Werbeanzeigen in der Timeline von Facebook vermitteln den Nutzern oft das Gefühl, Facebook kennt sie besser, als sie sich selbst. Dies liegt daran, dass viele Unternehmen durch den Einsatz von Facebook-Werbe-Tools potentielle oder bestehende Kunden gezielt und ihren Interessen entsprechend mit den jeweiligen Produkten und Leistungen ansprechen können. Möglich ist vieles: Zum Beispiel die Ansprache von „Warenkorbabbrechern“, die man doch noch zum Kauf motivieren möchte. Oder die Ansprache von potentiellen Neu-Kunden, die durch die Facebookwerbung unverhofft auf genau das Produkt hingewiesen werden, das ihren Interessen und Bedürfnissen entspricht. Facebook Werbung als Offenbarung, quasi. Das alles ist keine Magie, sondern ausgeklügelte Algorithmen, die aus Erfahrungssätzen von eigenem oder fremden Kaufverhalten (ähnlicher Personengruppen) entstehen. Der Einsatz von Facebook-Tools, die digitale Fußspuren, u.a. zur Neukundengewinnung sowie zur Kundenreaktivierung verarbeiten und ermitteln, macht es möglich.
Nachfolgend wird erläutert, wie die Facebook Advertising Tools, die von Facebook selbst angeboten werden, datenschutzkonform genutzt werden können - auch unter Bezugnahme einer aktuellen Stellungnahme der Bayrischen Datenschutzaufsichtsbehörde.
Nachfolgend wird erläutert, wie die Facebook Advertising Tools, die von Facebook selbst angeboten werden, datenschutzkonform genutzt werden können - auch unter Bezugnahme einer aktuellen Stellungnahme der Bayrischen Datenschutzaufsichtsbehörde.
Facebook Advertising im Überblick
Beim Schalten einer Facebook-Werbeanzeige, können die Zielgruppen, denen sie gezeigt wird, nach Standort, Alter, Interessen und anderen Kriterien ausgewählt werden. Das Unternehmen entscheidet selbst, welche Art von Menschen es erreichen möchte. Dadurch soll eine höhere Relevanz für den Menschen, den sie erreichen, erzielt werden. Für diesen Zweck gibt es bei Facebook mehrere Möglichkeiten.
Custom Audience
Eine „Custom Audience“ ist eine Zielgruppenoption für Werbeanzeigen, mit der Werbetreibende ihre bestehenden Zielgruppen bzw. Kunden unter Personen, die Facebook verwenden, finden können.
Die Zielgruppenart bei Facebook kann dabei über eine Kundenliste, welche Name, Wohnort, E-Mail-Adresse und Telefonnummer enthält, die das Unternehmen aus existierenden Kunden oder auch Interessenten erstellen kann, festgelegt werden. Diese Kundenliste wird unter Einsatz eines sog. Hash-Verfahrens verschlüsselt bei Facebook hochgeladen, und anschließend verwendet Facebook die verschlüsselten Daten aus der Liste, um die Personen von der Liste auf Facebook zu identifizieren.
Lookalike Audiences
Mit Lookalike Audiences können auf Facebook Personen gefunden werden, die Merkmale – etwa Standort, Alter, Geschlecht und Interessen – mit den bestehenden Kunden gemeinsam haben. So können Werbeanzeigen noch mehr Personen erreichen, für die das Unternehmen Relevanz haben könnte.
Facebook Pixel
Wenn jemand auf der Unternehmenswebsite eine Handlung ausführt (z. B. etwas kauft oder etwas in den Warenkorb legt, aber den Bestellvorgang nicht abschließt), wird das Facebook-Pixel ausgelöst und die Handlung gemeldet. Dann versucht das Pixel, diese Handlung einer Person auf Facebook zuzuordnen. So erfährt das Unternehmen, wann ein Kunde eine Handlung ausgeführt hat, nachdem er eine Facebook-Werbeanzeige des Unternehmens gesehen hat.
So wird sichergestellt, dass die Werbeanzeigen den Personen gezeigt werden, die mit hoher Wahrscheinlichkeit die gewünschte Handlung ausführen und man erhält über das Dashboard des Facebook-Pixels ausführliche Statistiken darüber, wie Personen die Webseite verwenden.
Zudem gibt es bei Facebook Pixel eine zusätzliche Funktion „Erweiterter Abgleich“. Hier ermöglicht das Facebook-Pixel, wie bei den Adiences Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind.
Audience Network
Mit diesem Tool wird es einem Unternehmen ermöglicht seine Werbekampagnen auch außerhalb von Facebook zu schalten und dabei Zielgruppen auf Webseiten und Apps geräteübergreifend zu erreichen, z. B. auf Computern, Mobilgeräten und Connected TVs. Dabei werden die gleichen Parameter wie auf Facebbok verwendet, um das Kampagnenziel effektiver erreichen zu können.
Hierbei kann zwischen drei Versionen gewählt werden, wie sich die Werbung nach dem Anklicken verhält. Es wird ein Link in einem neuen Browserfester geöffnet oder der Nutzer wird aufgefordert eine App zu installieren oder eine vorhandene App wird auf dem Endgerät geöffnet.
Datenschutzkonformer Einsatz der Facebook-Tools
In weiten Teilen wird beim Einsatz der oben genannten Tools juristisches Neuland betreten. Es können und werden durchaus verschiedene Sichtweisen vertreten. Hiervon sollten sich Unternehmen aber nicht zu sehr abschrecken lassen. Wie so oft, wenn es um neue Technologien geht, gibt es auch hier keine hundertprozentig rechtssicheren Lösungen. Die nachfolgenden Ausführungen verschaffen jedoch einen guten Überblick über die Rechtslage und geben einen Weg vor, um (höchstmögliche) Datenschutzkonformität zu erreichen.
Datenschutzkonformer Einsatz von Facebook Custom Audience und Lookalike Audiences
Aus datenschutzrechtlicher Sicht gestalten sich die Custom Audiences und Lookalike Audiences gleich. Beide Tools setzen voraus, dass personenbezogene Daten von Kunden (z. B. E-Mail-Adressen) des Unternehmens bei Facebook hochgeladen und dann von Facebook verarbeitet werden. Der Umstand, dass die personenbezogenen Daten vor der Übermittlung an Facebook verschlüsselt werden, stellt übrigens keine „Anonymisierung“ im Sinne des deutschen Datenschutzrechts dar - auch wenn Facebook das zu suggerieren versucht.
Bei dem Upload der Daten handelt es sich also um eine Übermittlung personenbezogener Daten, die nur dann ohne Einwilligung der Betroffenen zulässig ist, wenn diese einem legitimen Geschäftszweck des Unternehmens entspricht.
Ein Webseiten-Betreiber ist auf der (100%) rechtsicheren Seite, wenn er vom betroffenen Kunden, deren Daten an Facebook übermittelt werden, eine ausdrückliche und informierte Einwilligung einholt (sinngemäßes Beispiel: „Ich bin einverstanden, dass das jeweilige Unternehmen meine E-Mail-Adresse an Facebook übermittelt, damit Facebook mir dort Werbung zusenden kann“).
Zudem muss es dem Nutzer möglich sein, seine Einwilligung widerrufen zu können. Mit der Folge, dass er aus der Kundenliste entfernt wird und die Custom Audience-Liste vollständig und unverzüglich aktualisiert wird.
Wir wissen, dass das Einholen einer solchen Einwilligung wegen der Impraktikabilität keine Option für die meisten Unternehmen ist, daher haben wir bisher empfohlen einen Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG mit Facebook Irland bezüglich der Übermittlung der Daten zu schließen, was aus unserer Sicht ebenfalls einen rechtlich Gangbaren Weg darstellt.
Allerdings hat sich das Bayerische Landesamt für Datenschutz in der Pressemitteilung vom 4. Oktober 2017 ebenfalls mit dieser Problematik auseinandergesetzt und den Einsatz der Facebook Audience nur mit Einholung einer Einwilligung für datenschutzkonform erklärt.
Das heißt es besteht nun ein erhöhtes Risiko für Unternehmen andere rechtliche Lösungswege einzuschlagen, als von der bayrischen Behörde vorgegeben. Erfahrungsgemäß schließen sich die Behörden anderer Bundesländer überwiegend der Auffassung aus Bayern an. So wissen wir aus einer internen Stellungnahme der Berliner Beauftragten für Datenschutz, dass diese sich zumindest der Meinung aus Bayern anschließt.
Ob die Behörde bei ihrer Prüfung an die Möglichkeit des Abschlusses eines Auftragsverarbeitungsvertrags zwischen Facebook und werbenden Unternehmen gedacht hat, wird aus der Pressemitteilung nicht ersichtlich.
Eine Garantie dafür welcher Meinung sich die anderen Behörden anschließen werden gibt es nicht. Dies sollte bei der Risikoabwägung immer bedacht werden.
Datenschutzkonformer Einsatz von Facebook-Pixel
Hier muss man unterscheiden zwischen dem einfachen Facebook-Pixel und dem Facebook-Pixel mit der Funktion „erweiterter Abgleich“. Da die Funktion „erweiterter Abgleich“ so wie die Audiences den Upload von Kundendaten erfordert, verhält sich die rechtliche Bewertung ebenso, wie bei den Audiences (siehe oben).
Soweit das einfache Facebook-Pixel eingesetzt werden soll, dann sollte man gemäß der Bayrischen Datenschutzaufsicht zwei Punkte berücksichtigen.
Zunächst muss in der Datenschutzerklärung der Unternehmenswebseite über die Nutzung des Facebook-Pixels und der damit verbundenen Datenerhebung hingewiesen werden.
Zudem muss ein Opt-Out-Verfahren mit eigenem persistenter HTML-Cookie implementiert werden (d.h. Opt-Out über Facebook oder Drittanbieter reicht nicht). Hierzu kann beispielsweise das Tool „Google Tag Manager“ (https://developers.google.com/tag-manager/) genutzt werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, wie wir aus einer internen Stellungnahme wissen, sieht es wiederrum anders. Für ihn ist der Einsatz des einfachen Facebook-Pixel nur mit vorheriger informierter Einwilligung des Webseitennutzers zulässig. Hundert Prozentige Rechtssicherheit gibt es also auch hier nicht.
Wir sind hier derselben Auffassung, wie die Bayrische Behörde. Aus unserer Sicht reicht es für die datenschutzkonforme Nutzung des Facebook-Pixel aus, wenn darüber in der Datenschutzerklärung aufgeklärt wird und auf eine Opt-Out-Funktion hingewiesen wird. Über die datenschutzkonforme Umsetzung beziehungsweise die technische Beschaffenheit des Opt-Outs lässt sich streiten. Allerdings würden wir abraten, von dem vorgeschlagenen Behördenweg abzuweichen, da zu beachten ist, dass, anders als bei den Custom und Lookalike Audiences, von jedermann leicht überprüft werden kann, ob das Facebook-Pixel genutzt wird. Dieses Risiko, sowie die Gefahr von Reputationsschäden, sollte bei der Risiko-Nutzen-Analyse berücksichtigt werden.
Datenschutzkonformer Einsatz von Audience Network
Zu dem datenschutzkonformen Einsatz des Audience Network spricht sich die Pressemitteilung der bayerischen Datenschutzbehörde nicht aus. Da es sich aber technisch, um eine Verfolgung des Nutzers auf Grundlage von Cookies handelt ist davon auszugehen, dass auch hier die Behördenauffassung ähnlich ausfallen würde wie bei dem Einsatz des Facebook Pixel. Das heißt, es wird eine informierte und ausdrückliche Einwilligung des Nutzers über Datenverarbeitung und Nutzung von Cookies einzuholen sein und ein eigenes Opt-Out zur Verfügung zu stellen sein. Ein bloßer Hinweis in der Datenschutzerklärung mit Opt-Out Möglichkeit wäre eine risikoreiche, aber mögliche Lösung.
Allenfalls müssen Nutzungsbedingungen mit Facebook geschlossen werden, die ebenfalls Vorgaben zum Datenschutz machen, die einzuhalten sind (ggf. sind lokale Datenschutzgesetze und der US Children‘s Online Privacy Protection Act einzuhalten).
Empfehlung
Wir empfehlen für diejenigen, die auf „Nummer Sicher“ gehen wollen, sich an die Vorgaben der eigenen zuständigen Aufsichtsbehörde, soweit diese Stellungnahmen abgegeben hat, ansonsten aber die Vorgaben der bayrischen Datenschutzbehörde zu halten.
Wer die Tools abweichend von der Behördenansicht einsetzen möchte, muss sich der damit verbundenen Risiken bewusst sein und diesen Punkt bei der Entscheidung mit einbeziehen. Der Einsatz sollte vertretbar gerechtfertigt werden können, um auf Nachfragen der Datenschutzbehörden vorbereitet zu sein.
Wie die einzelnen Datenschutzbehörden entscheiden werden, bliebe abzuwarten. Am wichtigsten ist die Reaktionsfähigkeit im Ernstfall.
Inna Gendelman, Expertin für IT- und Datenschutzrecht
Rechtsanwältin Inna Gendelman ist bei SCHÜRMANN WOLSCHENDORF DREYER für die Beratung ihrer Mandanten in IT- und Datenschutzrechtsfragen zuständig. Zu ihren Schwerpunkten gehören die Entwicklung von Datenschutzkonzepten und die Vertragsgestaltung, die datenschutz- und wettbewerbsrechtskonforme Umsetzung von Online-Marketingvorhaben, die Beratung bei app- und mobile-basierten Geschäftsmodellen sowie juristische Fragestellungen auf dem Gebiet des Arbeitnehmerdatenschutzrechtes. Darüber hinaus konzipiert und realisiert sie Datenschutzschulungen für deren Mitarbeiter.
Kathrin Schürmann
Kathrin Schürmann ist Rechtsanwältin und Partnerin bei SCHÜRMANN WOLSCHENDORF DREYER. Neben dem Urheber- und Medienrecht, Datenschutz und Wettbewerbsrecht ist Frau Schürmann auf den gesamten Marketing-Bereich spezialisiert, insbesondere auf der Schwelle zwischen Wettbewerbs- und Datenschutzrecht. Hierbei betreut die Rechtsanwältin unter anderem Kundenbindungssysteme und digitale Geschäftsmodelle. Weitere Schwerpunkte sind die gesamten Bereiche des Online Marketing, Mobile/Apps, personalisierte Kundenansprache/Datenanalyse und die crossmediale Kommunikation.
Kathrin Schürmann ist außerdem Cofounder von lawpilots, einem E-Learninganbieter für IT-Sicherheit und Datenschutz.
Kathrin Schürmann wurde bereits mehrfach für Ihre Leistungen u.a. in den Bereichen Gewerblicher Rechtsschutz und Datenschutz ausgezeichnet: Der US-Verlag Best Lawyers, das Handelsblatt sowie The Legal 500 empfehlen die Rechtsanwältin gleich mehrfach.