Das European Data Protection Board (EDPB – ein unabhängiges Gremium, das sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt) hat am 2. September 2020 eine Orientierungshilfe zum Targeting von Social Media Nutzern herausgegeben. Dabei werden auf 37 Seiten die Rahmenbedingungen für die Zielgruppenauswahl in sozialen Netzwerken beschrieben. Relevant ist dies für alle Unternehmen, die Werbemaßnahmen in sozialen Netzwerken durchführen und hierzu Zielgruppen bestimmen. Dieser Blogbeitrag soll eine kurze Zusammenfassung der Orientierungshilfe liefern und auch eine erste eigene Einschätzung geben:
Risiken und Rechte
Im ersten Teil der Orientierungshilfe stellt das EDPB verschiedene Risiken für die Rechte und Freiheiten der Nutzer dar, die durch die Verarbeitung personenbezogener Daten durch Anbieter von sozialen Netzwerken auftreten können. Von Filterblasen über Meinungsmanipulation, dem Zukauf von Daten aus externen Quellen bis hin zum Schlussfolgern abgeleiteter Informationen aus vorhandenen Daten wird hier ein umfassender Rundumschlag in Richtung der negativen Seiten sozialer Netzwerke dargelegt.
Akteure
Danach werden strukturiert die jeweiligen Akteure der Zielgruppenauswahl (Targeting) dargestellt. Hier nennt das EDPB die betroffenen Personen, also unregistrierte Besucher und registrierte Nutzer der Social Media Plattform. Daneben werden vor allem die Anbieter der Plattform selbst sowie die jeweils werbetreibenden Unternehmen bzw. Personen („Targeters“) genannt. Schließlich nennt das EDPB dann noch weitere relevante Akteure in Form von Datenhändlern.
Rollen
Unter Bezugnahme auf das sog. Fashion-ID Urteil des EuGH zieht das EDPB recht schnell den Schluss, dass in der Beziehung zwischen dem Anbieter der Social Plattform und den werbetreibenden Stellen häufig eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO zu sehen ist. In den meisten Fällen wird demnach zwischen dem werbetreibenden „Targeter“ und dem Anbieter der Social Media Plattform eine Vereinbarung nach Art. 26 DSGVO geschlossen und die wesentlichen Inhalte dem Nutzer gegenüber offengelegt werden müssen.
Bewertung einzelner Targetingmechanismen
Im Rahmen der Zielgruppenauswahl unterscheidet das EDPB zwischen verschiedenen Datenquellen in Bezug auf die Informationen, die zur Zielgruppenauswahl genutzt werden:
1.) Selbst vom Nutzer gegenüber dem Plattformanbieter mitgeteilte Daten
Hierzu zählt das EDPB etwa eigene Angaben zum Alter, zum Wohnort, zur Sprache, zum Beziehungsstatus oder die Angabe der E-Mail-Adresse gegenüber dem Plattformanbieter.
Das EDPB nennt als denkbare Rechtsgrundlage die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO.
In Bezug auf die Interessenabwägung stellt das EDPB verschiedene Überlegungen dar, die in Betracht gezogen werden müssen (Prüfung des berechtigten Interesses aller Parteien, die Notwendigkeit der Verarbeitung im Hinblick auf den verfolgten Zweck, die Prüfung der entgegenstehenden Interessen und Rechte der betroffenen Person). Zudem werden die generellen Anforderungen an die Transparenz der Datenverarbeitung und das Recht zum Widerspruch dargelegt. Bereits an dieser Stelle fällt auf, dass das EPDB keine Unterscheidung zwischen Daten vornimmt, die der Nutzer der Plattform nur „Freunden“ gegenüber bekannt macht, allen Nutzern gegenüber bekannt macht bzw. nur gegenüber dem Plattformanbieter offenlegt. Tatsächlich kann gerade diese Unterscheidung aber aus unserer Sicht bei der Bewertung der einschlägigen Rechtsgrundlage den entscheidenden Ausschlag geben. So waren öffentlich verfügbar gemachte Daten etwa nach § 28 Abs. 1 S. 1 Nr. 3 BDSG-alt leichter nutzbar als nicht öffentlich verfügbar gemachte Daten und auch die DSGVO regelt in Art. 9 Abs. 2 lit. e DSGVO eine privilegierte Nutzung öffentlich verfügbar gemachter Daten. Hierauf geht das EDPB an dieser Stelle aber nicht ein.
Praktikable Abgrenzungskriterien, die in der Praxis hilfreich wären, werden somit nicht genannt. Insgesamt bleibt die Orientierungshilfe an dieser Stelle vage.
2.) Selbst vom Nutzer gegenüber dem Werbetreibenden mitgeteilte Daten
Teilweise werden für das Targeting auch Daten genutzt, die die betroffene Person nicht dem Anbieter der Social Media Plattform gegenüber weitergegeben hat, sondern über die nur die werbetreibende Stelle verfügt. Hier nennt das EDPB z.B. eine E-Mail-Adresse oder eine Telefonnummer, die der Nutzer dem Werbetreibenden (z.B. im Rahmen eines vorherigen Kaufs) mitgeteilt hat. Auch Adressdaten dürften unter diese Kategorie fallen.
Dass das EDPB bei dieser Abgrenzung auch die sog. Custom Audience mit Personenlisten vor Augen hatte, wird durch die Beispiele deutlich, die in der Orientierungshilfe im Anschluss genannt werden. Bei der Custom Audience mit Personenlisten übermittelt der Werbetreibende (teilweise vorher gehashte – also pseudonymisierte) personenbezogene Daten an den Betreiber der Social Media Plattform. Sofern der Anbieter der Plattform erkennt, dass Personen bereits Nutzer der Plattform sind, wird diesen gegenüber die Werbung des Werbetreibenden ausgespielt.
Das EDPB kommt in diesen Fällen zu der Einschätzung, dass ein solches Targeting durchaus auf Basis einer Interessenabwägung nach Art. 6 abs. 1 lit. f DSGVO vorgenommen werden kann. Dies sei etwa dann der Fall, wenn ein Unternehmen die E-Mail-Adresse eines Kunden im Rahmen eines Vertragsschlusses erhoben und den Kunden im Rahmen der Erhebung auf die spätere Verwendung zu Werbezwecken hingewiesen hat.
Erstaunlicherweise ignoriert das EDPB mit dieser Bewertung der Custom Audience mit Personenlisten die bislang von deutschen Aufsichtsbehörden vertretene Auffassung, dass eine solche nur auf Grundlage einer Einwilligung zulässig sei.
An dieser Stelle übersieht das EDPB vermutlich, dass der Werbetreibende für eine Custom Audience mit Personenlisten personenbezogene Daten an den Anbieter der Social Media Plattform übermitteln muss und diesem somit die eigene Anreicherung der Profile ermöglicht. Es überrascht, dass das EDPB nicht zumindest das Vorliegen eines Auftragsverarbeitungsverhältnisses fordert, welches den Plattformbetreiber im Hinblick auf die neu übermittelte Information (Plattformnutzer X ist Kunde beim Werbetreibenden Y) der Weisungsbefugnis des Werbetreibenden unterwirft und insofern die Datenverarbeitung einschränkt. Stattdessen wird auch hier das Vorliegen einer gemeinsamen Verantwortlichkeit angenommen und die Rechtsgrundlage in Art. 6 Abs. 1 lit. f DSGVO gesehen – eine Ansicht, die die Rechte der Nutzer einschränkt, Werbetreibende und Plattformanbieter jedoch freuen dürfte.
Aus unserer Sicht wäre hier entweder immer eine Einwilligung zu fordern (vgl. auch die Ansicht des LDA Bayern, über die wir hier berichteten) oder aber zumindest der Abschluss von Verträgen zur Auftragsverarbeitung.
3.) Beobachtete Daten
Bei der Darstellung, was unter beobachteten Daten zu verstehen ist, bleibt die Orientierungshilfe sehr dünn und nennt in Beispielen etwa Daten, die über Tracking-Pixel oder Social-Plugins erzeugt wurden (z.B. welche externen Seiten ein Nutzer angesehen hat). Auch Daten, die von GPS-Modulen von mobilen Geräten erzeugt werden, werden als Beispiel genannt.
Im Ergebnis stellt das EDPB recht schnell klar, dass solche Daten nur auf Grundlage einer wirksamen Einwilligung verarbeitet werden dürfen. Dabei wird es zum einen auf eine wirksame Einwilligung in alle Trackingmechansimen ankommen, die auf der Website des Werbetreibenden eingebunden sind (Stichwort „Cookie-Banner“). Zum anderen wird es häufig zusätzlich auch auf die Einwilligung ankommen, die der Nutzer bei der Registrierung gegenüber der Social Media Plattform angegeben hat oder beim Besuch abgeben muss.
Insgesamt wird auch hier eine gemeinsame Verantwortlichkeit zwischen dem Anbieter der Social Media Plattform und dem Werbetreibenden angenommen.
4.) Geschlussfolgerte Daten
Unter geschlussfolgerten Daten versteht das EDPB Daten, die auf Grundlage der vorhandenen Informationen vom Anbieter der Plattform abgeleitet werden. Wer sich z.B. für Sport interessiert und auch auf Online-Poker-Seiten unterwegs ist, der wird vermutlich auch gerne an Online-Sportwetten teilnehmen.
Wie bereits zuvor, nimmt das EDPB auch für das Targeting anhand geschlussfolgerter Daten eine gemeinsame Verantwortlichkeit des Plattformanbieters und des Werbetreibenden an.
Insgesamt sieht das EDPB die Erforderlichkeit einer ausdrücklichen Einwilligung und weist darauf hin, dass auch eine automatisierte Entscheidungsfindung nach Art. 22 DSGVO vorliegen kann. Dies erhöht ggf. den nötigen Detailgrad der Einwilligung.
Weitere Anforderungen
Im weiteren Verlauf geht das EDPB auf die Einhaltung allgemeiner Grundsätze ein, etwa auf bestehende Transparenzpflichten und das Recht auf Auskunft.
Dabei wird deutlich, dass das EDPB Einwilligungen nach dem Motto „ … sind Sie damit einverstanden, dass wir Ihre Daten zu Werbezwecken nutzen“ für zu allgemein hält. Stattdessen sollen die Nutzer in verständlicher Sprache darüber aufgeklärt werden, dass anhand ihres Verhaltens innerhalb der Social Media Plattform und ggf. auch auf den Webseiten des Werbetreibenden Profile über sie gebildet werden, die zur Zielgruppenauswahl und zu verhaltensbezogener, personalisierter Werbung genutzt werden.
Das EDPB weist zudem darauf hin, dass den betroffenen Personen neben den Informationen nach Art. 13 und 14 DSGVO auch das wesentliche der Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zur Verfügung gestellt werden muss.
Im Hinblick auf das Recht auf Auskunft macht das EDPB klar, dass betroffene Personen nicht nur ihre Profile einsehen dürfen, sondern auch die Informationen, die zur Profilbildung genutzt wurden. Darüber hinaus bestehe auch das Recht, zu erfahren, welcher Werbetreibende auf Grundlage welcher Zielgruppenauswahl ein Targeting vorgenommen habe, das zu einer Werbeanzeige bei der betroffenen Person geführt hat. An dieser Stelle versteckt sich somit eine neue Anforderung, die datenschutzrechtlich viele Verantwortliche vor große Probleme stellen dürfte.
Das EDPB erläutert zudem, dass in bestimmten Fällen für das Targeting auch eine Datenschutz-Folgenabschätzung erforderlich sein kann. Dies sei z.B. der Fall, wenn bestimmte Produkte oder besonders verletzliche Personengruppen beworben werden sollen.
In Bezug auf die Verwendung von besonderen Arten personenbezogener Daten zur Zielgruppenauswahl rät das EDPB zur Vorsicht. Hier ist nach Art. 9 DSGVO regelmäßig die Einwilligung der betroffenen Person erforderlich. Dabei sei zu beachten, dass sich besondere Arten personenbezogener Daten auch aus abgeleiteten Informationen ergeben können.
Eine Ausnahme vom Einwilligungserfordernis ist nach Art. 9 Abs. 2 lit. e DSGVO nur möglich, wenn die betroffene Person die entsprechenden Daten offensichtlich öffentlich gemacht hat. Dabei müsse jedoch gewährleistet werden, dass die Daten tatsächlich von der betroffenen Person selbst öffentlich gemacht wurden. Hierzu seien folgende Kriterien heranzuziehen: Die Standardeinstellung der Social-Media-Plattform in Bezug auf die Veröffentlichung von Daten, die Ausrichtung der Plattform, die Informationen die Nutzer erhalten, wenn es darum geht, welche Informationen öffentlich gemacht werden. Darüber hinaus sei auch die Zugänglichkeit der Information zu hinterfragen – also ob diese wirklich öffentlich verfügbar ist oder man über einen Account beim Plattformanbieter verfügen muss, um die Information sehen zu können. Insgesamt setzt das EDPB die Hürden an dieser Stelle sehr hoch. Sollte das EDPB tatsächlich die Ansicht vertreten, dass Daten nicht öffentlich zugänglich sind, nur weil eine allgemeine Anmeldung bei der Social Media Plattform erforderlich sei (die aber grundsätzlich jedem offensteht), so geht dies unseres Erachtens zu weit. Stattdessen sollte darauf abgestellt werden, ob die Information jedem Nutzer oder nur „Freunden“ zugänglich ist.
Gegen Ende der Orientierungshilfe stellt das EDPB dann noch dar, welche hohen Anforderungen an eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zu stellen sind.
Fazit
Im Ergebnis sind die Anforderungen des EDPB an ein zulässig durchgeführtes Targeting sehr hoch. Dies ist wenig überraschend. Allerdings hätten bei der Frage, wann ein Targeting auf Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO zulässig sein kann, noch mehr Beispiele gegeben werden können. Zudem hätte im Rahmen des Targetings auf Basis einer Interessenabwägung auch darauf eingegangen werden können, welche Rolle öffentlich verfügbare Daten spielen. Dass das EDPB diese Daten aber eher nicht ausdrücklich privilegieren wollte, zeigt bereits die (zu) enge Auslegung des Begriffs der öffentlichen Verfügbarkeit. Im Gegenzug überrascht die vermeintlich (zu leichte) Erlaubnis im Hinblick auf Custom Audiences mit Personenlisten. Insgesamt bleibt festzustellen, dass die Anforderungen des EDPB so hoch sind, dass ein zulässiges Targeting derzeit kaum möglich sein wird. Plattformanbieter müssen neue Vereinbarungen nach Art. 26 DSGVO bereit halten, Einwilligungen müssen überprüft und teilweise neue Prozesse geschaffen werden, die den betroffenen Personen sehr detaillierte Auskunft über die individuelle Zielgruppenauswahl der Werbetreibenden bezogen auf einzelne Kampagnen geben.
1. Dezember 2020 @ 9:52
Schöne Zusammenfassung! Sehr hilfreich danke.
Zu Custom Audience mit Listen ein kurzer Hinweis: Hier bietet Facebook per default einen AV-Vertrag an. Für fast alle anderen Sachen sind sie JC.
https://www.facebook.com/legal/terms/dataprocessing/update
Ist aus meiner Sicht auch korrekt, da FB die Custom Audience Daten ausnahmsweise nicht zu eigenen Zwecken verwendet.
1. Dezember 2020 @ 10:57
Vielen Dank für das Feedback!
Ja, das ist richtig. Ich würde hier auch von einer Auftragsverarbeitung als möglicher Ausgestaltung ausgehen. Dieser Ansicht haben aber die deutschen Aufsichtsbehörden und Gerichte in der Vergangenheit eine Absage erteilt: https://www.lda.bayern.de/media/pm2018_18.pdf. Das dürfte sich durch die jetzige Orientierungshilfe des EDPB ändern – insofern eine kleine Überraschung! Einen (wirksamen) Vertrag zur Auftragsverarbeitung sollte man im Fall der Custom Audience mit Personenlisten auf jeden Fall haben, auch wenn das EDPB an dieser Stelle (leider) nichts genauers sagt.
Beste Grüße!