[Hinweis der Redaktion: Dieser Artikel ist vom 1. August 2017. Wir haben am Ende des Artikels ein Update vom 5. Oktober 2017 angefügt.]

Die Netzgemeinde ist im Hinblick auf die bislang nicht unproblematische Nutzung von Facebook Custom Audiences from your Website in heller Aufruhr. Um hier für etwas Überblick zu sorgen, möchten wir für Sie nachfolgend den aktuellen Stand darstellen.

Hintergrund

Hintergrund der aktuellen Diskussion ist eine vermeintliche Freigabe der bayerischen Datenschutzaufsichtsbehörde (Bayerisches Landesamt für Datenschutzaufsicht, BayLDA). So liest man in einschlägigen Blogs derzeit z. B. folgenden Headliner:

„Landesdatenschutzbehörde erklärt Facebook Custom Audiences über die Webseite für zulässig“.

Dort heißt es weiter:

„Nach der nachvollziehbaren Auffassung der Bayerischen Landesdatenschutzbehörde ist beim Einsatz von „Custom Audiences from [your] Website“ entscheidend, dass die Vorgaben des § 15 Abs. 3 TMG eingehalten werden.“ […] „Damit steht § 15 Abs. 3 TMG als Legitimationstatbestand für Facebook Retargeting offen.“

Auch andere Quellen berichten über eine entsprechende Positionierung des BayLDA.

Diese rechtliche Einschätzung hat uns in Erstaunen versetzt, da der entsprechende Einsatz aus diversen Gründen in der Vergangenheit von einigen Aufsichtsbehörden (und auch vom BayLDA) als nicht unproblematisch bewertet wurde. Eine solche Freigabe würde zudem auch auf alle anderen Retargetinganbieter entsprechend angewendet werden können. Wir haben daher nachgefragt.

Stand der Dinge

Eine telefonische Nachfrage beim BayLDA am 31.07.2017 ergab, dass eine solche rechtliche Einschätzung durch das BayLDA uns gegenüber nicht bestätigt werden konnte.

Richtig sei, dass durch das BayLDA eine Vielzahl von Unternehmen mit dem Ziel angeschrieben wurden, den Einsatz der Facebook Custom Audience from your Website zu untersuchen. Das BayLDA bestätigte darüber hinaus, dass für den zulässigen Einsatz jedenfalls bestimmte Mindestvoraussetzungen erfüllt sein müssten. So müssten Unternehmen neben einem tauglichen Hinweis in den Datenschutzhinweisen auf der eigenen Webseite (§ 13 Abs. 1 TMG) auch ein wirksames Opt-Out implementiert haben. Weiterhin nicht ausdrücklich beantwortet erscheint jedoch die Frage nach einer tauglichen Rechtsgrundlage für den Einsatz der Facebook Custom Audience from your Website.

Es bleibt daher abzuwarten, ob die Stellungnahme des BayLDA in Zukunft veröffentlicht wird, um den konkreten Wortlaut der Aussage belastbar einschätzen zu können oder ob sich sogar das BayLDA zur aktuellen Verwirrung äußert und Licht ins Dunkel bringt.

Worum es im Detail geht

An welchen Stellen die Zulässigkeit der Custom Audience from your Website warum umstritten ist, können Sie in der neuesten Ausgabe der DuD 9/2017, Seite 577 – 582 nachlesen. In dem Artikel „Retargeting in der Onlinewerbung – Rechtliche Rahmenbedingungen für zielgenaue Werbung“ erläutert unser Mitarbeiter Sven Venzke-Caprarese die rechtlichen Stolpersteine im Detail.

Diesen Aufsatz stellen wir Ihnen hier gerne online und kostenfrei zur Verfügung.

Wie geht es weiter?

Im Hinblick auf die momentanen Unsicherheiten bei der Anwendbarkeit einer konkreten Rechtsgrundlage für den Einsatz der Facebook Custom Audience from your Website und der Stellungnahme des BayLDA rechnen wir derzeit mit einer Pressemitteilung des BayLDA zum aktuellen Stand.

Es bleibt mit Spannung abzuwarten, ob die Zulässigkeit der Custom Audience from your Website durch das BayLDA bestätigt wird oder nicht. Wir werden Sie über Neuigkeiten unverzüglich informieren.

Update der Redaktion vom 5.10.2017:

Seit gestern ist die Pressemitteilung des BayLDA online unter https://www.lda.bayern.de/media/pm2017_07.pdf abrufbar. Zur Facebook Custom Audiences from your Website (Facebook Custom Audience über das Pixel-Verfahren) heißt es in der Pressemitteilung:

„Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.“

Die Pressemitteilung nimmt klar Stellung zur erweiterten Funktion des Pixels. Unklar bleibt die Pressemitteilung aus unserer Sicht im Hinblick darauf, was für die Nutzung des Facebook-Pixels in der nicht erweiterten Funktion zu beachten ist. Konkret lautet die Frage: Ist neben Hinweispflicht und Opt-Out-Möglichkeit auch hier eine Einwilligung erforderlich? Die Pressemitteilung gibt an dieser Stelle lediglich den Hinweis:

„Wir weisen darauf hin, dass die o.g. Anforderungen lediglich Hinweise in Bezug auf die Hinweispflichten und Widerspruchsmöglichkeiten darstellen.

Achtung: Verantwortliche, d. h. diejenigen, die Facebook Custom Audience einsetzen, müssen sicherstellen, dass sie den Einsatz von Facebook Custom Audience auf eine geeignete Rechtsgrundlage stellen können.“

[Hinweis: Dieses Update wurde am 5.10.2017 noch einmal angepasst, da sich aus der Pressemitteilung des BayLDA nicht eindeutig ergibt, welche Rechtsgrundlage die Aufsichtsbehörde für die Verwendung des Facebook Pixels in der nicht erweiterten Funktion als geeignet ansieht. Wie bereits vermutet, wird § 15 Abs. 3 TMG nicht ausdrücklich als geeignete Rechtsgrundlage erwähnt. Um Risiken zu vermeiden, empfiehlt sich die Verwendung einer Einwilligungslösung, bei der auch die Hinweise des BayLDA zur Hinweispflicht und zur Widerspruchsmöglichkeit beachtet werden.]