Bereits im Dezember letzten Jahres haben wir ausführlich über die Möglichkeiten einer datenschutzkonformen Nutzung des Facebook-Tools „Custom Audiences“ sowie über die drohenden Rechtsfolgen bei einer unzulässigen Nutzung dieses Tools berichtet.
Zwischenzeitlich wurde nun auch durch eine Aufsichtsbehörde für den Datenschutz der Einsatz des Marketing-Tools ohne die Einholung der vorherigen Einwilligung der Betroffenen als rechtswidrig eingestuft. In seinem Tätigkeitsbericht für die Jahre 2013 und 2014 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) Unternehmen die Eröffnung von Bußgeldverfahren in Aussicht gestellt, falls diese das Tool ohne die Zustimmung der Betroffenen einsetzen.
„Custom Audiences“ – Was ist das?
Mit Hilfe von „Custom Audiences“ können Unternehmen Kundenstammdaten (etwa E-Mail-Adressen oder Telefonnummern) bei Facebook hochladen, die Facebook-Profile ihrer Kunden identifizieren und sodann Werbung gezielt auf den Profilen einblenden. Da die Daten vor ihrer Übermittlung an Facebook lokal gehasht werden, stellte sich Facebook bislang auf den Standpunkt, dass die Verarbeitung der Daten anonym geschieht.
Dass die Daten – nur aufgrund der Anwendung eines Hashverfahrens – keinen Personenbezug aufweisen, ist ein gefährlicher Trugschluss. Dem Empfänger der Daten (hier Facebook) ist es möglich, die übermittelten Hashwerte der Kunden einem bestimmten Mitglied (mit demselben Hashwert) zuzuordnen. Diesem Mitglied werden dann gezielt Anzeigen des Unternehmens eingeblendet. Darüber hinaus erlangt Facebook bei Übereinstimmungen automatisch Informationen darüber, wer Kunde des Werbenden ist bzw. wer dessen Newsletter abonniert. Ein Personenbezug im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) ist daher gegeben.
Auch das BayLDA kam im Rahmen seiner Bewertung des Tools zu diesem Ergebnis – jedoch mit einer anderen Begründung.
Bewertung der Aufsichtsbehörde
Laut dem BayLDA ist bereits das von Facebook eingesetzte Hashverfahren (MD5) zur Anonymisierung der Kundendaten ungeeignet. Unter Berücksichtigung der Klartexteigenschaften der Daten (E-Mail-Adressen und Telefonnummern) sei es Facebook durch „Brute-Force-Suche“ ohne wesentlichen Aufwand möglich, die meisten Hashwerte zurückzurechnen.
Nach Schätzung des BayLDA könnte daher bspw. bei Telefonnummern aufgrund des kleinen Nummernraumes davon ausgegangen werden, dass weit über 90% der Hashwerte in sehr kurzer Zeit zurückgerechnet werden können. Hiervon seien auch Nicht-Facebook-Nutzer betroffen.
Entsprechend geht auch die bayerische Aufsichtsbehörde von einer Anwendbarkeit der datenschutzrechtlichen Vorschriften und der Erforderlichkeit der Einholung von wirksamen Einwilligungen der betroffenen Kunden aus.
Und was ist mit „Custom Audiences from your website“?
Nicht nur bei dem Einsatz der klassischen Variante von Facebook „Custom Audiences“ ist Vorsicht geboten.
Es ist anzunehmen, dass Aufsichtsbehörden zukünftig auch das Tool „Custom Audiences from your website“ (hier werden Webseiten-Besucher mit Hilfe eines von Facebook zur Verfügung gestellten Tracking-Pixels identifiziert und sodann auf ihren Profilen beworben) kritisch bewerten werden.
Rechtlich problematisch ist in diesem Zusammenhang insbesondere, dass gezielt Werbung auf den Profilen der Facebook-Nutzer eingeblendet wird. Da Nutzer Sozialer Netzwerke sich zumeist mit ihrem Klarnamen registrieren (müssen), liegt hierin ein Verstoß gegen das Zusammenführungsverbot aus § 15 Absatz 3 Satz 3 Telemediengesetz (TMG). Hiernach dürfen pseudonyme Nutzungsprofile nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Entsprechend sind auch vor dem Tracking mit Hilfe des Facebook-Pixels wirksame (elektronische) Einwilligungserklärungen der Webseitennutzer einzuholen.
Fazit
Ohne vorherige Einwilligungserklärungen der Kunden/Webseitenbesucher scheint eine rechtskonforme Nutzung des Marketing-Tools und seiner Varianten unmöglich. Es ist jedoch zweifelhaft, ob Unternehmen die Betroffenen überhaupt entsprechend der rechtlichen Vorgaben hinreichend über die Datenverarbeitung bei Facebook aufklären können (Wirksamkeitsvoraussetzung für eine Einwilligung). Auf diese Frage ist die Aufsichtsbehörde bedauerlicherweise nicht näher eingegangen. Aus praktischer Sicht ist zudem fraglich, ob genügend Betroffene dazu bereit wären, aktiv in Werbemaßnahmen via Facebook einzuwilligen.
Facebook Custom Audiences stellt zwar für viele Unternehmen eine effektive Marketingmöglichkeit dar. Jedoch sollten die aufgezeigten rechtlichen und praktischen Risiken bei Planungen für einen Einsatz des Tools nicht aus den Augen verloren werden.