Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vor Kurzem in einer bayernweiten Prüfaktion 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird.
CUSTOM AUDIENCE ÜBER DIE KUNDENLISTE
Ein Unternehmen, z. B. ein Hersteller von Markenkleidung, erstellt eine Liste, die Name, Wohnort, E- Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält. Diese Kundenliste wird dann im Facebook-Konto des Unternehmens hochgeladen, nachdem die Kundendaten unter Ein- satz eines sogenannten Hash-Verfahrens in feste Zeichenketten umgewandelt wurden. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist. Das Unternehmen startet dann eine Werbekampagne für seine Kunden auf Facebook und wählt eine Zielgruppe aus, die die Werbung erhalten soll. Es erhalten in diesem Fall nur die Facebook-Nutzer Werbung, auf die bestimmte Merkmale oder Interessen der Ziel- gruppe zutreffen. Das bedeutet konkret, dass Facebook entscheidet, wer z. B. genau die junge Frau zwi- schen 20 und 30 Jahren ist, die viel Sport treibt, über ein durchschnittliches Einkommen verfügt, dieses aber überdurchschnittlich gerne für modische Kleidung ausgibt.
CUSTOM AUDIENCE ÜBER PIXEL-VERFAHREN
Ist auf einer Webseite eines Unternehmens ein unsichtbares Facebook-Pixel eingebunden, kann das komplette Online-Verhalten des Nutzers durch Facebook nachvollzogen werden. Ein typisches Szenario sieht so aus: Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natür- lich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten, damit der Kauf doch noch ab- geschlossen werden kann.
Über den Facebook-Pixel ist es aber auch möglich, gezielt Neukunden zu gewinnen und neue Personen anzusprechen, die Webseitenbesuchern ähneln.
DIE AUFSICHTSBEHÖRDE PRÜFT
Wegen zahlreicher Beratungsanfragen bayerischer Unternehmen, die dieses Produkt zur gezielten Werbeschaltung auf Facebook nutzen wollten, aber nicht wissen, ob und wie sie es datenschutzkonform einsetzen können, hatte sich das BayLDA entschlossen, das Produkt näher zu prüfen.
Die Prüfung ergab, dass die Unternehmen, die das Pixel-Verfahren einsetzen, oftmals den Nutzer nicht oder nicht vollständig über den Einsatz von Facebook Custom Audience informierten und kein sog. „Widerspruchs-Verfahren“ (Opt-Out) zur Verfügung stellen. Teilweise wurde die Möglichkeit zum Opt-Out eines Nutzers tech- nisch nicht korrekt umgesetzt, so dass trotz Aktionen datenschutzaffiner Nutzer weiterhin Online-Daten an Facebook flossen. Diese Ergebnisse stellen jeweils einen Verstoß gegen geltendes Datenschutzrecht dar. Außerdem brachte die Prüfung zahlreiche Erkenntnisse darüber, wie Werbenetzwerke funktionieren und welche Techniken sie einsetzen, um den Nutzer zu verfolgen.
Soweit beim Einsatz von Facebook Custom Audience über die Kundenliste Kundendaten direkt an Facebook übermittelt werden, ist das eingesetzte Hashverfahren nicht geeignet, um anonyme Zeichenfolgen zu generieren. Die Hash-Werte können zum Teil mit geringem Aufwand (z. B. wenige Sekunden mit einem handelsüblichen Gaming-PC) wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurückgerechnet werden. Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.
„Uns ist bewusst, dass personalisierte Werbung für die Wirtschaft ein enormer Vorteil ist. Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten. Das hat aber seine Grenzen, wenn gegen geltendes Recht verstoßen wird und der Einzelne nur noch zum Objekt seiner Daten degradiert wird. Der Nutzer hat keine Chance mehr, sich dem zu entziehen. Es findet eine systematische Durchleuchtung der Nutzer durch die Algorithmen von Facebooks Künstlicher Intelligenz (KI) statt. Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozialen Netzwerken sind, werden verfolgt. Als ein Ergebnis unserer Prüfung mussten wir feststellen, dass den geprüften Unternehmen, die Facebook Custom Audience eingesetzt haben, der rechtliche Rahmen häufig völlig unklar war. Unternehmen, die jedoch nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen“, so Thomas Kranig, Präsident des BayLDA.
Um die weit verbreitete Unwissenheit über die rechtlichen Rahmenbedingungen für den Einsatz von Facebook Custom Audience abzubauen, haben wir die wesentlichen Informationen dazu zusammengefasst. Damit können auch bisher nicht geprüfte Unternehmen Klarheit gewinnen, welche datenschutzrechtlichen Rahmenbedingungen zu berücksichtigen sind. „Wir werden diese Prüfung zu gegebener Zeit fortsetzen und dann notfalls die entsprechenden aufsichtlichen Maßnahmen ergreifen“ so Thomas Kranig zum Abschluss dieser Prüfung.
EINSATZ ÜBER KUNDENLISTE RECHTSKONFORM GESTALTEN
Der Einsatz ist nur aufgrund einer informierten Einwilligung der Kunden zulässig. Das Hochladen der Kundenliste kann weder auf eine Rechtsgrundlage des BDSG noch des TMG gestützt werden. Diese Rechtsauffassung beruht auf einer europarechtskonformen Auslegung der geltenden deutschen Datenschutzbestimmungen und berücksichtigt die jüngsten Entscheidungen des EuGH zum Datenschutz. Im Übrigen wird das Übermitteln dieser Liste an Facebook auch auf der Basis des ab Mai 2018 geltenden Rechts, d. h. nach der Datenschutz-Grundverordnung (DS-GVO), nicht ohne Einwilligung zulässig sein.
Widerruf der Einwilligung
Widerruft der Betroffene seine Einwilligung, so muss er von der Kundenliste entfernt werden. Da der Webseiten-Betreiber keine Kenntnis davon hat, welche Kunden auch Nutzer auf Facebook sind und beworben werden, ist die vollständige Custom Audience-Liste unverzüglich zu aktualisieren.
EINSATZ ÜBER PIXEL-VERFAHREN RECHTSKONFORM GESTALTEN
Bindet der Webseiten-Betreiber den Facebook-Pixel auf seiner Webseite ein, so ist er im datenschutzrechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst. Die Einbindung des Facebook-Pixels ist daher nur zulässig, wenn folgende Anforderungen berücksichtigt werden:
Funktion „Erweiterter Abgleich“
Das Facebook-Pixel ermöglicht es, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind. Dadurch werden Webseiten-Besucher über Facebook verfolgt, die bewusst die Speicherung von Third-Party-Cookies unterbinden.
Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.
Hinweispflicht
Der Verantwortliche ist verpflichtet, den Nutzer/Betroffenen im Rahmen der Datenerhebung darauf hinzuweisen,
• wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),
• welches Verfahren zum Einsatz kommt (Produktname),
• welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
• für welchen Zweck die Datenverarbeitung erfolgt,
• dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen und
• dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.
Opt-Out-Verfahren
Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:
• Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.
• Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.
• Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeig- net und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Pro- grammieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.
• Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScript- Funktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook Custom Audience Pixel-Verfahren auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.
• Auch ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur Facebook-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzerkonto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.
Wir weisen darauf hin, dass die o.g. Anforderungen lediglich Hinweise in Bezug auf die Hinweispflichten und Widerspruchsmöglichkeiten darstellen.
Achtung: Verantwortliche, d. h. diejenigen, die Facebook Custom Audience einsetzen, müssen sicherstellen, dass sie den Einsatz von Facebook Custom Audience auf eine geeignete Rechtsgrundlage stellen können. Wenn der Einsatz von Facebook Custom Audience nicht datenschutzrechtlich zulässig erfolgt, ist Adressat einer Anordnungen oder eines Bußgeldbescheides nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz und WhatsApp? Wo...
Der Smartphone-Messenger Anbieter WhatsApp steht immer wieder in der Kritik, es mit dem...
- By Ingo Kaiser
- Datenschutz