Welchen Einfluss haben Firefox und das EuGH auf das Affiliate-Cookie-Tracking

Lesedauer: 21 Minuten

Am 10.09.2019 fand in Köln am Vortag der dmexco der Online Ad Summit des BVDW statt. Nachdem die DSGVO mittlerweile seit über einem Jahr besteht und die meisten Unternehmen das Thema bewältigt haben, ergeben sich nun immer mehr Interpretationen zur Umsetzung, v. a. hinsichtlich des Opt-Ins und der Consent-Einholung. Hierzu bringen sich immer mehr international agierende Dienstleister in Stellung und wollen ihr Verständnis von Consent in den Markt bringen. Auch die verschiedenen Browseranbieter wollen nicht länger auf Entscheidungen, wie z. B. zur ePrivacy-Verordnung warten und rüsten selbst ihre Systeme auf, was es v. a. für 3rd-Party-Cookies immer schwieriger macht.

Auf der Konferenz berichteten zahlreiche Speaker und Experten über die zukünftigen Herausforderungen zum vielfältigen Tracking-Einsatz, sowie den neuen Herausforderungen von Cookieless-Tracking und einer möglichen Europäischen Datenallianz als GAFA-Gegenpol.

In einer neuen Artikelserie beschäftigen wir uns daher intensiv mit den weiteren Entwicklungen hinsichtlich der Nutzung von Cookies, rechtlichen Aspekten und Alternativen zum Cookie-Tracking, um den Advertisern dadurch mehr Transparenz zu liefern.

Eines schon einmal vorab: Die Meinung und die Rechtsauffassung in diesem Artikel sind unverbindlich und wir übernehmen hierfür auch keine Haftung!

Generell sehen wir in den neuen Herausforderungen auch eine Chance, die Komplexität im Affiliate-Marketing auf den Prüfstand zu setzen, sowie die Werbeauslieferung und die Werbewirkung näher an den User zu bringen, indem wir mehr auf bei Publishern verankerten Systemen setzen und einfach mehr First Party wagen.

Im heutigen 1. Teil unserer neuen Serie beschäftigen wir uns daher mit den generellen Tracking-Herausforderungen der Affiliate-Branche, den Gründen dafür und ersten Lösungsansätzen.

Zudem haben wir zwei Experten der Branche nach ihrer Meinung gefragt, um auch weitere Sichtweisen vorzustellen.

Übersicht der aktuellen Herausforderungen beim Cookie-Tracking:

Die Browserregulierungen

Am 03. September kommunizierte Firefox, dass sie ab sofort 3rd-Party-Cookies mit der Enhanced Tracking Prevention blockieren werden. Bereits innerhalb kurzer Zeit wurde das Update bei 80 % der Firefox-User ausgeführt, so dass die Änderungen bei den meisten Firefox-Usern bereits merkbar sein sollten. Die Änderungen des Firefox folgen einer ganzen Reihe von Browserreglementierungen der unterschiedlichen Browseranbieter. Auch der Safari-Browser führte mit dem Intelligent Tracking Prevention (Version ITP2.2 – hierzu berichteten wir bereits auf unserem Blog) im letzten Jahr eine Reglementierung der Cookies ein.

Der Grund dafür ist sicherlich der nachvollziehbare Wunsch der Nutzer nach mehr Datenschutz und Privatsphäre und ggfls. vorab auch schon einmal erste Maßnahmen bei einer finalen Umsetzung der ePrivacy-Verordnung.

Wenn man allerdings bedenkt, dass der Firefox in Deutschland einen Marktanteil von knapp 27 % hat, kann man sich vorstellen, dass solche Regulierungen einen entsprechenden Einfluss auf die Affiliate-Umsätze haben.

AdBlocker

Ein weiterer Gegner der Cookies sind auf auch die direkten AdBlocker wie ABP, Ghostery oder disconnect.me, aber auch indirekte AdBlocker wie Avira, Symantec oder Kaspersky.

Wenn man bedenkt, dass mittlerweile knapp 25 % der Internet-Nutzer AdBlocker nutzen, kann man einschätzen, dass dies einen erheblichen Anteil an fehlerhaften Sales-Zuweisungen haben können.

Multi-Device Usage

Der Anteil der Mobile User wird immer größer. Im Affiliate-Netzwerk Awin beträgt der Mobile-Anteil  mittlerweile über 30 %, in bestimmten Branchen sogar bis zu 50 %. Dementsprechend wichtig ist es natürlich auch, dass der Advertiser ein device-übergreifendes Tracking in seiner strategischen Planung berücksichtigt.

Durch den Medienbruch über die zahlreichen Devices und den steigenden Mobile-Traffic werden immer weniger Sales auch den entsprechenden Affiliates zugewiesen. 71% der Affiliates sehen lt. des Affiliate-Trend-Reports das fehlende Cross Device Tracking als eines der größten Probleme für 2019.

Auch hier sollten die Merchant auf bestehende kanalübergreifende Technologien zurückgreifen. Auch die meisten Affiliate-Netzwerke bieten mittlerweile ein Cross Device Tracking an. So nutzt etwa Tradedoubler einen deterministischen Abgleich, der eine anonyme Verbindung zwischen Nutzern und Geräten herstellt. Diese Verbindung erstellt ein Profil des Users und jede Interaktion dieses Userprofils mit einer Website wird dann gemessen. Auch CJ Affiliate by Conversant nutzt anonyme First und Third Party Daten, um eine Customer ID zu erstellen und langfristig zu pflegen. Diese User ID ermöglicht es den Merchants, mit dem individuellen Konsumenten im richtigen Moment mit der richtigen Message während des Kaufprozesses in Kontakt zu treten.

Allerdings nutzen bisher erst 14% der Advertiser ein Cross Device Tracking und auch das Mobile- und SDK-Tracking der Affiliate-Netzwerke wird lediglich von 39% der Advertiser genutzt. Daher besteht auch hier noch großer Nachholbedarf zur technischen Weiterentwicklung.

Rechtliche Entscheidungen

Derzeit gibt es für viele einzelne Auslegungen der DSGVO noch unterschiedliche Rechtsansichten, v. a. weil auch die ePrivacy-Verordnung noch nicht final verabschiedet wurde. Verabschiedete und noch offenen Urteile der deutschen Gerichte und auch des EuGH beunruhigen viele Juristen und auch Advertiser, da viele Urteile zum Teil auch noch unterschiedlich interpretiert werden.

Eine Übersicht aller Gerichtsurteile und Strafen durch die DSGVO findet man auf der Website http://www.enforcementtracker.com/

Für viel Aufruhr sorgte vor Kurzem z. B. die EuGH-Entscheidung vom 29.07.2019.

In der Rechtssache C-40/17 zwischen der Fashion ID GmbH & Co. KG gegen die Verbraucherzentrale NRW e. V. (beteiligt waren zudem Facebook Ireland Ltd. und die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen) ging es um die „Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Richtlinie 95/46/EG – Art. 2 Buchst. D“. und die „Einwilligung der betroffenen Person – Art. 10 – Information der betroffenen Person – Nationale Regelung, wonach Verbände zur Wahrung von Verbraucherinteressen klagebefugt sind“.

Letztendlich ging es um die Frage, dass die Richter bzgl. der Facebook-„Gefällt mir“-Schaltfläche entschieden haben, dass der Websitebetreiber neben Facebook mitverantwortlich ist für Datenschutzverstöße. Gleichzeitig hat das EuGH sich dabei auch gleich noch mit dem Einsatz von Cookies beschäftigt. Manche Juristen interpretierten es dabei so, dass für Cookies im Online-Marketing, aber auch für Plugins und Tracking, die Einwilligung der Nutzer eingeholt werden muss, bevor die Daten erhoben werden dürfen.

Allerdings ist die Entscheidung hierzu noch nicht final, denn das EuGH warf die entscheidende Frage auf, auf welcher Rechtsgrundlage die personenbezogenen Daten des Nutzers überhaupt verarbeitet werden dürfen: auf Basis der Einwilligung des Nutzers oder des berechtigten Interesses (falls ja, wessen berechtigtes Interesses). Zudem muss nun das OLG Düsseldorf erst noch einmal nachprüfen, ob der Anbieter des Social-Plugins (hier: Facebook) überhaupt Zugriff auf Informationen habe, die im Endgerät des Besuchers der Website gespeichert seien.

Des Weiteren handelt es sich bei der Verhandlung auf eine Unterlassungsklage der Verbraucherzentrale NRW gegen FashionID aus dem Jahr 2015 und bezieht sich somit noch auf die alte ePrivacy-Richtlinie.

Eine entsprechende Interpretation hierzu findet man z. B. auf der Website der kanzleinaumann.de

Was versteht man unter „Berechtigtes Interesse“

Bisher ist es so, dass sich die Online-Branche und auch die technischen Dienstleister und Netzwerke auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. F DSGVO stützen können und somit nicht die vorherige Einwilligung der betroffenen User eingeholt werden musste. „Berechtigtes Interesse“ deswegen, da das Tracking in diesem Fall als Vorstufe des Direktmarketings angesehen werden kann und weil ohne Tracking das Surfverhalten der betroffenen Nutzer nicht analysiert werden kann und somit die Marketing-Maßnahmen nicht zielorientiert ausgesteuert werden können. Und speziell die Direktwerbung als Erwägungsgrund 47 S. 7 DSGVO wird explizit in der DSGVO benannt.

Ähnlich sieht es beispielsweise auch das Affiliate-Netzwerk Awin in ihrem Whitepaper und beruft sich dabei ebenfalls auf das berechtigte Interesse. Darin heißt es:

„Für die Beurteilung des berechtigten Interesses von Awin wurden die Interessen des gesamten Affiliate-Ökosystems berücksichtigt. Anschließend wurde ein Ausgleichstest durchgeführt, der bestätigen soll, dass das Tracking kein Risiko einer unangemessenen Beeinträchtigung der Interessen oder der Grundrechte und -freiheiten der betroffenen Personen, birgt.“

Des Weiteren ist diese Art der Werbung im Interesse der betroffenen Personen, da diese dadurch keine willkürliche Werbung erhalten, die nicht deren Interessen wiederspiegeln.

Deswegen konnte man sich bisher darauf berufen, dass die Affiliate-Protagonisten vor dem Setzen von Cookies nicht die Einwilligung der Nutzer einholen mussten. Es reichte also bisher aus, wenn man eine Opt-Out Möglichkeit kommuniziert, z. B. in Form eines Plugins oder eben eines Opt-out-Cookies, welches auch mittlerweile die meisten Websitebetreiber so umgesetzt haben.

Auf der letzten BVDW Data-Summit am 05.06.2019 in Berlin gab es zu diesem Thema heftige Diskussionen auf einem Panel, hinsichtlich der Rechtsmäßigkeit des Cookie-Opt-Ins bzw. Opt-Outs und der Richter des Verwaltungsgerichts Schleswig-Holstein konfrontierte einen Advertiser, warum dieser sich keine Rechtssicherheit durch eine Gerichtsentscheidung einhole, um dadurch auch Rechtssicherheit zu erhalten.

Was sagen nun die Anwälte dazu?

Wenn man sich mit verschiedenen Anwälten über dieses, sowie weitere EuGH-Urteile unterhält, bekommt man oft unterschiedliche Auffassungen und Interpretationen.

Somit gibt es z. B. auch hinsichtlich des EuGH-Urteils gegen FashionID unterschiedliche Meinungen, nämlich dass sich der EuGH bei seiner Urteilsbegründung auf den Art. 5 Abs. 3 der Richtlinie von 2002/58 (ePrivacy-RL) bezieht und nicht auf die DSGVO oder die ePrivacy-Verordnung und eine Richtlinie nicht für alle EU-Länder verbindlich ist, sondern der Umsetzung in nationales Recht bedarf, was bisher in Deutschland noch nicht passiert ist, bzw. bedeuten könnte, dass für Deutschland weiterhin § 15 III (1) TMG anwendbar ist, also das Telemediengesetz.

Und dieses besagt, dass ein Dienstanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen darf, sofern der Nutzer dem nicht widerspricht.

Dementsprechend wären lt. der Rechtsauffassung anderer Anwälte die Einholung eines Opt-Outs ausreichend, solange nur pseudonyme Nutzerprofile erzeugt werden, was ja im Affiliate-Marketing der Fall ist.

Allerdings gibt es genau zu dieser Frage nicht erst seit der Einführung der DSGVO in der Branche zahlreiche Diskussionen, sondern bereits seit der Einführung der EU Cookie-Richtlinie vor einigen Jahren wird darüber kontrovers diskutiert.

So kam z. B. die Datenschutzkonferenz (DSK) am 26.04.2018 in einer Stellungnahme zu der Einschätzung, dass die Nutzer vor dem Setzen eines Cookies ihr Einverständnis dazu geben müssen. Allerdings handelte es sich bei der Stellungnahme um ein Positionspapier, welches keine rechtliche Bindung hat.

Offene Entscheidung hinsichtlich Planet49

Auch in der Rechtssache Planet49 (Az. C-673/17) kam das OLG Frankfurt am 27.06.2019 zu einer Entscheidung (Az.: 6 U 6/19) bzgl. der Zulässigkeit einer (gekoppelten) Einwilligung bei Gewinnspielen in Verknüpfung mit Werbung. Dabei ging es darum, wie eine datenschutzkonforme Einwilligung nach der DSGVO aussehen muss. Hierzu wird ebenfalls Anfang Oktober mit einer Entscheidung des EuGH gerechnet, welches Auswirkungen in Hinblick auf die Einwilligung von 3rd-Party-Cookies haben könnte.

So gilt derzeit z. B. eine Einwilligung zur Verarbeitung von personenbezogenen Daten nicht als freiwillig erteilt, wenn sie mit der Erfüllung eines Vertrages verknüpft wird, aber dafür eigentlich gar nicht erforderlich ist. Auch muss die erklärende Person eine echte oder freie Wahl und somit die Möglichkeit haben, die Einwilligung ohne Nachteile zu verweigern oder zurückzuziehen (Erwägungsgrund 42 DSGVO).

Der EuGH könnte in diesem Fall zudem ein Grundsatzurteil fällen, ob für das Setzen von Cookies eine (weitere) Einwilligung erforderlich ist. Das EuGH könnte damit dann deutschen Gerichten eine klare Richtung vorgeben, die für die Beantwortung von Vorlagefragen als Handlungsempfehlung dienen könnte.

Eine genauere Interpretation hierzu findet man auf lead-digital.de

Die noch offene ePrivacy-Verordnung

Auch die finale Entscheidung des EU-Rats hinsichtlich der ePrivacy-Verodnung steht derzeit noch aus. Es ist allerdings davon auszugehen, dass zukünftig Tracking-Cookies nur noch mit aktiver Einwilligung der Nutzer gesetzt werden können. Einen ausführlichen Artikel hierzu findet man auf internetworld.de

Weitere Entwicklungen und Lösungsansätze

Die Branche ist derzeit im Umbruch. Targeting mithilfe von 3rd-Party-Cookies funktioniert zwar noch, aber die o. g. Gründe zeigen schon auf, in welche Richtung es gehen wird.

Dennoch hilft blinder Aktionismus niemanden weiter. Die Unternehmen sollten eher nach umsetzbaren Strategien suchen, ihre technische Infrastruktur neu aufzusetzen, um sich dadurch sowohl einen Wettbewerbsvorteil zu sichern, aber auch um rechtlich zukünftig gut aufgestellt zu sein.

Sicherlich ist dieser Aufwand für viele Advertiser erst einmal ärgerlich. Andererseits gibt es nun einmal politische Entscheidungen, auf welche die Branche nur einen geringen Einfluss hat, ähnlich wie es auch schon bei der DSGVO und dem Uploadfilter der Fall war.

Umstellung auf 1st-Party-Tracking

Als erste Maßnahme sollten die Advertiser auf jeden Fall ihr Tracking schon auf 1st-Party-Tracking umstellen. Dies ist entweder durch Subdomain-Tracking auf 1st-Party-Basis direkt auf der Domain des Advertisers möglich, aber auch die Affiliate-Netzwerke bieten hierzu bereits Workarounds und Lösungsmöglichkeiten wie 1st-Partys Master- oder Containertags an, die dann weitere Parameter übergeben.

Auch die xpose360 als spezialisierte Agentur bietet mit der Tracking-Technologie www.performance360.de eine Möglichkeit an, um auf 1st-Party-Basis ein Affiliate-Programm abzubilden.

Es wäre auf jeden Fall sehr fahrlässig, wenn sich Advertiser in der aktuellen Zeit lediglich auf das bisherige 3rd-Party-Tracking verlassen, weil dadurch eben bei immer mehr Browsern Cookies geblockt bzw. nicht mehr ausgelesen werden können und die Bestellungen dadurch nicht mehr korrekt den Affiliate-Partnern und dem Affiliate-Kanal zugewiesen werden.

Server2Server-Tracking

Die meisten Affiliate-Netzwerke und -Technologien bieten mittlerweile auch das sog. Server2Server-Tracking (auch Server-Side-Tracking genannt) an, welches allerdings bisher von den wenigsten Advertisern genutzt wird.

Wir haben in unserem Blogbeitrag auf affiliateblog.de bereits ausführlich auf die Möglichkeiten des Server2Server-Trackings hingewiesen. Letztendlich bedeutet die Einführung erst einmal eine technische Herausforderung und Umsetzung durch den Advertiser. Wenn man allerdings zukünftig weiterhin rechtskonform Affiliate-Marketing betreiben und darüber Umsätze generieren möchte, wird man mittelfristig nicht umher kommen, seine technische Infrastruktur neu zu konzipieren.

Es geht beim Server2Server-Tracking darum, dass im Fall von Sales/Leads über den Affiliate-Kanal die Informationen vom Advertiser erkannt und gespeichert werden und anschließend Serverseitig an das Affiliate-Netzwerk übermittelt werden müssen.

Hierzu müssen die Klick-Informationen der Nutzer auf der Affiliate-Seite durch den Advertiser erfasst und gespeichert werden. Dies erfolgt durch die Speicherung der User-ID, welche in der Klick-URL an die Ziel-URL des Advertisers übergeben wird. D.h. der Advertiser muss serverseitig Informationen in einer Datenbank auf seinem eigenen Server speichern. Gleichzeitig werden die Klickinformationen auch vom Affiliate-Netzwerk auf deren Server in einer Datenbank gespeichert. Das Affiliate-Netzwerk speichert zudem, über welchen Affiliate-Partner der Klick entstanden ist und zu welchem Zeitpunkt.

Sollte es dann durch den Klick beim Advertiser zu einer Bestellung kommen, kann der Advertiser dies erkennen und dann die Informationen zum Kauf an das Affiliate-Netzwerk übertragen. Dies erfolgt durch den manuellen oder automatisierten Aufruf eines Code-Pixels. Die Affiliate-Netzwerke bieten hierzu unterschiedliche Möglichkeiten zur Übertragung der Informationen an.

Da zur Umsetzung des Server2Server-Tracking auch die individuellen technischen Voraussetzungen des Advertisers eine Rolle spielen, wollen wir an dieser Stelle keine allgemeine Anleitung dafür präsentieren, bieten aber gerne den Advertisern eine individuelle Beratung an, um die Möglichkeiten ausführlich zu erörtern.

Identifier-Tracking

Ein Ansatz der auf der Online Ad Summit in Köln sehr häufig diskutiert wurde, um Cookies zu reduzieren, waren gemeinsam genutzte Identifier. Der Grundgedanke dabei ist, dass wenn sich Werbetechnologie-Anbieter eine ID teilen, benötigen sie insgesamt weniger Cookies für den Abgleich von Nutzerprofilen.

V.a. im Bereich Display-Programmatic gibt es hierzu bereits verschiedene Initiativen für die sog. „Shared IDs“. Inwieweit diese Technologie im Affiliate-Marketing genutzt werden kann, hängt auch davon ab, ob und wie verschiedene Anbieter miteinander kooperieren wollen, um den Austausch von Identifiern untereinander zu ermöglichen.

Es gibt allerdings hierzu auch die Meinungen, dass gemeinsame IDs von einer neutralen Organisation wie Digitrust oder ID5 verwaltet werden sollten.

Eine ausführliche Erklärung zum ID-Tracking findet man im Blog von Traffective.com

Login-Anbieter als Cookie-Ersatz

Eine weitere Lösung könnten zukünftig Login-Anbieter wie die European NetID Foundation, Verimi, ID4me, YES und mobile connect sein. Denn wer zukünftig wettbewerbsfähige personalisierte Werbung anbieten möchte, wird um ein Nutzer-Log-In kaum herumkommen, um damit das Werbe-Einverständnis des Nutzers einzuholen. Wer also Opt-ins für die Nutzer transparent erheben und widerrufbar speichern will, kann dies beispielsweise mit einem Log-In verbinden. Die Logik dahinter ist eigentlich relativ einfach.

Mit einem sogenannten Generalschlüssel für sämtliche Onlineangebote der Unternehmen und Vermarkter sollen User künftig mit einem einzigen zentralen Log-in möglichst viele Dienste nutzen können. Damit möchte NetID gegenüber Facebook und Google Boden gut machen, bei dem sich Nutzer bereits seit Jahren mit ihren Profilen weltweit bei tausenden Onlineseiten einloggen können.

Denn ohne das Nutzer-Log-In fehlt letztendlich der Anker, an dem sich Permissions effektiv speichern lassen. Und ohne Permissions entstehen keine nutzbaren Daten und damit keine Personalisierung für Werbung und Content.

Das Interesse und die Akzeptanz an der Implementierung neuer Tracking-Systeme ist auf jeden Fall vorhanden. So gaben 35 Prozent der Affiliates und 45 Prozent der Merchants in der Affiliate-Trend-Umfrage 2019 an, dass sie bereit wären, eine Technologie auf ihrer Website einzusetzen, um darüber den Opt-In des Nutzers einzusammeln und damit sicherstellen, dass nur bei Opt-In persönliche Daten verwendet werden.

Dennoch darf dieser technische Wandel die User auch nicht überfordern. Denn wenn jedes Unternehmen eigenständig ein Log-in-Verfahren entwickelt, wird das Ergebnis für die Nutzer eher abschreckend sein.

Deswegen werden nur Industrie-übergreifende offene Standards für Log-In- und für Opt-in-Einholung dauerhaft eine Chance haben. Schließlich kann auch die Online-Industrie nur eine begrenzte Anzahl an Systemen und Standards unterstützen.

Wer sich hierzu weiter informieren möchte, sollte auf jeden Fall die Affiliate Conference am 11. November in München besuchen. Dort wird es ein Diskussionspanel des BVDW mit Vertretern von Browseranbietern, Login-Systemen wie der NetID und Affiliate-Vertretern geben, um über weitere Möglichkeiten für die Branche zu diskutieren.

Consent-Management-Provider

Die Luft wird dünner für das reine Cookie-Tracking, wie man es bisher kannte. Zudem werden sowohl Advertiser als auch Affiliates zukünftig aufgrund politischer und rechtlicher Entwicklungen nicht mehr umher kommen, zukünftig das Cookie-Opt-In der Nutzer einzuholen, bevor ein Cookie gesetzt wird.

Hierzu gibt es bereits technische Lösungen, wie z. B. für Affiliates das WordPress-Plugin Borlabs Cookie 2.0 oder auch Anbieter wie Usercentrics, Sourcepoint oder Contentmanager.de für Advertiser und Affiliates.

Unternehmen wie z.B. die Commerzbank oder er Möbel-Onlineshop Porta nutzen bereits die sog. Consent-Management-Provider (CMP) wie Usercentrics, um den Nutzern dadurch mehr Transparenz in der Nutzung einzelner Cookies für die Bereiche Statistik, Personalisierung und Technisch erforderlich zu geben.

Auch Unternehmen wie lufthansa.de, Adidas.de oder cathbox.com haben bereits vorbildliche Consent-Layer eingebunden, die als Vorbilder dienen könnten.

Wichtig ist in dem Zusammenhang auch, dass die Cookie-Opt-In-Banner zukünftig auch noch intensiver getestet werden müssen, um sicherstellen zu können, dass Cookies wirklich nur korrekt gesetzt werden, wenn der Nutzer hierzu sein Einverständnis erteilt hat.

Hilfreich ist hierzu auch das Tool Cookiebot, mit dem man seine Website hinsichtlich der Verwendung von Cookies und Onlien-Tracking überprüfen lassen kann.

Leider bedeutet das allerdings auch, dass die Komplexität und der Aufwand zukünftig größer wird und sich die Anbieter noch intensiver auf neue Trackingmöglichkeiten einstellen müssen.

Gerne stehen wir Ihnen hierzu als Spezial-Agentur zur Seite und unterstützen Sie gerne, da es auch in unserem Interesse ist, dass die Affiliate-Branche auch zukünftig ein tragfähiges Modell zur korrekten Zuweisung von Transaktionen liefert und die Affiliate-Partner auch weiterhin fair vergütet werden können.

Unsere Affiliate Marketing Experten unterstützen Sie gerne!
Nehmen Sie unverbindlich Kontakt zu uns auf.

Kontakt Affiliate Marketing

Als Agentur und Unternehmensberater werden wir uns zukünftig weiter intensiv um die Entwicklung kümmern und auch forschen. Im 1. Teil unserer Artikel-Reihe präsentieren wir zudem bereits zwei Interviews mit André Koegler von easy.Marketing und Britta Behrens von Piwik.PRO, um damit auch weitere objektive Meinungen zum doch sehr komplexen Thema zu präsentieren.

Interview mit André Koegler (easy.Marketing)

Lieber André. Bitte stelle Dich kurz vor und wieso befasst Du Dich so intensiv mit dem Thema Tracking?

Hallo Markus, vielen Dank für die Einladung, einen Kommentar auf das aktuelle Geschehen im europäischen Datenschutz abzugeben.

Ich bin seit 20 Jahren im Online- und Performance-Marketing. 2004 habe ich zusammen mit Holger Brandt die Affiliate-Marketing Agentur ad-cons gegründet und diese 2015 mit drei weiteren Akteuren des Performance Marketing in The Reach Group aufgehen lassen. Seit Neuestem gehöre ich zum Team der easy.MARKETING, einem Spezialisten für technische Online- und Performance Marketing Lösungen. Wir stellen Advertisern, Agenturen und Publishern DSGVO-konforme Trackingweichen, Private Affiliate-Systeme, Performance- und Consent-Lösungen zur Verfügung.

Schon in den Anfangszeiten der Agentur war ich verantwortlich für die technischen Prozesse , habe Lösungen fürs Performance-Marketing entwickelt und mich um das Tracking gekümmert. 2012 haben wir unser Agenturnetzwerk Medialead zunächst selbst entwickelt, 2015 dann durch die easy.MARKETING Performance Suite ersetzt. In den letzten Jahren war ich für die Implementierung der DSGVO in unserem Hause zuständig. Eine große Herausforderung und komplexe Aufgabe, der ich mich gern gestellt habe.

Wie siehst Du das neue EuGH-Urteil zum Cookie-Opt-In?

Aktuell gibt es einige rechtliche Folgeentwicklungen der DSGVO, die unsere Branche betreffen, meiner Ansicht nach aber abzusehen waren. Die DSGVO gibt die Regeln zwar nicht explizit für jeden Fall vor, die Interpretationen der Gesetzestexte lassen aber kaum Spielraum zu. Nun sprechen die Richter aus, was dem einen oder anderen Online Marketer einen Schauer über den Rücken laufen lässt.

Das Urteil des EuGH vom 29.07.2019 zu den Facebook Like Buttons sowie das zu erwartende Planet49 Urteil am 01.10. schränken die Verwendung von Cookies und andere Datenerhebungsverfahren deutlich ein. Personenbezogene Daten, zu denen die Cookies zählen, dürfen erst verarbeitet werden, wenn der User vorab sein Einverständnis gegeben hat.

Nun muss man bei der Verwendung der Cookies etwas differenzieren. Für Marketing-Cookies, wie z.B. beim Retargeting, bei dem User-Profile gespeichert werden, gilt genau diese Einschränkung. Das ist gravierend! Reine Tracking-Cookies, bei denen zu statistischen Zwecken Userströme gemessen werden, sollen auch ohne den Consent der User funktionieren. Dazwischen gibt es aktuell aber noch einen Graubereich, in dem sich meiner Ansicht nach das Affiliate-Tracking befindet. Dabei geht es nicht allein ums Zählen von Userströmen. Die Verknüpfung mit Transaktionen dient bereits der Profilbildung. Wenn man die aktuellen Rechtsprechungen nun hart auslegt, so darf man Affiliate-Marketing nur noch betreiben, wenn vorab die Einwilligung des Users erfolgt ist. Aber wo muss diese eingeholt werden? Im klassischen Affiliate-Marketing erfolgt das Setzen des Cookies schon per Redirect nach dem Click auf das Werbemittel. Aber erst dann gelangt der User auf die Seite des Advertisers, auf der im Idealfall eine Einwilligung eingeholt wird, was im Prinzip schon zu spät ist. Ein Umstand für den nur wenige Systeme eine rechtskonforme Lösung bieten. Das Consent Management System und die eingesetzte Trackinglösung müssen eng miteinander zusammenarbeiten, um über die verschiedenen Stationen /Phasen der Customer Journey hinweg zu funktionieren.

Was sind die Konsequenzen daraus und wie sollten Advertiser darauf nun reagieren?

Advertiser sind nun gezwungen zu reagieren und eine rechtskonforme Trackinglandschaft aufzubauen, bei der der Consent eingeholt wird, bevor Marketing-Cookies geschrieben und verarbeitet werden. Tag-Management und Trackingweiche müssen an das Consent Management System angeschlossen werden und dürfen nur entsprechend der Usereinwilligung reagieren. Gegebenenfalls müssen alternative Systeme verwendet werden, die eine granulare Einstellung der Profilbildung zulassen. Google Analytics und Co werden hier hart auf die Probe gestellt. Vor allem sollten die Advertiser aber nicht kopflos reagieren. Mir sind Fälle bekannt bei denen von heute auf morgen das gesamte OnlineMarketing gestoppt wurde. Ein Advertiser, der sich auf den Weg gemacht hat, seine Infrastruktur anzupassen, wird sicherlich keine hohen Strafen zu erwarten haben. Auf den Weg machen, sollten sie sich jedoch schleunigst!

Für sehr wichtig halte ich den Austausch mit anderen Marktteilnehmern. Netzwerke, Agenturen, Trackingsystemanbieter, Private-Affiliate Anbieter und Publisher sowie auch der BVDW sind nun gefragt, gemeinsam Lösungen zu entwickeln.

Welche Auswirkungen hat das für kleine Affiliates und auch für Display-Partner?

Wichtig für alle Marktteilnehmer ist die Kommunikation, bei der ich vor allem die großen Netzwerke in der Pflicht sehe. Darüber hinaus sollten alle Publisher darauf achten, ihre Seiten so rechtskonform wie möglich zu halten. In der Datenschutzerklärung sollten alle Trackingsysteme und Netzwerke aufgeführt sein, die nach dem Click auf ein Werbemittel angeschlossen sind und Cookies setzen. Ich persönlich würde als Publisher auch einen Consent Banner verwenden und die User proaktiv darauf hinweisen, dass nach dem Click auf ein Banner oder Textlink ein Tracking erfolgt, zu dem eine Zuordnung der darauf folgenden Transaktion gehört.

Display- und vor allem Retargeting-Publisher sollten schon vor einiger Zeit begonnen haben, ihre Systeme DSGVO- bzw. IAB- und Google-konform zu machen, um bei den sich verändernden Voraussetzungen mithalten zu können.
Sie sollten sich unbedingt in direkte Kommunikation mit den Advertisern begeben, um z.B. beim Retargeting nicht einfach aus dem Tag Manager des Advertisers zu fliegen.  Ich gehe jedoch stark davon aus, dass sich gerade diese Publisher auf einen Einbruch der Userzahlen gefasst machen müssen.

Welche technischen Lösungen gibt es nun für Affiliates und Advertiser?

CMP (Consent Management Plattformen) gibt es eine ganze Reihe – kostengünstige und “Enterprise”- Systeme. Wichtig hierbei ist, dass diese den Anforderungen der DSGVO entsprechen, also nicht nur den User informieren sondern die Folgesysteme mit einbeziehen. Ein Kriterienkatalog kann ich auf Anfrage gern bereitstellen. Ein deutsches System, welches in diesem Bereich weit entwickelt ist, ist usercentrics. Mischa Rürup, der unter anderem schon intelliAd groß gemacht hat, ist dabei, Standards zu setzen. Wohl nicht das günstigste System, jedoch aktuell das Flexibelste und mit einem sehr guten deutschsprachigem Support deckt es alle Anforderungen des heutigen Marktes ab.

Unabhängig vom EuGH-Urteil werden auch die Browser-Regulierungen immer strenger. Wie sollten Advertiser darauf reagieren?

Eine Nebenerscheinung der rechtlichen Entwicklungen sind die Regulierungen der Browser, die das Thema Datenschutz für sich entdeckt haben. Im Sinne der User schränken Apples Safari und Firefox Drittanbieter Cookies einfach mal komplett ein und verhindern somit ein Usertracking über verschiedene Systeme hinweg. Die nach derzeitigem Stand einzig funktionierende Lösung ist eine konsequente Umstellung auf ein Tracking via First-Party-Domain, bei dem der Advertiser notwendige Parameter der Netzwerke und anderen angeschlossenen Reichweiten in der eigenen Trackingweiche entgegennimmt und bei erfolgreicher Transaktion den oder die Gewinner bestimmt, um anschließend diese Informationen wieder an die Netzwerke zurückzugeben. Die entscheidende Trackingweiche muss hierzu auf einer Subdomain des Advertisers laufen. Ganz verheerend ist, dass Javascript Container wie der Master-Tag von Awin in den neuesten Versionen der Browser-Updates (ITP2.2) auch nicht mehr funktionieren. Advertiser sollten dringend ihre Infrastruktur überprüfen und anpassen!

Verlierer hierbei sind leider auch wieder die Display- bzw. Retargeting-Publisher, welche derzeit schon strukturell auf Third-Party-Tracking angewiesen sind.

Ein Lichtblick hierbei ist, dass Google mit dem hauseigenen Chrome Browser und immerhin fast 50% Marktanteil (über alle Geräte) noch nicht auf den Zug aufgesprungen ist. Womöglich da Google selbst mit dem Google Display Network über die größte Marketingreichweite verfügt.

Alles in Allem bleibt in diesem Punkt jedoch festzuhalten, dass sich jeder Advertiser unbedingt möglichst zeitnah um eine sichere Trackinglösung bemühen sollte, die im echten First-Party-Kontext über eine Subdomain seiner Webanwendung funktioniert oder die relevanten IDs zumindest beim Advertiser First-Party speichern kann. Nach meiner Einschätzung sind nur diese Methode für die mittelfristige Zukunft technisch sicher.

Interview mit Britta Behrens (Piwik PRO)

Liebe Britta. Bitte stelle Dich kurz vor und wieso befasst Du Dich so intensiv mit dem Thema Tracking?

Mein Name ist Britta Behrens und ich bin verantwortlich für das Marketing  im DACH-Raum beim europäischen Analytics Anbieter Piwik PRO. Einerseits befasse ich mich tagtäglich im Zuge von unserem eigenen digitalen Marketing und unserer Content Strategie mit Web Analytics, Reporting und Customer Journey Tracking. Auf der anderen Seite entwickeln wir bei Piwik PRO eine Customer Data Analytics Suite, die immer im Einklang mit den aktuellen Datenschutz-Gesetzen ist, ohne auf wichtige Daten für den Unternehmenserfolg verzichten zu müssen. Wir versuchen eine Art European Way of Analytics im US-dominierten Markt zu etablieren. Im Zeitalter der Datenskandale müssen Unternehmen bewusst und verantwortungsvoll mit den Daten ihrer Kunden umgehen können. Hier entwickeln wir Tracking-Software und Konzepte, um Daten effizient auszuwerten und gleichzeitig die Privatsphäre der Verbraucher zu schützen. Aufgrund der DSGVO, der kommenden ePrivacy Verordnung und gleichzeitiger Verschärfung der Privacy-Einstellungen der Browser wie Apple’s Safari oder Mozilla Firefox ist das eine riesen Herausforderung.

Wie siehst Du das neue EuGH-Urteil zum Cookie-Opt-In?

Es war eine Frage der Zeit, bis die Gerichte eine Entscheidung treffen und eine Richtung vorgeben werden, wie der Cookie-Opt-In zukünftig praktiziert werden soll. Bisher war es eine Grauzone aufgrund der nicht immer eindeutigen Formulierung der DSGVO. Ob ein einziger Cookie-Hinweis für alles mit „OK“-Schaltfläche und ein Hinweis zur Datenschutzerklärung wirklich ausreicht, habe ich vorm Urteil allerdings auch arg bezweifelt. Viele Unternehmen haben auch einen Cookie-Banner eingesetzt, der gar keine Funktion hatte und die User getäuscht. Der Cookie-Banner informierte die User und ob sie „OK“ klickten oder nicht, das Tracking war zuvor aktiviert und sämtliche Pixel für Remarketing und Profil-Bildung gesendet. Ein Consent (Einwilligung) wurde nicht gespeichert.  Von daher finde ich es gut, dass die Website-Betreiber nun einheitlich und verantwortungsbewusst mit der Datensammlung umgehen müssen und für Transparenz sorgen, was Sie beabsichtigen zu tracken. Durch die Kategorien müssen wir zum Glück nicht die Einwilligung für jeden einzelnen Cookie einsammeln, sondern nur aufzeigen, wofür die Daten gesammelt werden und die einzelnen Anbieter und Partner einsortieren. Sollte die ePrivacy in der fantastischsten Politker-Version verabschiedet werden, könnte die Cookie-Speicherung groteske Züge annehmen. Was beim Upload-Filter passiert ist, wissen wir ja leider. Daher sollten wir uns alle engagieren die ePrivacy Verordnung zu beeinflussen. Das Tracking mit Cookies wird immer komplizierter und es müssen Alternativen entwickelt werden.

Was sind die Konsequenzen daraus und wie sollten Unternehmen darauf nun reagieren?

Die Verantwortlichen sollte ihre Cookie-Consent-Software und ihre Cookie-Banner überprüfen und schnellstmöglich nachjustieren. Ein rechtskonformer Consent Manager kann die Cookies in Kategorien einteilen und verwalten und erst nach erfolgter Bestätigung seitens des Users den Tracking-Code, die Tags und Pixel abfeuern und entsprechende Cookies in der Analytics Software speichern. Der User muss eine echte Entscheidung treffen können, OK oder NEIN. Ich bin mir sicher, dass sich Abmahnanwälte in Position bringen werden und der ein oder andere Fall bald durch die Medien geht. Im Moment ist es noch erstaunlich ruhig.

Welche Auswirkungen hat das auch für kleine Webseitenbetreiber?

Jede Website, die Tracking für Analytics, Affiliates, Remarketing, Personalisierung, Advertising usw. einsetzt muss einen Consent-Banner einsetzen. Kleine Webseitenbetreiber, die wohlmöglich nur Tracking für interne Zwecke eingebaut haben, müssen auch ein Consent-Tool einsetzen. Alle sind verpflichtet.

Welche technischen Lösungen gibt es nun für Blogs und Onlineshops?

Egal, ob Website, Blog oder Shop; jeder Typ muss ein Cookie-Consent-Manager einsetzen, der mit den Analytics- und Marketing-Tools der Unternehmen verbunden ist. Am besten steuert man den Consent Manager über einen Tag Manager.

Unabhängig vom EuGH-Urteil werden auch die Brower-Regulierungen immer strenger. Wie sollten Unternehmen darauf reagieren?

Die Verantwortlichen in den Unternehmen müssen die Entwicklung intensiv beobachten und sich damit auseinandersetzen, welchen Einfluss die Einstellungen auf die Datenerfassung nehmen. Das Consent Management ist im Vergleich dazu wirklich einfach zu handhaben. Die neuen Privatsphäre Einstellungen haben massiven Einfluss auf die Qualität der Daten. Wenn man nicht weiß, was hier an welchen Stellen verloren geht, wird seine Daten schnell falsch interpretieren und die falschen Entscheidungen treffen oder Schlussfolgerungen ziehen. Safari löscht zum Beispiel nach 7 Tagen alle Cookies automatisch. Es nennt sich Intelligent Tracking Prevention (ITP). Ein wiederkehrender Besucher ist nach der Rückkehr nach 8 Tagen ein neuer User. Customer Journey Tracking auf der Website ist ohne andere Trackingtechniken nicht möglich. Die Analysedaten für Apple Geräte sind nicht mehr eindeutig. Wir arbeiten gerade daran Cookies serverseitig zu speichern und abzurufen oder die User-ID als Identifikationsmerkmal zu verwenden oder Fingerprinting nach dem Consent einzusetzen. Client-seitiges Tracking ist ein Auslaufmodell. Hierfür brauchen wir Lösungen. Das perfide an ITP ist und da beißt sich die Katze in den Schwanz: Privatsphäre Cookies werden auch nach 7 Tagen wie alle anderen Were-Cookies gelöscht. Ich nenne es zum besseren Verständnis immer die Chemotherapie für Cookies. Auch gesunde, gute Cookies werden zerstört.