Facebook Advertising & Datenschutz: Das müssen Sie beachten!
Der Einsatz von Facebook-Werbe-Tools hilft Unternehmen dabei, potentielle Kunden interessenbasiert anzusprechen. Möglich ist vieles: So kann beispielsweise ein Kunde, der sich in einem Online-Shop zwar ein Produkt angesehen hat, dieses jedoch nicht gekauft hat, via Facebook Advertising reaktiviert werden. Ein Kaufabschluss ist nun wieder möglich. Beim Facebooknutzer kommt nicht selten das Gefühl auf, dass der Computer oder das Smartphone einen besser kennt, als er sich selbst. Die Facebook-Tools verarbeiten digitale Fußspuren und ermitteln auf diese Weise, was dem Kunden gefallen könnte.
Nachfolgend wird erläutert, wie die Facebook Advertising Tools, die von Facebook selbst angeboten werden, datenschutzkonform genutzt werden können. Auch das Bayrische Landesamt für Datenschutz hat hierzu in einer Pressemitteilung vom 4. Oktober Stellung genommen, mit welcher wir uns ebenfalls in diesem Zuge auseinandersetzen werden.
Facebook Advertising im Überblick
Beim Schalten einer Facebook-Werbeanzeige können die Zielgruppen, denen die Werbung gezeigt wird, nach Standort, Alter, Interessen und anderen Kriterien ausgewählt werden. Das Unternehmen entscheidet selbst, welche Art von Menschen es erreichen möchte. Dadurch soll eine höhere Relevanz für den potentiellen Kunden erzielt werden. Für diesen Zweck gibt es bei Facebook mehrere Möglichkeiten.
Custom Audience
Eine „Custom Audience“ ist eine Zielgruppenoption für Werbeanzeigen, mit der Werbetreibende ihre bestehenden Zielgruppen bzw. Kunden unter Personen, die Facebook verwenden, finden können.
Die Zielgruppenart bei Facebook kann dabei über eine Kundenliste, welche Name, Wohnort, E-Mail-Adresse und Telefonnummer enthält, die das Unternehmen aus existierenden Kunden oder auch Interessenten erstellen kann, festgelegt werden. Diese Kundenliste wird unter Einsatz eines sog. Hash-Verfahrens verschlüsselt bei Facebook hochgeladen, und anschließend verwendet Facebook die verschlüsselten Daten aus der Liste, um die Personen von der Liste auf Facebook zu identifizieren.
Lookalike Audiences
Mit Lookalike Audiences können auf Facebook Personen gefunden werden, die Merkmale – etwa Standort, Alter, Geschlecht und Interessen – mit den bestehenden Kunden gemeinsam haben. So können Werbeanzeigen noch mehr Personen erreichen, für die das Unternehmen Relevanz haben könnte.
Facebook Pixel
Wenn jemand auf der Unternehmenswebsite eine Handlung ausführt (z. B. etwas kauft oder etwas in den Warenkorb legt, aber den Bestellvorgang nicht abschließt), wird das Facebook-Pixel ausgelöst und die Handlung gemeldet. Dann versucht das Pixel, diese Handlung einer Person auf Facebook zuzuordnen. So erfährt das Unternehmen, wann ein Kunde eine Handlung ausgeführt hat, nachdem er eine Facebook-Werbeanzeige des Unternehmens gesehen hat.
So wird sichergestellt, dass die Werbeanzeigen den Personen gezeigt werden, die mit hoher Wahrscheinlichkeit die gewünschte Handlung ausführen und man erhält über das Dashboard des Facebook-Pixels ausführliche Statistiken darüber, wie Personen die Webseite verwenden.
Audience Network
Mit diesem Tool wird es einem Unternehmen ermöglicht seine Werbekampagnen auch außerhalb von Facebook zu schalten und dabei Zielgruppen auf Webseiten und Apps geräteübergreifend zu erreichen, z. B. auf Computern, Mobilgeräten und Connected TVs. Dabei werden die gleichen Parameter wie auf Facebook verwendet, um das Kampagnenziel effektiver erreichen zu können.
Hierbei kann zwischen drei Versionen gewählt werden, wie sich die Werbung nach dem Anklicken verhält. Es wird ein Link in einem neuen Browserfester geöffnet oder der Nutzer wird aufgefordert eine App zu installieren oder eine vorhandene App wird auf dem Endgerät geöffnet.
Datenschutzkonformer Einsatz der Facebook-Tools
In weiten Teilen wird beim Einsatz der oben genannten Tools juristisches Neuland betreten. Es können und werden durchaus verschiedene Sichtweisen vertreten. Hiervon sollten sich Unternehmen aber nicht zu sehr abschrecken lassen. Wie so oft, wenn es um neue Technologien geht, gibt es auch hier keine hundertprozentig rechtssicheren Lösungen. Die nachfolgenden Ausführungen verschaffen jedoch einen guten Überblick über die Rechtslage und geben einen Weg vor, um (höchstmögliche) Datenschutzkonformität zu erreichen.
Datenschutzkonformer Einsatz von Facebook Custom Audience und Lookalike Audiences
Aus datenschutzrechtlicher Sicht gestalten sich die Custom Audiences und Lookalike Audiences gleich. Beide Tools setzen voraus, dass personenbezogene Daten von Kunden (z. B. E-Mail-Adressen) des Unternehmens bei Facebook hochgeladen und dann von Facebook verarbeitet werden. Der Umstand, dass die personenbezogenen Daten vor der Übermittlung an Facebook verschlüsselt werden, stellt übrigens keine „Anonymisierung“ im Sinne des deutschen Datenschutzrechts dar - auch wenn Facebook das zu suggerieren versucht.
Bei dem Upload der Daten handelt es sich also um eine Übermittlung personenbezogener Daten, die nur dann ohne Einwilligung der Betroffenen zulässig ist, wenn diese einem legitimen Geschäftszweck des Unternehmens entspricht.
Ein Webseiten-Betreiber ist auf der (100%) rechtssicheren Seite, wenn er vom betroffenen Kunden, dessen Daten an Facebook übermittelt werden, eine ausdrückliche und informierte Einwilligung einholt (sinngemäßes Beispiel: „Ich bin einverstanden, dass das jeweilige Unternehmen meine E-Mail-Adresse an Facebook übermittelt, damit Facebook mir dort Werbung zusenden kann“).
Zudem muss es dem Nutzer möglich sein, seine Einwilligung widerrufen zu können. Mit der Folge, dass er aus der Kundenliste entfernt wird und die Custom Audience-Liste vollständig und unverzüglich aktualisiert wird.
Wir wissen, dass das Einholen einer solchen Einwilligung wegen der Impraktikabilität keine Option für die meisten Unternehmen ist, daher haben wir bisher empfohlen einen Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG mit Facebook Irland bezüglich der Übermittlung der Daten zu schließen, was aus unserer Sicht ebenfalls einen rechtlich gangbaren Weg darstellt.
Allerdings hat sich das Bayerische Landesamt für Datenschutz in der Pressemitteilung vom 4. Oktober 2017 ebenfalls mit dieser Problematik auseinandergesetzt und den Einsatz der Facebook Audience nur mit Einholung einer Einwilligung für datenschutzkonform erklärt.
Das heißt, es besteht nun ein erhöhtes Risiko für Unternehmen andere rechtliche Lösungswege einzuschlagen, als von der bayrischen Behörde vorgegeben. Erfahrungsgemäß schließen sich die Behörden anderer Bundesländer überwiegend der Auffassung aus Bayern an.
Ob die Behörde bei ihrer Prüfung an die Möglichkeit des Abschlusses eines Auftragsverarbeitungsvertrags zwischen Facebook und werbenden Unternehmen gedacht hat, wird aus der Pressemitteilung nicht ersichtlich.
Eine Garantie dafür, welcher Meinung sich die anderen Behörden anschließen werden, gibt es nicht. Dies sollte bei der Risikoabwägung immer bedacht werden.
Datenschutzkonformer Einsatz von Facebook-Pixel
Möchte man die Facebook-Pixel-Funktion rechtssicher und datenschutzkonform einsetzen, dann sollte man gemäß der Bayrischen Datenschutzaufsicht drei Punkte berücksichtigen.
Die Funktion „Erweiterter Abgleich“, bei dem Kundendaten an Facebook übermittelt werden und mit bestehenden Tracking-Daten angereichert werden, darf nur eingesetzt werden, wenn der Webseiten-Betreiber vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholt.
Weiterhin muss der Webseiten-Betreiber den Nutzer auf die Datenerhebung hinweisen.
Und der Betreiber muss ein Opt-Out-Verfahren mit eigenem persistenten HTML-Cookie implementieren (d.h. Opt-out über Facebook oder Drittanbieter reicht nicht).
Aus unserer Sicht reicht es für die datenschutzkonforme Nutzung des Facebook-Pixels (etwa im Zusammenhang mit dem Tool „Custom Audiences über deine Website“) aus, wenn darüber in der Datenschutzerklärung aufgeklärt wird und auf die Opt-out-Funktion von Facebook hingewiesen wird.
Allerdings ist auch dieser (aus unserer Sicht rechtlich vertretbare Weg) nach der Pressemitteilung aus Bayern sehr risikoreich. Wie bereits dargelegt, ist es sehr wahrscheinlich, dass sich die anderen Datenschutzbehörden der Auffassung aus Bayern anschließen werden. Dies erhöht das Risiko von Bußgeldern und Kontrollen erheblich. Zu beachten ist insoweit, dass, anders als bei den Custom und Lookalike Audiences, von jedermann leicht überprüft werden kann, ob das Facebook-Pixel genutzt wird. Dieses Risiko, sowie die Gefahr von Reputationsschäden, sollte bei der Risiko-Nutzen-Analyse berücksichtigt werden.
Datenschutzkonformer Einsatz von Audience Network
Zu dem datenschutzkonformen Einsatz des Audience Network spricht sich die Pressemitteilung der bayerischen Datenschutzbehörde nicht aus. Da es sich aber technisch um eine Verfolgung des Nutzers auf Grundlage von Cookies handelt, ist davon auszugehen, dass auch hier die Behördenauffassung ähnlich ausfallen würde wie bei dem Einsatz des Facebook Pixel. Das heißt, es wird eine informierte und ausdrückliche Einwilligung des Nutzers über Datenverarbeitung und Nutzung von Cookies einzuholen sein und ein eigenes Opt-out zur Verfügung zu stellen sein. Ein bloßer Hinweis in der Datenschutzerklärung mit Opt-out Möglichkeit wäre eine risikoreiche, aber mögliche Lösung.
Allenfalls müssen Nutzungsbedingungen mit Facebook geschlossen werden, die ebenfalls Vorgaben zum Datenschutz machen, die einzuhalten sind (ggf. sind lokale Datenschutzgesetze und der US Children‘s Online Privacy Protection Act einzuhalten)
Empfehlung
Wir empfehlen für diejenigen, die auf Nummer Sicher gehen wollen, sich an die Vorgaben der bayrischen Datenschutzbehörde zu halten.
Wer die Tools ohne Einwilligung einsetzen möchte, muss sich der damit verbundenen Risiken bewusst sein und diesen Punkt bei der Entscheidung mit einbeziehen. Der Einsatz sollte vertretbar gerechtfertigt werden können, um auf Nachfragen der Datenschutzbehörden vorbereitet zu sein.
Wie die einzelnen Datenschutzbehörden entscheiden werden, bliebe abzuwarten. Am wichtigsten ist die Reaktionsfähigkeit im Ernstfall.