awin Daten zu den folgenden Personengruppen:

1. Awin Personal, Publisher-, Advertiser- und Supplier
2. Publisher, bei denen der Publisher eine Einzelperson ist
3. KonsumentInnen, deren Einkäufe von Awin getreackt werden

Zu den Zwecken dieses Dokuments werden wir nur die Aktivität des Trackings beschreiben, durch die personenbezogene Daten von KonsumentInnen verarbeitet werden. Dies liegt daran, dass alle anderen Verarbeitungsaktivitäiten lediglich zur Verwaltung des Geschäfts durchgeführt werden und solche Daten gemäß den regulatorischen Richtlinien als unwahrscheinlich angesehen werden, ein hohes Risiko für Einzelpersonen darzustellen.

6. Verbraucherdaten

Awin verwendet hauptsächlich Verbraucherdaten für das Tracking. Tracking ermöglicht es Awin, die Online-Reise eines Verbrauchers über bestimmte Websites nach dem Ansehen oder Anklicken einer Anzeige zu verstehen. Der Zweck des Trackings besteht darin, Verkäufe und Marketingbemühungen eines Publishers einer bestimmten Transaktion zuzuordnen, um Werbetreibenden zu ermöglichen, Publisher auf Transaktionsbasis zu belohnen. Tracking ermöglicht es Awin auch, Publishern und Advertisers entsprechende Reports zur Verfügung zu stellen.

Cross Device Tracking ermöglicht es Awin, die Customer Journey zu verstehen, wenn sie auf einem Gerät beginnt und auf einem anderen mit einer Transaktion abgeschlossen wird.

Um das Tracking durchzuführen, verwendet Awin Tracking-Domain-Cookies, Journey-Tags und Geräte-Fingerabdrücke. Hier ist eine kurze Erklärung, wie diese Technologien funktionieren:

• Tracking-Domain-Cookies:Cookies, die von der Awin-Domain bereitgestellt werden, wenn User auf eine Anzeige klicken, die auf einem Publisher-Service angezeigt wird.
• Journey tags: JavaScript-Code, der in die Website des Advertisers integriert ist, um Awin Transaktionsinformationen zu ermöglichen.
• Gerräte Fingerprinting: Methode, mit der Awin ein Gerät eindeutig identifizieren kann, indem bestimmte Attribute (einschließlich Bildschirmgröße/-auflösung und Benutzereinstellungen) berücksichtigt werden.

Cross Device Tracking nutzt die Cookies der Tracking-Domain und das Journey-Tag auf die gleiche Weise und für die gleichen Zwecke wie das Tracking. Darüber hinaus entwickelt Cross Device Tracking pseudonyme Verbraucherprofile, die dann verwendet werden, um mehrere Geräte einem einzelnen User zuzuordnen.

Alle Daten, die Awin für das Tracking verwendet, sind pseudonym, nicht sensibel, größtenteils technisch und nicht mit Verhalten, Vorhersagen oder Bewertungen von Verbraucherinteressen oder Persönlichkeiten verbunden.

7. Datenkontrolleur oder -verarbeiter?

Jedes Unternehmen, das mit Daten umgeht, muss entscheiden, welche Rolle es bei der Verarbeitung dieser Daten spielt.
Dies ist eine wichtige Überlegung, denn je nach Rolle gibt es unterschiedliche Auswirkungen. Die Entscheidung, ob Du ein "für die Verarbeitung Verantwortlicher" oder ein "Auftragsverarbeiter" von Daten bist, hängt logischerweise damit zusammen, was Du mit den erfassten Daten tust und welche Entscheidungen Du darüber triffst.

Du wirst ein Verantwortlicher sein, wenn Du bestimmst:

• Warum Daten sollten verarbeitet werden; und/oder
• Wie es verarbeitet werden sollte, um den beabsichtigten Zweck zu erreichen.

Auftragsverarbeiter (Processor) entscheiden hingegen nie, warum sie Daten verarbeiten, diese Entscheidung überlassen sie dem Verantwortlichem (Controller), der sie angewiesen hat. Auftragsverarbeiter können begrenzte Entscheidungen darüber treffen, wie sie Daten für die vom Verantwortlichem bestimmten Zwecke verarbeiten, aber diese können nur 'non-essential' Entscheidungen sein.

Das bedeutet, dass wesentliche Entscheidungen immer dem Verantwortlichen überlassen werden sollten, einschließlich Entscheidungen darüber, welche Daten zur Erreichung des Ziels des Verantwortlichen oder des Wirtschaftsmodells des verfolgten Zwecks verarbeitet werden sollen.

Das Wichtigste, was man im Kopf behalten sollte, ist, dass die Rollen auf der Grundlage von Fakten zugewiesen werden.

Es ist nicht möglich, einen Vertrag abzuschließen, der beispielsweise besagt: "X wird Verantwortlicher, Y wird Auftragsverarbeiter", wenn Y tatsächlich Entscheidungen darüber trifft, welche Daten für die Zwecke von X verarbeitet werden sollen; in diesem Fall wird Y neben X die Rolle des gemeinsamen Verantwortlicher einnehmen. Wenn Y sich entscheidet, Daten für ihre eigenen Zwecke zu verarbeiten, werden sie ein alleiniger Verantwortlicher für diesen neuen Zweck sein.

Im Affiliate Marketing ist der Advertiser immer der Verantwortliche, denn nur der Advertiser kann entscheiden 'warum' Daten verarbeitet werden sollen; nur der Advertiser kann beispielsweise entscheiden: "Lass uns etwas Online-Marketing betreiben und Provisionen auf CPA-Basis zahlen".

8. Aber was ist mit Netzwerken und Publishern? Sind sie Auftragsverarbeiter oder gemeinsame Verantwortliche mit dem Advertiser zusammen?

Awin vertritt die Auffassung, dass Awin gemeinsam mit dem Advertiser sowie mit den Publishern als gemeinsamer Verantwortlicher agiert. Tatsächlich besteht eine gemeinsame Verantwortlichkeit zwischen allen drei Parteien.

Dies liegt daran, dass Awin das Wirtschaftsmodell bestimmt hat und sowohl Awin als auch die Publisher entscheiden, welche Daten verarbeitet werden, um die Affiliate-Marketing-Kampagne des Advertisers durchzuführen.

Dies liegt daran, wie Transaktionen getrackt, überprüft und gemeldet werden.

Wir sind der Meinung, dass diese Lösung die einzige ist, die der Praxis entspricht.

Wenn beispielsweise Awin oder die Publisher versuchen würden, innerhalb der Beschränkungen einer Auftragsverarbeiter-Rolle zu arbeiten, müssten sie jede neue Datenverarbeitung im Voraus von jedem einzelnen Werbetreibenden genehmigen lassen. Sie können diese Entscheidungen nicht selbst treffen; dies erscheint sowohl unpraktisch als auch undurchführbar.

9. Wie unterscheidet sich dies von den Positionen anderer Netzwerke?

Einige Netzwerke haben sich für die Rolle des Auftragsverarbeiters entschieden, was bedeutet, dass sie dann keine rechtliche Grundlage für die Datenverarbeitung festlegen müssen und daher auch keine rechtliche Grundlage für ihre Publisher bestimmen können.

Sie können dafür sorgen, dass die Advertiser die Publisher direkt einbinden, um sicherzustellen, dass sie nicht für einen möglichen Datenverstoß durch einen Publisher haftbar gemacht werden und sich so direkt aus der Beziehung zwischen Publisher und Advertiser herausnehmen.

Eine der zusätzlichen Herausforderungen als Auftragsverarbeiter ist die potenzielle Auswirkung auf die Fähigkeit, Entscheidungen über die zukünftige Entwicklung Deiner Dienstleistungen und Technologien zu treffen.

Zum Beispiel müsste Awin die Advertiser informieren, wenn wir mit ihnen eine Datenverarbeitungsvereinbarung eingehen, dass sie keine Fehlerbehebungen, Updates, Upgrades oder zusätzliche Funktionen von Awins Produkten oder Dienstleistungen nutzen könnten, bis der Advertiser Awin schriftlich dazu auffordert.

Es ist wichtig zu bedenken, dass Awin's Interpretation der Verantwortlichen/Auftragsverarbeiter-Position sich von anderen Netzwerken unterscheidet. Nachdem wir rechtlichen Rat eingeholt haben, sind wir zuversichtlich, dass unsere Position den korrekten Status widerspiegelt.

Im Wesentlichen glauben wir, dass die folgenden Aussagen unsere Position als Verantwortlicher darlegen:

1. Advertiser entscheiden nicht, was getrackt wird. Sie wählen ein Netzwerk, aber das Netzwerk entscheidet, wie deren Technologie funktioniert und welche Daten verwendet werden. Ohne diesen Status könnte ein Netzwerk niemals neue Technologien weiterentwickeln, ohne von jedem Partner eine neue Auftragsverarbeiter-Vereinbarung zu erhalten.
2. Netzwerke bestimmen das Wirtschaftsmodell.
3. Netzwerke geben den Advertisern Anweisungen, beispielsweise indem sie sie auffordern, das Tracking aufrechtzuerhalten.

Direktmarketing kann mit einem einzigen Datenstück (wie einer E-Mail-Adresse) durchgeführt werden. Dies ermöglicht es einem Verantwortlichen, dem Auftragsverarbeiter/Direktmarketing-Unternehmen zu sagen: "Senden Sie E-Mails an diese Liste von E-Mail-Adressen". Affiliate Marketing ist komplexer, was die Sicherstellung, dass der Advertiser alle Anweisungen an alle seine Publisher gibt, unpraktikabel macht.

10. Welche Datenschutzvereinbarungen hat Awin?

Als gemeinsame Verantwortliche sind die jeweiligen Parteien verpflichtet, eine Vereinbarung zu treffen, in der die Rollen und Verantwortlichkeiten aller Beteiligten definiert sind. Im Gegensatz zu Datenverarbeitungsvereinbarungen, bei denen eine Partei als Verantwortlicher und die andere Partei als Verarbeiter agiert, haben die Parteien mehr Freiheit bei der Bestimmung der Form und des Inhalts der Vereinbarung und sind nicht verpflichtet, die GDPR-Ebene Verpflichtungen eines Verarbeiters einzubeziehen.

Für Advertiser bietet Awin eine gemeinsame Controller-Datenverarbeitungsanlage zum Advertiser-Vertrag an, die speziell die für Awins Dienstleistungen erforderliche Datenverarbeitung behandelt.

Für Advertiser bietet Awin eine gemeinsame Controller-Datenverarbeitungsanlage zum Advertiser-Vertrag an, die speziell die für Awins Dienstleistungen erforderliche Datenverarbeitung behandelt.

Indem diese Verantwortlichkeiten klar definiert werden, wird verhindert, dass Advertiser, Publisher und Awin für Verstöße des jeweils anderen gegen die DSGVO haftbar gemacht werden.

Das bedeutet auch, dass Publisher als Verantwortlicher mehr den Verpflichtungen der DSGVO nachkommen müssen. Alle beteiligten Parteien müssen dies jedoch bereits tun, wenn sie Daten für ihre eigenen Zwecke verarbeiten. Die Konsequenz ist, dass sie diese Verpflichtungen nun auch auf die Daten anwenden müssen, die bei der Gewinnung von KundInnen für einen Advertiser verarbeitet werden.

Der Hauptvorteil besteht darin, dass auf dem Awin-Netzwerk, wenn es gemäß der DSGVO und den relevanten Vereinbarungen oder Bedingungen erfolgt, die Parteien selbst entscheiden können, wie sie Daten verarbeiten. Wir sind fest davon überzeugt, dass dies sowieso der Fall ist und die Behörden uns als gemeinsame Verantwortliche betrachten würden. Durch die Schaffung einer vertraglichen Verpflichtung, die der tatsächlichen Realität entspricht, sollte jedem klar sein, welche Verpflichtungen sie gemäß der DSGVO übernehmen sollten.

Schließlich haben wir bei der Festlegung unserer Position berücksichtigt, wie Datenbehörden Awin und seine Advertiser und Publisher wahrscheinlich einordnen werden.

11. Berechtigtes Interesse und Abwägungstest

Als Verantwortlicher ist Awin verpflichtet, die Verarbeitung personenbezogener Daten zu rechtfertigen, bevor sie als rechtmäßig angesehen wird. Es gibt sechs rechtliche Grundlagen, unter denen dies erfolgen kann:

• Einverständnis
• Vertrag
• Gesetzliche Verpflichtung
• Wesentliches Interesse
• Öffentlich Aufgabe
• Berechtigtes Interesse

Bei der Beurteilung von Awins berechtigtem Interesse wurden die Interessen des gesamten Publisher-Ökosystems berücksichtigt.

Anschließend wurde ein Abwägungstest durchgeführt, in dem bestätigt wurde, dass das Tracking ein sehr geringes Risiko für unangemessene negative Auswirkungen auf die Interessen oder grundlegenden Rechte und Freiheiten der betroffenen Personen darstellt.

Das bedeutet, dass Awin nicht auf die individuelle Zustimmung als rechtliche Grundlage für die Verarbeitung personenbezogener Daten im Rahmen der DSGVO angewiesen ist, im Rahmen seiner Tracking-Dienste.

12. Warum nicht zustimmen?

Es ist zunächst wichtig zu betonen, dass es weiterhin eine große Verwirrung um die Zustimmung gibt.

Dies liegt zum Teil daran, dass es in der Branche keinen Konsens zu diesem Thema gibt, hauptsächlich aber daran, dass es neben der DSGVO-Zustimmung auch eine Zustimmung im Zusammenhang mit der bestehenden ePrivacy-Richtlinie gibt.

Diese Gesetze sind getrennt, existieren aber auch gleichzeitig. Denken Sie im Kontext des Datenschutzes an die DSGVO als umfassend und allumfassend in allen Aspekten der persönlichen Datenregulierung. Die ePrivacy hingegen befasst sich speziell mit Direktmarketing und den Funktionen des Online-Trackings, wie beispielsweise der Verwendung von Cookies oder ähnlichen Technologien.

Unweigerlich gibt es einige Überschneidungen, die entstehen, weil Cookies oft persönliche Daten enthalten, aber es ist ein Fehler anzunehmen, dass Cookies und persönliche Daten ein und dasselbe sind.

Nach der DSGVO gibt es viele Möglichkeiten, personenbezogene Daten legal zu verarbeiten, ohne sich auf die Datenzustimmung zu verlassen. Tatsächlich kann man sagen, dass die Datenzustimmung die am wenigsten praktische und am meisten belastende rechtliche Grundlage für die Datenverarbeitung ist.

Nach der ePrivacy-Richtlinie ist die Zustimmung zu Cookies immer erforderlich, es sei denn, die Cookies sind unbedingt notwendig, um einen vom Einzelnen angeforderten Dienst zu erbringen. Daher benötigen Cashback- und Prämien-Publisher beispielsweise möglicherweise keine Cookie-Zustimmung für Affiliate-Cookies, da diese für einen Cashback- oder Prämien-basierten Dienst notwendig sind, um zu funktionieren.

Die Einholung der Datenzustimmung ist nicht ohne ihre Herausforderungen. Dabei kann das Benutzererlebnis vor Ort negativ beeinflusst werden und die betreffende Person kann die Zustimmung trotzdem verweigern.

Wenn personenbezogene Daten auf der Grundlage einer Datenzustimmung verarbeitet werden, erhält die betroffene Person erweiterte Datenrechte, die in Zukunft respektiert werden müssen. Darüber hinaus muss die Datenzustimmung auf einem bestimmten Detailgrad verwaltet und aufgezeichnet werden. Zusätzlich darf einem User die Bereitstellung eines Service oder Contents nicht verweigert werden, weil er die Datenzustimmung verweigert hat, es sei denn, der Service ist von dieser Datenzustimmung abhängig.

Am wichtigsten ist wahrscheinlich, dass der Einzelne genügend Informationen erhält, um eine fundierte Entscheidung treffen zu können.

Da Awin eine Affiliate-Plattform ist, verwenden wir begrenzte persönliche Daten, um Referrals auf Advertiser-Websites zu tracken, die daraus resultierenden Transaktionen und unser Reporting, aber wir verwenden diese Daten niemals erneut, um Verhaltensprofile von Usern zu erstellen oder für andere Marketingzwecke. Wir sammeln auch keine weiteren Daten für:

1. Erstellung von Verhaltensprofilen der User
2. Verhaltensbezogene Zielsetzung
3. Marketing für alle anderen Zwecke

Um rechtmäßig durchgeführt zu werden, erfordern diese Arten der Verarbeitung in der Regel eine Datenzustimmung, da sie als stärkeren Einfluss auf die Privatsphäre der Einzelpersonen wahrgenommen werden. Indem Awin diese Art der Verarbeitung vermeidet, kann es sich auf das berechtigte Interesse stützen, um seine Verarbeitung zu rechtfertigen und Anforderungen an die Datenzustimmung von Publishern oder Advertisern zur legalen Verfolgung von Transaktionen zu vermeiden.

Dies gilt für die Verarbeitung personenbezogener Daten, wenn Einzelpersonen von der Publisher-Website zu Advertiser-Websites über unsere Domains reisen, die Bestätigung der Transaktion tracken und den anschließenden Report, der in der UI verfügbar ist.

13. Einhalten der Zustimmung

Es ist wichtig zu bedenken, dass wenn ein Verantwortlicher die Einwilligung als rechtliche Grundlage wählt, er möglicherweise keine andere rechtliche Grundlage nutzen kann, sollte es problematisch sein, die Einwilligung zu erhalten.

Gemäß den Leitlinien der Artikel 29-Arbeitsgruppe zur Zustimmung nach der Verordnung 2016/679 muss:

Wenn die Zustimmung als rechtliche Grundlage für einen Teil der Verarbeitung gewählt wird, der Verantwortliche dies respektieren und diesen Teil der Verarbeitung einstellen, wenn eine Person ihre Zustimmung zurückzieht.

"Die Nachricht zu verbreiten, dass Daten auf der Grundlage von Einwilligung verarbeitet werden, während tatsächlich eine andere rechtmäßige Grundlage genutzt wird, wäre gegenüber den Individuen grundlegend unfair. Mit anderen Worten kann der Verantwortliche nicht von Einwilligung zu anderen rechtmäßigen Grundlagen wechseln. Zum Beispiel ist es nicht erlaubt, nachträglich die Grundlage des berechtigten Interesses zu nutzen, um die Verarbeitung zu rechtfertigen, wenn Probleme mit der Gültigkeit der Einwilligung aufgetreten sind."

Aufgrund der Notwendigkeit einer vorherigen Offenlegung einer Rechtsgrundlage muss ein Verantwortlicher im Voraus entscheiden, welche der sechs Grundlagen übernommen wird.

14. Die ePrivacy-Richtlinie

Seit die ePrivacy-Richtlinie in nationales Recht in der gesamten EU umgesetzt wurde, ist jeder verpflichtet, eine Cookie-Zustimmung einzuholen, wenn Cookies gesetzt werden.

Awin verlangt seit 2012 von Publishern, gemäß unseren Bedingungen mit Publishern, eine Cookie-Zustimmung einzuholen. Dies dient dazu, sicherzustellen, dass Publisher diese Regeln einhalten, aber auch um eine Cookie-Zustimmung für Awins Cookies im Namen von Awin zu erhalten. Dies ist typisch für Netzwerke wie unseres, die keine natürliche oder bequeme Möglichkeit haben, mit Einzelpersonen in Kontakt zu treten, um eine Cookie-Zustimmung zu erhalten.

15. Warum sprechen wir schon wieder über Cookie-Consent?

Die Zustimmung zu Cookies ist in den letzten Jahren erneut diskutiert worden, da in den meisten EU-Mitgliedstaaten die Gesetze zur Umsetzung der ePrivacy-Richtlinie auf die Definition der Zustimmung in den lokalen Datenschutzgesetzen für die Definition der Cookie-Zustimmung angewiesen waren.

Also, als die DSGVO lokale Datenschutzgesetze ersetzte, wurde auch die Definition für die Zustimmung zu Cookies ersetzt.

Dies ist insofern von Bedeutung, als der für die DSGVO erforderliche Zustimmungsstandard höher ist als bei einigen bereits bestehenden lokalen Datengesetzen und dies in der Rechtsprechung und in den seit Inkrafttreten der DSGVO herausgegebenen Leitlinien weiter geklärt wurde.

16. Wie wirkt sich die DSGVO auf die Cookie-Zustimmung aus?

Das Ergebnis ist, dass die Einholung der Cookie-Zustimmung nun komplizierter ist. Der spezifische Unterschied besteht darin, dass die Cookie-Zustimmung eindeutig sein muss, weshalb der übliche Ansatz der stillschweigenden Zustimmung nicht ausreicht. Die Cookie-Zustimmung sollte auch gegeben werden, bevor Cookies gesetzt werden.

Um eine gültige Cookie-Zustimmung gemäß der neuen Zustimmungsdefinition zu erhalten, muss die Einzelperson etwas Aktives tun, um ihre Zustimmung anzuzeigen. Sie sind sicherlich mit universellen Zustimmungstools oder Zustimmungsmanagementplattformen (CMPs) vertraut; Technologie, die eine Nachricht ausgibt, wenn ein Benutzer auf einer Website ankommt und um Erlaubnis bittet, die Aktivitäten dieses Users auf der Website zu tracken.

Die meisten Website-BetreiberInnen, einschließlich Publisher und Advertiser, verwenden solche Zustimmungstools, um die Zustimmung für die auf ihrer Website bereitgestellten Cookies zu erhalten, einschließlich der Cookies von Awin, wenn sie auf der Awin-Plattform arbeiten.

17. Wie unterscheiden sich Cookie-Zustimmung und Daten-Zustimmung?

Weil Cookies grundsätzlich weniger kompliziert sind als alles, was mit persönlichen Daten gemacht werden könnte, ist die Einhaltung der erhöhten Zustimmungsstandards viel einfacher, wenn man die Zustimmung für Cookies einholt, als wenn man die Zustimmung für Daten einholt.

Dies liegt daran, dass es weniger zu erklären gibt, weniger Aufzeichnungspflichten bestehen und weniger zusätzliche Rechte angeboten werden müssen.

Das Compliance-Risiko ist auch geringer, da die hohen Strafen, die durch die DSGVO eingeführt wurden, nicht für die Zustimmung zu Cookies gelten, im Gegensatz zu Datenzustimmungen, die für Cookies verwendet werden.

Obwohl Gesetze zur Umsetzung der ePrivacy-Richtlinie sich auf die DSGVO für die Definition von Zustimmung stützen, haben sie dennoch ihre eigenen Bußgelder und Strafen für Nichteinhaltung.

18. Wie beeinflusst dies die Art und Weise, wie Publisher und Advertiser mit Awin zusammenarbeiten?

Die Einholung der Cookie-Zustimmung ist weiterhin von Awin für seine Publisher und Advertiser erforderlich, sowohl um die Cookie-Zustimmung für sich selbst als auch für Awin's Cookies zu erhalten.

Wir überprüfen auch die Einhaltung dieser Anforderungen durch Publisher und Advertiser und bitten sie, die Zustimmung zur Verwendung von Cookies korrekt einzuholen, wenn es uns so erscheint, als würden sie dies nicht tun.

Allerdings schreibt Awin nicht vor, wie die Zustimmung zu Cookies eingeholt werden muss.

Awin bietet ein Zustimmungstool an, das für die Cookie-Zustimmung verwendet werden kann, aber wir sind auch damit einverstanden, dass Publisher und Advertiser andere Zustimmungstools verwenden oder auf andere Weise eine gültige Zustimmung einholen.

Wir erkennen an, dass die DSGVO nicht einfach ist, insbesondere für kleinere Publisher oder Werbetreibende, und wir versuchen, die Belastungen der Einhaltung für unsere Partner so weit wie möglich zu minimieren.

Eine Möglichkeit besteht darin, unsere Datenverarbeitung auf berechtigtes Interesse zu stützen, sodass wir keine Datenzustimmung von Publishern oder Advertisern einholen müssen. Dies ist jedoch keine Option für die Cookie-Zustimmung; wenn ein Website-Betreiber das Cookie nicht zum Bereitstellen eines vom Einzelnen angeforderten Dienstes setzen muss, kann die Cookie-Zustimmung nicht vermieden werden.

19 Die Position von Awin zusammengefasst

Awin ist gemeinsam mit Advertiser und den meisten Publishern verantwortlich.

Dies macht die Notwendigkeit, Datenverarbeitungsvereinbarungen zu unterzeichnen, hinfällig.

Es gibt dem Netzwerk die Flexibilität, neue Technologien zu entwickeln und die Grundlage für zukünftige Technologie-Upgrades und -Releases zu bestimmen.

Awin nutzt das berechtigte Interesse als rechtliche Grundlage für die Datenverarbeitung.

"Awin verlangt nicht von seinen PartnerInnen, eine Einwilligung gemäß der DSGVO einzuholen".

Awin verlangt von allen Advertisern und Publishern, in Übereinstimmung mit den geltenden Datenschutzgesetzen eine gültige Cookie-Zustimmung einzuholen.

Publisher und Advertiser können die Zustimmung auf die Weise einholen, die sie für angemessen halten, jedoch bietet Awin ein einfach zu installierendes Zustimmungstool an.

20. Was bedeutet das alles, wenn ich als Advertiser oder Publisher mit Awin zusammenarbeite?

Als Unternehmen, das unter der DSGVO tätig ist, hast Du bestimmte Verpflichtungen als Verantwortlicher. Darüber hinaus hast Du einige Aufgaben, um sicherzustellen, dass das Affiliate-Tracking auf Deiner Website rechtmäßig betrieben wird, wenn Du mit Awin zusammenarbeitest. Wir haben eine Checkliste zu den wichtigsten Punkten erstellt, die Du beachten solltest:

• Überprüfe, ob Du Dich bei Deiner örtlichen Datenschutzbehörde registrieren müssen;
• Aktualisiere bei Bedarf Deine Geschäftsbedingungen und Datenschutzrichtlinien;
• Gehe Vereinbarungen oder Absprachen mit allen Dritten ein, mit denen Du Daten verarbeitest;
• Stelle sicher, dass Du die Kontaktdetails hast, unter denen Einzelpersonen Dich mit datenschutzbezogenen Anfragen kontaktieren können;
• Stelle sicher, dass Du für alle Verarbeitungsaktivitäten eine rechtliche Grundlage hast;
• Erhalten Sie die Zustimmung für Cookies, wo ePrivacy dies erfordert und stelle sicher, dass Dein Zustimmungsmechanismus alle Deine Aktivitäten abdeckt.

21. Wo erfahre ich mehr?

Awin hat ein GDPR-Hub, zu finden hier.

Awins häufig gestellte Fragen zum Datenschutz und zur Sicherheit

In den letzten Jahren haben wir einen stetigen Anstieg der Anfragen zu unseren Datenverarbeitungsaktivitäten festgestellt. Die Fragen reichen von der Einhaltung der DSGVO bis hin zu technischeren Fragen zur Datensicherheit. Im Folgenden haben wir die häufigsten Fragen sowohl von Advertisern als auch von Publishern aufgelistet.

Ist Awin DSGVO-konform?

Als ein in Europa ansässiges und tätiges Unternehmen, das täglich mit personenbezogenen Daten umgeht, ist die Einhaltung der DSGVO für Awin von zentraler Bedeutung. Awin hat eine Datenschutz-Folgenabschätzung durchgeführt, um die Einhaltung der DSGVO zu gewährleisten und hat eine Reihe von Sicherheitsmaßnahmen implementiert, um eine kontinuierliche Einhaltung zu gewährleisten. Awin überwacht kontinuierlich rechtliche Anleitungen und Entscheidungen und ist bestrebt, sicherzustellen, dass alle seine Aktivitäten im Zuge etwaiger Entwicklungen konform bleiben.

Hast Du eine/n benannten Datenschutzbeauftragte/n? Wie können wir sie/ihn erreichen?

Ja, Awin hat eine/n Datenschutzbeauftragte/n ernannt. Sie können die/den DSB unter global-privacy@awin.comerreichen.

Welche persönlichen Daten erfassen, speichern oder verarbeitest Du im Rahmen des Trackings?

Die von Awin für das Tracking verwendeten Daten sind pseudonym, nicht sensibel, größtenteils technisch und nicht mit Verhalten, Vorhersagen oder Bewertungen von Verbraucherinteressen oder Persönlichkeiten verbunden.

Ein Tracking-Cookie würde beispielsweise die folgenden Daten sammeln:

• Datum des Cookies

• Ablaufdatum des Cookies

• IP-Adresse (gekürzt)

• IP Hash
• GeoIP
• Advertiser-ID
• Publisher-ID
• Banner-ID
• Gruppen-ID
• Produkt-ID
• Klick/Netzwerk Referenz
• Verweis

• Überschriebene Publisher-ID

• Plattform

Sammelt Awin irgendwelche sensiblen persönlichen Daten?

Nein, Awin sammelt keine sensiblen Daten während des Trackings oder der Verwaltung seiner Geschäfte mit Werbetreibenden, Publishern und Lieferanten. Awin kann sensible Daten seiner MitarbeiterInnen sammeln, wenn dies gesetzlich erforderlich ist.

Wie ist der Data-Flow, den Awin trackt?

Wo speichert Ihr diese Daten physisch?

Innerhalb der EU/UK.

Verwendet Ihr die Dienste eines Hosts oder eines Cloud-Anbieters, um die Anwendung und Daten zu hosten?

Ja, Equinix (London/Flug), das sind unsere Co-Location-Datenzentren. Cloud-Anbieter:

(Irland und Frankfurt, Deutschland) und Azure (Amsterdam).

Wie lange speichert Ihr die Daten? Habt Ihr Prozesse für das automatische Löschen der Daten eingerichtet?

Awin behält Daten gemäß seiner Aufbewahrungsrichtlinie. Sofern in der Richtlinie nicht anders angegeben (und gesetzlich zulässig), werden personenbezogene Daten nach 36 Monaten gelöscht. Wir haben automatisierte Löschungsroutinen implementiert, um sicherzustellen, dass Daten nach Ablauf der geltenden Aufbewahrungsfrist gelöscht werden.

Seid Ihr ISO 27001 zertifiziert?

Im Februar 2022 haben wir erfolgreich das Stage 2 Audit der ISO 27001 Zertifizierung für die betroffenen Systeme und Dienstleistungen bestanden, durchgeführt von unabhängigen Prüfern des BSI, und im März wurde die ISO 27001 Zertifizierung erreicht. Jährliche Überwachungsaudits und Re-Zertifizierungsaudits werden durchgeführt.

Beschreibe den Prozess für die regelmäßige Überwachung, Überprüfung und Prüfung der von Deinen Drittanbietern erbrachten Dienstleistungen.

Lieferanten unterliegen dem Risikomanagement für Anbieter, das eine Due-Diligence-Prüfung der Anbieter bei der Onboarding und regelmäßige Überprüfungen danach beinhaltet.

Trennt Ihr Kundendaten?

Wir trennen Daten logisch. ACLs werden in der Awin UI verwendet, um sicherzustellen, dass Daten logisch getrennt sind und nicht von anderen KundInnen aufgerufen oder beschädigt werden können.

Führt Ihr Eindringprüfungen durch?

Ja, Eindringprüfung werden jährlich von einer renommierten Drittpartei durchgeführt. Wir haben auch ein Bug-Bounty-Programm eingerichtet.

Habt Ihr Kontrollmechanismen eingerichtet, um die Installation von nicht autorisierter Software auf Euren Systemen zu beschränken und zu überwachen?

Alle Software muss über den Vendor Information Security Review-Prozess an Bord gebracht werden.

User erhalten eine Bibliothek im Microsoft Store mit erlaubten Apps. Jede andere Software wird von der internen IT nach Genehmigung installiert.

Nutzt Ihr Drittanbieterorganisationen als Unterauftragsverarbeiter der personenbezogenen Daten?

Ja, Awin verwendet eine Reihe von Prozessoren; eine vollständige Liste der Prozessoren kann auf Anfrage bereitgestellt werden.

Diese Dienstleister haben Datenschutz- und Informationssicherheitsprüfungen durchlaufen und es wurde eine Datenverarbeitungsvereinbarung getroffen, wo dies notwendig war.

Übertragt Ihr irgendwelche Daten außerhalb der EU?

Awin führt Übertragungen außerhalb der EU nur durch, wenn dafür geeignete Sicherheitsmaßnahmen getroffen wurden.

Die technischen und organisatorischen Maßnahmen, die zum Schutz der Daten getroffen werden.

Die technischen und organisatorischen Maßnahmen (TOMs) von Awin beinhalten:

• Daten werden wo immer möglich pseudonymisiert und anonymisiert (IP-Adressen werden gekürzt, E-Mail-Adressen werden bei Verwendung gehasht, Kunden-ID-Informationen werden pseudonymisiert)
• Physische Sicherheitsmaßnahmen (Kartenschutz, eingeschränkter Gastzugang)
• Die Verwendung von berechtigungsbasierten Zugriffsrechten, bei denen Rechte auf einer "Need-to-Know"-Basis gewährt werden. Das Recht auf Datenzugriff wird gewährt, wenn es einen geschäftlichen Fall für den Zugriff dieser Person gibt.
• Ein verpflichtendes Schulungsprogramm für Mitarbeiter sowohl im Datenschutz als auch in der Datensicherheit.

Aktualisierte Richtlinien zur Datensicherheit, einschließlich Awin's Business Continuity Plan, Vorfallberichterstattungsrichtlinie, Informationshandhabungsrichtlinie usw.

Testet/Bewertet/Aktualisiert Ihr die TOMs regelmäßig?

Ja, die TOMs werden jährlich überprüft und im unwahrscheinlichen Fall eines Sicherheits- oder Datenverstoßes.

Verschlüsselt, anonymisiert oder pseudonymisiert Ihr personenbezogene Daten, um sicherzustellen, dass sie nicht von unbeabsichtigten Parteien gelesen werden können?

Die im Rahmen des Trackings gesammelten Daten sind pseudonymisiert (IP-Adressen werden gekürzt, E-Mail-Adressen, die für das geräteübergreifende Tracking verwendet werden, sind standardmäßig gehasht). Alle Daten, die über öffentliche Netzwerke übertragen werden, sind verschlüsselt (unter Verwendung von TLS- oder IPSec-Verschlüsselung nach aktuellen Industriestandards). Entfernbare Geräte, Laptops und mobile Geräte haben eine vollständige Festplattenverschlüsselung aktiviert.

Bitte beschreibe die physische Sicherheit der Gebäude.

Der Zugang zu allen Standorten (Büros und Datenzentrum) wird durch Zugangskontrollen mit Schlüsselkarten geregelt. Gästen ist es nicht gestattet, diese Standorte ohne Begleitung eines Mitarbeiters zu betreten. Der Zugang zu den Datenzentren ist auf vorab genehmigte Mitarbeiter innerhalb der IT-Teams beschränkt. Alle Zugänge zu diesen Standorten werden protokolliert und verfügen über branchenführende physische Sicherheitskontrollen.

Habt Ihr einen integrierten Firewall-Schutz in Euren Systemen?

Alle internen Dienste von Awin sind durch Firewalls mit dem Internet verbunden, die die Dienste vor externen Angriffen schützen. Weitere interne Firewalls trennen und schützen unsere Dienste zusätzlich. Unser Operations Team führt jede Woche Sicherheitsprüfungen auf unseren externen Systemen durch.

Welche Maßnahmen habt Ihr getroffen, um den Zugang zu Daten zu beschränken?

Im Rahmen unserer Vorbereitungen auf die DSGVO haben wir unsere Zugriffskontrollrichtlinie überprüft und Verpflichtungen wie folgt verstärkt:

• Zugangskontrollvereinbarungen werden befolgt, um den Zugang zu Awin-Einrichtungen, Geschäftsanwendungen, Informationssystemen, Netzwerken und Rechenmaschinen zu beschränken.
• Alle Personen, die Zugang zu IT-Systemen, Informationssystemen, Anwendungen, Netzwerken und Rechenmaschinen haben, werden autorisiert, bevor ihnen Zugriffsrechte gewährt werden.
• TDas Prinzip der geringsten Berechtigung sollte befolgt werden.
• Die Trennung von Aufgaben sollte in Betracht gezogen werden.
• Der Zugang zu den Awin-Einrichtungen muss streng kontrolliert werden, wobei der Zugang auf individueller Basis an authentifizierte und autorisierte MitarbeiterInnen unter Verwendung geeigneter physischer Sicherheitskontrollen gewährt wird.
• Zugriffsrechte können nicht kollektiv gewährt oder innerhalb einer Gruppe geteilt werden.
• Im Allgemeinen muss der Zugang zu Informationssystemen, die persönliche oder vertrauliche Informationen enthalten, eine 2-Faktor-Authentifizierung erfordern.

Habt Ihr Benachrichtigungen für Sicherheitsverstöße eingerichtet?

Verstöße werden gemäß unserem Vorfallreaktionsplan behandelt und gemeldet. Im Falle eines Verstoßes gegen den Datenschutz (oder einer unrechtmäßigen Offenlegung vertraulicher Informationen) werden Benachrichtigungen an die betroffenen Parteien und/oder die zuständige Behörde im Einklang mit den gesetzlichen Verpflichtungen gemacht.

Wie stellt Ihr sicher, dass die Datenschutzbehörde innerhalb von 72 Stunden im Falle eines Datenverstoßes benachrichtigt wird?

Jeder Verstoß muss sofort dem DPO von Awin gemeldet werden. Dies ist ein kritischer Punkt, um die 72-Stunden-Frist einzuhalten und wird daher in allen Schulungen, Informationsmaterialien und Richtlinien für MitarbeiterInnen betont. Sobald die Informationen den DPO erreicht haben, kümmert sich der DPO um die Benachrichtigung der Datenschutzbehörde, wie erforderlich.

Wie schützt Ihr die Rechte von Einzelpersonen?

Awin hat Prozesse zur Sicherstellung der Rechte von Einzelpersonen, wie sie in der DSGVO verankert sind. Alle Anfragen sollten an global-privacy@awin.com gerichtet werden, wo die Anfrage gemäß dem relevanten Prozess bearbeitet wird.

Haben alle Eure MitarbeiterInnen, die an der Verarbeitung von Kundendaten beteiligt sind, eine Schulung zum Datenschutz und zur Informationssicherheit erhalten?

Ja, wir bieten sowohl Datenschutz- als auch Informationssicherheitsschulungen als Pflichtprogramm für neue MitarbeiterInnen an. Zusätzlich führen wir jährliche Auffrischungsschulungen durch. Bitte beachte, dass unsere Schulungen mit einem Test am Ende abgeschlossen werden, um ausreichendes Wissen zu gewährleisten.

Ich möchte zu den Datenschutzrichtlinien.

https://www.awin.com/gb/privacy

Könnt Ihr uns ein Beispiel dafür geben, wie wir in unseren Datenschutzrichtlinien auf Awin verweisen können?

Du kannst jede Formulierung unserer Richtlinie für die Zwecke Deiner Offenlegungen verwenden.

Können wir als Advertiser eine Datenverarbeitungsvereinbarung unterzeichnen?

Ja, dies ist bereits automatisch Teil Deiner Vereinbarung als Advertiser im Affiliate Marketing mit Awin.

Können wir als Publisher eine Datenverarbeitungsvereinbarung unterzeichnen?

Dies ist nicht notwendig, da alle relevanten Bestimmungen bereits in den Publisher-Bedingungen enthalten sind, als Anhänge zu diesen Bedingungen. Bitte überprüfe diese Bedingungen.

An wen kann ich mich bei weiteren Fragen wenden?

Unsere Account Manager können allgemeine Fragen zum Datenschutz beantworten. Wenn Du direkt mit unserem Datenschutzbeauftragten sprechen möchtest, kannst Du eine E-Mail an global-privacy@awin.com senden.