05.01.2017
Was ist beim Einsatz von Facebook Advertising Tools zu beachten?
Dr. Philipp Siedenburg
Director Datenschutz
Vor einigen Wochen machte ein Artikel eines Schweizer Magazins (Das Magazin N°48 – 3.12.2016) viel Wirbel, wonach die Nutzung von Facebook-Daten einen entscheidenden Anteil am US-Wahlsieg von Donald Trump gehabt haben soll. Trumps Team habe Methoden der Psychometrik genutzt, um das Wahlverhalten der US-Wähler vorherzusagen und zu beeinflussen. Anhand des Like-Verhaltens könne ein Persönlichkeitsprofil der Facebook User erstellt werden.
Schon ab 68 Likes könne die Analyse-Maschine ziemlich treffsicher sagen, wer man ist und wie man für bestimmte Botschaften besonders empfänglich ist. Ab 300 Likes kenne die Maschine einen besser als der Lebenspartner. Sodann werden Botschaften auf die identifizierten Persönlichkeitsprofile (32 verschiedene sollen es sein) genau abgestimmt. Das heißt, eine als extrovertiert identifizierte Persönlichkeit wird anders angesprochen, als zum Beispiel jemand, der als sensibel eingestuft wurde. Die Strategie heißt Microtargeting: jeder bekommt die Botschaft, für die er empfänglich ist.
Diese im politischen Bereich verwendete Technology ist auch in anderen Bereichen einsetzbar und deswegen für viele Unternehmen besonders interessant. Microtargeting ist vorstellbar für die Nutzung für Werbung oder für die Suche nach bestimmten Menschengruppen. z.B. im Bereich Recruiting. Anbieter solcher Services sind derzeit nur einige wenige Agenturen, weshalb es derzeit schwierig zu durchleuchten ist, mit welchen Methoden sie an die begehrten Like-Daten kommen. Ob man die Agenturen beauftragen darf – vor allem, weil unbekannt ist, wie die Datenerhebung funktioniert – muss im Einzelfall beurteilt werden.
Gängiger und vielen Unternehmen bekannt, ist die Nutzung von Facebook Advertising Tools, die von Facebook selbst angeboten werden. Wie diese datenschutzkonform genutzt werden können wird im Folgenden erläutert.
Facebook Advertising im Überblick
Beim Schalten einer Facebook-Werbeanzeige, können die Zielgruppen, denen sie gezeigt wird, nach Standort, Alter, Interessen und anderen Kriterien ausgewählt werden. Das Unternehmen entscheidet selbst, welche Art von Menschen es erreichen möchte. Dadurch soll eine höhere Relevanz für den Menschen, den sie erreichen, erzielt werden. Für diesen Zweck gibt es bei Facebook mehrere Möglichkeiten.
Custom Audience
Eine „Custom Audience“ ist eine Zielgruppenoption für Werbeanzeigen, mit der Werbetreibende ihre bestehenden Zielgruppen bzw. Kunden unter Personen, die Facebook verwenden, finden können.
Die Zielgruppenart bei Facebook kann dabei über eine Kundenliste, die das Unternehmen aus existierenden Kunden erstellen kann, festgelegt werden. Diese Kundenliste wird verschlüsselt bei Facebook hochgeladen, und anschließend verwendet Facebook die verschlüsselten Daten aus der Liste, um die Personen auf der Liste auf Facebook zu identifizieren.
Lookalike Audiences
Mit Lookalike Audiences können auf Facebook Personen gefunden werden, die Merkmale – etwa Standort, Alter, Geschlecht und Interessen – mit den bestehenden Kunden gemeinsam haben. So können Werbeanzeigen noch mehr Personen erreichen, für die das Unternehmen Relevanz haben könnte.
Facebook Pixel
Wenn jemand auf der Unternehmenswebsite eine Handlung ausführt (z. B. etwas kauft), wird das Facebook-Pixel ausgelöst und die Handlung gemeldet. Dann versucht das Pixel, diese Handlung einer Person auf Facebook zuzuordnen. So erfährt das Unternehmen, wann ein Kunde eine Handlung ausgeführt hat, nachdem er eine Facebook-Werbeanzeige des Unternehmens gesehen hat.
So wird sichergestellt, dass die Werbeanzeigen den Personen gezeigt werden, die mit hoher Wahrscheinlichkeit die gewünschte Handlung ausführen und man erhält über das Dashboard des Facebook-Pixels ausführliche Statistiken darüber, wie Personen die Webseite verwenden.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Datenschutzkonformer Einsatz der Facebook-Tools
In weiten Teilen wird beim Einsatz der oben genannten Tools juristisches Neuland betreten, sodass in diesem Bereich keine schwarz/weiß Antworten gegeben werden können. Es können und werden durchaus verschiedene Sichtweisen vertreten. Hiervon sollten sich Unternehmen aber nicht zu sehr abschrecken lassen. Wie so oft, wenn es um neue Technologien geht, gibt es auch hier keine hundertprozentig rechtssicheren Lösungen. Die nachfolgenden Ausführungen verschaffen jedoch einen guten Überblick über die Rechtslage und geben einen Weg vor, um (höchstmögliche) Datenschutzkonformität zu erreichen.
Datenschutzkonformer Einsatz von Facebook Custom Audience und Lookalike Audiences
Aus datenschutzrechtlicher Sicht gestalten sich die Custom Audiences und Lookalike Audiences gleich. Beide Tools setzen voraus, dass personenbezogene Daten von Kunden (z. B. E-Mail-Adressen) des Unternehmens bei Facebook hochgeladen und dann von Facebook verarbeitet werden. Der Umstand, dass die personenbezogenen Daten vor der Übermittlung an Facebook verschlüsselt werden, stellt übrigens keine „Anonymisierung“ im Sinne des deutschen Datenschutzrechts dar – auch wenn Facebook das zu suggerieren versucht.
Bei dem Upload der Daten handelt es sich also um eine Übermittlung personenbezogener Daten, die nur dann ohne Einwilligung der Betroffenen zulässig ist, wenn diese einem legitimen Geschäftszweck des Unternehmens entspricht. Da der Einsatz der Tools für die Verfolgung des Geschäftszwecks in der Regel nicht erforderlich ist, gibt es zwei gangbare Wege, um die o.g. Tools einzusetzen.
- Eine (100 % rechtssichere) Möglichkeit:
Es muss eine ausdrückliche Einwilligung der betroffenen Kunden, deren Daten an Facebook übermittelt werden eingeholt werden (sinngemäßes Beispiel: „Ich bin einverstanden, dass das jeweilige Unternehmen meine E-Mail-Adresse an Facebook übermittelt, damit Facebook mir dort Werbung zusenden kann“).
Da das Einholen einer solchen Einwilligung wegen der Impraktikabilität keine Option für die meisten Unternehmen ist, ist die nachfolgende Möglichkeit attraktiver, aber auch risikoreicher.
- Eine (riskantere, aber aus unserer Sicht rechtskonforme) Möglichkeit:
Es wird ein Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG mit Facebook Irland geschlossen. Darin müsste konkret geregelt sein, wie Facebook mit den gesammelten Daten umzugehen hat, wobei das Gesetz die zu regelnden Punkte vorgibt. Nach langen Verhandlungen stellt Facebook nun auch einen solchen Vertrag zur Verfügung und ist zum Abschluss bereit. Unserer Auffassung nach stellt dieser eine genügende Rechtsgrundlage für die Datenübermittlung an Facebook dar, da Facebook hier als klassischer Werbedienstleister auftritt und somit, als Auftragnehmer, zum Unternehmen in einem klassischen Auftragsdatenverarbeitungsverhältnis steht.
Risikoreich ist diese Möglichkeit deswegen, weil die deutschen Datenschutzbehörden nach den bisher vorliegenden Stellungnahmen Facebook Custom Audience für unzulässig halten dürften. „Der Einsatz der ‚Custom Audiences‘ ohne Einwilligung der Nutzer stellt eine Ordnungswidrigkeit dar, die entsprechend mit Bußgeldern sanktioniert werden kann.“ (so das Bayerische Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2013/14, S. 172; Von den anderen 15 deutschen Datenschutzaufsichtsbehörden gibt es zwar noch keine ausdrücklichen Stellungnahmen. Wir gehen aber davon aus, dass sie die Facebook-Tools ähnlich wie die Behörde in Bayern bewerten).
Allerdings hat die Behörde zum damaligen Zeitpunkt offenbar nicht bedacht, dass Facebook nun bereit ist einen Auftragsdatenverarbeitungsvertrag mit den werbenden Unternehmen zu schließen. Eine Garantie, dass die Behörden ihre Ansicht im Falle des Abschlusses eines Auftragsdatenverarbeitungsvertrages ändern würden, gibt es aber nicht. Dies sollte bei der Risikoabwägung immer bedacht werden.
Datenschutzkonformer Einsatz von Facebook-Pixel
Aus unserer Sicht kann das Facebook-Pixel (etwa im Zusammenhang mit dem Tool „Custom Audiences über deine Website“) im Einklang mit dem Datenschutzrecht genutzt werden, wenn in der Datenschutzerklärung darauf hingewiesen wird.
Allerdings ist die Rechtslage hier sehr unklar. Man kann sich mit sehr guten Argumenten auch auf den Standpunkt stellen, dass das Facebook-Pixel nur genutzt werden darf, wenn (genau wie bei Facebook Audiences und Lookalike) eine Einwilligung des Nutzers eingeholt wird oder ein entsprechender Auftragsdatenverarbeitungsvertrag mit Facebook abgeschlossen wird, der für Facebook-Pixel noch nicht existiert und deshalb ausgehandelt werden müsste.
Jedenfalls muss auf den Einsatz des Facebook-Pixels unbedingt in der Datenschutzerklärung hingewiesen werden, da der Websitebesucher getargetet wird. Außerdem muss auf die Opt-out-Funktion von Facebook hingewiesen werden.
Wegen der unklaren Rechtslage gehen wir davon aus, dass die Behörden gegen ein Unternehmen wegen des – aus Behördensicht möglicherweise unzulässigen – Einsatzes des Facebook-Pixels nicht sofort Bußgelder verhängen oder Kontrollen durchführen würden, sondern lediglich zur Entfernung des Pixels auffordern würden, was jedoch natürlich (insbesondere bei großen Unternehmen) nicht ausgeschlossen werden kann. Zu beachten ist insoweit jedoch, dass, anders als bei den Custom und Lookalike Audiences, von jedermann leicht überprüft werden kann, ob das Facebook-Pixel genutzt wird. Dieses Risiko, sowie die Gefahr von Reputationsschäden, sollte bei der Risiko-Nutzen-Analyse berücksichtigt werden.
Fazit
Aus unserer Sicht stellt sich die datenschutzrechtliche Lage wie folgt dar:
- Facebook Custom Audience ist auf jeden Fall mit der ausdrücklichen Einwilligung der Nutzer zulässig; möglicherweise ist das Tool aber auch ohne Einwilligung zulässig, sofern ein Auftragsdatenverarbeitungsvertrag mit Facebook Irland geschlossen wird.
- Facebook Lookalike Audiences ist auf jeden Fall ebenfalls nur mit der ausdrücklichen Einwilligung der Nutzer zulässig; möglicherweise ist auch dieses Tool aber auch ohne Einwilligung zulässig, sofern ein Auftragsdatenverarbeitungsvertrag mit Facebook Irland geschlossen wird.
- Das Facebook-Pixel kann eingesetzt werden, wenn in der Datenschutzerklärung darauf hingewiesen wird; vorsichtshalber sollte jedoch auch hier versucht werden, einen Auftragsdatenverarbeitungsvertrag mit Facebook Irland abzuschließen.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Empfehlung
Wir empfehlen vorsichtshalber, im Zweifel vom Einsatz der „Upload-Tools“ (d. h. Facebook Custom Audiences und Lookalike Audiences) abzusehen.
Wer die Upload-Tools trotzdem einsetzen will, sollte Mut zur datenschutzrechtlichen Kreativität haben. Der Einsatz sollte vertretbar gerechtfertigt werden können, um auf Nachfragen der Datenschutzbehörden vorbereitet zu sein. Zur Absicherung sollte auf jeden Fall ein den gesetzlichen Anforderungen genügender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abgeschlossen werden.
Das Facebook-Pixel kann aus unserer Sicht datenschutzkonform eingesetzt werden, sofern der Nutzer in der Datenschutzerklärung darauf hingewiesen wird und auf die Opt-out-Funktion von Facebook verlinkt wird. Wie die Behörden das sehen, bliebe abzuwarten. Am wichtigsten ist die Reaktionsfähigkeit im Ernstfall.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern