Die DSGVO hat das Affiliate-Marketing in Europa grundlegend veraendert. Als Betreiber eines Partnerprogramms muessen Sie sicherstellen, dass Ihr Tracking datenschutzkonform funktioniert. In diesem Artikel fassen wir die wichtigsten Punkte zusammen.
Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich an einen spezialisierten Datenschutzanwalt.
Cookie-Consent: Ohne Einwilligung kein Tracking
Affiliate-Cookies sind in der Regel einwilligungspflichtig. Das bedeutet:
- Affiliate-Cookies duerfen erst nach aktiver Einwilligung des Nutzers gesetzt werden
- Ihr Cookie-Banner muss Affiliate-Tracking als eigene Kategorie auffuehren (z.B. "Marketing-Cookies" oder "Affiliate-Tracking")
- Ohne Einwilligung darf kein Tracking-Cookie gesetzt werden
- Die Einwilligung muss dokumentiert werden (Consent-Log)
Datenschutzerklaerung anpassen
Ihre Datenschutzerklaerung muss folgende Informationen zum Affiliate-Tracking enthalten:
- Welche Daten werden erfasst (Cookie-ID, Klickzeitpunkt, Bestellwert)
- Zweck der Datenverarbeitung (Zuordnung von Provisionen an Werbepartner)
- Rechtsgrundlage (Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO)
- Speicherdauer (Cookie-Laufzeit + Aufbewahrungsfrist fuer Abrechnungsdaten)
- Empfaenger der Daten (Ihr Unternehmen, ggf. Dienstleister)
- Widerrufsrecht und Anleitung zum Cookie-Loeschen
Auftragsverarbeitungsvertrag (AVV)
Wenn Sie eine gehostete Partnerprogramm-Software nutzen (wie PAREBA), liegt eine Auftragsverarbeitung vor. Sie benoetigen einen AVV mit dem Software-Anbieter, der regelt:
- Art und Zweck der Datenverarbeitung
- Kategorien betroffener Personen und Daten
- Technische und organisatorische Massnahmen (TOMs)
- Unterauftragnehmer
- Loeschkonzept
PAREBA stellt einen fertigen AVV bereit, der alle Anforderungen abdeckt.
Server-Standort: Wo liegen die Daten?
Der Server-Standort Ihrer Affiliate-Software ist datenschutzrechtlich relevant:
- Server in Deutschland/EU: Unproblematisch — DSGVO gilt direkt
- Server in den USA: Nur mit zusaetzlichen Garantien (Standard Contractual Clauses) — und auch diese sind umstritten
- Server in Drittlaendern: Hohes Risiko — vermeiden
PAREBA hostet alle Daten ausschliesslich auf Servern in Deutschland.
Rechte der betroffenen Personen
Besucher Ihres Shops haben weitreichende Rechte bezueglich ihrer Tracking-Daten:
- Auskunftsrecht: Welche Daten haben Sie ueber mich gespeichert?
- Loeschrecht: Loeschen Sie meine Daten
- Widerspruchsrecht: Ich moechte nicht mehr getrackt werden
- Datenportabilitaet: Geben Sie mir meine Daten in maschinenlesbarem Format
Stellen Sie sicher, dass Sie diese Anfragen innerhalb von 30 Tagen beantworten koennen.
Publisher als eigenstaendige Verantwortliche
Wichtig: Ihre Publisher sind in der Regel eigenstaendige Verantwortliche im Sinne der DSGVO, keine Auftragsverarbeiter. Das bedeutet:
- Jeder Publisher ist selbst fuer seinen Cookie-Consent verantwortlich
- Publisher muessen in ihrer eigenen Datenschutzerklaerung auf das Affiliate-Tracking hinweisen
- Sie brauchen keinen AVV mit jedem einzelnen Publisher
- Aber: Nehmen Sie eine Datenschutz-Klausel in Ihre Publisher-Vereinbarung auf
Checkliste: DSGVO-konformes Partnerprogramm
- Cookie-Banner mit Opt-in fuer Affiliate-Tracking
- Datenschutzerklaerung mit Affiliate-Tracking-Abschnitt
- AVV mit Ihrem Software-Anbieter
- Server-Standort in Deutschland/EU
- Consent-Logging implementiert
- Prozess fuer Betroffenenrechte definiert
- Datenschutz-Klausel in Publisher-Vereinbarung
- Verarbeitungsverzeichnis gefuehrt
Fazit
DSGVO-konformes Affiliate-Marketing ist kein Hexenwerk — aber es erfordert sorgfaeltige Vorbereitung. Mit der richtigen Software (Server in Deutschland, fertiger AVV, Consent-Integration) und einer angepassten Datenschutzerklaerung sind Sie auf der sicheren Seite.