Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte zuletzt bayernweit den Einsatz von Facebook Custom Audience bei 40 Unternehmen überprüft – wir berichteten. Es wurde nun festgestellt, dass ein datenschutzkonformer Einsatz grundsätzlich möglich ist, datenschutzrechtliche Anforderungen jedoch häufig nicht oder nicht vollständig umgesetzt werden. In der Pressemitteilung des BayLDA vom 04.10.2017 wurden nun allgemeine Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience veröffentlicht.

Funktionsweise von Facebook Custom Audience

Bei der Funktionsweise muss zwischen Facebook Custom Audience über die Kundenliste und über das Pixelverfahren unterschieden werden.

Bei der Kundenliste erstellt das Unternehmen eine eigene Kundenliste (z.B. mit Name, Wohnort, E-Mailadresse und Telefonnummer) und lädt diese Liste im Facebook-Konto des Unternehmens hoch. Die Kundenliste wird hierbei verschlüsselt. Facebook gleicht sodann die Kundenliste mit allen Facebook-Nutzern ab und stellt fest, welche Nutzer bei Facebook sind. Das Unternehmen kann auf Grundlage dessen eine zielgruppenorientierte Werbekampagne auf Facebook starten.

Beim sogenannten „Facebook-Pixel“ wird ein unsichtbares Facebook-Pixel auf der Webseite eingebunden, mit dem das Online-Verhalten jedes Webseiten-Besuchers durch Facebook analysiert wird. Legt der Nutzer beispielsweise einen Laptop in den Warenkorb und bricht den Kaufvorgang ab, erhält Facebook diese Information. Der Webseiten-Betreiber kann mit dieser und weiteren Informationen diesen Nutzer und Lookalikes (andere Facebook-Nutzer, die dem Nutzer ähneln) gezielt auf Facebook ansprechen und sie möglicherweise mit der Werbeanzeige zu einem Kauf bewegen.

Übermittlung von personenbezogenen Daten

Nach Ansicht des BayLDA übermitteln Unternehmen bei Einsatz der Kundenliste trotz Einsatz des Hashverfahrens personenbezogene Daten. Denn die Hashwerte könnten innerhalb weniger Sekunden mit einem handelsüblichen Gaming-PC in die ursprünglichen Daten (z.B. Telefonnummer, E-Mailadresse) zurückgerechnet werden.

Hinweise und Anforderungen für den Einsatz von Facebook Custom Audience

Soweit Unternehmen den Einsatz von Facebook Custom Audience planen oder bereits einsetzen sollten die folgenden Hinweise des BayLDA beachtet werden:

Bei einem Einsatz von Facebook Custom Audience über die Kundenliste und dem Pixel-Verfahren mit erweitertem Abgleich müssen Unternehmen eine informierte Einwilligung einholen. Für die Verwendung des Pixels im Standardverfahren müssen Webseitenbetreiber eine geeignete Rechtsgrundlage schaffen – wir empfehlen hier ebenfalls die Einholung einer informierten Einwilligung (die Stellungnahme des BayLDA bleibt an dieser Stelle schwammig, vgl. auch hier). Bei der Kundenliste ist die informierte Einwilligung vom einzelnen Kunden, beim Pixel-Verfahren von allen Webseiten-Besuchern einzuholen. Auch muss dem Kunden bzw. den Webseiten-Besuchern die Möglichkeit gegeben werden, die Einwilligung zu widerrufen (beispielsweise über ein Opt-Out). Mit einem Widerruf der Einwilligung wird den Verarbeitungen ab diesem Zeitpunkt die erforderliche Rechtsgrundlage entzogen und es folgt ein Verbot weiterer Verwertung im Hinblick auf bereits stattgefundene Verarbeitungen beziehungsweise eine Löschungspflicht.

Webseiten-Betreiber müssen außerdem den Nutzer darauf hinweisen,

  1. wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),
  2. welches Verfahren zum Einsatz kommt (Produktname),
  3. welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
  4. für welchen Zweck die Datenverarbeitung erfolgt,
  5. dass dem Nutzer eine Widerrufsmöglichkeit mittels Opt-Out zur Verfügung steht,
  6. beim Pixel-Verfahren zusätzlich, dass das Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglicht.

Auf einer Webseite wird den Nutzern die Möglichkeit zum Opt-Out regelmäßig über das Anklicken eines Schiebereglers oder eines Links in der Datenschutzerklärung gegeben, wobei in der Folge ein Opt-Out-Cookie gesetzt wird. Für die Opt-Out-Möglichkeit muss nach Ansicht des BayLDA Folgendes berücksichtigt werden:

  1. der Opt-Out-Cookie muss ein persistentes HTML5-Storage-Objekt mit unbegrenzter Gültigkeitsdauer sein (permanenter Cookie),
  2. ein Session-Cookie oder ein sonstiger Cookie mit einer kurzen Gültigkeitsdauer reicht nicht aus,
  3. der Opt-Out-Cookie muss jeden Datenverkehr durch das Facebook-Pixel unterbinden,
  4. ein Verweis auf Webseiten von Drittanbietern (z.B. youronlinechoices.eu) ist für eine Opt-Out-Möglichkeit nicht ausreichend,
  5. ein Verweis auf www.facebook.com/settings ist keine ausreichende Opt-Out-Möglichkeit, da die Einstellungen nur Facebook-Mitgliedern vornehmen können und nur die Anzeige von Werbung, nicht aber die Datenverarbeitung als solche unterbunden wird.

Fazit

Ein rechtssicherer Einsatz von Facebook Custom Audience ist nur mit einer rechtskonformen Einwilligung möglich. Das Thema bleibt aktuell, denn für Bayern ist eine zukünftige Prüfung von Unternehmen bereits angekündigt. Zum Abschluss dieser Prüfung führte der Präsident des BayLDA, Thomas Kranig aus: „Wir werden diese Prüfung zu gegebener Zeit fortsetzen und dann notfalls die entsprechenden aufsichtlichen Maßnahmen ergreifen.“ Auch Unternehmen außerhalb Bayerns sollten die Hinweise beachten, um die für Facebook Custom Audience bestehenden Anforderungen datenschutzkonform zu gestalten.