DSGVO im Affiliate-Marketing: Datenschutz-Compliance für DACH-Betreiber 2026

Die DSGVO im Affiliate-Marketing ist kein theoretisches Compliance-Thema — sie ist ein operatives Risiko für jeden Betreiber, der Partner-Programme im DACH-Raum betreibt. Deutschland hat eine der aktivsten Datenschutzaufsichtsbehörden in der EU: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden (z. B. der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) verfolgen Verstöße aktiv. Bußgelder nach Art. 83 DSGVO können bis zu 20 Millionen EUR oder vier Prozent des globalen Jahresumsatzes betragen. Für B2B-Betreiber in iGaming, Forex oder Prop Trading — die mit regulatorischen Behörden bereits vertraut sind — ist DSGVO-Compliance im Affiliate-Marketing eine Selbstverständlichkeit, die technisch und organisatorisch umgesetzt sein muss.

Dieser Leitfaden erklärt, welche DSGVO-Anforderungen im Affiliate-Marketing konkret gelten: welche Akteure betroffen sind, was ein Auftragsverarbeitungsvertrag (AVV) im Affiliate-Kontext leisten muss, wie Cookie-Tracking und S2S-Postback-Tracking datenschutzrechtlich zu bewerten sind, und welche organisatorischen Maßnahmen Betreiber ergreifen müssen. Der Fokus liegt auf praxisrelevanten Anforderungen — nicht auf juristischen Feinheiten, für die ein spezialisierter Datenschutzberater hinzuzuziehen ist.

Warum die DSGVO im Affiliate-Marketing besonders relevant ist

Affiliate-Marketing verarbeitet zwingend personenbezogene Daten — auch wenn das nicht immer auf den ersten Blick erkennbar ist. Schon die IP-Adresse eines Nutzers, der auf einen Affiliate-Link klickt, ist nach DSGVO Art. 4 Nr. 1 ein personenbezogenes Datum. Das Cookie, das beim Klick auf den Affiliate-Link gesetzt wird und die spätere Konversion dem Affiliate zuordnet, ist ebenfalls personenbezogen. Die Tracking-ID in einem Postback-Event kann — wenn sie mit anderen Datenpunkten kombiniert wird — eine Identifizierung ermöglichen.

Für Betreiber ergibt sich daraus eine klare Verantwortung: Sie sind nach DSGVO Art. 4 Nr. 7 der Verantwortliche für die Verarbeitung dieser Daten. Sie entscheiden über Zweck und Mittel der Datenverarbeitung — auch wenn sie eine externe Affiliate-Plattform nutzen. Die Nutzung einer Affiliate-Management-Software ist keine Übertragung der DSGVO-Verantwortung auf den Plattformanbieter — sie erfordert einen Auftragsverarbeitungsvertrag (AVV) und bleibt in der Letzthaftung beim Betreiber.

Welche Akteure sind im DSGVO-Kontext des Affiliate-Marketings betroffen?

Ein Affiliate-Ökosystem besteht aus mehreren Parteien mit unterschiedlichen datenschutzrechtlichen Rollen. Das Verständnis dieser Rollen ist Voraussetzung für eine korrekte DSGVO-Umsetzung.

Der Betreiber (Advertiser) als datenschutzrechtlicher Verantwortlicher

Der Betreiber — der Forex-Broker, iGaming-Operator oder die Prop Firm — ist der datenschutzrechtliche Verantwortliche (Art. 4 Nr. 7 DSGVO). Er bestimmt, welche Daten im Rahmen des Affiliate-Programms erhoben werden, welche Tracking-Methoden eingesetzt werden und wie lange Daten gespeichert werden. Er muss die Rechtsgrundlage für die Datenverarbeitung festlegen (typischerweise berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO für Tracking-Daten zur Provisionskalkulation, oder Einwilligung nach Art. 6 Abs. 1 lit. a für Marketing-Cookies), und er ist die Anlaufstelle für Betroffenenrechte (Auskunft, Löschung, Berichtigung).

Die Affiliate-Plattform als Auftragsverarbeiter

Die Affiliate-Management-Plattform (z. B. Track360) verarbeitet personenbezogene Daten im Auftrag des Betreibers — sie ist Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Diese Rolle erfordert zwingend einen schriftlichen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Der AVV regelt u. a. den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Pflichten des Auftragsverarbeiters (Vertraulichkeit, Sicherheit, Unterauftragsverhältnisse), und die Rechte des Verantwortlichen (Weisung, Audit). Betreiber, die eine Affiliate-Management-Plattform nutzen, müssen sicherstellen, dass diese einen DSGVO-konformen AVV in deutscher Sprache anbietet und EU-Datenresidenz garantiert.

Affiliates (Publisher) als eigenständig Verantwortliche

Affiliates (Publisher) sind in der Regel selbst datenschutzrechtliche Verantwortliche für die Datenverarbeitung auf ihren eigenen Websites — sie setzen Affiliate-Links, betreiben eigene Analytics und schalten Werbung. Betreiber haben gegenüber ihren Affiliates eine vertragliche Compliance-Verantwortung: Sie müssen sicherstellen, dass Affiliates die DSGVO-Anforderungen bei der Bewerbung des Betreibers einhalten — insbesondere bei Cookie-Bannern, Datenschutzhinweisen und der Verwendung von Werbemitteln mit Tracking-Pixeln. Diese Anforderungen sollten im Affiliate-Partnervertrag explizit geregelt sein.

Der Auftragsverarbeitungsvertrag (AVV) im Affiliate-Kontext

Der Auftragsverarbeitungsvertrag (AVV) ist die datenschutzrechtliche Grundlage jeder Nutzung einer externen Affiliate-Plattform. Art. 28 DSGVO schreibt vor, dass Verantwortliche nur Auftragsverarbeiter in Anspruch nehmen dürfen, die hinreichende Garantien für die DSGVO-konforme Datenverarbeitung bieten. Ein AVV ist Pflicht — nicht optional. Die Datenschutz-Grundverordnung im Volltext (EUR-Lex) definiert in Art. 28 die Mindestinhalte eines AVV abschließend.

Für Betreiber im DACH-Raum sind folgende Punkte im AVV mit der Affiliate-Plattform besonders kritisch zu prüfen:

• Datenverarbeitungsort: Werden Daten ausschließlich in der EU/EWR verarbeitet? Bei US-Anbietern ist das Privacy Shield gefallen — Standard Contractual Clauses (SCCs) oder EU-US Data Privacy Framework müssen vorhanden sein.
• Unterauftragsverarbeitung: Welche Sub-Processor nutzt die Plattform (CDN, Datenbank-Hosting, E-Mail-Dienste)? Der Betreiber muss über Änderungen informiert werden.
• Datenlöschung: Wie und wann werden Daten nach Vertragsende oder auf Weisung gelöscht? DSGVO verlangt klare Löschfristen.
• Technisch-organisatorische Maßnahmen (TOMs): Welche Sicherheitsmaßnahmen schützt die Plattform die verarbeiteten Daten? Verschlüsselung, Zugriffskontrollen, Logging.
• Auditrecht: Hat der Betreiber das Recht, die Datenschutz-Compliance des Plattformanbieters zu auditieren oder Audits durch Dritte einzuholen?
• Weisungsgebundenheit: Verarbeitet die Plattform Daten nur auf dokumentierte Weisung des Betreibers?

In der Praxis bieten seriöse Affiliate-Plattformen AVV-Vorlagen an, die diese Anforderungen abdecken. Betreiber sollten diese Vorlagen nicht ungeprüft unterzeichnen — eine Prüfung durch den eigenen Datenschutzbeauftragten (sofern vorhanden) oder einen externen Datenschutzberater ist empfehlenswert.

Cookie-Tracking und DSGVO: Was im Affiliate-Marketing noch erlaubt ist

Cookie-Tracking ist die historisch dominante Methode der Affiliate-Attribution: Ein Nutzer klickt auf einen Affiliate-Link, ein First-Party- oder Third-Party-Cookie mit der Affiliate-ID wird im Browser gesetzt, und wenn der Nutzer später konvertiert, liest das Tracking-System das Cookie aus und ordnet die Konversion dem Affiliate zu. Diese Methode ist datenschutzrechtlich komplex.

Einwilligungspflicht für Marketing-Cookies

Der Europäische Gerichtshof hat mit dem Planet49-Urteil (2019) und der nachfolgenden Rechtsprechung klargestellt: Cookies, die für Werbezwecke (einschließlich Affiliate-Tracking mit Provisionsziel) gesetzt werden, erfordern eine vorab erteilte, informierte Einwilligung des Nutzers. Ein vorausgewähltes Häkchen im Cookie-Banner reicht nicht aus. Die Einwilligung muss aktiv, spezifisch, informiert und freiwillig sein. Für Betreiber bedeutet das: Affiliate-Tracking-Cookies dürfen erst nach Einwilligung gesetzt werden — was zu Attribution-Lücken führt, wenn Nutzer die Einwilligung verweigern.

First-Party vs. Third-Party Cookies im Affiliate-Kontext

Third-Party-Cookies (gesetzt durch externe Domains, typischerweise der Affiliate-Plattform) werden von allen gängigen Browsern bereits weitgehend blockiert oder sind abgekündigt. First-Party-Cookies (gesetzt durch die eigene Domain des Betreibers) haben eine längere technische Lebensdauer, sind aber bei Affiliate-Attribution über externe Websites (Publisher-Sites) nicht ohne Weiteres einsetzbar. In der Praxis kombinieren moderne Affiliate-Tracking-Lösungen First-Party-Cookies mit Postback-Tracking-Fallbacks.

Server-to-Server-Postback (S2S) als DSGVO-konforme Tracking-Alternative

Server-to-Server-Postback (S2S) ist die datenschutzrechtlich bevorzugte Tracking-Methode für DSGVO-konforme Affiliate-Programme. Bei S2S erfolgt die Attribution ohne Browser-Cookies: Wenn eine Konversion auf der Seite des Betreibers stattfindet (z. B. FTD abgeschlossen), sendet der Server des Betreibers direkt einen HTTP-Postback an den Server der Affiliate-Plattform — mit einer anonymisierten Transaktions-ID, dem Wert der Konversion und der Affiliate-ID. Browser und Endnutzer sind aus diesem Datenaustausch vollständig herausgenommen.

Die datenschutzrechtlichen Vorteile von S2S sind erheblich: Keine personenbezogenen Daten (IP-Adresse, Browser-Fingerprint) werden an die Affiliate-Plattform übertragen — nur pseudonymisierte Transaktions-IDs. Cookie-Consent ist für den Postback-Vorgang nicht erforderlich, da kein Cookie im Browser gesetzt wird. S2S ist gleichzeitig technisch verlässlicher als Cookie-Tracking: Es gibt keine Attribution-Lücken durch Cookie-Blocker oder Browser-Restriktionen. Für einen Überblick über die technischen Grundlagen von Echtzeit-Tracking in Affiliate-Programmen empfiehlt sich die Produktdokumentation der eingesetzten Plattform.

Datenschutzrechtliche Bewertung verschiedener Tracking-Methoden

Affiliate-Portal und Datenspeicherung: DSGVO-Anforderungen

Ein Affiliate-Portal ist das Self-Service-Interface, über das Partner ihre Performance-Daten, Provisionen und Marketingmaterialien abrufen. Aus DSGVO-Sicht ist das Affiliate-Portal ein System, in dem personenbezogene Daten von Affiliates (Name, E-Mail, Bankverbindung, USt-ID, IP-Adresse bei Login) und indirekt von deren vermittelten Kunden (Konversionsdaten) gespeichert werden.

Betreiber müssen für das Affiliate-Portal sicherstellen: Zugangskontrolle (jeder Affiliate sieht nur seine eigenen Daten), Protokollierung von Zugriffen und Änderungen (für Audit-Zwecke), Datenlöschkonzept (wie lange werden Konversionsdaten gespeichert?), Datenpannenmanagement (was passiert bei einem Datenleck im Portal?), und Recht auf Datenzugang und Löschung für Affiliates als Betroffene.

Speicherfristen und Löschkonzept

DSGVO Art. 5 Abs. 1 lit. e (Speicherbegrenzung) verlangt, dass personenbezogene Daten nicht länger als für den Verarbeitungszweck notwendig gespeichert werden. Für Affiliate-Provisionsabrechnungen gilt: Transaktionsdaten müssen für steuerliche Zwecke (§ 147 AO) zehn Jahre aufbewahrt werden — das überlagert die DSGVO-Speicherbegrenzung und ist eine zulässige Ausnahme nach Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung). Click-Logs und nicht abrechnungsrelevante Tracking-Daten unterliegen dieser Aufbewahrungspflicht nicht und sollten nach spätestens 12–24 Monaten gelöscht werden.

Verarbeitungsverzeichnis nach Art. 30 DSGVO

Betreiber sind nach DSGVO Art. 30 verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die Affiliate-Tracking- und Provisionsabrechnung ist eine eigenständige Verarbeitungstätigkeit, die im Verzeichnis dokumentiert sein muss — mit Angaben zu Zweck, Rechtsgrundlage, Datenkategorien, Empfängern, Speicherfristen und technisch-organisatorischen Maßnahmen. Die Datenschutzkonferenz (DSK) bietet Orientierungshilfen und Muster für Verarbeitungsverzeichnisse, die speziell auf deutsche Anforderungen zugeschnitten sind.

DSGVO-Compliance-Checkliste für Affiliate-Betreiber im DACH-Raum

Für DACH-Betreiber, die ihr Affiliate-Programm auf DSGVO-Konformität prüfen möchten, empfiehlt sich folgende Checkliste als Ausgangspunkt. Sie ersetzt keine vollständige Datenschutz-Prüfung, deckt aber die häufigsten Compliance-Lücken in der Praxis ab.

1. AVV mit Affiliate-Plattform abschließen: Ist ein aktueller AVV nach Art. 28 DSGVO mit dem Plattformanbieter vorhanden? Wurden Sub-Prozessoren überprüft?
2. Rechtsgrundlage für Tracking festlegen: Auf welche Rechtsgrundlage (Art. 6 DSGVO) stützt sich das Affiliate-Tracking? Einwilligung oder berechtigtes Interesse — mit entsprechender Interessenabwägung dokumentiert?
3. Cookie-Banner DSGVO-konform implementieren: Werden Affiliate-Tracking-Cookies erst nach aktiver Einwilligung gesetzt? Ist die Ablehnungsoption gleichwertig sichtbar?
4. S2S-Postback als primäre Tracking-Methode prüfen: Ist S2S-Tracking implementiert oder geplant, um Cookie-Abhängigkeit zu reduzieren?
5. Datenschutzerklärung aktualisieren: Wird Affiliate-Tracking in der Datenschutzerklärung des Betreibers transparent kommuniziert — mit Angabe der eingesetzten Plattform?
6. Affiliates vertraglich zur DSGVO-Konformität verpflichten: Enthält der Affiliate-Partnervertrag Klauseln zur DSGVO-Einhaltung bei der Werbung für den Betreiber?
7. Löschkonzept implementieren: Sind Speicherfristen für Tracking-Daten, Konversionsdaten und Affiliate-Kontodaten definiert und technisch umgesetzt?
8. Verarbeitungsverzeichnis pflegen: Ist das Affiliate-Marketing als eigene Verarbeitungstätigkeit im Verzeichnis nach Art. 30 DSGVO dokumentiert?
9. Datenpannen-Prozess definieren: Gibt es einen dokumentierten Prozess für den Fall eines Datenlecks im Affiliate-System (Meldung an Aufsichtsbehörde innerhalb von 72 Stunden nach Art. 33 DSGVO)?
10. EU-Datenresidenz der Plattform prüfen: Verarbeitet die Affiliate-Plattform Daten ausschließlich innerhalb der EU/EWR, oder bestehen Drittland-Transfers, die abgesichert sein müssen?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlicht regelmäßig Orientierungshilfen zu aktuellen Datenschutzfragen im Online-Marketing — eine empfehlenswerte Quelle für Betreiber, die ihre Compliance-Praxis auf dem neuesten Stand halten möchten.

DSGVO im Affiliate-Marketing: Branchenspezifische Besonderheiten

Je nach Branche gelten im DACH-Raum zusätzliche datenschutzrechtliche Anforderungen, die über die allgemeine DSGVO hinausgehen.

iGaming: GGL-Regulierung und Datenschutz

GGL-lizenzierte iGaming-Betreiber unterliegen neben der DSGVO den Datenschutzanforderungen des Glücksspielstaatsvertrags 2021 (GlüStV). Für das Affiliate-Marketing bedeutet das: Konversionsdaten (FTD, Spielerregistrierung) dürfen nur in den für den Glücksspielbetrieb genehmigten Systemen verarbeitet werden. Drittanbieter-Affiliate-Plattformen müssen als Auftragsverarbeiter im Rahmen des GLL-Lizenzregimes akzeptiert sein. Das macht die AVV-Prüfung für iGaming-Betreiber besonders relevant.

Forex: BaFin-Regulierung und KYC-Datenverarbeitung

Forex-Broker unter BaFin-Aufsicht verarbeiten im Rahmen des Affiliate-Onboardings KYC-Daten (Know Your Customer) der vermittelten Kunden — Passdaten, Adressnachweise, Einkommen. Diese besonders sensiblen Daten dürfen nicht in Affiliate-Systemen gespeichert werden. Affiliate-Plattformen erhalten typischerweise nur pseudonymisierte Kundenkennungen, nicht die KYC-Originaldaten. Die Trennung zwischen Broker-Kernsystem (mit KYC) und Affiliate-Plattform (mit pseudonymisierten Daten) ist datenschutzrechtlich korrekt und sollte technisch durchgesetzt sein.

Prop Trading: Datenschutz bei Challenge-Funnels

Prop Firms verarbeiten im Challenge-Funnel Trader-Bewerbungsdaten (Name, E-Mail, Trading-Performance). Wenn diese Daten für die Affiliate-Provisionsabrechnung genutzt werden (z. B. "Challenge bestanden" als Konversionsevent), müssen die Datenschutzhinweise der Prop Firm transparent machen, dass Konversionsereignisse an eine Affiliate-Plattform gemeldet werden — ohne die Identität des Traders preiszugeben. Pseudonymisierte Event-Postbacks (Trader-ID statt echter Name) sind die DSGVO-konforme Lösung. Für Fraud-Detection in Affiliate-Programmen gilt dasselbe Prinzip: Betrugserkennungssignale sollten auf pseudonymisierten Mustern basieren, nicht auf identifizierenden Kundendaten.