Dokumente

Joint Controller: Mustervertrag für Affiliate-Marketing

Die Verarbeitung von personenbezogenen Daten unterliegt strengen Regularien. Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) gibt hier die Regeln vor. Fälschlich werden in den meisten Fällen Auftragsdaten-Verarbeitungs-Verträge (AVVs) genutzt. Ältere Verträge sollten zwingend geprüft werden.

André Koegler
Performance Consultant
veröffentlicht am 30.06.2021

Die Verarbeitung von personenbezogenen Daten unterliegt strengen Regularien. Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DSGVO) gibt hier die Regeln vor. Im August 2019 stellte der EuGH im „Fashion ID Urteil“ eine gemeinsame Verantwortung der Beteiligten bei der gemeinsamen Verarbeitung von personenbezogenen Daten (pbD) fest. Fälschlich werden in den meisten Fällen Auftragsdaten-Verarbeitungs-Verträge (AVVs) genutzt. Bei Netzwerken oder Agentursystemen gestalten sich die Zwecke der Verarbeitung sehr komplex und es wird dringend geraten, auf “Joint-Controller-Arrangements” zu setzen. Ältere Verträge sollten zwingend geprüft werden.

Mit der Einführung der DSGVO im Jahr 2018 ist auch die Differenzierung der Auftragsverarbeitung Bestandteil von Verträgen geworden. Dieser AVV ist seit 2018 der Ersatz der bisherigen Verträge und regelt die Verarbeitung von personenbezogenen Daten durch einen Auftragsdatenverarbeiter (Processor). 

Auftragsdaten-Verarbeitungs-Verträge sind verpflichtend, wenn ein Processor eine Dienstleistung für einen Controller ausführt und personenbezogene Daten Bestandteil dieser Datenverarbeitung sind. Der Processor ist als Auftragsdatenverarbeiter die rechte Hand des Controllers und verfolgt bei der Datenverarbeitung keinen eigenen Zweck, sondern er führt nur im Namen des Advertisers bestimmte Prozesse aus. Processoren können auch für verschiedene Kunden aktiv sein. Die zu verarbeitenden Daten der einzelnen Kunden dürfen sich dabei aber in keinem Fall überschneiden, da der AVV sonst nicht mehr greift. Beispiele solcher Daten können Kundendaten, Nutzerdaten, Trackingdaten oder Profildaten sein. 

Third-Party-Tracking verpflichtet zu Joint-Controller-Vertrag

Bei öffentlichen Netzwerken und Agentursystemen im Affiliate-Marketing ist aufgrund der engen Verknüpfung von Affiliate-Netzwerk, Advertiser und Publisher bei der Vertragserstellung einiges zu berücksichtigen. Diese drei Parteien verfolgen zwar alle ihre eigenen Zwecke (zur Datenverarbeitung). Wenn das Affiliate-Netzwerk aber auf ein Third-Party-Tracking setzt, welches für mehrere Partnerprogramme identisch ist (z.B. bei der Cookie-URL), dann teilen sich diese Parteien sozusagen das Tracking. Wenn das der Fall ist, dann muss auf jeden Fall ein Vertrag für ein sogenanntes “Joint-Controller-Arrangement” her. Laut DSGVO sind Joint Controller “gemeinsame Verantwortliche”, die zusammen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Wer noch auf die älteren AV-Verträge zurückgreift, sollte diese auf jeden Fall auf aktuelle Rechtsgültigkeit prüfen – und im Zweifel lieber auf einen Joint-Controller-Vertrag zwischen Netzwerkbetreiber und Advertiser wechseln. 

In einigen Fällen nutzen auch Publisher das Netzwerk-Tracking für die Verarbeitung personenbezogener Daten und sollten mit in die Joint-Controller-Verträge aufgenommen werden. Die Verträge sind komplexe Konstrukte, da sie jeden Zweck, den ein Publisher verfolgt, abdecken müssen. Es gibt Publisher, die nur den einfachen Klick beim Tracking benötigen und bei denen die rechtliche Situation für die Verträge eindeutig und wenig kompliziert ist. Es gibt aber auch Publisher, die beispielsweise auf ein angereichertes Tracking mit einer weiteren ID (die sog. “SubID”) setzen, um das eigene Tracking zu gewährleisten. Das können z.B. Cashback- oder Loyalty-Publisher sein, die über diese SubID dann noch pseudonymisierte Nutzerdaten transportieren.

Die Zwecke der Datenverarbeitung können sich also sehr unterscheiden, was rechtliche Fallstricke mit sich bringt. Aus diesem Grund empfehlen wir von easy.MARKETING den Mustervertrag des Bundesverband Digitale Wirtschaft e.V (BVDW) für Joint-Controller-Arrangements für Netzwerksysteme.

Mustervertrag für Joint Controller

Der BVDW hat diesen Mustervertrag in deutscher und englischer Sprache veröffentlicht. Er soll den Marktteilnehmern als Orientierung dienen. “Das Muster beschränkt sich auf den gemäß Artikel 26 DSGVO gesetzlich vorgegebenen Mindestinhalt und berücksichtigt dabei die aktuelle Rechtsprechung, die komplexen Besonderheiten digitaler Angebote im werblichen Umfeld und insbesondere den Standard für Einwilligungen und Datenschutzinformationen: IAB TCF 2.0”, beschreibt der BVDW den Inhalt dieses Mustervertrags.

Download: Mustervertrag in deutscher Sprache
Download: Mustervertrag in englischer Sprache

easy.MARKETING als Processor

Die easy Marketing GmbH ist als technischer Dienstleister Processor und erhebt und verarbeitet personenbezogene Daten ausschließlich im Namen des jeweiligen Kunden. Es werden keine Daten vermischt. 

Wird unsere Software als Affiliate-Netzwerk genutzt, in dem mehrere Advertiser-Programme oder Kampagnen mit einem Third-Party-Tracking versehen sind, so sollte es nach unserer rechtlichen Auffassung hier einen Joint-Controller-Vertrag zwischen dem Netzwerk-Anbieter, den Advertisern und den Publishern geben.