Wann muss für Online-Tracking eine Einwilligung eingeholt werden? Die Antwort auf diese Frage ist ständig im Fluss – und hat auch mit dem Inkrafttreten des neuen deutschen „Cookie-Gesetzes“ TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) vor zwei Jahren keine definitive Antwort gefunden. Offen war dabei insbesondere, ob alternative, insbesondere „cookie-freie“ Tracking-Techniken wie das URL-Tracking auch vom Einwilligungserfordernis nach § 25 TTDSG (beziehungsweise der ePrivacy-Richtlinie, auf der das TTDSG beruht) erfasst werden oder eben nicht.
Der Europäische Datenschutzausschuss (EDSA) – der Zusammenschluss der Datenschutzaufsichtsbehörden innerhalb der EU – hat sich Ende 2023 in einem Entwurf für ein neues Positionspapier zu genau dieser Fragestellung geäußert. Zunächst findet sich darin das zu Grunde gelegte technische Verständnis und ein Verweis auf die Bedeutung von URL-Tracking in der Affiliate-Branche (zum besseren Verständnis sind die Zitate gekürzt):
„[Bei] Tracking-Links [wird eine] Kennung […] an die Adresse der Website angehängt. […] E-Commerce-Websites können beispielsweise verfolgte Links an Partner weitergeben, die diese auf ihrer Domain verwenden, so dass die E-Commerce-Website weiß, welcher ihrer Partner für einen Verkauf verantwortlich ist und eine Provision zahlt; diese Praxis ist als Affiliate-Marketing bekannt.“
Anschließend macht sich der EDSA die Beantwortung der Frage nach dem Einwilligungserfordernis einfach. Aus Sicht des Entwurfs
„ist es klar, dass es sich [beim URL-Tracking] um eine Speicherung [von Daten] auf dem Endgerät des Nutzers […] handelt, zumindest [im Browser-Cache]. Als solches ist Artikel 5(3) ePD anwendbar.“
Diese Aussage ist wichtig, weil das „Speichern von Daten auf dem Endgerät des Nutzers“ die Formulierung ist, welche das Einwilligungserfordernis nach § 25 TTDSG (beziehungsweise der ePrivacy-Richtlinie) auslöst. Daraus zieht der EDSA dann auch direkt die folgende, für die Onlinemarketing-Branche relevante Schlussfolgerung:
„Die [Nutzung von] Tracking-Links […] stellt eine Anweisung an das Endgerät dar, die [Tracking-Information] zurückzusenden. […] Folglich kann davon ausgegangen werden, dass die Erfassung der von […] Tracking-URL[s] bereitgestellten Kennungen eine „Zugriffsgewährung“ im Sinne [der ePrivacy-Richtlinie] darstellt, so dass [sie auf das URL-Tracking] anwendbar ist.“
Diese Sichtweise hat große Bedeutung für die Onlinemarketing-Branche und insbesondere auf das Affiliate-Marketing. Denn hier werden noch häufig Klicks auf Werbe-Links auf der Basis von URL-Tracking verfolgt, um Affiliate-Vergütungen zu berechnen. Wenn hierfür eine Einwilligung erforderlich ist, würde das für betroffene Unternehmen signifikante Umsatzeinbußen bedeuten. Entsprechende Vergütungsmodelle müssten dann neu aufgestellt werden.
Bei dem vorliegenden Text des EDSA handelt es sich bislang freilich nur um einen Entwurf – es ist aber wahrscheinlich, dass die hier dargestellte Position sich so auch im finalen Dokument wieder findet. Auch wenn dies dann nur eine gemeinsame Position der Aufsichtsbehörden darstellt, müsste sich erst einmal ein Unternehmen finden, das bereit ist, sie in einem darauf fußenden Verfahren gerichtlich anzufechten. Wir beraten Sie daher gern, wie sich Ihr Unternehmen am besten verhalten sollte, um entsprechende Risiken zu reduzieren.
Parallel dazu ist außerdem zu beachten, dass das hier diskutierte Einwilligungserfordernis für URL-Tracking in bestimmten Fällen nicht nur unter das TTDSG, sondern auch in den Anwendungsbereich der DSGVO fällt und auf diese Weise ohnehin einwilligungspflichtig ist. Und nicht zuletzt gibt es auch noch den Branchenstandard TCF, den viele Unternehmen aus der Onlinemarketing-Branche zu beachten haben. Wenden Sie sich daher gern an uns, um hier nicht den Überblick zu verlieren.