Ist Facebook Custom Audiences aktuell mit deutschem Datenschutzrecht vereinbar?
Inhaltsverzeichnis
- Wie funktioniert Facebook Custom Audiences?
- Ist Facebook Custom Audiences aus Kundenlisten datenschutzrechtlich zulässig?
- Ist Facebook Custom Audiences aus Webseitenbesuchern datenschutzrechtlich zulässig?
- Wie sollte derzeit mit Facebook Custom Audiences umgegangen werden?
- Wie steht es um die Zukunft von Facebook Custom Audiences?
Wie funktioniert Facebook Custom Audiences?
Für das Ausspielen dynamischer Werbeanzeigen bietet Facebook im Wesentlichen zwei Produktspezifikationen an, „Custom Audiences über deine Kundenliste“ und „Custom Audiences über deine Webseite“. Im ersten Fall kann der Werbende bestimmte Kundenstämme wie zum Beispiel E-Mail-Adresse, Telefonnummer, Facebook ID oder Mobile Advertiser ID aus seiner CRM-Datenbank bei Facebook hochladen, die sodann mittels Hashing-Verfahren in Prüfsummen (Hash-Werte) umgewandelt und mit entsprechend generierten Prüfsummen von Facebook-Nutzerdaten abgeglichen werden. Liegt eine Übereinstimmung der Prüfsummen vor, können Bestandskunden und Interessenten bei Facebook, Instagram sowie über das Audience Network in Apps und auf mobilen Webseiten gezielt Werbeanzeigen ausgespielt werden. Diese Funktion stellt Facebook auch Einzelhändlern für den „Point of Sale“-Bereich unter dem Namen Offline Custom Audiences zur Verfügung.
Im Fall von Custom Audiences über deine Webseite erstreckt sich die Zielgruppe auf Besucher der eigenen Website des Werbetreibenden. So können auch Interessenten, die zum Beispiel ein Produkt in den Warenkorb gelegt haben oder Kunden, die bereits Produkte erworben haben, zielgerichtet beworben werden. Im Head-Bereich der Website des werbenden Unternehmens muss dafür ein Zählpixel (Facebook-Pixel) eingebunden werden, das Websitebesucher markiert und beim nächsten Besuch im sozialen Netzwerk wiedererkennt. Das Pixel spielt laut Facebook hierfür Browserinformationen, besuchte Webseiten sowie eine gehashte Facebook-ID des Webseitennutzers aus. Werbetreibenden wird auf diese Weise ein Retargeting ermöglicht, also Websitebesucher durch ein Facebook-ID bezogenes Cross-Device-Tracking erneut mit Anzeigen auf Facebook geräteübergreifend anzusprechen.
Seit 2016 wird Webseitenbetreibern eine erweiterte Abgleichsfunktion („Advanced Matching“) der Facebook-Pixel angeboten. Durch Einbau der „erweiterten“ Pixel, zum Beispiel im Checkout eines Onlineshops oder in einer Registrierungsseite, können dort eingegebene Bestandsdaten wie die E-Mail-Adresse, Telefonnummer, Vor- und Zuname, Stadt, Postleitzahl, Geschlecht und Geburtsdatum sowie Transaktionsdaten automatisiert an Facebook übermittelt werden. Dabei soll auch das Hashing-Verfahren angewendet werden. Einzelheiten zur Funktionsweise und Implementierung des Facebook-Pixels finden sich hier.
Daneben gibt es weitere Optionen wie zum Beispiel „Custom Audiences über App-Aktivitäten“ im mobilen Bereich. Zu nennen ist schließlich noch die Erstellung von sogenannten Lookalike Audiences, wobei die Streueffekte des weitverflochtenen Facebook-Netzes genutzt und User erreicht werden, die einer bestehender Custom Audiences, den Fans einer bestehenden Facebook-Seite oder Nutzern eines Facebook Pixel ähneln.
Ist Facebook Custom Audiences aus Kundenlisten datenschutzrechtlich zulässig?
In der gestern veröffentlichten Pressemitteilung geht das BayLDA davon aus, Custom Audiences aus Kundenlisten sei nur auf der Grundlage einer Einwilligung nach § 4a BDSG zulässig. Die übermittelten Daten seien trotz des durchgeführten Hashing-Verfahrens zumindest für Facebook personenbezogenen, weshalb der Vorgang einer datenschutzrechtlichen Rechtfertigung bedürfe. Eine Rechtsgrundlage für derartige Vorgänge sei nicht ersichtlich.
In der Tat wird man, trotz des verwendeten Hashing-Algorithmus „SHA-256“, der durchaus als State of the Art bezeichnet werden kann, keine wirksame Anonymisierung annehmen können. Vielmehr handelt es sich um pseudonymisierte Daten, die aus der Perspektive von Facebook einen Personenbezug aufweisen. Facebook kann theoretisch die hochgeladenen CRM-Daten mit denen im eigenen System abgleichen und somit die überlieferten Daten eindeutig einem konkreten Facebook-Nutzer zuordnen. Lediglich für Dritte ist eine Re-Identifizierung aufgrund der Hash-Werte ausgeschlossen.
Das letzte Wort dürfte in der Sache jedoch noch nicht gesprochen sein. Zwar berücksichtigt das BayLDA die noch junge Entscheidung des EuGH in der Rechtssache „Breyer“, wonach bei den für nicht einschlägig erachteten Rechtsgrundlagen stets eine Interessenabwägung erfolgen müsse, damit der geforderten europarechtskonformen Auslegung im Einklang mit Art 7 lit. f) DSRL Rechnung getragen wird. Aufgrund der vorgenommenen Pseudonymisierung als Ausdruck eines Schutzinstruments erscheint eine Interessenabwägung zugunsten des Werbetreibenden nicht völlig ausgeschlossen, wenngleich das BayLDA die Interessenabwägung anders gewichtet.
Fragwürdig ist darüber hinaus die Beurteilung des Addendums, das Facebook Werbekunden zur Verfügung stellt. Es ist nicht abschließend geklärt, ob dieses Dokument als Auftragsdatenverarbeitungsvertrag im Sinne des § 11 BDSG gewertet werden kann. Das BayLDA scheint mangels einer Erwähnung in der Pressemitteilung nicht davon auszugehen, dass der Vertag eine Legitimierungswirkung für die Übermittlung der Daten bewirken kann. Auch diese Rechtsfrage kann man anders beurteilen, weil sich die Vereinbarung ausdrücklich auch auf die anschließende Nutzung bezieht und der Werbekunde für die Weiterverarbeitung voll verantwortlich sein soll.
Ist Facebook Custom Audiences aus Webseitenbesuchern datenschutzrechtlich zulässig?
Entgegen vereinzelter Medienberichte hat das BayLDA keineswegs Custom Audiences aus Webseitenbesuchern für zulässig erachtet. Vielmehr hat es angedeutet, dass § 15 Abs. 3 S. 1 TMG als taugliche Erlaubnisnorm nur dann in Betracht komme, wenn die Voraussetzungen vollständig erfüllt seien. Nach Einschätzung der Aufsichtsbehörde realisieren Webseitenbetreiber das Widerspruchsrecht derzeit nicht in der vom Datenschutzrecht geforderten Weise. Auch müssten die Informationspflichten aus §§ 13 Abs. 1, 15 Abs. 3 S. 2 TMG erfüllt werden, wozu die Angabe der Verantwortlichen (Website-Betreiber und Facebook), der Produktname, die Art der personenbezogenen Daten, die Verarbeitungszwecke, Informationen zum websiteübergreifenden Tracking sowie die Belehrung zum „opt-out“-Verfahren zählen.
Bei der klassischen Ausgestaltung von Website Custom Audiences kann § 15 Abs. 3 S. 1 TMG als Erlaubnisnorm herangezogen werden, weil die abgefragten Datensätze als pseudonymisierte Nutzungsdaten anzusehen sind. Kommt hingegen die erweiterte Abgleichsfunktion zum Einsatz und werden daneben sämtliche Bestandsdaten an Facebook übermittelt, scheidet ein Rückgriff auf § 15 Abs. 3 TMG aus. Es ist zweifelhaft, ob auch hier auf die allgemeinen Erlaubnistatbestände zurückgegriffen werden kann, weil einer uneingeschränkten Berufung auf die Interessenabwägungsklausel gemäß Art 7 lit. f) DSRL Grenzen gesetzt sind, insbesondere wenn man bedenkt, in welchem Umfang Daten Betroffener an Facebook weitergereicht werden.
In puncto der Umsetzung des Widerspruchsrechts ist darauf hinzuweisen, dass in den „Nutzerbedingungen für Custom Audiences von deiner Webseite“ in der Fassung vom 13.01.2017 den Werbekunden angetragen wird, Widerspruchsmöglichkeiten für das Retargeting zu schaffen. Verwiesen wird auf die Bereitstellung von Links auf „opt-out“-Lösungen im Rahmen von Selbstregulierungsprogrammen für nutzungsbasierte Onlinewerbung durch Verbände wie der „European Interactive Digital Advertising Alliance (EDAA)“ und der „Digital Advertising Alliance (DAA)“, denen sich auch Facebook unterworfen hat. Dass solche allgemeinen Widerspruchsmöglichkeiten unzureichend sind, hat das BayLDA ebenfalls betont. Denn nach Kenntnis der Aufsichtsbehörde erfolgt die Erfassung des Nutzerverhaltens trotz einer Deaktivierung auf den Plattformen. Ebenso wenig hilfreich sei die von Facebook in den Settings zur Verfügung gestellte Funktion für Facebook-Mitglieder zur Deaktivierung von Werbeanzeigen, weil damit lediglich die Anzeige von Werbebotschaften unterbunden werde, nicht aber die Datenverarbeitung im Hintergrund. Vielmehr seien die Werbetreibenden gefragt, eigene „opt-out“-Möglichkeiten zu schaffen. So sei eine Implementierung eines eigenen „opt-out“-Cookies durch Programmierung eines entsprechenden JavaScript-Codes mit geringem Aufwand denkbar. Hierbei muss es sich nach Einschätzung des BayLDA um ein „persistentes HTML5-Sorage-Objekt“ mit einer unbegrenzten Gültigkeitsdauer handeln.
Zu bedenken ist jedoch, dass gerade kleinere Unternehmen kaum Kapazitäten für eigene „opt-out“-Lösungen haben dürften. An dieser Stelle ist Facebook gefragt, ähnlich unmittelbare „opt-out“-Alternativen zu schaffen, die über einen Button in der Datenschutzerklärung bedient werden können, wie es bei wie Google Analytics und Adobe Analytics praktiziert wird.
Inwieweit E-Commerce-Anbieter überhaupt eine datenschutzrechtliche Verantwortlichkeit i.S.v. Art. 2 lit. d) DSRL tragen, weil sie ihre Webseiten so konfigurieren, dass Browserdaten nebst gehashter Facebook-ID von Nutzern an das soziale Netzwerk übermittelt werden, ist noch offen. Die erforderliche Rechtssicherheit könnte das anhängige Vorabentscheidungsverfahren beim EuGH zur Verantwortlichkeit von Webseitenbetreibern bringen, die Social Plugins direkt in ihr Angebot einbinden. Die Struktur der Verarbeitungsvorgänge ist insofern vergleichbar.
Wie sollte derzeit mit Facebook Custom Audiences umgegangen werden?
Das BayLDA macht zumindest für Unternehmen im eigenen Bundesland klar, dass diese bei Nutzung des Tools ein Bußgeldverfahren oder gar Untersagungsverfügungen riskieren. Daneben drohen Abmahnungen und Klagen von Konkurrenten, weil werbebezogenen Datenschutzvorschriften weitestgehend als Marktverhaltensvorschriften i.S.d. § 3a UWG eingeordnet werden. Schließlich können Verbraucherverbände durch den neu eingeführten § 2 Abs. 2 S. 1 Nr. 11 UKlaG entsprechende Datenschutzverstöße mittels Abmahnungen und Klagen rügen. Denkbar ist schließlich ein entsprechendes Vorgehen durch die Betroffenen selbst. Alles in allem bergen Tools wie Facebook Custom Audiences in Deutschland aufgrund der unklaren Rechtslage teils erhebliche Risiken für Unternehmen. Durch den individuellen Tracking-Pixel-Code in der jeweiligen Website können Konkurrenten auch jederzeit feststellen, ob Verstöße abgestellt oder perpetuiert werden. Doch im Datenschutzrecht gilt auch, dass nur derjenige, der selbst frei von Schuld ist, den ersten Stein werfen möge. Und das Unternehmen, das datenschutzrechtlich zu 100% konform arbeitet, ist so etwas wie ein Einhorn – nämlich ein Mythos.
Eine vollumfängliche Absicherung auf Seiten der Werbetreibenden, ist derzeit nur mit einer Einwilligung zu erreichen. Daneben legt die Bayerische Datenschutzbehörde großen Wert auf transparente Informationen über die Funktionsweise in der Datenschutzerklärung sowie über das erforderliche Widerspruchsrecht. Die Umsetzung des Widerspruchs- beziehungsweise Widerrufsrechts kann im Fall von Custom Audiences aus Kundenlisten seitens des Werbetreibenden durch Anweisungen im Facebook Power Editor realisiert werden, zum Beispiel indem die jeweilige Zielgruppe gelöscht wird. Facebook verpflichtet sich zumindest, die gehashten Daten komplett zu entfernen. Bis Facebook eine „opt-out“-Lösung für Website Custom Audiences bereitstellt, sollte erwogen werden, eigene „opt-out“-Cookies zu entwickeln. Die Rechtsanwälte von Spirit Legal stehen Ihnen bei der Umsetzung der einzelnen Produktspezifikationen von Facebook Custom Audiences gern beratend zur Seite.
Wie steht es um die Zukunft von Facebook Custom Audiences?
Spätestens mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) wird man diskutieren müssen, ob Custom Audiences aus Kundenlisten ohne Einwilligung auf die Interessenabwägungsklausel des Art. 6 Abs. 1 lit. f) DS-GVO gestützt werden kann. Eine weitere Hürde eines einwilligungsfreien Einsatzes des Tools, werden die Anforderungen an eine zweckkompatible Weiterverarbeitung nach Art. 6 Abs. 4 DS-GVO darstellen, weil Bestandsdaten zur Vertragserfüllung für werbliche Zwecke verarbeitet werden sollen. Aber auch bei Einwilligungslösungen könnte sich das neu formulierte Koppelungsverbot in Art. 7 Abs. 4 DS-GVO als Stolperfalle im E-Commerce erweisen, zumindest wenn die Einwilligung für Custom Audiences obligatorisch ohne Abwahlmöglichkeit, etwa in den AGB, eingeholt werden sollte.
Völlig offen ist auch noch die Handhabung von Website Custom Audiences. Weil Endgeräteinformationen verarbeitet werden, könnte insoweit die sich im Gesetzgebungsverfahren befindliche ePrivacy-VO zum Zuge kommen. Der Entwurf der Europäischen Kommission sieht für die werbebezogene Nutzung von Endgeräteinformationen stets eine Einwilligung vor (Art. 8 Abs. 1 lit. b) ePrivacy-VO-E), die gegebenenfalls in den Browsereinstellungen erteilt werden kann (vgl. Art. 9 Abs. 2 ePrivacy-VO-E). Ob sich dieses Procedere im weiteren Gesetzgebungsprozess durchsetzen wird, bleibt jedoch abzuwarten.