BayLDA gibt Hinweise zum datenschutzkonformen Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte zuletzt bayernweit den Einsatz von Facebook Custom Audience bei 40 Unternehmen überprüft – wir berichteten. Es wurde nun festgestellt, dass ein datenschutzkonformer Einsatz grundsätzlich möglich ist, datenschutzrechtliche Anforderungen jedoch häufig nicht oder nicht vollständig umgesetzt werden. In der Pressemitteilung des BayLDA vom 04.10.2017 wurden nun allgemeine Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience veröffentlicht.

Funktionsweise von Facebook Custom Audience

Bei der Funktionsweise muss zwischen Facebook Custom Audience über die Kundenliste und über das Pixelverfahren unterschieden werden.

Bei der Kundenliste erstellt das Unternehmen eine eigene Kundenliste (z.B. mit Name, Wohnort, E-Mailadresse und Telefonnummer) und lädt diese Liste im Facebook-Konto des Unternehmens hoch. Die Kundenliste wird hierbei verschlüsselt. Facebook gleicht sodann die Kundenliste mit allen Facebook-Nutzern ab und stellt fest, welche Nutzer bei Facebook sind. Das Unternehmen kann auf Grundlage dessen eine zielgruppenorientierte Werbekampagne auf Facebook starten.

Beim sogenannten „Facebook-Pixel“ wird ein unsichtbares Facebook-Pixel auf der Webseite eingebunden, mit dem das Online-Verhalten jedes Webseiten-Besuchers durch Facebook analysiert wird. Legt der Nutzer beispielsweise einen Laptop in den Warenkorb und bricht den Kaufvorgang ab, erhält Facebook diese Information. Der Webseiten-Betreiber kann mit dieser und weiteren Informationen diesen Nutzer und Lookalikes (andere Facebook-Nutzer, die dem Nutzer ähneln) gezielt auf Facebook ansprechen und sie möglicherweise mit der Werbeanzeige zu einem Kauf bewegen.

Übermittlung von personenbezogenen Daten

Nach Ansicht des BayLDA übermitteln Unternehmen bei Einsatz der Kundenliste trotz Einsatz des Hashverfahrens personenbezogene Daten. Denn die Hashwerte könnten innerhalb weniger Sekunden mit einem handelsüblichen Gaming-PC in die ursprünglichen Daten (z.B. Telefonnummer, E-Mailadresse) zurückgerechnet werden.

Hinweise und Anforderungen für den Einsatz von Facebook Custom Audience

Soweit Unternehmen den Einsatz von Facebook Custom Audience planen oder bereits einsetzen sollten die folgenden Hinweise des BayLDA beachtet werden:

Bei einem Einsatz von Facebook Custom Audience über die Kundenliste und dem Pixel-Verfahren mit erweitertem Abgleich müssen Unternehmen eine informierte Einwilligung einholen. Für die Verwendung des Pixels im Standardverfahren müssen Webseitenbetreiber eine geeignete Rechtsgrundlage schaffen – wir empfehlen hier ebenfalls die Einholung einer informierten Einwilligung (die Stellungnahme des BayLDA bleibt an dieser Stelle schwammig, vgl. auch hier). Bei der Kundenliste ist die informierte Einwilligung vom einzelnen Kunden, beim Pixel-Verfahren von allen Webseiten-Besuchern einzuholen. Auch muss dem Kunden bzw. den Webseiten-Besuchern die Möglichkeit gegeben werden, die Einwilligung zu widerrufen (beispielsweise über ein Opt-Out). Mit einem Widerruf der Einwilligung wird den Verarbeitungen ab diesem Zeitpunkt die erforderliche Rechtsgrundlage entzogen und es folgt ein Verbot weiterer Verwertung im Hinblick auf bereits stattgefundene Verarbeitungen beziehungsweise eine Löschungspflicht.

Webseiten-Betreiber müssen außerdem den Nutzer darauf hinweisen,

wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),
welches Verfahren zum Einsatz kommt (Produktname),
welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
für welchen Zweck die Datenverarbeitung erfolgt,
dass dem Nutzer eine Widerrufsmöglichkeit mittels Opt-Out zur Verfügung steht,
beim Pixel-Verfahren zusätzlich, dass das Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglicht.

Auf einer Webseite wird den Nutzern die Möglichkeit zum Opt-Out regelmäßig über das Anklicken eines Schiebereglers oder eines Links in der Datenschutzerklärung gegeben, wobei in der Folge ein Opt-Out-Cookie gesetzt wird. Für die Opt-Out-Möglichkeit muss nach Ansicht des BayLDA Folgendes berücksichtigt werden:

der Opt-Out-Cookie muss ein persistentes HTML5-Storage-Objekt mit unbegrenzter Gültigkeitsdauer sein (permanenter Cookie),
ein Session-Cookie oder ein sonstiger Cookie mit einer kurzen Gültigkeitsdauer reicht nicht aus,
der Opt-Out-Cookie muss jeden Datenverkehr durch das Facebook-Pixel unterbinden,
ein Verweis auf Webseiten von Drittanbietern (z.B. youronlinechoices.eu) ist für eine Opt-Out-Möglichkeit nicht ausreichend,
ein Verweis auf www.facebook.com/settings ist keine ausreichende Opt-Out-Möglichkeit, da die Einstellungen nur Facebook-Mitgliedern vornehmen können und nur die Anzeige von Werbung, nicht aber die Datenverarbeitung als solche unterbunden wird.

Fazit

Ein rechtssicherer Einsatz von Facebook Custom Audience ist nur mit einer rechtskonformen Einwilligung möglich. Das Thema bleibt aktuell, denn für Bayern ist eine zukünftige Prüfung von Unternehmen bereits angekündigt. Zum Abschluss dieser Prüfung führte der Präsident des BayLDA, Thomas Kranig aus: „Wir werden diese Prüfung zu gegebener Zeit fortsetzen und dann notfalls die entsprechenden aufsichtlichen Maßnahmen ergreifen.“ Auch Unternehmen außerhalb Bayerns sollten die Hinweise beachten, um die für Facebook Custom Audience bestehenden Anforderungen datenschutzkonform zu gestalten.

Konstantin Kawerau | 6. Oktober 2017 | Aufsichtsbehörden, Social Media | Custom Audiences, Facebook, Hash

3 Comments

Silvester
19. Oktober 2017 @ 23:28

Also Unternehmer mit dem FB-Pixel einschränken soll erlaubt werden? Dann sollte aber jegliches Tracking so stark unter die Lupe genommen werden!!! Wer rechtlich gegen das eine Stimmt, muss sich auch die großen Fische angeln. Oder wie steht es hier mit Datenschutz, wenn ich mein Bluetooth am Handy, mit dem vom Auto verbinde -_- Ist diese Datenweitergabe dann erlaubt? Oder die Messung von Google, FB, Amazon und Co was mein Kaufverhalten angeht? Die Speicherung meines Verhaltens in Big Data? Sobald ich nur mein Handy mit habe, kann nachvollzogen wo ich bin und daraus wieder ein Profil erstellt werden. Das sind doch weitaus wichtigere Themen!!!!
Tim Neubert
6. Oktober 2017 @ 16:31

Das freut mich, dass sich nun endlich etwas zu bewegen scheint. Es gibt hier im Netz ein Video Juristin und Marketer, die sich etwas lustig zum aktuellen Stand der Dinge äußert. Ich persönlich finde es überhaupt nicht witzig, wenn die beiden sich darüber auslassen ob FB Pixel nun erlaubt ist oder nicht. Na ja eine gewisse Grauzone halt. Deren Meinung auf alle Fälle den Pixel installieren, es gibt ja schließlich noch keine Abmahnungen. Klar das aus Datenschutzrechtlichen Dingen die Sache klar ist, denen interessiert es nicht sonderlich. (Wen es interessiert, kann ich einen link einstellen.) Tolle Branche, Werbetreibenden, aber auf der anderen Seite scheint es den Werbetreibenden egal zu sein, dass FB die Höhe der Userzahlen Millionenfach abweicht.
Und mich als nicht FB User stelle die Frage, was ich denn alleine tun kann, damit mich FB nicht trackt. Ich will es schlicht weg nicht! Es kann doch nicht sein das FB alle trackt.
Viele Grüße
Tim
- Konstantin Kawerau
  9. Oktober 2017 @ 9:47
  
  Sehr geehrter Herr Neubert,
  vielen Dank für Ihren Beitrag. Es gibt diverse Zusatzprogramme für Internetbrowser um ein Tracking zu verhindern, zum Beispiel Disconnect, Ghostery, NoScript oder uBlock Origin. Die Zusatzprogramme sind kostenlos.
  Mit freundlichen Grüßen