• Deutsch
  • Aktuelles
  • Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

++UPDATE++UPDATE+++

Dieser Artikel entspricht nicht mehr der aktuellen Rechtslage. Einen aktuellen Beitrag finden Sie hier.

Junge Frau mit Smartphone in den Händen
Passgenaue Zielgruppenansprache über Facebook besser nur mit Einwilligung | © kaboompics.com

Bayerische Datenschutzbehörde zeigt Richtung auf

Mit seinem Tool „Custom Audiences“ verspricht Facebook eine zielgenaue Werbeansprache. Während Werbetreibende sich davon Großes erhoffen, bleiben jedoch Zweifel, ob das Gimmick des sozialen Netzwerks tatsächlich mit dem deutschen Datenschutz vereinbar ist.

 

Ist Facebook Custom Audiences datenschutzrechtlich zulässig oder rechtswidrig?

Über die Integration des Zählpixels auf der eigenen Homepage ermöglicht der Webseiteninhaber bzw. Werbende Facebook einen weitgehenden Zugriff auf kostbare Werbedaten – und hier liegt das Problem. Zwar gibt der Werbende nicht in jedem Fall die Daten seiner Kunden frei, dennoch überträgt das Custom-Audience-Zählpixel stets die Facebook-ID der Webseitenbesucher mit einem Facebook-Konto.

Werden ganze Kundenstämme hochgeladen, gibt der Werbende sogar – ohne dass die Kunden des werbenden Unternehmens dazu etwas beitragen müssen – Daten wie E-Mail-Adresse oder Telefonnummer, Facebook ID oder Mobile Advertiser ID weiter. Zwar werden auch diese Daten beim Upload gehasht und sollen somit nicht mehr identifizierbar sein. Allerdings kann Facebook die hochgeladenen Daten sehr wohl mit denen im eigenen System abgleichen und somit die überlieferten Daten eindeutig einem konkreten Facebook-Nutzer zuordnen. Facebook weiß also genau, welcher einzelne Facebook-Nutzer vom Unternehmen werblich angesprochen werden soll.

Die Bayerische Landesdatenschutzbehörde hat sich intensiv mit der technischen Funktionsweise des „Hashens der Daten der Webseiten Besucher“ auseinandergesetzt. Der aktuelle Tätigkeitsbericht kommt dabei zu dem Schluss, dass Hashwerte schnell zurückzurechnen sind und somit kein ausreichend schützendes Anonymisierungsverfahren darstellen. Dazu heißt es im Einzelnen:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“

Gegebenenfalls könnte Facebook somit sogar ohne größeren Aufwand Hashwerte derer zurückrechnen und eindeutig identifizierbar machen, die zwar auf der Website, die das Custom Audience Pixel eingebaut hat unterwegs waren, jedoch nicht bei Facebook registriert sind.

Was ist das Ziel von Facebook Custom Audiences?

Facebook Custom Audiences ermöglicht eine zielgenaue Bewerbung bestimmter Zielgruppen bei Facebook. Eine Zielgruppe kann dabei zum Beispiel Bestandskunden, Interessenten oder Besucher der eigenen Website umfassen. Diese können dann auf Facebook gezielt mit Anzeigen des eigenen Unternehmens angesprochen werden. So kann beispielsweise Besuchern der Unternehmenswebsite beim nächsten Facebook-Besuch vorgeschlagen werden, die Facebook Page des Unternehmens mit einem Like zu versehen. Möglich wäre es aber auch, bei einem weiteren Kauf eines Produkts auf der Unternehmenswebsite einen Rabatt in der Höhe von x% anzubieten.

Im Head-Bereich der Website des werbenden Unternehmens muss dafür ein Custom Audience Pixel eingebunden werden. Mittels eines solchen Zählpixels können Websitebesucher markiert und beim nächsten Besuch im sozialen Netzwerk von Facebook wiedererkannt werden. Das Pixel spielt laut Facebook allgemeine Informationen zur Browsersitzung sowie der besuchten Website an Facebook und übermittelt die gehashte Facebook ID des Webseitennutzers. Facebook nimmt die markierten und erkannten Webseitenbesucher dann in die vom Werbenden definierte Interessenliste („Custom Audience“) auf und spielt die für sie definierte Werbung aus.

Daneben kann der Werbende auch ganze Kundenstämme aus seiner CRM-Datenbank bei Facebook hochladen. Dadurch können dann auch diese Kunden – sofern sie ein Facebook-Konto haben – über das soziale Netzwerk mit Unternehmenswerbung angesprochen werden. Facebook ermöglicht es sogar, bestimmte Kunden oder Kundensegmente mit anderen Werbeanzeigen anzusteuern als beispielsweise Fans der Facebook-Unternehmensseite oder selektierte Zielgruppen.

Darüber hinaus gibt es weitere Optionen wie die Erstellung von sogenannten Lookalike Audiences, wobei die Streueffekte des weitverflochtenen Facebook-Netzes genutzt und User erreicht werden, die einer bestehender Customer Audience, den Fans einer bestehenden Facebook-Seite oder Nutzern eines Conversion Pixels ähneln.

Wie sollte zukünftig mit Facebook Custom Audiences umgegangen werden?

Die Datenschutzbehörde Bayern macht zumindest für Unternehmen im eigenen Bundesland klar, dass diese bei Nutzung des Tools ein Bußgeldverfahren riskieren. Um sich vor solchen schwerwiegenden Konsequenzen zu schützen, sollten Werbetreibende zumindest in Bayern die Prozesse so fassen, dass die Einwilligung der Personen, deren Daten an Facebook übermittelt werden, eingeholt werden kann. Dabei reicht es nicht aus, die Betreffenden im Rahmen der Datenschutzerklärung auf der Website über den Einsatz von Facebook Custom Audience zu belehren. Vielmehr muss der Betroffene ausdrücklich in die Weiterreichung der Daten an Facebook einwilligen.

Ob die Verwendung von Facebook Custom Audiences auf eine andere Rechtfertigung als die explizite Einwilligung des Betroffenen gestützt werden kann, kann nur im Einzelfall vorsichtig abgewogen werden. Das Signal der Bayrischen Aufsichtsbehörde ist diesbezüglich zunächst wohl aber als richtungsweisend zu verstehen.

Da Wettbewerber Datenschutzverstöße wettbewerbsrechtlich über § 4 Nr. 11 UWG gesondert angreifen können zeigt, dass experimentelle Tools wie Facebook Custom Audiences in Deutschland ein erhebliches Risiko für Unternehmer bergen. Durch den individuellen Tracking-Pixel-Code in der jeweiligen Website können Konkurrenten auch jederzeit feststellen, ob Verstöße abgestellt oder perpetuiert werden. Doch im Datenschutzrecht gilt auch, dass nur derjenige, der selbst frei von Schuld ist, den ersten Stein werfen möge. Und das Unternehmen, das datenschutzrechtlich zu 100% konform arbeitet, ist so etwas wie ein Einhorn - nämlich ein Mythos.

Kommentar von Robin |

Sehr geehrte Damen und Herren,

ich stehe in Kontakt mit mehreren Ecommerce nutzern innerhalb der EU und wir stellen uns die Fragen, inwiefern die konforme Implementierung von Opt-in / Opt-Out -Möglichkeiten genau abläuft.
99% der von uns betrachteten anderen großen Online-Website innerhalb der EU verwenden folgenden Hinweis auf Ihrer Website:
"Durchs Browsen auf unserer Website stimmen Sie zu, dass ...." . Diese Seiten benutzen alle Facebook-Pixel und sammeln dadurch persönliche Daten ihrer Nutzer. Reicht dieser Satz aus, oder muss tatsächlich ein aktiver opt-in geschehen, durch den auch erst der Pixel aktiviert wird, was maßgeblich analytische Ergebnisse verzerren würde und die Nutzererfahrung maßgeblich beeinträchtigt. Ich würde mich über eine schnelle Antwort sehr freuen, vielen Dank.

LG Robin Ansorge

Antwort von Tilman Herbrich

Sehr geehrter Herr Ansorge,

damit eine wirksame Einwilligung vorliegt, muss sie stets im Vorfeld der anvisierten Datenverarbeitung erteilt werden. Als rechtssicherster Weg erweist sich aufgrund der nicht abschließend geklärten Rechtslage derzeit eine „ausdrückliche Einwilligung“, das heißt es muss ein aktives Opt-in für die Aktivierung des Pixels vorliegen. Ob eine „konkludente Einwilligung“ durch Navigation auf einer Internetseite ausreicht, ist in der Fachliteratur äußerst umstritten, auch im Hinblick auf die DS-GVO. Der Großteil der Aufsichtsbehörden lehnt konkludente Einwilligungen ab.

Unabhängig davon ist bei der Formulierung der Einwilligungsklausel darauf achtzugeben, dass diese hinreichend konkret ist. Das KG (Berlin) hat jüngst eine Einwilligungsklausel in Facebooks App-Zentrum für unwirksam erklärt, unter anderem weil keine eindeutige Zweckfestlegung durch inhaltliche Konkretisierung erfolgte [KG, Urt. v. 22.09.2017 – 5 U 155/14].

Zu beachten ist schließlich die sich im Gesetzgebungsverfahren befindliche ePrivacy-VO. Das EU-Parlament hat sich am 26.10.2017 in seinem Entwurf für eine Vermeidung von Cookie-Bannern ausgesprochen. Einwilligungen sollen vielmehr in technischen Einstellungen von Browsern und App-Anbietern zum Beispiel bei der Installation oder bei einem Update erteilt werden. Insoweit ist das weitere Gesetzgebungsverfahren zur ePrivacy-Verordnung zu beobachten.

Viele Grüße

Tilman Herbrich

Einen Kommentar schreiben

Tags

Unternehmensgründung Preisangabenverordnung Geschäftsführer LMIV Werktitel Unterlassung Bewertung Vergleichsportale data privacy Sicherheitslücke Exklusivitätsklausel Hinweispflichten Meinung Gepäck Rechtsanwaltsfachangestellte Produktempfehlungen Kapitalmarkt berufspflicht Geschmacksmuster Datenschutzgrundverordnung Scam Gastronomie whatsapp handelsrecht zahlungsdienst Spitzenstellungsbehauptung Verfügbarkeit verlinken wallart Diskriminierung total buy out Wettbewerbsrecht Recht Insolvenz Markensperre Hausrecht Messe Preisauszeichnung data security OTMR EuGH c/o Bafin Tipppfehlerdomain Bundesmeldegesetz Internet of Things Abmahnung Datenschutz ecommerce Urheberrecht Kekse Internet Entschädigung EU-Textilkennzeichnungsverordnung Abhören Heilkunde Haftung Suchmaschinen Urteil Compliance Annual Return nutzungsrechte schule Hotelsterne Suchfunktion Blog Apps Finanzierung Sperrabrede Bußgeld email marketing Versicherungsrecht Linkhaftung verlinkung Check-in Conversion ransom urheberrechtsschutz Kreditkarten Presse Online Marketing 5 UWG Auftragsdatenverarbeitung Meldepflicht events Extremisten Minijob Technologie Infosec Textilien hate speech gesellschaftsrecht Opentable Reise Marketing Urlaub transparenzregister Handelsregister Türkisch Personenbezogene Daten Influencer Rechtsanwalt Markenrecht Keyword-Advertising Expedia.com Online-Bewertungen §75f HGB Phishing Ofcom recht am eigenen bild Panoramafreiheit kündigungsschutz Vertragsgestaltung Kennzeichnungskraft unternehmensrecht Herkunftsfunktion custom audience Online-Portale Berlin München Facebook Newsletter jahresabschluss Xing Direktmarketing DSGVO Jugendschutzfilter Haftungsrecht BDSG § 5 UWG Kartellrecht § 4 UWG Werbung Osteopathie Arbeitsvertrag drohnen Impressumspflicht ITB Data Protection Corporate Housekeeping selbstanlageverfahren Zahlungsdaten Data Breach Prozessrecht privacy shield veröffentlichung Distribution Social Media Lizenzrecht Weihnachten UWG Einstellungsverbot Selbstverständlichkeiten Duldungsvollmacht Reisen § 5 MarkenG Unlauterer Wettbewerb EC-Karten neu Arbeitsrecht SEA Boehmermann Gesetz Website informationspflichten Großbritannien Soziale Netzwerke Konferenz fake news Schadenersatz Anmeldung USPTO Google Geschäftsanschrift Domainrecht Tracking Crowdfunding Zustellbevollmächtigter Vergütung Evil Legal bgh NetzDG Double-Opt-In Freelancer Dokumentationspflicht Foto Datenschutzbeauftragter ISPs Ring fotos WLAN 3 UWG data besondere Darstellung Webdesign Kosmetik Datensicherheit Ferienwohnung Hotels Bestandsschutz

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2018, alle Rechte vorbehalten




Spirit Legal LLP hat 4,69 von 5 Sterne | 68 Bewertungen auf ProvenExpert.com