Ursprünglich konnten Unternehmen ihre Werbeanzeigen für Facebook-Nutzer nur nach bestimmten Kriterien auswählen (z.B. Alter, Likes oder Keywords). Mit dem Marketing-Tool „Custom Audiences“ bietet Facebook seit einiger Zeit nunmehr die Möglichkeit, Werbung sehr gezielt auf den Facebook-Profilen von Kunden einzublenden.
Auf den ersten Blick klingt diese schnelle, gezielte und anscheinend erfolgversprechende Marketingmöglichkeit für viele Unternehmen verlockend. Bei näherer Betrachtung wird jedoch schnell klar, dass „Custom Audiences“ nur schwer mit den bestehenden datenschutzrechtlichen Vorschriften in Einklang zu bringen ist.
Wie funktioniert „Custom Audiences“?
Zunächst bestimmt das jeweilige Unternehmen aus seinem Kundenstamm die zu bewerbende Zielgruppe. Die entsprechenden Kundendaten (etwa E-Mail-Adressen oder Telefonnummern) werden dann über den Facebook Power Editor lokal gehasht und hiernach an Facebook übermittelt. Mit Hilfe dieses kryptografischen Verfahrens erhält Facebook die Kundendaten nicht im Klartext, sondern nur die jeweiligen (nicht rückrechenbaren) Hashwerte.
Auch Facebook erstellt von jedem eigenen Mitglied Hashwerte, die mit den übermittelten und gehashten Kundendaten verglichen werden. Alle Treffer werden im Kundenaccount des Unternehmens als sog. “Custom Audience” gespeichert. Auf diese Weise ist es Unternehmen möglich, Facebook nutzende Kunden über die „Custom Audience“ gezielt und passgenau anzusprechen.
Am Ende des Abgleichprozesses werden alle übermittelten Hashwerte wieder gelöscht.
Facebook stellt diese Art des Targetings als besonders datenschutzfreundlich dar: „Facebook kennt die ursprüngliche E-Mail-Adresse nicht, daher erhält Facebook nie deine Kundenliste. Auf diese Weise kann Facebook die optimalen Zielgruppen für dich finden, ohne dass die Daten eines der Unternehmen den jeweiligen Server verlassen.“
Dass die Daten – nur weil sie gehasht sind – keinen Personenbezug aufweisen ist ebenso ein gefährlicher Trugschluss wie die Aussage, dass die Daten den jeweiligen Unternehmensbereich nicht verlassen.
Was sagt das Datenschutzrecht dazu?
Zunächst ist festzuhalten, dass auch gehashte oder pseudonymisierte Kundendaten personenbezogene Daten im Sinne des BDSG sind und daher dem deutschen Datenschutzrecht unterliegen. Dem Empfänger der Daten (hier Facebook) ist es möglich die übermittelten Hashwerte der Kunden einem bestimmten Mitglied (mit demselben Hashwert) zuzuordnen. Diesem Facebook-Mitglied werden dann gezielt Anzeigen des Unternehmens eingeblendet. Darüber hinaus erlangt Facebook bei Übereinstimmungen automatisch Informationen darüber, wer Kunde des Werbenden ist bzw. wer dessen Newsletter abonniert. Ein Personenbezug im Sinne des § 3 Abs. 1 BDSG ist daher gegeben.
Da keine Rechtsvorschrift besteht, welche die Datenübermittlung an Facebook erlaubt, ist eine Datenweitergabe aus Sicht des werbenden Unternehmens nur zulässig, wenn die betroffenen Kunden jeweils (im Vorfeld!) wirksam eingewilligt haben. Hierbei ist zu beachten, dass beispielsweise die Einwilligung eines Kunden in den Newsletterversand nicht die Übermittlung seiner Daten an Facebook legitimiert. Hier sind jeweils separate eindeutige Einwilligungserklärungen einzuholen.
Eine wirksame Einwilligung ist an strenge Zulässigkeitsvoraussetzungen geknüpft (§ 4a BDSG bzw. § 13 Abs. 2 TMG). Ein rechtlich einwandfreies Einverständnis ist insbesondere nur dann möglich, wenn der Betroffene alle Informationen bekommt, die notwendig sind, um Anlass, Ziel und Folgen der Übermittlung korrekt abschätzen zu können. Unter anderem muss entsprechend der bestehenden Informationspflichten umfassend darüber aufgeklärt werden, welche Daten übermittelt und in welcher Art und Weise bei Facebook ausgewertet und für Werbezwecke genutzt werden. Ebenso müssen die Betroffenen darüber informiert werden, dass ihre Daten außerhalb der Europäischen Union verarbeitet werden. In diesem Zusammenhang ist auch auf die damit möglicherweise verbundenen datenschutzrechtlichen Risiken hinzuweisen.
Aufgrund der erforderlichen Detailliertheit der Einwilligungserklärung und der intransparenten Datenverarbeitung bei Facebook besteht für werbende Unternehmen das nicht zu unterschätzende Risiko, dass die Betroffenen im Vorfeld nicht hinreichend unterrichtet werden und somit keine wirksamen Einwilligungen eingeholt werden können.
Neben den aufgezeigten datenschutzrechtlichen Risiken drängen sich aber vor allem rein praktische Fragen auf: Sollen Kunden im Rahmen einer direkten Ansprache um Einwilligungen in eine Datenübermittlung an Facebook zu Werbezwecken gebeten werden? Und ist es wahrscheinlich, dass die Kunden tatsächlich entsprechende Erklärungen abgeben werden?
Welche Rechtsfolgen drohen?
Der Marketinggewinn einer unzulässigen Datenverarbeitung kann im Ergebnis die hieraus resultierenden negativen Folgen für ein Unternehmen nicht aufwiegen.
Als Rechtsfolgen drohen dem werbenden Unternehmen Beanstandungen durch die Aufsichtsbehörden (§38 Bundesdatenschutzgesetz – BDSG) und damit die konkrete Benennung und Darstellung des Verstoßes in der Öffentlichkeit. Die hiermit verbundenen Image- und Vertrauensverluste für ein Unternehmen liegen auf der Hand.
Zudem stellen Datenschutzverstöße zugleich eine Verletzung der guten Sitten im Wettbewerb dar und können daher nach § 1 des Gesetzes gegen den unlauteren Wettbewerb (UWG) sanktioniert werden. Hier drohen beispielsweise auch zivilrechtliche Forderungen von Mitbewerbern.
Letztlich stellt die unzulässige Verarbeitung nicht offenkundiger Daten nach § 43 BDSG eine Ordnungswidrigkeit dar. Die Mailadressen oder Telefonnummern der Kunden stammen aus geschäftlichen Beziehungen bzw. wurden vom Unternehmen zum Newsletterversand erhoben. Die Daten stammen also nicht aus allgemein zugänglichen Quellen. Wer mit Bereicherungsabsicht handelt – was bei Marketingmaßnahmen regelmäßig der Fall ist – kann grundsätzlich sogar mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe sanktioniert werden (§ 44 BDSG).