• Deutsch
  • Aktuelles
  • Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

++UPDATE++UPDATE+++

Dieser Artikel entspricht nicht mehr der aktuellen Rechtslage. Einen aktuellen Beitrag finden Sie hier.

Junge Frau mit Smartphone in den Händen
Passgenaue Zielgruppenansprache über Facebook besser nur mit Einwilligung | © kaboompics.com

Bayerische Datenschutzbehörde zeigt Richtung auf

Mit seinem Tool „Custom Audiences“ verspricht Facebook eine zielgenaue Werbeansprache. Während Werbetreibende sich davon Großes erhoffen, bleiben jedoch Zweifel, ob das Gimmick des sozialen Netzwerks tatsächlich mit dem deutschen Datenschutz vereinbar ist.

 

Ist Facebook Custom Audiences datenschutzrechtlich zulässig oder rechtswidrig?

Über die Integration des Zählpixels auf der eigenen Homepage ermöglicht der Webseiteninhaber bzw. Werbende Facebook einen weitgehenden Zugriff auf kostbare Werbedaten – und hier liegt das Problem. Zwar gibt der Werbende nicht in jedem Fall die Daten seiner Kunden frei, dennoch überträgt das Custom-Audience-Zählpixel stets die Facebook-ID der Webseitenbesucher mit einem Facebook-Konto.

Werden ganze Kundenstämme hochgeladen, gibt der Werbende sogar – ohne dass die Kunden des werbenden Unternehmens dazu etwas beitragen müssen – Daten wie E-Mail-Adresse oder Telefonnummer, Facebook ID oder Mobile Advertiser ID weiter. Zwar werden auch diese Daten beim Upload gehasht und sollen somit nicht mehr identifizierbar sein. Allerdings kann Facebook die hochgeladenen Daten sehr wohl mit denen im eigenen System abgleichen und somit die überlieferten Daten eindeutig einem konkreten Facebook-Nutzer zuordnen. Facebook weiß also genau, welcher einzelne Facebook-Nutzer vom Unternehmen werblich angesprochen werden soll.

Die Bayerische Landesdatenschutzbehörde hat sich intensiv mit der technischen Funktionsweise des „Hashens der Daten der Webseiten Besucher“ auseinandergesetzt. Der aktuelle Tätigkeitsbericht kommt dabei zu dem Schluss, dass Hashwerte schnell zurückzurechnen sind und somit kein ausreichend schützendes Anonymisierungsverfahren darstellen. Dazu heißt es im Einzelnen:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“

Gegebenenfalls könnte Facebook somit sogar ohne größeren Aufwand Hashwerte derer zurückrechnen und eindeutig identifizierbar machen, die zwar auf der Website, die das Custom Audience Pixel eingebaut hat unterwegs waren, jedoch nicht bei Facebook registriert sind.

Was ist das Ziel von Facebook Custom Audiences?

Facebook Custom Audiences ermöglicht eine zielgenaue Bewerbung bestimmter Zielgruppen bei Facebook. Eine Zielgruppe kann dabei zum Beispiel Bestandskunden, Interessenten oder Besucher der eigenen Website umfassen. Diese können dann auf Facebook gezielt mit Anzeigen des eigenen Unternehmens angesprochen werden. So kann beispielsweise Besuchern der Unternehmenswebsite beim nächsten Facebook-Besuch vorgeschlagen werden, die Facebook Page des Unternehmens mit einem Like zu versehen. Möglich wäre es aber auch, bei einem weiteren Kauf eines Produkts auf der Unternehmenswebsite einen Rabatt in der Höhe von x% anzubieten.

Im Head-Bereich der Website des werbenden Unternehmens muss dafür ein Custom Audience Pixel eingebunden werden. Mittels eines solchen Zählpixels können Websitebesucher markiert und beim nächsten Besuch im sozialen Netzwerk von Facebook wiedererkannt werden. Das Pixel spielt laut Facebook allgemeine Informationen zur Browsersitzung sowie der besuchten Website an Facebook und übermittelt die gehashte Facebook ID des Webseitennutzers. Facebook nimmt die markierten und erkannten Webseitenbesucher dann in die vom Werbenden definierte Interessenliste („Custom Audience“) auf und spielt die für sie definierte Werbung aus.

Daneben kann der Werbende auch ganze Kundenstämme aus seiner CRM-Datenbank bei Facebook hochladen. Dadurch können dann auch diese Kunden – sofern sie ein Facebook-Konto haben – über das soziale Netzwerk mit Unternehmenswerbung angesprochen werden. Facebook ermöglicht es sogar, bestimmte Kunden oder Kundensegmente mit anderen Werbeanzeigen anzusteuern als beispielsweise Fans der Facebook-Unternehmensseite oder selektierte Zielgruppen.

Darüber hinaus gibt es weitere Optionen wie die Erstellung von sogenannten Lookalike Audiences, wobei die Streueffekte des weitverflochtenen Facebook-Netzes genutzt und User erreicht werden, die einer bestehender Customer Audience, den Fans einer bestehenden Facebook-Seite oder Nutzern eines Conversion Pixels ähneln.

Wie sollte zukünftig mit Facebook Custom Audiences umgegangen werden?

Die Datenschutzbehörde Bayern macht zumindest für Unternehmen im eigenen Bundesland klar, dass diese bei Nutzung des Tools ein Bußgeldverfahren riskieren. Um sich vor solchen schwerwiegenden Konsequenzen zu schützen, sollten Werbetreibende zumindest in Bayern die Prozesse so fassen, dass die Einwilligung der Personen, deren Daten an Facebook übermittelt werden, eingeholt werden kann. Dabei reicht es nicht aus, die Betreffenden im Rahmen der Datenschutzerklärung auf der Website über den Einsatz von Facebook Custom Audience zu belehren. Vielmehr muss der Betroffene ausdrücklich in die Weiterreichung der Daten an Facebook einwilligen.

Ob die Verwendung von Facebook Custom Audiences auf eine andere Rechtfertigung als die explizite Einwilligung des Betroffenen gestützt werden kann, kann nur im Einzelfall vorsichtig abgewogen werden. Das Signal der Bayrischen Aufsichtsbehörde ist diesbezüglich zunächst wohl aber als richtungsweisend zu verstehen.

Da Wettbewerber Datenschutzverstöße wettbewerbsrechtlich über § 4 Nr. 11 UWG gesondert angreifen können zeigt, dass experimentelle Tools wie Facebook Custom Audiences in Deutschland ein erhebliches Risiko für Unternehmer bergen. Durch den individuellen Tracking-Pixel-Code in der jeweiligen Website können Konkurrenten auch jederzeit feststellen, ob Verstöße abgestellt oder perpetuiert werden. Doch im Datenschutzrecht gilt auch, dass nur derjenige, der selbst frei von Schuld ist, den ersten Stein werfen möge. Und das Unternehmen, das datenschutzrechtlich zu 100% konform arbeitet, ist so etwas wie ein Einhorn - nämlich ein Mythos.

Einen Kommentar schreiben

Tags

Entschädigung Abwerbeverbot Marke Opentable Zahlungsdaten OTMR Job Crowdfunding Presserecht Finanzierung Human Resource Management handelsrecht Rechtsanwaltsfachangestellte Suchalgorithmus Barcamp Newsletter Art. 13 GMV Einwilligung urheberrechtsschutz technik Direktmarketing ransom Kundendaten Travel Industry Conversion gesellschaftsrecht Distribution Boehmermann Privacy Ferienwohnung § 4 UWG messenger Asien Unionsmarke Dynamic Keyword Insertion besondere Darstellung Autocomplete Interview News hate speech Kleinanlegerschutz Kennzeichnungskraft Hacking Sponsoring targeting LinkedIn Auftragsdatenverarbeitung Amazon Datenschutzrecht Bußgeld Buchungsportal Datenschutzerklärung jahresabschluss Minijob c/o Expedia.com ISPs right of publicity USA 3 UWG Ofcom Internet of Things Gastronomie Impressum Störerhaftung Resort Sperrabrede Urheberrecht Panoramafreiheit Osteopathie Custom Audiences zugangsvereitelung neu 5 UWG recht am eigenen bild data privacy data security Einstellungsverbot Vergütung Geschmacksmuster Gäste verlinkung Abmahnung § 5 UWG § 24 MarkenG Online Verfügbarkeit Compliance Unternehmensgründung Schadenersatz technology Annual Return Kunsturhebergesetz Beacons Schadensfall Kekse Impressumspflicht LG Hamburg USPTO Heilkunde Schleichwerbung Spielzeug Vertragsgestaltung data Personenbezogene Daten ReFa Insolvenz Corporate Housekeeping Erbe Panorama Meinungsfreiheit CRM Duldungsvollmacht Vertragsrecht Meldepflicht Leipzig IT-Sicherheit Lebensmittel Rechtsanwalt Versicherungsrecht Event Markeneintragung Löschung Wettbewerbsverbot Hotel Hotelkonzept transparenzregister Class Action Reise Verbandsklage videoüberwachung ITB Erschöpfungsgrundsatz html5 Online-Bewertungen Informationsfreiheit wetteronline.de PPC gender pay gap Jugendschutzfilter Ratenparität BDSG Google AdWords WLAN Gepäck Textilien GmbH Keyword-Advertising München Kritik Marketing Hotelsterne E-Mail Bewertung Handelsregister EU-Textilkennzeichnungsverordnung EuGH Kündigung #bsen Bestpreisklausel Haftung Facebook Recht Infosec Soziale Netzwerke HSMA Onlinevertrieb E-Commerce #emd15 Online Marketing Sitzverlegung Presse bgh Check-in Urteile LG Köln Rechtsprechung Suchmaschinen Hotels Team SEA Bafin wallart Online-Portale Großbritannien Ruby on Rails Xing Fotografen Sicherheitslücke Medienrecht Bachblüten Rechtsanwältin Technologie Dokumentationspflicht Lizenzrecht informationstechnologie brexit Werktitel Reisen Influencer

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2017, alle Rechte vorbehalten




Spirit Legal LLP hat 4,77 von 5 Sterne | 63 Bewertungen auf ProvenExpert.com