faithie - stock.adobe.com

Die DSGVO, Affiliate Marketing und die Cookie-Alternativen

Die Werbewirtschaft sucht Alternativen zu Drittanbieter-Cookies. Die Vorgaben des Datenschutzes müssen aber auch bei Fingerprinting und anderen Verfahren beachtet werden.

Im Affiliate Marketing stellt der Betreiber einer Website einem Werbetreibenden (Advertiser) Platz für dessen Werbung auf seinen Internetseiten zur Verfügung. Klickt ein Besucher der Internetseite auf die Werbefläche, wird er auf eine Landingpage des Advertisers weitergeleitet.

Von dem Affiliate-System wird beim Klick auf das Werbemittel auf dem Endgerät des Besuchers ein Cookie abgelegt, das für das Affiliate-System nachvollziehbar macht, von welcher Seite der Besucher auf die Seite des Advertisers gelangt ist. Dieses Cookie ist ein Drittanbieter-Cookie (Third-Party-Cookie).

Third-Party-Cookies werden in Zukunft nicht mehr unterstützt

Laut einer Studie des Bundesverbands Digitale Wirtschaft (BVDW) e.V. können 61,9 Prozent der Internetnutzer nach Selbsteinschätzung erklären, was ein Cookie ist.

Ein Viertel (25,3 Prozent) sagten, sie könnten dies „auf jeden Fall“ erklären. 36,6 Prozent antworteten mit „eher ja“. Das Cookie hat offenbar eine hohe Bekanntheit. Auf die Frage „Woher hat Ihr Internetbrowser die Informationen, welche Werbung für Sie relevant sein könnte?” antwortete die Hälfte (50,2 Prozent) mit „Cookies“.

An dem Verfahren Third-Party-Cookies im Affiliate Marketing muss sich allerdings bald etwas ändern, da führende Browser wie Google Chrome, Mozilla Firefox und Apple Safari in Zukunft Drittanbieter-Cookies im Standard blockieren oder gar nicht mehr unterstützen.

Die Werbewirtschaft sucht nun nach Ersatz und schlägt Alternativen vor, die auch dem Datenschutz besonders gerecht werden sollen.

„Es überrascht und erfreut uns zugleich, dass die Verbraucher bereits so viel über Cookies wissen. Das zeigt, dass die Aufklärungsarbeit der letzten Jahre Früchte getragen hat“, sagte BVDW-Präsident Matthias Wahl. „Doch Cookies werden mittlerweile von einigen Browsern blockiert. Nun kommt es darauf an, die Nutzer auch über Alternativen zum Cookie aufzuklären. Die Umfrage bestätigt zudem, dass Einwilligungen im Digitalen nicht der Königsweg sind. Hier muss es künftig rechtlich und praktisch bessere Lösungen geben können.“

Das Konzept einer Advertising Identity

Immer mehr Browser (nach Safari auch Firefox und Chrome) planen, zukünftig keine Third-Party-Cookies mehr zuzulassen, von Fristen wie „innerhalb der nächsten zwei Jahre“ ist die Rede. Unter anderem auch vor diesem Hintergrund hat der BVDW ein Grundlagenpapier mit alternativen Ansätzen zur Auslieferung von zielgerichteter Werbung veröffentlicht, darunter das Konzept der Advertising Identity.

Die Advertising Identity soll die Wiedererkennung eines pseudonymisierten Profils zum Zwecke der effizienten Werbeaussteuerung in Form von Personalisierung, Lokalisierung, Verifizierung, Erfolgsmessung und kontakt- und reichweitenoptimierter Budgetallokation von Werbemitteln ermöglichen.

Mit Advertising Identity meint der BVDW die technische, pseudonymisierte Identität des Nutzers in Form der Gesamtheit (Graph) der Identifier (ID) und damit die Zusammenführung der in den unterschiedlichen Devices verwendeten ID-Formen. Die Advertising Identity hat laut BVDW explizit nicht den Zweck der Identifizierung von natürlichen Personen.

Die IDs werden im Falle der Browser-Nutzung entweder im Cookie oder im Local Storage gespeichert, während im Falle der nativen In-App-Nutzung die IDs systemisch bereitgestellt werden (Mobile-iOS- oder Android-Werbe-ID). Im Falle der Login- oder Fingerprint-basierten Lösungen werden die IDs meist serverseitig inklusive der Nutzdaten verwaltet.

Künftig sollen nach Ansicht des BVDW eher wenige Advertising Identities unterschiedlicher Herkunft – basierend auf offenen Standards – nebeneinander im Markt existieren, um sicherzustellen, dass sich der heutige Aufwand für die Synchronisation unterschiedlicher Identity-Quellen signifikant reduziert (Stichwort Cookie-Sync) und vor allem dem Anspruch der Nutzer nach mehr Kontrolle über seine Daten und deren Nutzung im Ökosystem Rechnung getragen wird.

Was der Datenschutz zu Cookie-Alternativen sagt

Wer glaubt, mit dem Wegfall der Third-Party-Cookies würde sich der Datenschutz deutlich erleichtern, der irrt sich. Cookies sind zwar ein Datenschutz-Klassiker, doch die Forderungen der DSGVO (Datenschutz-Grundverordnung) gelten auch für jedes andere Verfahren, das die Drittanbieter-Cookies ersetzen soll.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, kurz Datenschutzkonferenz (DSK), hat in der Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien (PDF) klargestellt, dass Verantwortliche sicherstellen müssen, dass die datenschutzkonforme Einwilligung der Betroffenen nicht nur für das Setzen von einwilligungsbedürftigen Cookies erforderlich ist, sondern für alle einwilligungsbedürftigen Verarbeitungstätigkeiten, wie zum Beispiel Verfahren zur Verfolgung der Nutzer durch Zählpixel oder diverse Fingerprinting-Methoden, wenn diese nicht aufgrund einer anderen Rechtsgrundlage zulässig sind.

Unter Fingerprinting versteht man dabei Verfahren, deren Ziel es ist, ein Gerät anhand einer Kombination von Hard- und Software-Merkmalen wiederzuerkennen.

Gibt es also gegenwärtig für Cookies keine andere Rechtsgrundlage als die Einwilligung der Betroffenen, dann ist dies auch so bei entsprechenden Cookie-Alternativen. Die Vorgaben der DSGVO bleiben bestehen und sind alternativlos.

Nächste Schritte

Welche Cookies benötigen auf Webseiten wirklich eine Einwilligung?

DSGVO ist nicht alles: Die NIS-Richtlinie beachten

Gratis-eBook: Leitfaden für ein Datenschutzkonzept

Erfahren Sie mehr über Datenschutz und Compliance