Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor Kurzem in einer bayernweiten Prüfaktion 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird.

CUSTOM AUDIENCE ÜBER DIE KUNDENLISTE

Ein Unternehmen, z. B. ein Hersteller von Markenkleidung, erstellt eine Liste, die Name, Wohnort, E- Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält. Diese Kundenliste wird dann im Facebook-Konto des Unternehmens hochgeladen, nachdem die Kundendaten unter Ein- satz eines sogenannten Hash-Verfahrens in feste Zeichenketten umgewandelt wurden. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist. Das Unternehmen startet dann eine Werbekampagne für seine Kunden auf Facebook und wählt eine Zielgruppe aus, die die Werbung erhalten soll. Es erhalten in diesem Fall nur die Facebook-Nutzer Werbung, auf die bestimmte Merkmale oder Interessen der Ziel- gruppe zutreffen. Das bedeutet konkret, dass Facebook entscheidet, wer z. B. genau die junge Frau zwi- schen 20 und 30 Jahren ist, die viel Sport treibt, über ein durchschnittliches Einkommen verfügt, dieses aber überdurchschnittlich gerne für modische Kleidung ausgibt.

CUSTOM AUDIENCE ÜBER PIXEL-VERFAHREN

Ist auf einer Webseite eines Unternehmens ein unsichtbares Facebook-Pixel eingebunden, kann das komplette Online-Verhalten des Nutzers durch Facebook nachvollzogen werden. Ein typisches Szenario sieht so aus: Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natür- lich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten, damit der Kauf doch noch ab- geschlossen werden kann.
Über den Facebook-Pixel ist es aber auch möglich, gezielt Neukunden zu gewinnen und neue Personen anzusprechen, die Webseitenbesuchern ähneln.

DIE AUFSICHTSBEHÖRDE PRÜFT

Wegen zahlreicher Beratungsanfragen bayerischer Unternehmen, die dieses Produkt zur gezielten Werbeschaltung auf Facebook nutzen wollten, aber nicht wissen, ob und wie sie es datenschutzkonform einsetzen können, hatte sich das BayLDA entschlossen, das Produkt näher zu prüfen.
Die Prüfung ergab, dass die Unternehmen, die das Pixel-Verfahren einsetzen, oftmals den Nutzer nicht oder nicht vollständig über den Einsatz von Facebook Custom Audience informierten und kein sog. „Widerspruchs-Verfahren“ (Opt-Out) zur Verfügung stellen. Teilweise wurde die Möglichkeit zum Opt-Out eines Nutzers tech- nisch nicht korrekt umgesetzt, so dass trotz Aktionen datenschutzaffiner Nutzer weiterhin Online-Daten an Facebook flossen. Diese Ergebnisse stellen jeweils einen Verstoß gegen geltendes Datenschutzrecht dar. Außerdem brachte die Prüfung zahlreiche Erkenntnisse darüber, wie Werbenetzwerke funktionieren und welche Techniken sie einsetzen, um den Nutzer zu verfolgen.
Soweit beim Einsatz von Facebook Custom Audience über die Kundenliste Kundendaten direkt an Facebook übermittelt werden, ist das eingesetzte Hashverfahren nicht geeignet, um anonyme Zeichenfolgen zu generieren. Die Hash-Werte können zum Teil mit geringem Aufwand (z. B. wenige Sekunden mit einem handelsüblichen Gaming-PC) wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurückgerechnet werden. Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.
„Uns ist bewusst, dass personalisierte Werbung für die Wirtschaft ein enormer Vorteil ist. Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten. Das hat aber seine Grenzen, wenn gegen geltendes Recht verstoßen wird und der Einzelne nur noch zum Objekt seiner Daten degradiert wird. Der Nutzer hat keine Chance mehr, sich dem zu entziehen. Es findet eine systematische Durchleuchtung der Nutzer durch die Algorithmen von Facebooks Künstlicher Intelligenz (KI) statt. Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozialen Netzwerken sind, werden verfolgt. Als ein Ergebnis unserer Prüfung mussten wir feststellen, dass den geprüften Unternehmen, die Facebook Custom Audience eingesetzt haben, der rechtliche Rahmen häufig völlig unklar war. Unternehmen, die jedoch nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen“, so Thomas Kranig, Präsident des BayLDA.
Um die weit verbreitete Unwissenheit über die rechtlichen Rahmenbedingungen für den Einsatz von Facebook Custom Audience abzubauen, haben wir die wesentlichen Informationen dazu zusammengefasst. Damit können auch bisher nicht geprüfte Unternehmen Klarheit gewinnen, welche datenschutzrechtlichen Rahmenbedingungen zu berücksichtigen sind. „Wir werden diese Prüfung zu gegebener Zeit fortsetzen und dann notfalls die entsprechenden aufsichtlichen Maßnahmen ergreifen“ so Thomas Kranig zum Abschluss dieser Prüfung.

EINSATZ ÜBER KUNDENLISTE RECHTSKONFORM GESTALTEN

Der Einsatz ist nur aufgrund einer informierten Einwilligung der Kunden zulässig. Das Hochladen der Kundenliste kann weder auf eine Rechtsgrundlage des BDSG noch des TMG gestützt werden. Diese Rechtsauffassung beruht auf einer europarechtskonformen Auslegung der geltenden deutschen Datenschutzbestimmungen und berücksichtigt die jüngsten Entscheidungen des EuGH zum Datenschutz. Im Übrigen wird das Übermitteln dieser Liste an Facebook auch auf der Basis des ab Mai 2018 geltenden Rechts, d. h. nach der Datenschutz-Grundverordnung (DS-GVO), nicht ohne Einwilligung zulässig sein.
Widerruf der Einwilligung
Widerruft der Betroffene seine Einwilligung, so muss er von der Kundenliste entfernt werden. Da der Webseiten-Betreiber keine Kenntnis davon hat, welche Kunden auch Nutzer auf Facebook sind und beworben werden, ist die vollständige Custom Audience-Liste unverzüglich zu aktualisieren.

EINSATZ ÜBER PIXEL-VERFAHREN RECHTSKONFORM GESTALTEN

Bindet der Webseiten-Betreiber den Facebook-Pixel auf seiner Webseite ein, so ist er im datenschutzrechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst. Die Einbindung des Facebook-Pixels ist daher nur zulässig, wenn folgende Anforderungen berücksichtigt werden:
Funktion „Erweiterter Abgleich“
Das Facebook-Pixel ermöglicht es, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind. Dadurch werden Webseiten-Besucher über Facebook verfolgt, die bewusst die Speicherung von Third-Party-Cookies unterbinden.
Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Hinweispflicht
Der Verantwortliche ist verpflichtet, den Nutzer/Betroffenen im Rahmen der Datenerhebung darauf hinzuweisen,

• wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),
• welches Verfahren zum Einsatz kommt (Produktname),
• welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
• für welchen Zweck die Datenverarbeitung erfolgt,
• dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen und
• dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.

Opt-Out-Verfahren
Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

• Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.
• Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.
• Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeig- net und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Pro- grammieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.
• Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScript- Funktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook Custom Audience Pixel-Verfahren auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.
• Auch ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur Facebook-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzerkonto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.

Wir weisen darauf hin, dass die o.g. Anforderungen lediglich Hinweise in Bezug auf die Hinweispflichten und Widerspruchsmöglichkeiten darstellen.
Achtung: Verantwortliche, d. h. diejenigen, die Facebook Custom Audience einsetzen, müssen sicherstellen, dass sie den Einsatz von Facebook Custom Audience auf eine geeignete Rechtsgrundlage stellen können. Wenn der Einsatz von Facebook Custom Audience nicht datenschutzrechtlich zulässig erfolgt, ist Adressat einer Anordnungen oder eines Bußgeldbescheides nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.