• Deutsch
  • Aktuelles
  • Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

Ist Facebook Custom Audiences mit deutschem Datenschutzrecht vereinbar?

++UPDATE++UPDATE+++

Dieser Artikel entspricht nicht mehr der aktuellen Rechtslage. Einen aktuellen Beitrag finden Sie hier.

Junge Frau mit Smartphone in den Händen
Passgenaue Zielgruppenansprache über Facebook besser nur mit Einwilligung | © kaboompics.com

Bayerische Datenschutzbehörde zeigt Richtung auf

Mit seinem Tool „Custom Audiences“ verspricht Facebook eine zielgenaue Werbeansprache. Während Werbetreibende sich davon Großes erhoffen, bleiben jedoch Zweifel, ob das Gimmick des sozialen Netzwerks tatsächlich mit dem deutschen Datenschutz vereinbar ist.

 

Ist Facebook Custom Audiences datenschutzrechtlich zulässig oder rechtswidrig?

Über die Integration des Zählpixels auf der eigenen Homepage ermöglicht der Webseiteninhaber bzw. Werbende Facebook einen weitgehenden Zugriff auf kostbare Werbedaten – und hier liegt das Problem. Zwar gibt der Werbende nicht in jedem Fall die Daten seiner Kunden frei, dennoch überträgt das Custom-Audience-Zählpixel stets die Facebook-ID der Webseitenbesucher mit einem Facebook-Konto.

Werden ganze Kundenstämme hochgeladen, gibt der Werbende sogar – ohne dass die Kunden des werbenden Unternehmens dazu etwas beitragen müssen – Daten wie E-Mail-Adresse oder Telefonnummer, Facebook ID oder Mobile Advertiser ID weiter. Zwar werden auch diese Daten beim Upload gehasht und sollen somit nicht mehr identifizierbar sein. Allerdings kann Facebook die hochgeladenen Daten sehr wohl mit denen im eigenen System abgleichen und somit die überlieferten Daten eindeutig einem konkreten Facebook-Nutzer zuordnen. Facebook weiß also genau, welcher einzelne Facebook-Nutzer vom Unternehmen werblich angesprochen werden soll.

Die Bayerische Landesdatenschutzbehörde hat sich intensiv mit der technischen Funktionsweise des „Hashens der Daten der Webseiten Besucher“ auseinandergesetzt. Der aktuelle Tätigkeitsbericht kommt dabei zu dem Schluss, dass Hashwerte schnell zurückzurechnen sind und somit kein ausreichend schützendes Anonymisierungsverfahren darstellen. Dazu heißt es im Einzelnen:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“

Gegebenenfalls könnte Facebook somit sogar ohne größeren Aufwand Hashwerte derer zurückrechnen und eindeutig identifizierbar machen, die zwar auf der Website, die das Custom Audience Pixel eingebaut hat unterwegs waren, jedoch nicht bei Facebook registriert sind.

Was ist das Ziel von Facebook Custom Audiences?

Facebook Custom Audiences ermöglicht eine zielgenaue Bewerbung bestimmter Zielgruppen bei Facebook. Eine Zielgruppe kann dabei zum Beispiel Bestandskunden, Interessenten oder Besucher der eigenen Website umfassen. Diese können dann auf Facebook gezielt mit Anzeigen des eigenen Unternehmens angesprochen werden. So kann beispielsweise Besuchern der Unternehmenswebsite beim nächsten Facebook-Besuch vorgeschlagen werden, die Facebook Page des Unternehmens mit einem Like zu versehen. Möglich wäre es aber auch, bei einem weiteren Kauf eines Produkts auf der Unternehmenswebsite einen Rabatt in der Höhe von x% anzubieten.

Im Head-Bereich der Website des werbenden Unternehmens muss dafür ein Custom Audience Pixel eingebunden werden. Mittels eines solchen Zählpixels können Websitebesucher markiert und beim nächsten Besuch im sozialen Netzwerk von Facebook wiedererkannt werden. Das Pixel spielt laut Facebook allgemeine Informationen zur Browsersitzung sowie der besuchten Website an Facebook und übermittelt die gehashte Facebook ID des Webseitennutzers. Facebook nimmt die markierten und erkannten Webseitenbesucher dann in die vom Werbenden definierte Interessenliste („Custom Audience“) auf und spielt die für sie definierte Werbung aus.

Daneben kann der Werbende auch ganze Kundenstämme aus seiner CRM-Datenbank bei Facebook hochladen. Dadurch können dann auch diese Kunden – sofern sie ein Facebook-Konto haben – über das soziale Netzwerk mit Unternehmenswerbung angesprochen werden. Facebook ermöglicht es sogar, bestimmte Kunden oder Kundensegmente mit anderen Werbeanzeigen anzusteuern als beispielsweise Fans der Facebook-Unternehmensseite oder selektierte Zielgruppen.

Darüber hinaus gibt es weitere Optionen wie die Erstellung von sogenannten Lookalike Audiences, wobei die Streueffekte des weitverflochtenen Facebook-Netzes genutzt und User erreicht werden, die einer bestehender Customer Audience, den Fans einer bestehenden Facebook-Seite oder Nutzern eines Conversion Pixels ähneln.

Wie sollte zukünftig mit Facebook Custom Audiences umgegangen werden?

Die Datenschutzbehörde Bayern macht zumindest für Unternehmen im eigenen Bundesland klar, dass diese bei Nutzung des Tools ein Bußgeldverfahren riskieren. Um sich vor solchen schwerwiegenden Konsequenzen zu schützen, sollten Werbetreibende zumindest in Bayern die Prozesse so fassen, dass die Einwilligung der Personen, deren Daten an Facebook übermittelt werden, eingeholt werden kann. Dabei reicht es nicht aus, die Betreffenden im Rahmen der Datenschutzerklärung auf der Website über den Einsatz von Facebook Custom Audience zu belehren. Vielmehr muss der Betroffene ausdrücklich in die Weiterreichung der Daten an Facebook einwilligen.

Ob die Verwendung von Facebook Custom Audiences auf eine andere Rechtfertigung als die explizite Einwilligung des Betroffenen gestützt werden kann, kann nur im Einzelfall vorsichtig abgewogen werden. Das Signal der Bayrischen Aufsichtsbehörde ist diesbezüglich zunächst wohl aber als richtungsweisend zu verstehen.

Da Wettbewerber Datenschutzverstöße wettbewerbsrechtlich über § 4 Nr. 11 UWG gesondert angreifen können zeigt, dass experimentelle Tools wie Facebook Custom Audiences in Deutschland ein erhebliches Risiko für Unternehmer bergen. Durch den individuellen Tracking-Pixel-Code in der jeweiligen Website können Konkurrenten auch jederzeit feststellen, ob Verstöße abgestellt oder perpetuiert werden. Doch im Datenschutzrecht gilt auch, dass nur derjenige, der selbst frei von Schuld ist, den ersten Stein werfen möge. Und das Unternehmen, das datenschutzrechtlich zu 100% konform arbeitet, ist so etwas wie ein Einhorn - nämlich ein Mythos.

Kommentar von Robin |

Sehr geehrte Damen und Herren,

ich stehe in Kontakt mit mehreren Ecommerce nutzern innerhalb der EU und wir stellen uns die Fragen, inwiefern die konforme Implementierung von Opt-in / Opt-Out -Möglichkeiten genau abläuft.
99% der von uns betrachteten anderen großen Online-Website innerhalb der EU verwenden folgenden Hinweis auf Ihrer Website:
"Durchs Browsen auf unserer Website stimmen Sie zu, dass ...." . Diese Seiten benutzen alle Facebook-Pixel und sammeln dadurch persönliche Daten ihrer Nutzer. Reicht dieser Satz aus, oder muss tatsächlich ein aktiver opt-in geschehen, durch den auch erst der Pixel aktiviert wird, was maßgeblich analytische Ergebnisse verzerren würde und die Nutzererfahrung maßgeblich beeinträchtigt. Ich würde mich über eine schnelle Antwort sehr freuen, vielen Dank.

LG Robin Ansorge

Antwort von Tilman Herbrich

Sehr geehrter Herr Ansorge,

damit eine wirksame Einwilligung vorliegt, muss sie stets im Vorfeld der anvisierten Datenverarbeitung erteilt werden. Als rechtssicherster Weg erweist sich aufgrund der nicht abschließend geklärten Rechtslage derzeit eine „ausdrückliche Einwilligung“, das heißt es muss ein aktives Opt-in für die Aktivierung des Pixels vorliegen. Ob eine „konkludente Einwilligung“ durch Navigation auf einer Internetseite ausreicht, ist in der Fachliteratur äußerst umstritten, auch im Hinblick auf die DS-GVO. Der Großteil der Aufsichtsbehörden lehnt konkludente Einwilligungen ab.

Unabhängig davon ist bei der Formulierung der Einwilligungsklausel darauf achtzugeben, dass diese hinreichend konkret ist. Das KG (Berlin) hat jüngst eine Einwilligungsklausel in Facebooks App-Zentrum für unwirksam erklärt, unter anderem weil keine eindeutige Zweckfestlegung durch inhaltliche Konkretisierung erfolgte [KG, Urt. v. 22.09.2017 – 5 U 155/14].

Zu beachten ist schließlich die sich im Gesetzgebungsverfahren befindliche ePrivacy-VO. Das EU-Parlament hat sich am 26.10.2017 in seinem Entwurf für eine Vermeidung von Cookie-Bannern ausgesprochen. Einwilligungen sollen vielmehr in technischen Einstellungen von Browsern und App-Anbietern zum Beispiel bei der Installation oder bei einem Update erteilt werden. Insoweit ist das weitere Gesetzgebungsverfahren zur ePrivacy-Verordnung zu beobachten.

Viele Grüße

Tilman Herbrich

Einen Kommentar schreiben

Tags

informationspflichten Reiserecht Annual Return Kennzeichnungskraft ISPs Unterlassung data security Extremisten Event Verfügbarkeit Technologie Algorithmus Transparenz Sicherheitslücke markenanmeldung Bafin § 4 UWG Phishing Schadensfall EC-Karten Resort Abwerbeverbot Datenpanne geldwäsche Schadenersatz 5 UWG Hacking Wettbewerb Hausrecht anwaltsserie Geschäftsführer copter jahresabschluss Beacons Xing Flugzeug Rabattangaben right of publicity Medienrecht Unternehmensgründung Suchmaschinen Vertragsgestaltung News Unionsmarke bgh Werktitel Datenschutzerklärung Creative Commons kündigungsschutz Ferienwohnung html5 Beweislast Preisangabenverordnung Europarecht Kartellrecht Bildrecherche Online Kosmetik datenverlust EuGH Kekse Keyword-Advertising BDSG Boehmermann Asien Verbandsklage Booking.com Online Marketing brexit Weihnachten Human Resource Management zahlungsdienst Preisauszeichnung Art. 13 GMV Zustellbevollmächtigter c/o Crowdfunding Trademark Compliance Erbe ITB ADV Registered #bsen Reise Spitzenstellungsbehauptung Custom Audiences Stellenangebot Produktempfehlungen Abhören Spielzeug Fotografen #emd15 events AstraDirekt Midijob vertrag Ring Algorithmen neu USA Restaurant Kunsturhebergesetz Google Expedia.com Dokumentationspflicht OLG Köln wetteronline.de drohnengesetz Reisen Marketing Hotelvermittler Double-Opt-In videoüberwachung Nutzungsrecht Informationsfreiheit fristen Finanzaufsicht Suchalgorithmus Ratenparität Kinder München schule Ruby on Rails Google AdWords total buy out Vergleichsportale fotos Dynamic Keyword Insertion Webdesign EU-Textilkennzeichnungsverordnung handel Selbstverständlichkeiten OTMR Travel Industry Check-in Scam Kundendaten Presserecht Bundesmeldegesetz Website nutzungsrechte online werbung E-Mail-Marketing Einwilligung Heilkunde Sperrabrede Vertragsrecht information technology Impressum fake news Anmeldung Interview Bachblüten Hotel Türkisch Linkhaftung Panoramafreiheit LinkedIn Onlinevertrieb Prozessrecht Störerhaftung Unlauterer Wettbewerb Stellenausschreibung Geschmacksmuster EU-Kosmetik-Verordnung Apps Social Media Herkunftsfunktion Abmahnung patent Exklusivitätsklausel Niederlassungsfreiheit Bewertung Freelancer GmbH handelsrecht Wettbewerbsrecht arbeitnehmer Gepäck Newsletter AIDA Mindestlohn Einverständnis unternehmensrecht Berlin Kreditkarten entgeltgleichheit Sponsoring Medienprivileg technology Markensperre technik Minijob LG Köln drohnen verlinken NetzDG Bestandsschutz gesellschaftsrecht Internet

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2018, alle Rechte vorbehalten




Spirit Legal LLP hat 4,66 von 5 Sternen | 77 Bewertungen auf ProvenExpert.com