Anzeige
Anzeige
Anzeige
Anzeige
Facebook Datenschutz Targeting

Facebook Custom Audience: Was Unternehmen beachten müssen

Die bayrischen Datenschützer haben einige Verstöße beim Einsatz von Facebook Custom Audiences gefunden. Was es zu beachten gilt, damit kein Bußgeldbescheid ins Haus flattert.

Anzeige
Anzeige
Anzeige

Die gezielte Werbeansprache von Kunden und Leads auf Facebook ist für viele Marken reizvoll. Und mit Facebook Custom Audience gibt es gute Möglichkeiten, eigene Bestandskunden oder Besucher der eigenen Websites auch dort zuordnen und ansprechen zu können.

Das hält aber einige datenschutzrechtliche Fallstricke parat, wie das Prüfergebnis des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zeigt. Die Behörde hat sich aufgrund zahlreicher Beratungsanfragen den Einsatz von Custom Audience bei 40 Unternehmen angesehen. Und oft klare Verstöße gegen Datenschutzbestimmungen gefunden.

Teilweise auch deshalb, weil die Unternehmen die Tools und den rechtlichen Rahmen selbst nicht recht verstehen.

"Unternehmen, die nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen." Thomas Kranig, Präsident des BayLDA

Custom Audience mit Kundenliste

Die Kritik des BayLDA bezieht sich im wesentlichen auf zwei Punkte. Erster Fall: Der Einsatz von Facebook Custom Audience mit der unternehmenseigenen Kunden- oder Lead-Liste. Sprich: Eine Marke lädt ihren CRM-Datensatz in Facebook hoch, dort wir der anonymisiert ("verhasht") und dann nur anhand der Hash-Codes mit den Facebook-Profilen verknüpft, so dass diese Zielgruppe angesprochen wird.

Problem hier: Die Hash-Werte sind ungefähr so kompliziert zu knacken, dass laut BayLDA "wenige Sekunden mit einem handelsüblichen Gaming-PC" ausreichen, um aus ihnen wieder Mailadressen und Telefonnummern zu machen.

Anzeige

Damit sind es personenbezogene Daten, die nicht ohne Zustimmung der Betroffenen verwendet werden dürfen. Informierte Zustimmung, wohlgemerkt, dem Kunden muss also erklärt werden, was passiert.


"Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten. Das hat aber seine Grenzen, wenn gegen geltendes Recht verstoßen wird und der Einzelne nur noch zum Objekt seiner Daten degradiert wird." Thomas Kranig, Präsident des BayLDA

Pixel-Verfahren

Fall 2: Facebook Custom Audience mittels Pixel. EIn auf Unternehmens-Websites integriertes Pixel überträgt das Nutzerverhalten auf der Seite an Facebook. So kann etwa ein Website-Besucher, der sich für ein Produkt interessiert, den Kauf aber nicht abschliesst, danach auf Facebook mit Retargeting adressiert werden. Auch Leads generell lassen sich so wieder ansprechen - oder auch statistische Zwillinge der eigenen Website-Besucher.

Auch hier: Die Nutzer wurden oft nicht über den Pixel-Einsatz informiert und erhielten keine Opt-Out-Möglichkeit. Oder diese war fehlerhaft aufgesetzt, so dass die Daten trotz Widerspruch weiter gesammelt wurden.

Wieder ein Datenschutzverstoß, der Bußgeldbescheide nach sich ziehen könnte.

Die bayrischen Datenschützer haben ein paar Hinweise erarbeitet, an denen sich Unternehmen orientieren sollten. Im Wortlaut hier:

Allgemeine Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience

Facebook Custom Audience kann u. a. über eine Kundenliste und auch über ein Pixel-Verfahren eingesetzt werden. Bei beiden angebotenen Verfahren werden personenbezogene Daten verarbeitet. Daher kann Facebook Custom Audience nur dann datenschutzrechtlich zulässig eingesetzt werden, wenn folgende Anforderungen erfüllt werden:

1. Facebook Custom Audience über die Kundenliste
a. Rechtmäßiger Einsatz

Der Einsatz ist nur aufgrund einer informierten Einwilligung der Kunden zulässig. Das Hochladen der Kundenliste kann weder auf eine Rechtsgrundlage des BDSG noch des TMG gestützt werden. Diese Rechtsauffassung beruht auf einer europarechtskonformen Auslegung der geltenden deutschen Da-tenschutzbestimmungen und berücksichtigt die jüngsten Entscheidungen des EuGH zum Datenschutz. Im Übrigen wird das Übermitteln dieser Liste an Facebook auch auf der Basis des ab Mai 2018 gelten-den Rechts, d. h. nach der Datenschutz-Grundverordnung (DS-GVO), nicht ohne Einwilligung zulässig sein.

b. Widerruf der Einwilligung
Widerruft der Betroffene seine Einwilligung, so muss er von der Kundenliste entfernt werden. Da der Webseiten-Betreiber keine Kenntnis davon hat, welche Kunden auch Nutzer auf Facebook sind und beworben werden, ist die vollständige Custom Audience-Liste unverzüglich zu aktualisieren.

2. Facebook Custom Audience über das Pixel-Verfahren
Bindet der Webseiten-Betreiber den Facebook-Pixel auf seiner Webseite ein, so ist er im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst. Die Einbindung des Facebook-Pixels ist daher nur zulässig, wenn folgende Anforderungen berücksichtigt werden:

a. Funktion "Erweiterter Abgleich"

Das Facebook-Pixel ermöglicht es, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind. Dadurch werden Webseiten-Besucher über Facebook verfolgt, die bewusst die Speicherung von Third-Party-Cookies unterbinden.

Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

b. Hinweispflicht
Der Verantwortliche ist verpflichtet, den Nutzer/Betroffenen im Rahmen der Datenerhebung darauf hinzuweisen,

• wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),

• welches Verfahren zum Einsatz kommt (Produktname),

• welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,

• für welchen Zweck die Datenverarbeitung erfolgt,

• dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen und

• dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.

c. Opt-Out-Verfahren

Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

• Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.

• Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.

• Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Programmieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.

• Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScript-Funktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook Custom Audience Pixel-Verfahren auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.

• Auch ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur Facebook-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzerkonto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.


Hinweis für Wissbegierige:



Wer sich generell im Themenbereich Online-Marketing und Recht fit machen will, kann auch einen Blick auf das W&V-Seminar: Online-Marketing & Recht in Hamburg oder München werfen.

Themen
Mit Kundenliste Pixel-Verfahren Allgemeine Hinweise
Teilen
Anzeige
Anzeige
Das könnte Sie auch interessieren
Anzeige
Anzeige