Was macht Amazon Partnerprogramm?
Über das Amazon Partnerprogramm können Webseitenbetreiber Usern per Affiliate-Link Empfehlungen für Produkte aussprechen. Klicken Nutzer auf einen Link, gelangen sie auf die Produktseite von Amazon. Kaufen sie das Produkt, erhalten Seitenbetreiber eine Provision dafür. Was müssen Seitenbetreiber beim Amazon Partnerprogramm datenschutzrechtlich beachten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist das Amazon Partnerprogramm datenschutzrechtlich bedenklich?
Um Affiliate-Links auf einer Webseite platzieren zu können, benötigen Unternehmen ein entsprechendes Amazon-Plugin oder -Widget. Diese nutzen Scripte oder iFrames, die über Cookies personenbezogene Userdaten erheben und an Amazon weitergeben. Auf diese Weise landen sensible Daten wie die IP-Adresse oder der Browser-Typ auf den Servern von Amazon in den USA.
Gemäß der Datenschutz-Grundverordnung (DSGVO) dürfen Webseitenbetreiber nur personenbezogene Daten verarbeiten und weiterleiten, wenn sie dafür vorher die Einwilligung der User eingeholt haben.
Amazon Partnerprogramm datenschutzkonform einbinden
Je nachdem, wie Unternehmen das Amazon Partnerprogramm nutzen, müssen sie auf unterschiedliche datenschutzrechtliche Vorgaben achten:
Direkte Nutzung des Amazon Partnerprogramms
Nutzen Seitenbetreiber das Amazon Partnerprogramm ohne ein externes Plugin, müssen sie diese Pflichten aus der DSGVO beachten:
Einwilligung in Datenerhebung einholen
Seitenbetreiber müssen die Einwilligung der User in die Datenerhebung einholen. Das können sie beispielsweise über einen entsprechenden Verweis im Cookie Banner vornehmen.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung darauf hinweisen, dass sie am Amazon Partnerprogramm teilnehmen. Dazu sollten sie Nutzern ausführlich erklären,
- warum sie über das Amazon Partnerprogramm personenbezogene Daten erheben,
- wie lange sie diese speichern,
- welche Rechtsgrundlage das erlaubt (Art. 6 Abs. 1 lit. a DSGVO) und
- dass Nutzer der Datenerhebung jederzeit widersprechen können.
Zudem sollten Seitenbetreiber auf die Geschäftsbedingungen und Richtlinien zur Datenverarbeitung von Amazon verweisen.
Standardvertragsklauseln prüfen
Übermitteln Seitenbetreiber personenbezogene Daten in einen Drittstaat außerhalb der EU, müssen sie dafür Standardvertragsklauseln abschließen. Amazon bietet den Abschluss der Klauseln online an. Seitenbetreiber sollten dabei darauf achten, dass es sich um die aktuellen Standardvertragsklauseln der EU-Kommission handelt. Zudem müssen sie in diesem Rahmen einen Risikoabschätzung durchführen. Diese stellt fest, wie der Datentransfer in die USA abläuft und welche Maßnahmen Amazon ergreift, um die Nutzerdaten zu schützen.
Nutzung des Amazon Partnerprogramms über ein Plugin
Die datenschutzfreundlichere Variante ist es, ein externes Plugin für die Verwendung des Amazon Partnerprogramms zu nutzen. Das Amazon Affiliate WordPress Plugin (AAWP) beispielsweise sammelt keine personenbezogenen Daten der Seitenbesucher, sobald es aktiviert ist. Ausnahme: Um den Lizenzschlüssel für das Plugin zu aktivieren oder zu deaktivieren und um das Plugin zu aktualisieren, sendet dies
- den Lizenzschlüssel,
- die verwendete AAWP-Version,
- die Version der Wordpress-Installation,
- den Namen der Webseite
- die URL der Webseite,
- die Sprache der Webseite und
- die Zeitzone
an den Lizenz-Server. Einmal aktiv, setzt das Plugin keine Cookies. Aktivieren Webseitenbetreiber die Geotargeting-Funktion, verwendet das Plugin einen begrenzten Session-Cookie, um das Herkunftsland der Seitenbesucher zwischenzuspeichern. Das ist gemäß der DSGVO jedoch nicht zulässig, da so die IP-Adresse der User ausgewertet werden kann. Seitenbetreiber sollten das Geotargeting daher nicht verwenden.
Weiterhin sollten Webseitenbetreiber auch keine von der Amazon-API bereitgestellten Produktbilder auf ihrer Seite einbinden. Denn: Auf diese Weise kann Amazon die IP-Adresse der Webseitenbesucher auslesen. Der Hinweis in der Datenschutzerklärung auf das Amazon Partnerprogramm darf auch beim Einsatz eines externen Plugins wie dem AAWP nicht fehlen.
Rechtsprechung zum Amazon Partnerprogramm
Verwenden Seitenbetreiber kein datenschutzfreundliches Plugin für das Amazon Partnerprogramm ist die Rechtsprechung zur Verwendung von Cookies sowie zur Erhebung von IP-Adressen relevant:
Europäischer Gerichtshof zur Verwendung von Cookies
Der Europäische Gerichtshof (EuGH) kam am 01.10.2019 zu dem Schluss: Seitenbetreiber benötigen grundsätzlich eine Erlaubnis der User, um Cookies zu verwenden. Dabei darf der Opt-In für die Einwilligung nicht vorangekreuzt sein (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Der Bundesgerichtshof (BGH) folgte in seiner Entscheidung dem EuGH. So stellten die Richter am 28.05.2020 fest: Seitenbetreiber dürfen nur dann Tracking Cookies nutzen, wenn sie dafür die Einwilligung der User haben. Dabei darf das Kästchen für das Einverständnis nicht vormarkiert sein (I ZR 7/16).
Bundesgerichtshof zur Erhebung von IP-Adressen
Können Seitenbetreiber rein theoretisch die Person hinter eine dynamischen IP ermitteln, handelt es sich um personenbezogene Daten. Das entschied der BGH im Mai 2017 (Az. VI ZR 135/13).
Europäischer Gerichtshof zur Erhebung von IP-Adressen
Der EuGH stufte IP-Adressen dann als personenbezogene Daten ein, wenn Strafverfolger die Person dahinter ermitteln können (Urteil vom 19.10.2016, Az. C-582/14).
Landgericht Berlin zur Erhebung von IP-Adressen
Seitenbetreiber dürfen nur mit der Einwilligung von Usern IP-Adressen speichern. Das entschied das Landgericht Berlin im September 2007 (Az. 23 S 3/07).