Veröffentlicht von:

LFR Laukemann Former Rösch RAe Partnerschaft mbB

Datenschutz bei Facebook Custom Audience: Was Unternehmen beachten müssen!

15.02.2018
5 Minuten Lesezeit

Datenschutz bei Facebook Custom Audience: Was Unternehmen beachten müssen!

Von Dr. Marc Laukemann

Die bayrischen Datenschützer sehen den Einsatz von Facebook Custom Audience nach wie vor kritisch. Was es zu beachten gilt, damit kein Bußgeldbescheid ins Haus flattert.

Facebook bietet Werbekunden bekanntlich eines der besten Targeting-Verfahren für die gezielte Werbeansprache von Kunden und Leads an.

Das Bayerische Landesamt für Datenschutzaufsicht hat verschiedene Audience-Möglichkeiten von insgesamt 40 Bayerischen Unternehmen auf Facebook datenschutzrechtlich geprüft und Allgemeine Hinweise zum Einsatz von Facebook Custom Audience veröffentlicht.

Als Fazit haben die Datenschützer festgestellt, dass den geprüften Unternehmen der Rechtsrahmen häufig „völlig unklar“ war. Viele Unternehmen wüssten nicht, wie solche Werbetools funktionieren. In der Folge informieren sie ihre Nutzer auch nicht richtig über deren Einsatz.

BayLDA-Präsident Kranig stellt hierzu trocken fest: „Wer das nicht kann, darf eben solche Tools nicht einsetzen.“

Custom Audience mit Kundenliste

Die Kritik des BayLDA bezieht sich im Wesentlichen auf zwei Punkte.

Erster Fall: Der Einsatz von Facebook Custom Audience mit der unternehmenseigenen Kunden- oder Lead-Liste.

Ein Unternehmen, z. B. ein Hersteller von Markenkleidung, erstellt eine Liste, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält. Diese Kundenliste wird dann im Facebook-Konto des Unternehmens hochgeladen, nachdem die Kundendaten unter Einsatz eines sogenannten Hash-Verfahrens in feste Zeichenketten umgewandelt wurden. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist.

Problem hier: Die Hash-Werte sind ungefähr so kompliziert zu knacken, dass laut BayLDA „wenige Sekunden mit einem handelsüblichen Gaming-PC“ ausreichen, um diese wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurück zurechnen. Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.

Rechtlich gilt dabei folgende Einschätzung

(1) Bereits das Hochladen der Kundenliste bedarf nach Auffassung der BLA-DS der Zustimmung der einzelnen Nutzer. Weder nach aktueller noch nach der ab Mai 2018 geltenden neuen Rechtslage kann sich das Unternehmen auf eine gesetzliche Ausnahmevorschrift beruhen.

Webseiten-Betreiber dürfen daher die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

(2) Widerruf der Einwilligung

Widerruft der Betroffene seine Einwilligung, so muss er von der Kundenliste entfernt werden. Da der Webseiten-Betreiber keine Kenntnis davon hat, welche Kunden auch Nutzer auf Facebook sind und beworben werden, ist die vollständige Custom Audience Liste unverzüglich zu aktualisieren.

Das Pixel-Verfahren

Zweiter Fall: Ein auf Unternehmens-Websites integriertes Pixel überträgt das Nutzerverhalten auf der Seite an Facebook.

Hier kann das komplette Online-Verhalten des Nutzers durch Facebook nachvollzogen werden.

So wird an Facebook z. B. auch die Information weitergeleitet, dass ein Nutzer eines Webshops diesen besucht und ein Produkt in den Warenkorb gelegt und den Bestellvorgang dann abgebrochen hat. Der Betreiber des Webshops kann ihn über Facebook mittels Werbung des zuvor angesehenen Produktes locken und zur Rückkehr auf die Webshop-Seite verleiten, damit der Kauf doch noch abgeschlossen werden kann.

(1) Wer Facebook-Pixel auf seiner Webseite ein, so ist er im datenschutzrechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

(2) Mittels Facebook-Pixel können Kundendaten – und zwar auch solche von Nichtmitgliedern bei Facebook – wie z. B. Vorname, Nachname, E-Mail-Adresse, an Facebook übermitteln und mit bestehenden Tracking-Daten angereichert werden. Da es dabei möglich ist auch Daten von solchen Nutzern zu erheben, die weder bei Facebook Mitglied noch während des Besuchs der Unternehmenswebseite bei Facebook eingeloggt sind, werden auch Besucher getreckt, die bewusst die Speicherung von Third-Party-Cookies unterbinden.

Webseiten-Betreiber müssen daher vor Nutzung der erweiterten Funktion von allen Webseitenbesuchern eine informierte Einwilligungserklärung einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

(3) Worüber ist zu informieren?

Der Unternehmen muss in die Webseitenbesucher in seiner Datenschutzerklärung darauf hinweisen

wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),
welches Tracking-Verfahren zum Einsatz kommt,
welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
für welchen Zweck die Datenverarbeitung erfolgt,
dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen und
dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.

(4) Welches Verfahren muss der Unternehmer zum Schutz der Webseitenbesucher anbieten?

Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.

Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.

Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Programmieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.

Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScript-Funktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook Custom Audience Pixel-Verfahren auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.

Vorläufig hat die Behörde auf die Verhängung von Sanktionen verzichtet und stattdessen den Unternehmen „allgemeine Hinweise und Anforderungen“ zum Einsatz von Facebook Custom Audience zur Verfügung gestellt. Wenn diese aber nicht zeitnah beachtet werden, droht die nächste Prüfung durch die Behörden, die dann auch zu Bußgeldern führen kann.

Quelle: Pressemitteilung Facebook Custom Audience bei bayerischen Unternehmen des Bayerisches Landesamt für Datenschutzaufsicht vom 04.10.2017 im Internet unter: https://www.lda.bayern.de/media/pm2017_07.pdf

Rechtstipp aus dem Rechtsgebiet

IT-Recht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

LFR Laukemann Former Rösch RAe Partnerschaft mbB

Weitere Rechtstipps von LFR Laukemann Former Rösch RAe Partnerschaft mbB

Die Managerhaftung des Geschäftsführers im Falle der Insolvenz: Was zu beachten ist!

Die Managerhaftung des Geschäftsführers im Falle der Insolvenz: Was zu beachten ist! von Rechtsanwalt Felix Tittel, Fachanwalt für Insolvenzrecht Die gesetzlichen Vertreter einer ... Weiterlesen
Abgrenzung Selbstständigkeit zur Scheinselbstständigkeit: Checkliste mit Leitfaden

Abgrenzung Selbstständigkeit zur Scheinselbstständigkeit: Checkliste mit Leitfaden für den Arbeitsalltag von Personalverantwortlichen Grundsätzliches Ob ein Auftragnehmer tatsächlich selbstständig ... Weiterlesen
Markenrechtstreit zwischen Pächter und Verpächter: Inhaber der Geschäftsbezeichnung eines Lokals

Markenrechtstreit zwischen Pächter / Verpächter: Wer ist Inhaber der Geschäftsbezeichnung eines Lokals? Von Rechtsanwalt Dr. Marc Laukemann* Wer ein Geschäft aufbaut, macht sich ziemlich bald ... Weiterlesen

Alle Rechtstipps von LFR Laukemann Former Rösch RAe Partnerschaft mbB

Weitere

Beiträge zum Thema

Auftragsverarbeitung: Datenschutz bei der Verarbeitung personenbezogener Daten

17.01.2023

Auftragsverarbeitung: Was ist das? Eine Auftragsverarbeitung – früher Auftragsdatenverarbeitung genannt – liegt ... Weiterlesen
Personenbezogene Daten: Was Sie über Datenschutz wissen müssen!

26.08.2022

Sobald personenbezogene Daten erfasst werden – ob von Mitarbeitern, Website-Besuchern oder Kunden – handelt es ... Weiterlesen
Viren und andere Malware: Was müssen Unternehmen beachten?

27.02.2024

Im Internet lauern viele Gefahren – auch durch Betrüger, die mit Viren, Trojanern und Co. vor allem eines ... Weiterlesen