Das Marketing-Tool Facebook Custom Audience bleibt weiterhin im Fokus des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), wir berichteten. In seinem vor kurzem veröffentlichten Tätigkeitsbericht für die Jahre 2015 und 2016 ist zu lesen, dass 12 Unternehmen hinsichtlich des Einsatzes von Facebook Custom Audience überprüft wurden. Die Hälfte der Unternehmen gab an, das Marketing-Tool zu verwenden. Diesen Unternehmen droht jetzt möglicherweise die Einleitung eines Bußgeldverfahrens. Das BayLDA stuft Facebook Custom Audience nach wie vor als datenschutzrechtlich problematisch ein.

Wie funktioniert Facebook Custom Audience?

Mit Facebook Custom Audience können Unternehmen auf Facebook Werbeanzeigen an die eigenen Kunden richten. Dazu lädt das Unternehmen die eigene Kundenliste (mit z.B. E-Mail-Adresse oder Telefonnummer als Identifikationskennung) bei Facebook hoch. Die Kundenliste wird im Browser mittels SHA256-Verfahrens (Secure Hash Algorithm 256) gehasht und an Facebook gesendet. Facebook vergleicht die Hashwerte der Kundenliste mit den Hashwerten der eigenen Nutzerdaten. Bei einer Übereinstimmung gehört der übermittelte Datensatz einem Facebook-Nutzer. Die Übereinstimmungen werden zu einer Custom Audience auf Facebook zusammengefasst. Anschließend schaltet das Unternehmen gezielt Werbung, die den Kunden mit Facebook-Account angezeigt wird.

Wer ist hiervon betroffen?

Betroffen von dieser Datenverarbeitung sind alle Kunden von Unternehmen, die Facebook Custom Audience benutzen, unabhängig davon, ob sie als Nutzer bei Facebook angemeldet ist.

Sind die Daten anonym?

Facebook verwendet das SHA256-Verfahren. Dieses Verfahren gilt zwar als sicher. Doch selbst bei Einsatz eines sicheren Verschlüsselungsverfahrens sind die Daten nur dann anonym, wenn sich ein Personenbezug nicht mehr herstellen lässt. Facebook verfügt jedoch über die entsprechenden Nutzerdatensätze in nicht-anonymisierter Form und damit über das entsprechende Zusatzwissen, um bei empfangenen Hashwerten einen Personenbezug herzustellen. Die Daten von Kunden, die bei Facebook angemeldet sind, sind daher für Facebook nicht anonym.

Ist Facebook Custom Audience aus datenschutzrechtlicher Sicht zulässig?

Die Datenübermittlung an Facebook ist nur zulässig, wenn dies von einer Rechtsnorm gedeckt ist oder die betroffenen Personen eingewilligt haben. Normen, die eine solche Datenübermittlung legitimieren, existieren nicht. Es bedarf daher einer Einwilligung. Eine wirksame Einwilligungserklärung setzt voraus, dass der Betroffene freiwillig handelt und umfassend informiert wird. Das Unternehmen hat über den Übermittlungszweck und die verantwortliche Stelle zu unterrichten, Facebook als Datenempfänger zu benennen sowie die betroffenen Daten und deren Speicherdauer anzugeben. Außerdem ist auf die Widerrufsmöglichkeit und die Folgen einer Verweigerung der Einwilligung hinzuweisen. Der Betroffene muss auch darüber aufgeklärt werden, wie die Daten bei Facebook ausgewertet werden und zu welchem Zweck sie genutzt werden. Soweit Unternehmen keine diesen Anforderungen genügende Einwilligungserklärung eingeholt haben, ist die Weitergabe der Daten unzulässig.

Fazit

Unternehmen sollten dafür Sorge tragen, das Tool Facebook Custom Audience datenschutzkonform einzusetzen. Die Aktivitäten des BayLDA haben gezeigt, dass eine unzulässige Nutzung des Tools erhebliche Folgen haben kann. Insbesondere sollte der Einsatz von Facebook Custom Audience im Hinblick auf die ab Mai 2018 anwendbare Datenschutzgrundverordnung kritisch überprüft werden, um den gestiegenen Anforderungen hinsichtlich der Transparenz einer Datenverarbeitung Rechnung zu tragen.

Update 15.3.2017:

In unserem ursprünglichen Blogbeitrag hatten wir eine Aussage aus dem 6. Tätigkeitsbericht des BayLDA übernommen, dass zum Hashen der personenbezogenen Daten das Verfahren MD5 angewendet wird. Facebook hat uns in einer E-Mail freundlich darauf hingewiesen, „dass Facebook keine MD5-Verschlüsselung sondern eine SHA256 Hashing-Verschlüsselung bei Facebook Custom Audiences einsetzt. Dies wurde im Gespräch mit dem Bayerischen Landesdatenschutzbeauftragen auch bereits persönlich besprochen.“ Wir haben unseren Blogartikel entsprechend geändert.

Unsere Bewertung: Selbst bei einer wirksameren Hashfunktion als MD5 muss aus unserer Sicht festgestellt werden, dass durch die Nutzung eines reinen Hash-Verfahrens die Daten nicht anonymisiert, sondern weiterhin nur pseudonymisiert werden. Für eine zulässig durchgeführte Custom Audience mit Personenlisten muss daher eine Übermittlungsbefugnis (z. B. in Form einer Einwilligung) vorliegen. Alternativ wäre es auch denkbar, die Custom Audience als Datenverarbeitung im Auftrag zu gestalten. Facebook müsste hierzu die Rolle des Auftragsdatenverarbeiters einnehmen und (derzeit noch schriftliche) Verträge zur Auftragsdatenverarbeitung abschließen, wie dies Google schon heute z. B. bei Google Analytics anbietet.

Wir haben die E-Mail von Facebook zum Anlass genommen, bei Facebook noch einmal nachzufragen, ob werbetreibenden Unternehmen der Abschluss von Verträgen zur Auftragsdatenverarbeitung angeboten wird und ob auch dies in Gesprächen mit dem Bayerischen Landesdatenschutzbeauftragen abgestimmt wird. Über etwaige Antworten werden wir berichten.