GDPR: Was es für das Affiliate-Marketing in APAC bedeutet

Veröffentlicht: 2022-07-06

Die DSGVO ist seit einiger Zeit ein heißes Thema und jetzt ist es endlich soweit. Aber was bedeuten die Vorschriften für uns außerhalb der EU?

markus-spiske-357131-unsplash

Wir haben inzwischen alle von der DSGVO gehört, und wenn nicht, dann haben Sie so viele E-Mails über Aktualisierungen der Datenschutzrichtlinien erhalten – von denen die meisten an sich unnötig, wenn nicht sogar illegal waren. Aber um konform zu bleiben, tun Unternehmen alles, um sicherzustellen, dass sie nicht in Schwierigkeiten geraten.

Während sich die DSGVO auf Bürger der EU konzentriert, kann sie weitreichende Auswirkungen auf australische Einzelhändler, verbundene Unternehmen und Netzwerke haben. Wenn Sie in der EU geschäftlich tätig sind oder wenn Ihr Unternehmen personenbezogene Daten von Personen in der EU verarbeitet, müssen Sie sicherstellen, dass Ihr Unternehmen die neuen Vorschriften einhält.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) enthält neue Datenschutzanforderungen, die am 25. Mai 2018 in Kraft treten und Unternehmen strenge Verpflichtungen in Bezug auf Governance, Einwilligung, Profiling und Datenübertragbarkeit auferlegen.

Die DSGVO enthält Anforderungen, die denen des australischen Datenschutzgesetzes von 1988 ähneln, sowie zusätzliche Maßnahmen, die auf ähnliche Weise darauf abzielen, transparente Informationsverarbeitungspraktiken und geschäftliche Rechenschaftspflicht in Bezug auf die Datenverarbeitung zu fördern. Die Einführung klarer und einheitlicher Datenschutzgesetze soll Rechtssicherheit für Unternehmen schaffen und das Vertrauen der Verbraucher in Online-Dienste stärken.

Die DSGVO soll die EU-Verbraucher und ihre Rechte in Bezug auf die Verwendung ihrer Daten stärken. Für digitale Branchen wie unsere eigene und die von Online-Händlern gewinnt dies an Bedeutung, da die Definition dessen, was als personenbezogene Daten gilt, um alles erweitert wurde, was eine Einzelperson auszeichnen kann, aber nicht unbedingt eindeutig persönlich identifizierbar ist. Während also eine E-Mail-Adresse offensichtlich personenbezogene Daten sind, umfasst der Umfang auch pseudonyme Kennungen wie eine IP-Adresse oder eine Bestell-ID.

Um diese Daten zu verarbeiten, müssen Unternehmen eine Rechtsgrundlage auswählen, von denen es sechs gibt.

  1. Zustimmung
  2. Vertrag
  3. Rechtliche Verpflichtung
  4. Lebenswichtiges Interesse
  5. Öffentliche Aufgabe
  6. Berechtigtes Interesse

Für einige Unternehmen wird es offensichtlich sein, aber für viele digitale Marketingunternehmen müssen sie normalerweise entweder „Zustimmung“ oder „berechtigtes Interesse“ auswählen.

Commission Factory verwendet berechtigtes Interesse als Rechtsgrundlage für die Verarbeitung von Daten.

Beeinflusst die DSGVO mein Unternehmen?

Einige australische Unternehmen, die dem Australian Privacy Act 1988 (Cth) (dem Datenschutzgesetz) unterliegen (bekannt als APP-Einheiten), müssen möglicherweise die DSGVO einhalten, wenn sie:

  • eine Niederlassung in der EU haben (unabhängig davon, ob sie personenbezogene Daten in der EU verarbeiten), oder
  • keine Niederlassung in der EU haben, aber Waren und Dienstleistungen anbieten oder das Verhalten von Einzelpersonen in der EU überwachen.

Die DSGVO gilt für die Datenverarbeitungstätigkeiten von Unternehmen, unabhängig von ihrer Größe, die Datenverarbeiter oder Verantwortliche mit Niederlassung in der EU sind. Im Allgemeinen sagt ein Verantwortlicher, wie und warum personenbezogene Daten verarbeitet werden, und ein Auftragsverarbeiter handelt im Auftrag des Verantwortlichen.

Wenn ein Unternehmen eine „Niederlassung“ in der EU hat, müssen die Aktivitäten des Unternehmens, die die Verarbeitung personenbezogener Daten beinhalten, der DSGVO entsprechen, unabhängig davon, ob die Daten tatsächlich in der EU verarbeitet werden.

Die DSGVO gilt auch für die Datenverarbeitungstätigkeiten von Auftragsverarbeitern und Verantwortlichen außerhalb der EU, unabhängig von ihrer Größe, wenn sich die Verarbeitungstätigkeiten auf Folgendes beziehen:

  • Anbieten von Waren oder Dienstleistungen an Einzelpersonen in der EU (unabhängig davon, ob eine Zahlung erforderlich ist)
  • Überwachung des Verhaltens von Einzelpersonen in der EU, sofern dieses Verhalten in der EU stattfindet

Zu den australischen Unternehmen, die möglicherweise von der DSGVO erfasst werden, gehören:

  • ein australisches Unternehmen mit einer Niederlassung in der EU
  • ein australisches Unternehmen, dessen Website EU-Kunden anspricht, indem es ihnen beispielsweise ermöglicht, Waren oder Dienstleistungen in einer europäischen Sprache (außer Englisch) zu bestellen oder Zahlungen in Euro zu ermöglichen
  • ein australisches Unternehmen, dessen Website Kunden oder Nutzer in der EU erwähnt
  • ein australisches Unternehmen, das Personen in der EU im Internet verfolgt und Datenverarbeitungstechniken verwendet, um Profile von Personen zu erstellen, um persönliche Vorlieben, Verhaltensweisen und Einstellungen zu analysieren und vorherzusagen.

Vergleichstabelle

EU-DSGVO Australisches Datenschutzgesetz
Für wen gilt das? Datenverarbeitungsaktivitäten von Unternehmen, unabhängig von ihrer Größe, die Datenverarbeiter oder Verantwortliche sind Die meisten australischen Regierungsbehörden, alle privaten und gemeinnützigen Organisationen mit einem Jahresumsatz von mehr als 3 Millionen US-Dollar, alle privaten Gesundheitsdienstleister und einige kleine Unternehmen.
Wofür gilt es? Personenbezogene Daten – alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen: Art. 4(1) Personenbezogene Daten (PI) – Informationen oder eine Meinung über eine identifizierte Person oder eine Person, die vernünftigerweise identifizierbar ist: § 6 (1)
Zuständigkeitslink Gilt für Datenverarbeiter oder Verantwortliche:
  • mit einer Niederlassung in der EU oder
  • außerhalb der EU, die Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von Personen in der EU überwachen: Art 3
 Gilt für Unternehmen:
  • eingetragen in Australien, oder
  • die in Australien „ein Geschäft betreiben“ und personenbezogene Daten aus Australien sammeln oder personenbezogene Daten in Australien halten: s 5B
Rechenschaftspflicht und Governance Verantwortliche müssen im Allgemeinen:
  • Implementieren Sie geeignete technische und organisatorische Maßnahmen, um die Einhaltung der DSGVO nachzuweisen, und bauen Sie Datenschutz standardmäßig und Design ein: Artikel 5, 24, 25
  • obligatorische Datenschutz-Folgenabschätzungen durchführen: Art 35
  • Datenschutzbeauftragte bestellen: Art 37
 APP-Unternehmen müssen angemessene Schritte unternehmen, um Praktiken, Verfahren und Systeme zu implementieren, um die Einhaltung der APPs sicherzustellen und Beschwerden zu ermöglichen: APP 1.2

Von Unternehmen wird erwartet, dass sie Schlüsselrollen und Verantwortlichkeiten für das Datenschutzmanagement benennen und Datenschutz-Folgenabschätzungen für viele neue und aktualisierte Projekte durchführen
Zustimmung Einwilligung muss sein:
  • frei gegeben, spezifisch und informiert, und
  • eine eindeutige Angabe des Willens der betroffenen Person, die durch eine Erklärung oder durch eine eindeutige bestätigende Handlung die Zustimmung zur Verarbeitung bedeutet: Art. 4(11)
 Schlüsselelemente:
  • Die Person wird vor der Einwilligung angemessen informiert und ist in der Lage, die Einwilligung zu verstehen und zu kommunizieren
  • die Einwilligung erfolgt freiwillig
  • die Zustimmung ist aktuell und spezifisch: OAICs APP GLs
Benachrichtigungen über Datenschutzverletzungen Obligatorische DBNs von Verantwortlichen und Auftragsverarbeitern (es gelten Ausnahmen): Artikel 33-34 Ab dem 22. Februar 2018 verpflichtende Meldung von Verstößen, die voraussichtlich zu einem realen Risiko eines ernsthaften Schadens führen
Individual Rechte Zu den individuellen Rechten gehören:
  • Recht auf Löschung: Art 17
  • Recht auf Datenübertragbarkeit: Art 20
  • Widerspruchsrecht: Art. 21
 Keine Äquivalente zu diesen Rechten.
Unternehmen müssen jedoch angemessene Schritte unternehmen, um PI zu vernichten oder unkenntlich zu machen, die nicht mehr für einen zulässigen Zweck benötigt werden: APP 11.2. Wenn Zugriff auf die PI einer Person gewährt wird, muss dies im Allgemeinen auf die angeforderte Weise erfolgen: APP 12.5
Auslandsüberweisungen Personenbezogene Daten können unter bestimmten Umständen außerhalb der EU übertragen werden, einschließlich:
  • in Länder, die ein „angemessenes“ Datenschutzniveau bieten
  • wo „Standarddatenschutzklauseln“ oder „verbindliche Unternehmensregeln“ gelten
  • genehmigte Verhaltenskodizes oder vorhandene Zertifizierung: Kap. V
 Vor der Offenlegung von PI im Ausland muss ein Unternehmen angemessene Schritte unternehmen, um sicherzustellen, dass der Empfänger die APPs in Bezug auf die Informationen nicht verletzt: APP 8 (es gelten Ausnahmen). Das Unternehmen ist für einen Verstoß gegen die APPs durch den ausländischen Empfänger in Bezug auf die Informationen verantwortlich: s 16C (es gelten Ausnahmen)
Sanktionen Verwaltungsstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist): Art 83 Befugnisse zur Zusammenarbeit mit Einrichtungen zur Erleichterung der Einhaltung und Best Practice sowie Untersuchungs- und Durchsetzungsbefugnisse: Teile IV und V

Wie wird sich dies auf die Affiliate-Branche auswirken?

Wir gehen nicht davon aus, dass diese Aktualisierung der DSGVO sich nachteilig auf Affiliate-Vermarkter oder Online-Händler auswirken wird und größtenteils ein Schritt zur Formulierung und Regulierung von Datenschutzgesetzen ist, die bereits seit einigen Jahren bestehen.

Für Commission Factory und unsere verbundenen Unternehmen ist die Art der verarbeiteten personenbezogenen Daten nicht sensibel und weitgehend technisch und im Gegensatz zu anderen Kanälen, die personenbezogene Daten verwenden, um Verbraucherprofile und Verhaltensweisen zu erstellen, die durch Anzeigen gezielt anvisiert werden.

Indem wir unsere Rechtsgrundlage für die Datenerhebung als „berechtigtes Interesse“ angeben, versuchen wir, den Compliance-Aufwand für unsere Herausgeber zu minimieren, und wir müssen die Herausgeber nicht bitten, eine Dateneinwilligung für uns einzuholen.

Für verbundene Unternehmen, die nicht in der EU oder ihren Einwohnern tätig sind, dort Informationen vermarkten oder sammeln, ist es nicht möglich, eine Zustimmung zu verlangen. EU-Bürger, die auf eine Website außerhalb der EU zugreifen, unterliegen nicht Ihrer Kontrolle. Der bloße Zugriff auf Ihre Website von der EU aus reicht nicht aus, um festzustellen, dass sie in der EU geschäftlich tätig ist, und das Ausmaß des Engagements ist ein Faktor.

Stellen Sie sicher, dass Sie Kontaktdaten haben, unter denen Einzelpersonen Sie bei Fragen zum Datenschutz kontaktieren können. Verantwortliche und Auftragsverarbeiter müssen unter bestimmten Umständen einen Datenschutzbeauftragten ernennen, der die Einhaltung der DSGVO und interner Datenschutzrichtlinien und -verfahren überwacht und berät. Es wurde als „Datenschutz-Champion“-Rolle beschrieben, die die Rolle eines Unternehmensberaters für die verantwortungsvolle und innovative Nutzung personenbezogener Daten umfasst. Dies war bereits eine Anforderung der australischen Datenschutzgesetze und sollte unabhängig davon umgesetzt werden.

Ist Commission Factory ein Verantwortlicher oder Auftragsverarbeiter?

Commission Factory, ähnlich wie unser Partner Awin und nach Rechtsbeistand, haben wir uns als gemeinsame Datenverantwortliche mit den Advertisern und Publishern entschieden. Das soll nicht heißen, dass diese Position bei allen Affiliate-Netzwerken gleich ist, da sich einige für die Position des Auftragsverarbeiters entschieden haben und jedes Unternehmen, das mit Daten umgeht, entscheiden muss, welche Rolle es bei der Verarbeitung dieser Daten spielt.

Commission Factory ist ein Verantwortlicher, weil wir uns für das Wirtschaftsmodell entschieden haben und gemeinsam mit unseren Partnern entscheiden, welche Daten verarbeitet werden sollen, um die Affiliate-Marketingkampagne des Werbetreibenden zu liefern.

Welchen Weg Sie einschlagen, lässt sich durch die Frage „Wie“ und „Warum“ ermitteln. Wenn Sie als Unternehmen für digitales Marketing entscheiden „Warum Daten verarbeitet werden sollten“ und „Wie sie verarbeitet werden sollten, um den beabsichtigten Zweck zu erreichen“ oder möglicherweise beides, dann fallen Sie unter die Definition eines „Verantwortlichen“.

Ein Auftragsverarbeiter bestimmt nicht das Wie und Warum und kann begrenzte Entscheidungen darüber treffen, wie Daten für die vom Verantwortlichen festgelegten Zwecke verarbeitet werden sollen.

Im Affiliate-Marketing-Modell fällt der Advertiser immer unter den Controller-Status. Denn nur sie können entscheiden, „warum“ Daten verarbeitet werden, und Entscheidungen treffen wie „Lassen Sie uns am Affiliate-Marketing teilnehmen und für vermittelte Verkäufe gegen eine Provision bezahlen“ .

Der Grund dafür, die Route eines Prozessors nicht zu wählen, ergibt sich aus den Unpraktikabilitäten, die damit verbunden sind. Wenn beispielsweise Commission Factory oder unsere verbundenen Unternehmen versuchen würden, innerhalb der Beschränkungen einer Datenverarbeitungsrolle zu arbeiten, müssten wir jedes Mal jede neue Datenverarbeitung von jedem jeweiligen Werbetreibenden im Voraus genehmigen lassen. Wir benötigen außerdem jedes Mal schriftliche Anweisungen von Werbetreibenden, wenn sie Fehlerbehebungen, Updates, Upgrades oder zusätzliche Funktionen unserer Produkte oder Dienstleistungen nutzen möchten. Dies wäre belastend.

Da Commission Factory ein reines Affiliate-Netzwerk ist, verwenden wir begrenzte personenbezogene Daten, um Verweise auf Websites von Werbetreibenden, die daraus resultierenden Transaktionen und unsere Berichterstattung zu verfolgen, aber wir verwenden diese Daten niemals wieder, um verhaltensbezogene Benutzerprofile zu erstellen oder für andere Marketingzwecke. Wir sammeln auch keine anderen Daten für:

  1. Erstellen von verhaltensbezogenen Benutzerprofilen
  2. Verhaltensorientiertes Retargeting
  3. Marketing für andere Zwecke

Indem wir diese Art der Verarbeitung vermeiden, können wir uns auf ein berechtigtes Interesse stützen, um die Verarbeitung zu rechtfertigen, und die Anforderungen an die Dateneinwilligung von Herausgebern oder Werbetreibenden vermeiden, um Transaktionen legal zu verfolgen.

Was jetzt?

Obwohl die DSGVO überwiegend eine EU-Richtlinie und ein Datenschutzgesetz ist, ist es dennoch ratsam, sicherzustellen, dass Sie abgedeckt sind, und sich über Ihre Pflichten beraten zu lassen.

Angesichts einiger Ähnlichkeiten mit dem Datenschutzgesetz und der DSGVO haben australische Unternehmen möglicherweise bereits einige der von der DSGVO geforderten Maßnahmen ergriffen. Trotzdem ist es wichtig sicherzustellen, dass Sie alle Ihre Praktiken und Governance-Strukturen im Lichte der DSGVO-Vorschriften bewerten und gegebenenfalls Rechtsberatung einholen, um eine strikte Einhaltung zu gewährleisten.

Aus unserer Sicht als Netzwerk werden wir optionale Einwilligungstools einführen und die Cookie-Zustimmung zu allen unseren Websites hinzufügen, um die Daten kurz zu halten, aber es steht den Publishern frei, die Einwilligung auf jede Art und Weise einzuholen, die sie für richtig halten.

Einige Affiliate-Vergütungsmodelle wie Cashback- und Prämien-Publisher benötigen möglicherweise keine Cookie-Einwilligung für Affiliate-Cookies, da Affiliate-Cookies erforderlich sind, damit eine auf Cashback oder Prämien basierende Art von Dienst funktioniert.