activeMind AG Datenschutzbehörden überprüfen Compliance von Facebook Custom Audiences

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzaufsichtsbehörden hat sich mehrfach das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zu Wort gemeldet. Aktueller Stand: Mit etwas Risiko kann die Pixel-Variante ohne sogenannten erweiterten Abgleich auch ohne vorausgehende Einwilligung des Betroffenen genutzt werden, sofern eine ausreichende Transparenz und eine effektive Widerspruchsoption sichergestellt werden. Die Upload-Methode verlangt dagegen die vorausgehende Einwilligung des Nutzers. 

Was sind Facebook Custom Audiences?

Facebook ist eine Goldgrube für Marketers: eine scheinbar unendlich große Zahl potentieller Werbeadressaten, die raffiniertesten Technologien zur Zielgruppendefinition und eine sehr einfache Bedienung. Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Ein werbetreibendes Unternehmen – z. B. ein Shopbetreiber – kann durch Definition sogenannter „Custom Audiences“ in seinem Facebook-Account über das Netzwerk gezielt Personen bewerben lassen, die entweder seine Website besucht haben und/ oder zu denen ihm E-Mailadressen oder Telefonnummern vorliegen.

Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Upload- und die Website-Variante.

Custom Audiences Upload

Gehashte E-Mailadressen und Telefonnummern zur Identifikation von Facebook-Nutzern

Die elektronische Bewerbung eigener Kunden unterliegt in Europa strengen Regeln. Oft kommt man um eine Werbeeinwilligung nicht herum, möchte man keine Abmahnungen oder Bußgelder riskieren. Nicht alle Kunden sind jedoch bereit, in Werbung einzuwilligen. Da ist es praktisch, einen Partner wie Facebook zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils für Werbezwecke eingewilligt hat. Bleibt da nur noch, Facebook darüber zu informieren, welche der eigenen Kunden denn über Facebook beworben werden sollen. Außerdem muss Facebook wissen, ob der Kunde überhaupt bei Facebook registriert ist – und entsprechend beworben werden kann. Hierzu benötigt Facebook Daten des werbenden Unternehmens.

Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die ein Unternehmen bewerben möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die das werbende Unternehmen auf Facebook hochlädt. Bei E-Mailadressen und/ oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern das werbende Unternehmen verantwortlich ist. Die Weitergabe bedarf grundsätzlich einer Einwilligung des Kunden, die dem werbenden Unternehmen jedoch oft nicht vorliegt.

Facebook: „Datenweitergabe dank Hashings unproblematisch.“

Aus Sicht von Facebook ist es möglich, den Personenbezug der Daten aufzuheben, indem die E-Mailadressen und die Telefonnummern vor dem Upload auf Facebook gehasht werden. Beim Hashing wird aus einem Datum ein Wert erzeugt, der einzig und allein aus diesem einen Datum erzeugt werden kann. Der Hashwert ist sozusagen der einzigartige Fingerabdruck eines Datums. Je nach angewandtem Hashing-Verfahren kann dieser Fingerabdruck unterschiedlich komplex sein.

Datenschutzbehörde: „Hashing hebt Personenbezug nicht auf.“

Die bayerische Datenschutzaufsichtsbehörde bezeichnete in ihrem Tätigkeitsbericht für die Jahre 2013/2014 die von Facebook gewählte Hashing-Methode MD5 als unsicher, was technisch in der Tat zutrifft. Demzufolge führe das angewandte Hashing bei Facebook nicht dazu, dass ein Personenbezug der Daten aufgehoben werde. Dies läge vor allem daran, dass die Hashwerte der E-Mailadressen und der Telefonnummern sehr leicht auf die Ursprungswerte zurückzurechnen seien. Die Weitergabe der E-Mailadressen oder der Telefonnummern ohne Einwilligung des Betroffenen stelle daher eine Ordnungswidrigkeit dar, die mit einem Bußgeld bestraft werden könne.

Ende 2015 führte das BayLDA deswegen stichprobenartige Prüfungen bei bayrischen Unternehmen durch. Das Ergebnis:

„Durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung haben wir festgestellt, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Die Unternehmen waren sich aber in keinem Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht. Erst auf unser Schreiben hin wurden sie auf die datenschutzrechtlichen Hintergründe und Fragestellungen aufmerksam.“

Weitergabe personenbezogener Daten möglich?

Umstritten war, ob nicht auch eine Weitergabe personenbezogener Daten an Facebook ohne Einwilligung des Betroffenen rechtskonform sein könnte. Eine Weitergabe an einen Dritten im Sinne von Art. 4 Ziff. 10 DSGVO (EU-Datenschutz-Grundverordnung) ohne Einwilligung des Betroffenen wäre zwar klar rechtswidrig; vorstellbar wäre aber eine Weitergabe im Rahmen einer sogenannten Auftragsverarbeitung (Art. 28, 29 DSGVO). In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsverarbeiter anzusehen.

Voraussetzung einer rechtswirksamen Auftragsverarbeitung ist allerdings ein schriftlicher Vertrag, in dem u.a. die Weisungsgebundenheit des Auftragnehmers in einzelnen konkreten Verhaltenspflichten festgehalten wird. Facebook selbst geht inzwischen davon aus, dass zwischen Unternehmen und Facebook ein Auftragsverarbeitungsverhältnis vorliegt. Nach einem echten Auftragsverarbeitungsvertrag, wie ihn z. B. Google seit vielen Jahren für Google Analytics anbietet, sucht man allerdings vergeblich.

Somit scheidet auch der Einsatz der Upload-Variante im Wege einer Auftragsverarbeitung derzeit (noch) aus.

Unabhängig davon, ob eine Auftragsverarbeitung mit Facebook in Zukunft einmal möglich sein wird, bliebe im Einzelfall zu prüfen, ob die hochgeladenen Daten (E-Mailadressen, Telefonnummern) überhaupt vom Unternehmen für Werbung genutzt werden dürfen. Das Bayerische Verwaltungsgericht Bayreuth ist im Mai 2018 – allerdings noch vor dem Hintergrund des alten deutschen Datenschutzrechts – zu dem Ergebnis gekommen, dass es stets der vorausgehenden Einwilligung des Nutzers sowohl in die Datennutzung als auch in die Datenweitergabe an Facebook bedarf.

Custom Audiences Website

Retargeting mit datenschutzrechtlich riskanten Identifikationspotentialen

E-Mailadressen und Telefonnummern liegen Websitebetreibern meist nur von Kunden und Newsletter-Abonnenten vor, nicht jedoch von unbekannten Besuchern der eigenen Website. Mit der Custom-Audiences-Website-Variante können auch Besucher der eigenen Website auf Facebook beworben werden. Hierzu wird ein unternehmensspezifischer Pixel in die Website des Unternehmens eingebunden. Besucht ein Facebook-Nutzer die Website, übermittelt das Pixel technische Daten zum Besuch der Website und zum Besucher zusammen mit einer gehashten Version der Facebook-ID des Besuchers an Facebook. Über einen Abgleich der übermittelten ID mit Hashwerten der bei Facebook gespeicherten IDs kann Facebook feststellen, welche Websitebesucher bei Facebook registriert sind und beworben werden können.

Personenbezug von Daten bei Websitebetreibern wohl nicht gegeben.

Wie bei der Upload-Variante ist auch bei der Website-Variante zunächst entscheidend, ob personenbezogene Daten verarbeitet werden. Im Unterschied zur Upload-Variante ist jedoch nicht nur die Weitergabe der Daten, sondern auch deren Erhebung durch den Website-Betreiber mithilfe des Retargeting-Pixels in die Prüfung einzubeziehen. Auch für diese Erhebung ist der Websitebetreiber (mit-)verantwortlich und zwar auch dann, wenn er nicht auf die erhobenen Daten zugreifen kann (siehe unser Ratgeber zu Facebook-Fanpages).

Die Erhebung von Daten über die Nutzung einer Website für Werbezwecke ist als Ergebnis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wenn die Daten in einem Besucherprofil nicht mit Daten vermischt werden, die eine Identifizierung des Besuchers ermöglichen würden. Eine Identifizierung könnten bestimmte Datenkategorien ermöglichen (z.B. Name, Standortdaten), aber auch eine große Zahl an verschiedenen an sich nicht personenbezogenen Daten, wenn diese das Trackingprofil des Nutzers einzigartig machen.

Vor diesem Hintergrund sollten Unternehmen in einer Custom Audience nach Möglichkeit nicht Daten verschiedener Unternehmenswebsites zusammenführen, sondern für jede Website ein eigenes Retargeting-Pixel verwenden.

Nicht zulässig wäre es ferner, die Nutzer-ID mit den Nutzungsdaten zusammenzuführen, da diese unzweifelhaft eine Identifizierung des Nutzers ermöglichen würde. Der Websitebetreiber hat jedoch allenfalls Zugriff auf den Hashwert der Nutzer-ID. Unter der Voraussetzung, dass Facebook inzwischen ein sicheres Hashing-Verfahren anwendet, lägen für den Websitebesucher zu keinem Zeitpunkt personenbezogene Daten vor. Im Oktober 2017 wurde allerdings laut BayLDA noch immer auf ein unsicheres Hashverfahren zurückgegriffen.

Sofern kein personenbezogenes Tracking erfolgt, wäre wohl auch die Stellungnahme der deutschen Datenschutzkonferenz zur Fortgeltung des TMG belanglos, wonach jedes Tracking einer vorausgehenden Einwilligung bedürfe. Die Behörden haben Ihre Stellungnahme in einer neueren Stellungnahme nämlich inzwischen soweit präzisiert, dass es sich um ein personenbezogenes Tracking handeln müsse.

Personenbeziehbarkeit für Facebook kann nicht ausgeschlossen werden.

Fraglich ist, ob auch hinsichtlich Facebook eine Personenbezogenheit der Daten verneint werden kann. Im Abgleich der Hashwerte durch Facebook könnte eine Zusammenführung des Website-Besucherprofils mit identifizierenden Daten des Facebook-Nutzers gesehen werden.

Eine echte Trennung der Daten würde voraussetzen, dass die Nutzungsprofile in den Custom Audiences unter keinen Umständen in die sonstigen Daten der betroffenen Facebook-Nutzer einfließen können (z.B. Daten, die über die Graph Search erreichbar sind). Facebook sichert in den Nutzungsbedingungen zu Facebook Custom Audiences folgendes zu:

„Facebook gewährt Dritten oder anderen Werbetreibenden keinen Zugriff auf die Custom Audience(s) und lässt ihnen auch keine Informationen darüber zukommen. Außerdem verwenden wir deine Custom Audience(s) auch nicht, um sie zu denjenigen Informationen hinzuzufügen, die wir über unsere Nutzer/innen haben, oder um interessenbasierte Profile zu erstellen oder für andere Zwecke, außer um dir Dienste bereitzustellen, es sei denn, wir haben deine Erlaubnis oder sind von Rechts wegen dazu verpflichtet.“

Fraglich ist allerdings, ob diese Zusicherung überhaupt praktisch realisierbar ist. Denn Ziel des Abgleichs ist es ja gerade, die Custom Audiences (mittels der Hashwerte) mit dem Facebook-Nutzer zu verbinden. Mag eine Zusammenführung des Custom-Audiences-Nutzungsprofils mit identifizierenden Daten zum Facebook-Nutzer von Facebook zwar nicht gewünscht sein, so ließe er sich doch durch Facebook problemlos durchführen, indem die Abgleichfunktion der Hashwerte nicht nur für die technisch gesteuerte Auswahl von Facebook-Nutzern, sondern auch zu deren (geheimer) Profilbildung genutzt würde.

Fazit: Risiken abwägen, Informationspflichten beachten.

Von einem Einsatz der Upload-Variante ohne vorausgehende Einwilligung des Nutzers sollten Unternehmen vor dem Hintergrund der Stellungnahme der bayrischen Datenschutzaufsicht und des Urteils des VG Bayreuth in jedem Fall absehen. Wird das Verfahren dennoch eingesetzt, drohen hohe Bußgelder.

Die Pixel-Variante ohne sogenannten erweiterten Abgleich kann unter den von der bayrischen Datenschutzaufsicht skizzierten Voraussetzungen mit etwas Risiko eingesetzt werden. Wichtig ist dabei eine ausreichende Information in den Datenschutzhinweisen und die Installation eines echten Widerspruchskripts, das bei Aktivierung jeglichen Datentransfer zu Facebook unterbindet.

Bitte bewerten Sie diese Inhalte!
[24 Bewertung(en)/ratings]

Dieser aktualisierte Artikel wurde zuerst am 17. März 2016 veröffentlicht.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.