• Deutsch
  • Aktuelles
  • Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

Junge Frau mit Smartphone in den Händen
Passgenaue Zielgruppenansprache über Facebook besser nur mit Einwilligung | © kaboompics.com

Bayerische Datenschutzbehörde zeigt Richtung auf

Mit seinem Tool „Custom Audiences“ verspricht Facebook eine zielgenaue Werbeansprache. Während Werbetreibende sich davon Großes erhoffen, bleiben jedoch Zweifel, ob das Gimmick des sozialen Netzwerks tatsächlich mit dem deutschen Datenschutz vereinbar ist.

Was ist das Ziel von Facebook Custom Audiences?

Facebook Custom Audiences ermöglicht eine zielgenaue Bewerbung bestimmter Zielgruppen bei Facebook. Eine Zielgruppe kann dabei zum Beispiel Bestandskunden, Interessenten oder Besucher der eigenen Website umfassen. Diese können dann auf Facebook gezielt mit Anzeigen des eigenen Unternehmens angesprochen werden. So kann beispielsweise Besuchern der Unternehmenswebsite beim nächsten Facebook-Besuch vorgeschlagen werden, die Facebook Page des Unternehmens mit einem Like zu versehen. Möglich wäre es aber auch, bei einem weiteren Kauf eines Produkts auf der Unternehmenswebsite einen Rabatt in der Höhe von x% anzubieten.

Im Head-Bereich der Website des werbenden Unternehmens muss dafür ein Custom Audience Pixel eingebunden werden. Mittels eines solchen Zählpixels können Websitebesucher markiert und beim nächsten Besuch im sozialen Netzwerk von Facebook wiedererkannt werden. Das Pixel spielt laut Facebook allgemeine Informationen zur Browsersitzung sowie der besuchten Website an Facebook und übermittelt die gehashte Facebook ID des Webseitennutzers. Facebook nimmt die markierten und erkannten Webseitenbesucher dann in die vom Werbenden definierte Interessenliste („Custom Audience“) auf und spielt die für sie definierte Werbung aus.

Daneben kann der Werbende auch ganze Kundenstämme aus seiner CRM-Datenbank bei Facebook hochladen. Dadurch können dann auch diese Kunden – sofern sie ein Facebook-Konto haben – über das soziale Netzwerk mit Unternehmenswerbung angesprochen werden. Facebook ermöglicht es sogar, bestimmte Kunden oder Kundensegmente mit anderen Werbeanzeigen anzusteuern als beispielsweise Fans der Facebook-Unternehmensseite oder selektierte Zielgruppen.

Darüber hinaus gibt es weitere Optionen wie die Erstellung von sogenannten Lookalike Audiences, wobei die Streueffekte des weitverflochtenen Facebook-Netzes genutzt und User erreicht werden, die einer bestehender Customer Audience, den Fans einer bestehenden Facebook-Seite oder Nutzern eines Conversion Pixels ähneln.

Ist Facebook Custom Audiences datenschutzrechtlich zulässig oder rechtswidrig?

Über die Integration des Zählpixels auf der eigenen Homepage ermöglicht der Webseiteninhaber bzw. Werbende Facebook einen weitgehenden Zugriff auf kostbare Werbedaten – und hier liegt das Problem. Zwar gibt der Werbende nicht in jedem Fall die Daten seiner Kunden frei, dennoch überträgt das Custom-Audience-Zählpixel stets die Facebook-ID der Webseitenbesucher mit einem Facebook-Konto.

Werden ganze Kundenstämme hochgeladen, gibt der Werbende sogar – ohne dass die Kunden des werbenden Unternehmens dazu etwas beitragen müssen – Daten wie E-Mail-Adresse oder Telefonnummer, Facebook ID oder Mobile Advertiser ID weiter. Zwar werden auch diese Daten beim Upload gehasht und sollen somit nicht mehr identifizierbar sein. Allerdings kann Facebook die hochgeladenen Daten sehr wohl mit denen im eigenen System abgleichen und somit die überlieferten Daten eindeutig einem konkreten Facebook-Nutzer zuordnen. Facebook weiß also genau, welcher einzelne Facebook-Nutzer vom Unternehmen werblich angesprochen werden soll.

Die Bayerische Landesdatenschutzbehörde hat sich intensiv mit der technischen Funktionsweise des „Hashens der Daten der Webseiten Besucher“ auseinandergesetzt. Der aktuelle Tätigkeitsbericht kommt dabei zu dem Schluss, dass Hashwerte schnell zurückzurechnen sind und somit kein ausreichend schützendes Anonymisierungsverfahren darstellen. Dazu heißt es im Einzelnen:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“

Gegebenenfalls könnte Facebook somit sogar ohne größeren Aufwand Hashwerte derer zurückrechnen und eindeutig identifizierbar machen, die zwar auf der Website, die das Custom Audience Pixel eingebaut hat unterwegs waren, jedoch nicht bei Facebook registriert sind.

Wie sollte zukünftig mit Facebook Custom Audiences umgegangen werden?

Die Datenschutzbehörde Bayern macht zumindest für Unternehmen im eigenen Bundesland klar, dass diese bei Nutzung des Tools ein Bußgeldverfahren riskieren. Um sich vor solchen schwerwiegenden Konsequenzen zu schützen, sollten Werbetreibende zumindest in Bayern die Prozesse so fassen, dass die Einwilligung der Personen, deren Daten an Facebook übermittelt werden, eingeholt werden kann. Dabei reicht es nicht aus, die Betreffenden im Rahmen der Datenschutzerklärung auf der Website über den Einsatz von Facebook Custom Audience zu belehren. Vielmehr muss der Betroffene ausdrücklich in die Weiterreichung der Daten an Facebook einwilligen.

Ob die Verwendung von Facebook Custom Audiences auf eine andere Rechtfertigung als die explizite Einwilligung des Betroffenen gestützt werden kann, kann nur im Einzelfall vorsichtig abgewogen werden. Das Signal der Bayrischen Aufsichtsbehörde ist diesbezüglich zunächst wohl aber als richtungsweisend zu verstehen.

Da Wettbewerber Datenschutzverstöße wettbewerbsrechtlich über § 4 Nr. 11 UWG gesondert angreifen können zeigt, dass experimentelle Tools wie Facebook Custom Audiences in Deutschland ein erhebliches Risiko für Unternehmer bergen. Durch den individuellen Tracking-Pixel-Code in der jeweiligen Website können Konkurrenten auch jederzeit feststellen, ob Verstöße abgestellt oder perpetuiert werden. Doch im Datenschutzrecht gilt auch, dass nur derjenige, der selbst frei von Schuld ist, den ersten Stein werfen möge. Und das Unternehmen, das datenschutzrechtlich zu 100% konform arbeitet, ist so etwas wie ein Einhorn - nämlich ein Mythos.

Einen Kommentar schreiben

Tags

Kleinanlegerschutz News Jugendschutzfilter EuGH Bachblüten Hotels Mindestlohn Phishing Kekse Meldepflicht Irreführung Auftragsdatenverarbeitung Touristik Hotelkonzept Google AdWords Boehmermann Dokumentationspflicht Suchmaschinen Keyword-Advertising Wettbewerb Expedia.com Foto Crowdfunding Direktmarketing Haftungsrecht Sterne handel Türkisch §75f HGB E-Mail Fotografen Kundendaten CRM Medienrecht Ruby on Rails Datenschutz Adwords Kündigung Kreditkarten Meinungsfreiheit Textilien Annual Return E-Commerce neu jahresabschluss § 50 MarkenG Schadensfall Urteil E-Mail-Marketing Diskriminierung Vertragsrecht FTC SEA Ratenparität Zustellbevollmächtigter ReFa Scam ADV Lebensmittel PPC Markensperre Opentable Hotel Filesharing Wettbewerbsrecht Conversion Rabattangaben Neujahr Lizenzrecht handelsrecht Handynummer Arbeitsrecht Schadenersatz Klassifizierung ISPs Geschmacksmuster Urheberrecht Impressumspflicht Datengeheimnis Webdesign videoüberwachung Erschöpfungsgrundsatz LMIV Class Action Insolvenz Persönlichkeitsrecht Hotelvermittler LG Köln Stellenausschreibung urheberrechtsschutz Bundesmeldegesetz Berlin anwaltsserie Hacking Finanzaufsicht HSMA Marke Unterscheidungskraft selbstanlageverfahren Verfügbarkeit Stellenangebot Check-in USPTO Kundenbewertungen Online Marketing Presserecht Zahlungsdaten Herkunftsfunktion LinkedIn Xing Kunsturhebergesetz Schleichwerbung Bestandsschutz wetteronline.de Marketing Data Breach WLAN Geschäftsführer wallart Bildrechte Einstellungsverbot Urlaub Gepäck Leipzig § 4 UWG Privacy Human Resource Management Konferenz Suchmaschinenbetreiber Spitzenstellungsbehauptung Abmahnung Rechtsprechung Extremisten Panoramafreiheit Werktitel Distribution § 5 UWG UWG Panorama Unlauterer Wettbewerb Kennzeichnung fristen Anmeldung Newsletter Limited Double-Opt-In Einwilligung Geschäftsanschrift Markenrecht Löschung Hausrecht Website Flugzeug AGB AstraDirekt Meinung Wettbewerbsbeschränkung § 24 MarkenG Bewertung Kennzeichnungskraft Reisen brexit Messe Störerhaftung Freelancer IT-Sicherheit Duldungsvollmacht Online Informationsfreiheit LG Hamburg BDSG Verbandsklage Job Handelsregister Vertragsgestaltung Amazon Tipppfehlerdomain USA Reise Ofcom data Urteile Datensicherheit Soziale Netzwerke Beacons Rechtsanwaltsfachangestellte EC-Karten Linkhaftung Haftung § 5 MarkenG Blog Bafin Unionsmarke #bsen Custom Audiences Behinderungswettbewerb vertrag Technologie Asien Großbritannien

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2016, alle Rechte vorbehalten




Spirit Legal LLP hat 4.77 von 5 Sterne | 42 Bewertungen auf ProvenExpert.com