In einem meiner früheren Artikel habe ich die Frage aufgeworfen, ob das Cashback-Tracking technisch notwendig ist und entsprechend im Consent des Nutzers eingestuft werden sollte. Das bedeutet, dass selbst wenn der Nutzer die Datenverarbeitung im Consent Layer ablehnt, das Tracking seiner Cashback-Punkte aktiv bleibt und die damit verbundene Datenverarbeitung ebenfalls.
Betrachtet man die Perspektive der Cashback-Systeme wie Payback, Deutschlandcard und Shoop, scheint diese Einstufung durchaus gerechtfertigt zu sein. Immerhin bildet das Tracking von Transaktionen/Punkten die essentiellste Funktion dieser Systeme und ist oft der Hauptanreiz für Nutzer, sich dort zu registrieren – sie wollen Geld zurück für ihre Einkäufe erhalten oder Punkte sammeln. Dieses Belohnungsprinzip bindet die Nutzer nicht nur an die Systeme selbst, sondern auch durch die positive Erfahrung an die beteiligten Advertiser, bei denen sie eingekauft haben. Für den Advertiser stellt die Zusammenarbeit mit Cashback-Systemen eine attraktive Möglichkeit zur Bestandskundenbindung dar – doch frage ich mich, ob dies aus Sicht des Advertisers ausreicht, um durch einen Datenschützer als technisch notwendig für den Betrieb des eigenen Online-Shops eingestuft zu werden.
Datenschutz ist ein Thema, das nicht leichtfertig behandelt werden sollte. Wie damals ist es mir ein Anliegen, meine persönliche Einschätzung mit euch zu teilen, ohne jedoch eine Rechtsberatung anzubieten. Dennoch sollten euch die Informationen dabei unterstützen, mit eurem eigenen Datenschutzbeauftragten in den Dialog zu treten.
Die Diskussion über die Rolle des Cashback-Trackings als technische Notwendigkeit dauert nun schon über ein Jahr an, und es gibt ebenso viele Meinungen zu diesem Thema. Ich kann beide Seiten sehr gut nachvollziehen, und die verschiedenen Argumente könnt ihr in meinem vorherigen Artikel nachlesen, um euch ein eigenes Bild zu machen.
Für diejenigen, die sich mit ihrem Datenschutzbeauftragten darauf einigen möchten, Cashback als technisch notwendig einzustufen, wird dieser Artikel besonders spannend sein, und ihr solltet ihn unbedingt bis zum Ende lesen. Denn das Cashback-Portal ist nicht das einzige Tool, das für diesen Zweck Daten verarbeiten muss. Ein reibungsloses Tracking erfordert eine funktionstüchtige Prozesskette mit all ihren Tools und Schnittstellen.
Cashback-Tracking Ist technisch notwendig, was nun?
Seid ihr euch da ganz sicher? Diese Frage wirkt vielleicht provokant, aber sie ist entscheidend, denn bei der Umsetzung dieses Vorhabens sind nicht nur der Advertiser und das Cashback-System beteiligt. Es geht vielmehr um die komplexe Prozesskette des Trackings, die jeden Schritt vom Einstieg des Nutzers über das Cashback-System bis zur Transaktionserfassung und Cashback-Zuweisung umfasst.
Um ein reibungsloses Tracking zu gewährleisten, sind zahlreiche Komponenten erforderlich. Für das Cashback-Tracking bedeutet dies zunächst, dass das Affiliate-Netzwerk sein Cookie setzen und die Transaktion tracken muss. Selbst in einem simplen Szenario, müssen das Cashback-System als Empfänger des Cashbacks, das Affiliate-Netzwerk, der Tag Manager, in dem es integriert ist, sowie das Analytics des Advertisers einwandfrei funktionieren. Das heißt, sie müssen in der Lage sein, Daten zu verarbeiten und den Nutzer im Shop zu markieren und wiederzuerkennen.
Im späteren Verlauf muss die Transaktion auch mit dem Warenwirtschaftssystem des Advertisers gemappt werden können, um den Status zu überprüfen und das Cashback abzugleichen. Es wird deutlich, dass die Entscheidung, das Cashback-Tracking zuzulassen, viele Facetten hat und sorgfältig vom Datenschutzbeauftragten abgewogen werden muss.
Wer wirklich ins Datenschutz-Fettnäpfchen tritt
Ich bin der Ansicht, dass viele Advertiser beim eigenen Datenschutzbeauftragten aus Unwissenheit nur einen Teil dieses Prozesses darlegen. Dadurch bleibt der volle Umfang der Datenverarbeitung oft verschleiert. Gleichzeitig finde ich es fahrlässig, wenn Cashback-Systeme vehement für ihre Notwendigkeit eintreten und dem mit Stellungnahmen vom Netzwerk und einer gut durchdachten Anleitung noch mehr Gewicht verleihen. Bei genauer Betrachtung dieser Informationen wird deutlich, dass eine Perspektive komplett fehlt – und das ist die des Advertisers, gerade jener, der bei einem Datenschutzverstoß mit Strafen rechnen muss. In all den Unterlagen, die ich bisher gesichtet habe, wird immer nur vom Cashback-System und vom Affiliate-Netzwerk gesprochen. Dabei haben wir gerade ausführlich gelernt, dass dies nur die Spitze der Prozesskette ist, mit den Systemen, die für diesen Zweck Daten verarbeiten müssen.
Ich persönlich stehe vor einem Zwiespalt, wenn es darum geht, die Notwendigkeit für das Cashback-System als gleichbedeutend mit der Notwendigkeit für den Advertiser zu betrachten. Einerseits verstehe ich die Bedeutung des Cashbacks für die Nutzer und ihre klare Absicht, wenn sie dem Cashback-Portal beitreten und auf den Button zum Advertiser klicken. Andererseits habe ich auch gelernt, dass der Datenschutz nur selten Prozesse ganzheitlich betrachtet, sondern viel mehr auf das einzelne beteiligte System schaut und seinem Zweck für die Datenverarbeitung. Das Analytics und der Tag Manager des Advertisers sind nicht dafür ausgelegt, ausschließlich die Bereitstellung und Belieferung von externen Cashback-Systemen zu realisieren, sondern vielmehr für Attribution und Reporting der Marketingaktivitäten. Dies zeigt, dass die Einordnung des Cashback-Trackings als technisch notwendig eine sorgfältige Abwägung erfordert, bei der die Interessen aller beteiligten Parteien berücksichtigt werden müssen.
Ich hoffe, ich konnte euch meine persönliche Meinung zu diesem Thema verständlich wiedergeben und euch eine weitere Perspektive auf die Thematik bieten. Wenn ihr etwas ergänzen möchtet oder meine Argumente entkräften könnt, schreibt mir gerne in die Kommentare.