• Deutsch
  • Aktuelles
  • Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

++UPDATE++UPDATE+++

Dieser Artikel entspricht nicht mehr der aktuellen Rechtslage. Einen aktuellen Beitrag finden Sie hier.

Junge Frau mit Smartphone in den Händen
Passgenaue Zielgruppenansprache über Facebook besser nur mit Einwilligung | © kaboompics.com

Bayerische Datenschutzbehörde zeigt Richtung auf

Mit seinem Tool „Custom Audiences“ verspricht Facebook eine zielgenaue Werbeansprache. Während Werbetreibende sich davon Großes erhoffen, bleiben jedoch Zweifel, ob das Gimmick des sozialen Netzwerks tatsächlich mit dem deutschen Datenschutz vereinbar ist.

 

Ist Facebook Custom Audiences datenschutzrechtlich zulässig oder rechtswidrig?

Über die Integration des Zählpixels auf der eigenen Homepage ermöglicht der Webseiteninhaber bzw. Werbende Facebook einen weitgehenden Zugriff auf kostbare Werbedaten – und hier liegt das Problem. Zwar gibt der Werbende nicht in jedem Fall die Daten seiner Kunden frei, dennoch überträgt das Custom-Audience-Zählpixel stets die Facebook-ID der Webseitenbesucher mit einem Facebook-Konto.

Werden ganze Kundenstämme hochgeladen, gibt der Werbende sogar – ohne dass die Kunden des werbenden Unternehmens dazu etwas beitragen müssen – Daten wie E-Mail-Adresse oder Telefonnummer, Facebook ID oder Mobile Advertiser ID weiter. Zwar werden auch diese Daten beim Upload gehasht und sollen somit nicht mehr identifizierbar sein. Allerdings kann Facebook die hochgeladenen Daten sehr wohl mit denen im eigenen System abgleichen und somit die überlieferten Daten eindeutig einem konkreten Facebook-Nutzer zuordnen. Facebook weiß also genau, welcher einzelne Facebook-Nutzer vom Unternehmen werblich angesprochen werden soll.

Die Bayerische Landesdatenschutzbehörde hat sich intensiv mit der technischen Funktionsweise des „Hashens der Daten der Webseiten Besucher“ auseinandergesetzt. Der aktuelle Tätigkeitsbericht kommt dabei zu dem Schluss, dass Hashwerte schnell zurückzurechnen sind und somit kein ausreichend schützendes Anonymisierungsverfahren darstellen. Dazu heißt es im Einzelnen:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“

Gegebenenfalls könnte Facebook somit sogar ohne größeren Aufwand Hashwerte derer zurückrechnen und eindeutig identifizierbar machen, die zwar auf der Website, die das Custom Audience Pixel eingebaut hat unterwegs waren, jedoch nicht bei Facebook registriert sind.

Was ist das Ziel von Facebook Custom Audiences?

Facebook Custom Audiences ermöglicht eine zielgenaue Bewerbung bestimmter Zielgruppen bei Facebook. Eine Zielgruppe kann dabei zum Beispiel Bestandskunden, Interessenten oder Besucher der eigenen Website umfassen. Diese können dann auf Facebook gezielt mit Anzeigen des eigenen Unternehmens angesprochen werden. So kann beispielsweise Besuchern der Unternehmenswebsite beim nächsten Facebook-Besuch vorgeschlagen werden, die Facebook Page des Unternehmens mit einem Like zu versehen. Möglich wäre es aber auch, bei einem weiteren Kauf eines Produkts auf der Unternehmenswebsite einen Rabatt in der Höhe von x% anzubieten.

Im Head-Bereich der Website des werbenden Unternehmens muss dafür ein Custom Audience Pixel eingebunden werden. Mittels eines solchen Zählpixels können Websitebesucher markiert und beim nächsten Besuch im sozialen Netzwerk von Facebook wiedererkannt werden. Das Pixel spielt laut Facebook allgemeine Informationen zur Browsersitzung sowie der besuchten Website an Facebook und übermittelt die gehashte Facebook ID des Webseitennutzers. Facebook nimmt die markierten und erkannten Webseitenbesucher dann in die vom Werbenden definierte Interessenliste („Custom Audience“) auf und spielt die für sie definierte Werbung aus.

Daneben kann der Werbende auch ganze Kundenstämme aus seiner CRM-Datenbank bei Facebook hochladen. Dadurch können dann auch diese Kunden – sofern sie ein Facebook-Konto haben – über das soziale Netzwerk mit Unternehmenswerbung angesprochen werden. Facebook ermöglicht es sogar, bestimmte Kunden oder Kundensegmente mit anderen Werbeanzeigen anzusteuern als beispielsweise Fans der Facebook-Unternehmensseite oder selektierte Zielgruppen.

Darüber hinaus gibt es weitere Optionen wie die Erstellung von sogenannten Lookalike Audiences, wobei die Streueffekte des weitverflochtenen Facebook-Netzes genutzt und User erreicht werden, die einer bestehender Customer Audience, den Fans einer bestehenden Facebook-Seite oder Nutzern eines Conversion Pixels ähneln.

Wie sollte zukünftig mit Facebook Custom Audiences umgegangen werden?

Die Datenschutzbehörde Bayern macht zumindest für Unternehmen im eigenen Bundesland klar, dass diese bei Nutzung des Tools ein Bußgeldverfahren riskieren. Um sich vor solchen schwerwiegenden Konsequenzen zu schützen, sollten Werbetreibende zumindest in Bayern die Prozesse so fassen, dass die Einwilligung der Personen, deren Daten an Facebook übermittelt werden, eingeholt werden kann. Dabei reicht es nicht aus, die Betreffenden im Rahmen der Datenschutzerklärung auf der Website über den Einsatz von Facebook Custom Audience zu belehren. Vielmehr muss der Betroffene ausdrücklich in die Weiterreichung der Daten an Facebook einwilligen.

Ob die Verwendung von Facebook Custom Audiences auf eine andere Rechtfertigung als die explizite Einwilligung des Betroffenen gestützt werden kann, kann nur im Einzelfall vorsichtig abgewogen werden. Das Signal der Bayrischen Aufsichtsbehörde ist diesbezüglich zunächst wohl aber als richtungsweisend zu verstehen.

Da Wettbewerber Datenschutzverstöße wettbewerbsrechtlich über § 4 Nr. 11 UWG gesondert angreifen können zeigt, dass experimentelle Tools wie Facebook Custom Audiences in Deutschland ein erhebliches Risiko für Unternehmer bergen. Durch den individuellen Tracking-Pixel-Code in der jeweiligen Website können Konkurrenten auch jederzeit feststellen, ob Verstöße abgestellt oder perpetuiert werden. Doch im Datenschutzrecht gilt auch, dass nur derjenige, der selbst frei von Schuld ist, den ersten Stein werfen möge. Und das Unternehmen, das datenschutzrechtlich zu 100% konform arbeitet, ist so etwas wie ein Einhorn - nämlich ein Mythos.

Kommentar von Robin |

Sehr geehrte Damen und Herren,

ich stehe in Kontakt mit mehreren Ecommerce nutzern innerhalb der EU und wir stellen uns die Fragen, inwiefern die konforme Implementierung von Opt-in / Opt-Out -Möglichkeiten genau abläuft.
99% der von uns betrachteten anderen großen Online-Website innerhalb der EU verwenden folgenden Hinweis auf Ihrer Website:
"Durchs Browsen auf unserer Website stimmen Sie zu, dass ...." . Diese Seiten benutzen alle Facebook-Pixel und sammeln dadurch persönliche Daten ihrer Nutzer. Reicht dieser Satz aus, oder muss tatsächlich ein aktiver opt-in geschehen, durch den auch erst der Pixel aktiviert wird, was maßgeblich analytische Ergebnisse verzerren würde und die Nutzererfahrung maßgeblich beeinträchtigt. Ich würde mich über eine schnelle Antwort sehr freuen, vielen Dank.

LG Robin Ansorge

Antwort von Tilman Herbrich

Sehr geehrter Herr Ansorge,

damit eine wirksame Einwilligung vorliegt, muss sie stets im Vorfeld der anvisierten Datenverarbeitung erteilt werden. Als rechtssicherster Weg erweist sich aufgrund der nicht abschließend geklärten Rechtslage derzeit eine „ausdrückliche Einwilligung“, das heißt es muss ein aktives Opt-in für die Aktivierung des Pixels vorliegen. Ob eine „konkludente Einwilligung“ durch Navigation auf einer Internetseite ausreicht, ist in der Fachliteratur äußerst umstritten, auch im Hinblick auf die DS-GVO. Der Großteil der Aufsichtsbehörden lehnt konkludente Einwilligungen ab.

Unabhängig davon ist bei der Formulierung der Einwilligungsklausel darauf achtzugeben, dass diese hinreichend konkret ist. Das KG (Berlin) hat jüngst eine Einwilligungsklausel in Facebooks App-Zentrum für unwirksam erklärt, unter anderem weil keine eindeutige Zweckfestlegung durch inhaltliche Konkretisierung erfolgte [KG, Urt. v. 22.09.2017 – 5 U 155/14].

Zu beachten ist schließlich die sich im Gesetzgebungsverfahren befindliche ePrivacy-VO. Das EU-Parlament hat sich am 26.10.2017 in seinem Entwurf für eine Vermeidung von Cookie-Bannern ausgesprochen. Einwilligungen sollen vielmehr in technischen Einstellungen von Browsern und App-Anbietern zum Beispiel bei der Installation oder bei einem Update erteilt werden. Insoweit ist das weitere Gesetzgebungsverfahren zur ePrivacy-Verordnung zu beobachten.

Viele Grüße

Tilman Herbrich

Einen Kommentar schreiben

Tags

ISPs fake news Handynummer data security Störerhaftung arbeitnehmer hate speech Geschäftsführer Datenschutzbeauftragter online werbung Suchmaschinen Verpackungsgesetz Datenportabilität right of publicity Onlinevertrieb verlinkung Phishing Limited Recap Onlineplattform verbraucherstreitbeilegungsgesetz LinkedIn § 15 MarkenG GmbH § 5 UWG Sponsoring Ferienwohnung Unlauterer Wettbewerb total buy out Cyber Security Kinderrechte Filesharing urheberrechtsschutz Entschädigung transparenzregister Jugendschutzfilter Vertragsrecht Gaming Disorder Persönlichkeitsrecht Anmeldung Kartellrecht Plattformregulierung Abhören Reise Kennzeichnung Beleidigung USA HSMA ePrivacy Kapitalmarkt Meldepflicht Auftragsverarbeitung Kündigung informationstechnologie bgh Rechtsprechung Diskriminierung 3 UWG Geschäftsanschrift EU-Kosmetik-Verordnung Kinder gesellschaftsrecht JointControl Finanzierung Großbritannien Wettbewerbsrecht Vertragsgestaltung Event Hotelkonzept CNIL Know How Gastronomie neu besondere Darstellung Data Protection 2014 zugangsvereitelung selbstanlageverfahren Zustellbevollmächtigter Dynamic Keyword Insertion E-Commerce Single Sign-On Europawahl Informationspflicht LikeButton technology Datensicherheit Autocomplete Social Networks Löschung entgeltgleichheit drohnengesetz Haftungsrecht Arbeitsrecht Corporate Housekeeping Preisangabenverordnung patent Kritik Art. 13 GMV A1-Bescheinigung Adwords Lohnfortzahlung München veröffentlichung Unterlassung Chat Foto nutzungsrechte fotos Journalisten Expedia.com Class Action Internet of Things Arbeitsvertrag Registered Recht Marke data EU-Kommission Xing Buchungsportal Auftragsdatenverarbeitung Hackerangriff Medienstaatsvertrag Online Markensperre zahlungsdienst Datenpanne data privacy Lizenzrecht Facebook Algorithmen Insolvenz Suchmaschinenbetreiber Bestpreisklausel kündigungsschutz handelsrecht Sicherheitslücke recht am eigenen bild Datenschutzgesetz kommunen Überwachung Bildrecherche Ring Panoramafreiheit Textilien Beschäftigtendatenschutz Hinweispflichten Kekse Digitalwirtschaft Annual Return Einstellungsverbot Midijob Finanzaufsicht Machine Learning Telefon brexit Irreführung Linkhaftung copter datenverlust Consent Management whatsapp #bsen Verfügbarkeit ransom Home-Office Kennzeichnungskraft NetzDG Compliance Bots Gesamtpreis Osteopathie §75f HGB Blog verlinken Niederlassungsfreiheit Gesundheit Bewertung Herkunftsfunktion Dokumentationspflicht Einverständnis Online-Bewertungen Kosmetik Duldungsvollmacht Erdogan Türkisch OTMR gdpr Algorithmus Transparenz Weihnachten Informationsfreiheit targeting Human Resource Management Urheberrecht Markeneintragung Mitarbeiterfotografie Tipppfehlerdomain CRM Kundenbewertung

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2019, alle Rechte vorbehalten