Facebook Custom Audiences: Jetzt prüft die Datenschutzbehörde!

activeMind AG Datenschutzbehörden überprüfen Compliance von Facebook Custom Audiences

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzbehörden hatte sich bisher erst das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) mit einem vernichtenden Urteil zu einer der Custom-Audiences-Varianten geäußert. Gegenüber der activeMind AG bestätigte die Behörde nun, dass bayerische Unternehmen derzeit stichprobenartig auf den Einsatz des Tools überprüft werden, was bundesweit Konsequenzen nach sich ziehen könnte. Wo liegen die datenschutzrechtlichen Schwachstellen von Facebook Custom Audiences? Ist ein datenschutzkonformer Einsatz (mancher Varianten) möglich?

Was sind Facebook Custom Audiences?

Facebook ist eine Goldgrube für Marketers: eine scheinbar unendlich große Zahl potentieller Werbeadressaten, die raffiniertesten Technologien zur Zielgruppendefinition und eine sehr einfache Bedienung. Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Ein werbetreibendes Unternehmen – z.B. ein Shopbetreiber – kann durch Definition sogenannter „Custom Audiences“ in seinem Facebook-Account über das Netzwerk gezielt Personen bewerben lassen, die entweder seine Website besucht haben und / oder zu denen ihm E-Mailadressen oder Telefonnummern vorliegen.

Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Up-Load- und die Website-Variante.

Custom Audiences Upload: gehashte E-Mailadressen und Telefonnummern zur Identifikation von Facebook-Nutzern

Die elektronische Bewerbung eigener Kunden unterliegt in Deutschland strengen Regeln. Oft kommt man um eine Werbeeinwilligung nicht herum, möchte man keine Abmahnungen oder Bußgelder riskieren. Nicht alle Kunden sind jedoch bereit, in Werbung einzuwilligen. Da ist es praktisch, einen Partner wie Facebook zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils für Werbezwecke eingewilligt hat. Bleibt da nur noch, Facebook darüber zu informieren, welche der eigenen Kunden denn über Facebook beworben werden sollen. Außerdem muss Facebook wissen, ob der Kunde überhaupt bei Facebook registriert ist – und entsprechend beworben werden kann. Hierzu benötigt Facebook personenbezogene Daten des werbenden Unternehmens.

Facebook: „Datenweitergabe dank Hashings unproblematisch.“

Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die ein Unternehmen bewerben möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die das werbende Unternehmen auf Facebook hoch lädt. Bei E-Mailadressen und / oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern das werbende Unternehmen verantwortlich ist. Die Weitergabe bedarf grundsätzlich einer Einwilligung des Kunden, die dem werbenden Unternehmen jedoch oft nicht vorliegt. Was ist die Lösung?

Aus Sicht von Facebook ist es möglich, den Personenbezug der Daten aufzuheben, indem die E-Mailadressen und die Telefonnummern vor dem Upload auf Facebook gehasht werden. Beim Hashing wird aus einem Datum ein Wert erzeugt, der einzig und allein aus diesem einen Datum erzeugt werden kann. Der Hashwert ist sozusagen der einzigartige Fingerabdruck eines Datums. Je nach angewandtem Hashing-Verfahren kann dieser Fingerabdruck unterschiedlich komplex sein.

Datenschutzbehörde: „Hashing hebt Personenbezug nicht auf.“

Die bayerische Datenschutzaufsichtsbehörde bezeichnete in ihrem Tätigkeitsbericht für die Jahre 2013/2014 die von Facebook gewählte Hashing-Methode MD5 als unsicher, was technisch in der Tat zutrifft. Demzufolge führe das angewandte Hashing bei Facebook nicht dazu, dass ein Personenbezug der Daten aufgehoben werde. Dies läge vor allem daran, dass die Hashwerte der E-Mailadressen und der Telefonnummern sehr leicht auf die Ursprungswerte zurückzurechnen seien. Die Weitergabe der E-Mailadressen oder der Telefonnummern ohne Einwilligung des Betroffenen stelle daher eine Ordnungswidrigkeit dar, die mit einem Bußgeld von bis zu 300.000 Euro bestraft werden könne.

Genau ein Jahr nach Veröffentlichung des Berichts bestätigte die Behörde nun gegenüber der activeMind AG, dass derzeit stichprobenartige Prüfungen bei bayrischen Unternehmen durchgeführt würden, wobei die Befunde aus dem Tätigkeitsbericht als Prüfungsgrundlage dienen. Erste Ergebnisse der Prüfung werden mit großer Spannung erwartet, vor allem, da Facebook nach eigenen Aussagen zumindest in anderen Bereichen inzwischen auf sichere Hashing-Verfahren setzt.

Weitergabe personenbezogener Daten möglich?

Umstritten ist, ob nicht auch eine Weitergabe personenbezogener Daten an Facebook ohne Einwilligung des Betroffenen rechtskonform sein könnte. Eine Weitergabe an einen Dritten im Sinne von § 3 Abs. 4 Nr. 3a BDSG (Bundesdatenschutzgesetz) ohne Einwilligung des Betroffenen wäre zwar klar rechtswidrig; vorstellbar wäre aber eine Weitergabe im Rahmen einer sogenannten Auftragsdatenverarbeitung (§ 11 BDSG). In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsdatenverarbeiter anzusehen.

Voraussetzung einer rechtswirksamen Auftragsdatenverarbeitung ist allerdings ein schriftlicher Vertrag, in dem u.a. die Weisungsgebundenheit des Auftragnehmers in einzelnen konkreten Verhaltenspflichten festgehalten wird. Während etwa Google bereit ist, einen solchen Vertrag mit den Nutzern von Google Analytics abzuschließen, ist eine solche Bereitschaft seitens Facebook (noch) nicht erkennbar. Somit scheidet auch der Einsatz der Upload-Variante im Wege einer Auftragsdatenverarbeitung derzeit (noch) aus.

Unabhängig davon, ob eine Auftragsdatenverarbeitung mit Facebook in Zukunft einmal möglich sein wird, könnten nach dem datenschutzrechtlichen „Listenprivileg“ (§ 28 Abs. 3 S. 3 BDSG) allenfalls E-Mailadressen, nicht jedoch Telefonnummern für den Datenabgleich genutzt werden.

Custom Audiences Website: Retargeting mit datenschutzrechtlich riskanten Identifikationspotentialen

E-Mailadressen und Telefonnummern liegen Websitebetreibern meist nur von Kunden und Newsletter-Abonnenten vor, nicht jedoch von unbekannten Besuchern der eigenen Website. Mit der Custom-Audiences-Website-Variante können auch Besucher der eigenen Website auf Facebook beworben werden. Hierzu wird ein unternehmensspezifischer Pixel in die Website/ Websites des Unternehmens eingebunden. Besucht ein Facebook-Nutzer die Website, „feuert“ der Pixel technische Daten zum Besuch der Website und zum Besucher (sogenannte Nutzungsdaten) zusammen mit einer gehashten Version der Facebook-ID des Besuchers an Facebook. Über einen Abgleich der abgefeuerten ID mit Hashwerten der bei Facebook gespeicherten IDs kann Facebook feststellen, welche Websitebesucher bei Facebook registriert sind und beworben werden können.

Personenbezug von Daten bei Websitebetreibern wohl nicht gegeben.

Wie bei der Upload-Variante ist auch bei der Website-Variante zunächst entscheidend, ob personenbezogene Daten verarbeitet werden. Im Unterschied zur Upload-Variante ist jedoch nicht nur die Verarbeitung der Daten, sondern auch deren Erhebung durch den Website-Betreiber mithilfe des Retargeting-Pixels in die Prüfung einzubeziehen.

Die Erhebung von Daten über die Nutzung einer Website ist für Werbezwecke erlaubt, wenn die Daten in einem Besucherprofil nicht mit Daten vermischt werden, die eine Identifizierung des Besuchers ermöglichen würden (§ 15 Abs. 3 TMG – Telemediengesetz). Der Inhalt dieser Vorschrift ist in der datenschutzrechtlichen Literatur sehr umstritten. Es ist unter anderem unklar, ob nur die Qualität eines Datums (hohes vs. niedriges Identifikationspotential) oder auch die Quantität (Daten zu Besuchen auf unterschiedlichen Websites in einem Profil zusammengefasst) eine Bestimmbarkeit im Sinne von § 3 Abs. 1 BDSG auslösen können. Die Datenschutzaufsichtsbehörden tendieren dazu, die letztgenannte Auffassung zu befürworten. Unternehmen sollten daher in einer Custom Audience nach Möglichkeit nicht Daten verschiedener Unternehmenswebsites zusammenführen, sondern für jede Website einen eigenen Retargeting-Pixel verwenden.

Nicht zulässig wäre es ferner, die Nutzer-ID mit den Nutzungsdaten zusammenzuführen, da diese unzweifelhaft eine Identifizierung des Nutzers ermöglichen würde. Der Websitebetreiber hat jedoch allenfalls Zugriff auf den Hashwert der Nutzer-ID. Unter der Voraussetzung, dass Facebook inzwischen ein sicheres Hashing-Verfahren anwendet, lägen für den Websitebesucher zu keinem Zeitpunkt personenbezogene Daten vor.

Personenbeziehbarkeit für Facebook kann nicht ausgeschlossen werden.

Ein solch eindeutiges Urteil kann hinsichtlich Facebook nicht gegeben werden. Die entscheidende Frage ist, ob im Abgleich der Hashwerte durch Facebook eine Zusammenführung des Website-Besucherprofils mit identifizierenden Daten des Facebook-Nutzers gesehen werden kann. In diesem Fall läge ein klarer Verstoß gegen § 15 Abs. 3 TMG vor, der eben diese Zusammenführung untersagt. Der § 13 Abs. 4 Nr. 6 TMG verlangt zudem, technisch und organisatorisch sicherzustellen, dass eine Zusammenführung der Nutzungsprofile mit Identifikationsmerkmalen grundsätzlich nicht möglich ist.

Eine Trennung der Daten würde u. a. bedeuten, dass die Nutzungsprofile in den Custom Audiences unter keinen Umständen in die sonstigen Daten der betroffenen Facebook-Nutzer einfließen können (z. B. Daten, die über die Graph Search erreichbar sind). Facebook sichert in den Nutzungsbedingungen zu Facebook Custom Audiences zu,

„anderen Werbetreibenden bzw. Dritten keinen Zugriff auf deine Custom Audiences [zu] gewähren oder Informationen darüber zukommen[zu]lassen und die Custom Audiences auch nicht zu denjenigen Informationen hinzu[zu]fügen, die wir über unsere Nutzer haben, oder interessenbasierte Profile damit [zu] erstellen oder deine Custom Audiences auf andere Art und Weise [zu] nutzen außer um dir Dienstleistungen anzubieten, es sei denn, wir haben deine Erlaubnis oder sind gesetzlich dazu verpflichtet“.

Fraglich ist allerdings, ob diese Zusicherung überhaupt praktisch realisierbar ist. Denn Ziel des Abgleichs ist es ja gerade, die Custom Audiences (mittels der Hashwerte) mit dem Facebook-Nutzer zu verbinden. Mag eine Zusammenführung des Custom-Audiences-Nutzungsprofils mit identifizierenden Daten zum Facebook-Nutzer von Facebook zwar nicht gewünscht sein, so ließe er sich doch durch Facebook problemlos durchführen, indem die Abgleichfunktion der Hashwerte nicht nur für die technisch gesteuerte Auswahl von Facebook-Nutzern, sondern auch zu deren (geheimer) Profilbildung genutzt würde.

Die zu Facebook Custom Audiences bekannten technischen Informationen sind noch zu vage, als dass hier eine abschließende rechtliche Bewertung möglich wäre. Mit Spannung kann daher die Prüfung der Datenschutzaufsicht in Bayern abgewartet werden. Das Landesamt wollte sich gegenüber der activeMind AG allerdings nicht dazu äußern, welche der Facebook Custom Audiences-Varianten Gegenstand der Prüfung seien.

Fazit: Risiken abwägen, Informationspflichten beachten.

Von einem Einsatz der Upload-Variante sollten Unternehmen insbesondere vor dem Hintergrund der noch unveröffentlichten Prüfungsergebnisse der Datenschutzaufsicht Bayern in jedem Fall absehen. Die Datenschutzaufsicht hält das Verfahren derzeit für rechtswidrig und droht mit Bußgeldern. Es ist davon auszugehen, dass Datenschutzbehörden anderer Länder der bayerischen Sicht folgen werden.

Auch bei der Website-Variante bestehen erhebliche rechtliche Risiken. Da sich die Stellungnahme der bayerischen Behörde allerdings explizit nur auf die Upload-Variante von Custom Audiences bezieht und bei der Website-Variante rechtlicher Argumentationsspielraum besteht, ist durchaus nicht ausgeschlossen, dass dieses Verfahren gesetzlichen Maßstäben genügt.

Fest steht hingegen, dass Unternehmen, die Facebook Custom Audiences einsetzen wollen, ihre Websitebesucher datenschutzkonform über den Einsatz des Verfahrens aufklären müssen.

Bitte bewerten Sie diese Inhalte!
[20 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.