Facebook Custom Audiences: datenschutzkonform einsetzbar?

Seit der Einführung des Facebook-Marketingtools „Facebook Custom Audiences“ im Jahr 2012 war unklar, ob ein datenschutzkonformer Einsatz für werbetreibende Unternehmen möglich ist. Von den deutschen Datenschutzaufsichtsbehörden hat sich mehrfach das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) dazu zu Wort gemeldet. Mittlerweile liegen einige Gerichtsurteile vor, die etwas Klarheit bringen.

UPDATE: Der Verwaltungsgerichtshof (VGH) München hat in seinem Beschluss vom 26. September 2018 (Az.: 5 CS 18.1157) das Urteil des Verwaltungsgerichts (VG) Bayreuth und so eine Anordnung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) bestätigt. Er stellt damit klar, dass die Aufsichtsbehörde den Betreiber eines Onlineshops zurecht zur Löschung einer Kundenliste (“Custom Audience“) verpflichtet hat. Er hält ferner fest, dass es sich beim Einsatz von Facebook Custom Audience nicht um einen Fall der Auftragsverarbeitung handelt, weil Facebook einen eigenen Bewertungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat.

Was sind Facebook Custom Audiences?

Facebook ist eine Goldgrube für Marketers: eine scheinbar unendlich große Zahl potentieller Werbeadressaten, die raffiniertesten Technologien zur Zielgruppendefinition und eine sehr einfache Bedienung. Eines der beliebtesten Werbeverfahren ist Facebook Custom Audiences. Ein werbetreibendes Unternehmen – z. B. ein Shopbetreiber – kann durch Definition sogenannter „Custom Audiences“ in seinem Facebook-Account über das Netzwerk gezielt Personen bewerben lassen, die entweder seine Website besucht haben und/ oder zu denen ihm E-Mailadressen oder Telefonnummern vorliegen.

Facebook Custom Audiences gibt es in verschiedenen Varianten, die datenschutzrechtlich unterschiedlich zu bewerten sind. Die zwei bekanntesten Varianten sind die Upload- und die Website-Variante.

Custom Audiences Upload

Gehashte E-Mailadressen und Telefonnummern zur Identifikation von Facebook-Nutzern

Die elektronische Bewerbung eigener Kunden unterliegt in Europa strengen Regeln. Oft kommt man um eine Werbeeinwilligung nicht herum, möchte man keine Abmahnungen oder Bußgelder riskieren. Nicht alle Kunden sind jedoch bereit, in Werbung einzuwilligen. Da ist es praktisch, einen Partner wie Facebook zu haben, dem gegenüber der Kunde bereitwillig (wenn auch nicht unbedingt rechtswirksam) in die Nutzung seines veröffentlichten Profils für Werbezwecke eingewilligt hat. Bleibt da nur noch, Facebook darüber zu informieren, welche der eigenen Kunden denn über Facebook beworben werden sollen. Außerdem muss Facebook wissen, ob der Kunde überhaupt bei Facebook registriert ist – und entsprechend beworben werden kann. Hierzu benötigt Facebook Daten des werbenden Unternehmens.

Der Abgleich verfügbarer Facebook-Profile mit den Kunden, die ein Unternehmen bewerben möchte, erfolgt in der Upload-Variante über E-Mailadressen oder Telefonnummern, die das werbende Unternehmen auf Facebook hochlädt. Bei E-Mailadressen und/ oder Telefonnummern handelt es sich aus datenschutzrechtlicher Sicht meist um personenbezogene Daten, für deren Weitergabe nicht Facebook, sondern das werbende Unternehmen verantwortlich ist. Die Weitergabe bedarf grundsätzlich einer Einwilligung des Kunden, die dem werbenden Unternehmen jedoch oft nicht vorliegt.

Facebook: „Datenweitergabe dank Hashings unproblematisch.“

Aus Sicht von Facebook ist es möglich, den Personenbezug der Daten aufzuheben, indem die E-Mailadressen und die Telefonnummern vor dem Upload auf Facebook gehasht werden. Beim Hashing wird aus einem Datum ein Wert erzeugt, der einzig und allein aus diesem einen Datum erzeugt werden kann. Der Hashwert ist sozusagen der einzigartige Fingerabdruck eines Datums. Je nach angewandtem Hashing-Verfahren kann dieser Fingerabdruck unterschiedlich komplex sein.

Datenschutzbehörde: „Hashing hebt Personenbezug nicht auf.“

Die bayerische Datenschutzaufsichtsbehörde bezeichnete in ihrem Tätigkeitsbericht für die Jahre 2013/2014 die von Facebook gewählte Hashing-Methode MD5 als unsicher, was technisch in der Tat zutrifft. Demzufolge führe das angewandte Hashing bei Facebook nicht dazu, dass ein Personenbezug der Daten aufgehoben werde. Dies läge vor allem daran, dass die Hashwerte der E-Mailadressen und der Telefonnummern sehr leicht auf die Ursprungswerte zurückzurechnen seien. Die Weitergabe der E-Mailadressen oder der Telefonnummern ohne Einwilligung des Betroffenen stelle daher eine Ordnungswidrigkeit dar, die mit einem Bußgeld bestraft werden könne.

Ende 2015 führte die Behörde führte das BayLDA deswegen stichprobenartige Prüfungen bei bayrischen Unternehmen durch. Das Ergebnis:

„Durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung haben wir festgestellt, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Die Unternehmen waren sich aber in keinem Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht. Erst auf unser Schreiben hin wurden sie auf die datenschutzrechtlichen Hintergründe und Fragestellungen aufmerksam.“

Weitergabe personenbezogener Daten möglich?

Umstritten war, ob nicht auch eine Weitergabe personenbezogener Daten an Facebook im Rahmen einer Auftragsverarbeitung ohne Einwilligung des Betroffenen rechtskonform sein könnte. In diesem Fall wäre Facebook nicht als Dritter, sondern als weisungsgebundener Auftragsverarbeiter anzusehen gewesen.

Das Bayerische Verwaltungsgericht Bayreuth ist im Mai 2018 – noch vor dem Hintergrund des alten deutschen Datenschutzrechts – zu dem Ergebnis gekommen, dass es sich nicht um einen Fall der Auftragsverarbeitung handelt, sondern um eine Übermittlung an einen Dritten und dass es damit es stets der vorausgehenden Einwilligung des Nutzers sowohl in die Datennutzung als auch in die Datenweitergabe an Facebook bedarf. Diese Bewertung hat nun der VGH München bestätigt und ausführlich begründet, warum es sich nicht um einen Fall der Auftragsverarbeitung handelt.

Er trifft dabei drei Kernaussagen zur Auftragsverarbeitung, die voraussichtlich auch im Rahmen der DSGVO Fortgeltung haben werden:

  1. Maßgebend für die Einordnung eines Vorgangs als Auftragsverarbeitung ist eine objektive Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden tatsächlichen Abläufe – das schließen eines Auftragsverarbeitungsvertrages macht den Dritten nicht zum Auftragsverarbeiter.
  2. Zur Bewertung, ob faktisch ein Auftragsverarbeitungsverhältnis vorliegt, kommt es darauf an, ob das beauftragte Unternehmen ob ein eigener Entscheidungs- und Ermessensspielraum durch den Auftraggeber ausgeschlossen wird (beispielsweise durch Vorgabe ausdifferenzierter Bewertungskriterien) oder ob das beauftragte Unternehmen ohne Vorgaben über die Datenverarbeitung entscheidet.
  3. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen Auftragsverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen. (Stichwort „Weisungsgebundenheit“)

Custom Audiences Website

Retargeting mit datenschutzrechtlich riskanten Identifikationspotentialen

E-Mailadressen und Telefonnummern liegen Websitebetreibern meist nur von Kunden und Newsletter-Abonnenten vor, nicht jedoch von unbekannten Besuchern der eigenen Website. Mit der Custom-Audiences-Website-Variante können auch Besucher der eigenen Website auf Facebook beworben werden. Hierzu wird ein unternehmensspezifischer Pixel in die Website des Unternehmens eingebunden. Besucht ein Facebook-Nutzer die Website, übermittelt das Pixel technische Daten zum Besuch der Website und zum Besucher zusammen mit einer gehashten Version der Facebook-ID des Besuchers an Facebook. Über einen Abgleich der übermittelten ID mit Hashwerten der bei Facebook gespeicherten IDs kann Facebook feststellen, welche Websitebesucher bei Facebook registriert sind und beworben werden können.

Personenbezug von Daten bei Websitebetreibern wohl nicht gegeben.

Wie bei der Upload-Variante ist auch bei der Website-Variante zunächst entscheidend, ob personenbezogene Daten verarbeitet werden. Im Unterschied zur Upload-Variante ist jedoch nicht nur die Weitergabe der Daten, sondern auch deren Erhebung durch den Website-Betreiber mithilfe des Retargeting-Pixels in die Prüfung einzubeziehen. Auch für diese Erhebung ist der Websitebetreiber (mit-)verantwortlich und zwar auch dann, wenn er nicht auf die erhobenen Daten zugreifen kann (siehe unser Ratgeber zu Facebook-Fanpages).

Die Erhebung von Daten über die Nutzung einer Website für Werbezwecke ist als Ergebnis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erlaubt, wenn die Daten in einem Besucherprofil nicht mit Daten vermischt werden, die eine Identifizierung des Besuchers ermöglichen würden. Eine Identifizierung könnten bestimmte Datenkategorien ermöglichen (z.B. Name, Standortdaten), aber auch eine große Zahl an verschiedenen an sich nicht personenbezogenen Daten, wenn diese das Trackingprofil des Nutzers einzigartig machen.

Vor diesem Hintergrund sollten Unternehmen in einer Custom Audience nach Möglichkeit nicht Daten verschiedener Unternehmenswebsites zusammenführen, sondern für jede Website ein eigenes Retargeting-Pixel verwenden.

Nicht zulässig wäre es ferner, die Nutzer-ID mit den Nutzungsdaten zusammenzuführen, da diese unzweifelhaft eine Identifizierung des Nutzers ermöglichen würde. Der Websitebetreiber hat jedoch allenfalls Zugriff auf den Hashwert der Nutzer-ID. Unter der Voraussetzung, dass Facebook inzwischen ein sicheres Hashing-Verfahren anwendet, lägen für den Websitebesucher zu keinem Zeitpunkt personenbezogene Daten vor. Im Oktober 2017 wurde allerdings laut BayLDA noch immer auf ein unsicheres Hashverfahren zurückgegriffen.

Sofern kein personenbezogenes Tracking erfolgt, wäre wohl auch die Stellungnahme der deutschen Datenschutzkonferenz zur Fortgeltung des TMG belanglos, wonach jedes Tracking einer vorausgehenden Einwilligung bedürfe. Die Behörden haben Ihre Stellungnahme in einer neueren Stellungnahme nämlich inzwischen soweit präzisiert, dass es sich um ein personenbezogenes Tracking handeln müsse.

Personenbeziehbarkeit für Facebook kann nicht ausgeschlossen werden.

Fraglich ist, ob auch hinsichtlich Facebook eine Personenbezogenheit der Daten verneint werden kann. Im Abgleich der Hashwerte durch Facebook könnte eine Zusammenführung des Website-Besucherprofils mit identifizierenden Daten des Facebook-Nutzers gesehen werden.

Eine echte Trennung der Daten würde voraussetzen, dass die Nutzungsprofile in den Custom Audiences unter keinen Umständen in die sonstigen Daten der betroffenen Facebook-Nutzer einfließen können (z.B. Daten, die über die Graph Search erreichbar sind). Facebook sichert in den Nutzungsbedingungen zu Facebook Custom Audiences folgendes zu:

„Facebook gewährt Dritten oder anderen Werbetreibenden keinen Zugriff auf die Custom Audience(s) und lässt ihnen auch keine Informationen darüber zukommen. Außerdem verwenden wir deine Custom Audience(s) auch nicht, um sie zu denjenigen Informationen hinzuzufügen, die wir über unsere Nutzer/innen haben, oder um interessenbasierte Profile zu erstellen oder für andere Zwecke, außer um dir Dienste bereitzustellen, es sei denn, wir haben deine Erlaubnis oder sind von Rechts wegen dazu verpflichtet.“

Fraglich ist allerdings, ob diese Zusicherung überhaupt praktisch realisierbar ist. Denn Ziel des Abgleichs ist es ja gerade, die Custom Audiences (mittels der Hashwerte) mit dem Facebook-Nutzer zu verbinden. Mag eine Zusammenführung des Custom-Audiences-Nutzungsprofils mit identifizierenden Daten zum Facebook-Nutzer von Facebook zwar nicht gewünscht sein, so ließe er sich doch durch Facebook problemlos durchführen, indem die Abgleichfunktion der Hashwerte nicht nur für die technisch gesteuerte Auswahl von Facebook-Nutzern, sondern auch zu deren (geheimer) Profilbildung genutzt würde.

Fazit: Risiken abwägen, Informationspflichten beachten.

Von einem Einsatz der Upload-Variante ohne vorausgehende Einwilligung des Nutzers sollten Unternehmen mit Hinblick auf die Stellungnahme der bayrischen Datenschutzaufsicht, des Urteils des VG Bayreuth und des VGH München in jedem Fall absehen. Die DSGVO stuft werbliche Zwecke zwar als berechtigtes Interesse ein (Erwägungsgrund 47 zur DSGVO), solange hierzu aber keine Aussage der Aufsichtsbehörden oder eine gerichtliche Entscheidung vorliegt, sollte man sich an der bisherigen Bewertung orientieren. Es würde ein nicht unerhebliches Risiko darstellen, die Weitergabe der Daten mit einem überwiegenden berechtigten Interesse des Unternehmens zu begründen.

Die Pixel-Variante ohne sogenannten erweiterten Abgleich kann unter den von der bayrischen Datenschutzaufsicht skizzierten Voraussetzungen mit etwas Risiko eingesetzt werden. Wichtig ist dabei eine ausreichende Information in den Datenschutzhinweisen und die Installation eines echten Widerspruchskripts, das bei Aktivierung jeglichen Datentransfer zu Facebook unterbindet.

Dieser aktualisierte Artikel wurde zuerst am 17. März 2016 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.