Was ist beim Einsatz von Facebook Advertising Tools zu beachten?

Vor einigen Wochen machte ein Artikel eines Schweizer Magazins (Das Magazin N°48 – 3.12.2016) viel Wirbel, wonach die Nutzung von Facebook-Daten einen entscheidenden Anteil am US-Wahlsieg von Donald Trump gehabt haben soll. Trumps Team habe Methoden der Psychometrik genutzt, um das Wahlverhalten der US-Wähler vorherzusagen und zu beeinflussen. Anhand des Like-Verhaltens könne ein Persönlichkeitsprofil der Facebook User erstellt werden.

Schon ab 68 Likes könne die Analyse-Maschine ziemlich treffsicher sagen, wer man ist und wie man für bestimmte Botschaften besonders empfänglich ist. Ab 300 Likes kenne die Maschine einen besser als der Lebenspartner. Sodann werden Botschaften auf die identifizierten Persönlichkeitsprofile (32 verschiedene sollen es sein) genau abgestimmt. Das heißt, eine als extrovertiert identifizierte Persönlichkeit wird anders angesprochen, als zum Beispiel jemand, der als sensibel eingestuft wurde. Die Strategie heißt Microtargeting: jeder bekommt die Botschaft, für die er empfänglich ist.

Diese im politischen Bereich verwendete Technology ist auch in anderen Bereichen einsetzbar und deswegen für viele Unternehmen besonders interessant. Microtargeting ist vorstellbar für die Nutzung für Werbung oder für die Suche nach bestimmten Menschengruppen. z.B. im Bereich Recruiting. Anbieter solcher Services sind derzeit nur einige wenige Agenturen, weshalb es derzeit schwierig zu durchleuchten ist, mit welchen Methoden sie an die begehrten Like-Daten kommen. Ob man die Agenturen beauftragen darf – vor allem, weil unbekannt ist, wie die Datenerhebung funktioniert- muss im Einzelfall beurteilt werden.

Gängiger und vielen Unternehmen bekannt, ist die Nutzung von Facebook Advertising Tools, die von Facebook selbst angeboten werden. Wie diese datenschutzkonform genutzt werden können wird im Folgenden erläutert.

 Facebook Advertising im Überblick

Beim Schalten einer Facebook-Werbeanzeige, können die Zielgruppen, denen sie gezeigt wird, nach Standort, Alter, Interessen und anderen Kriterien ausgewählt werden. Das Unternehmen entscheidet selbst, welche Art von Menschen es erreichen möchte. Dadurch soll eine höhere Relevanz für den Menschen, den sie erreichen, erzielt werden. Für diesen Zweck gibt es bei Facebook mehrere Möglichkeiten.

Custom Audience

Eine „Custom Audience“ ist eine Zielgruppenoption für Werbeanzeigen, mit der Werbetreibende ihre bestehenden Zielgruppen bzw. Kunden unter Personen, die Facebook verwenden, finden können.

Die Zielgruppenart bei Facebook kann dabei über eine Kundenliste, die das Unternehmen aus existierenden Kunden erstellen kann, festgelegt werden. Diese Kundenliste wird verschlüsselt bei Facebook hochgeladen, und anschließend verwendet Facebook die verschlüsselten Daten aus der Liste, um die Personen auf der Liste auf Facebook zu identifizieren.

Lookalike Audiences

Mit Lookalike Audiences können auf Facebook Personen gefunden werden, die Merkmale – etwa Standort, Alter, Geschlecht und Interessen – mit den bestehenden Kunden gemeinsam haben. So können Werbeanzeigen noch mehr Personen erreichen, für die das Unternehmen Relevanz haben könnte.

Facebook Pixel

Wenn jemand auf der Unternehmenswebsite eine Handlung ausführt (z. B. etwas kauft), wird das Facebook-Pixel ausgelöst und die Handlung gemeldet. Dann versucht das Pixel, diese Handlung einer Person auf Facebook zuzuordnen. So erfährt das Unternehmen, wann ein Kunde eine Handlung ausgeführt hat, nachdem er eine Facebook-Werbeanzeige des Unternehmens gesehen hat.

So wird sichergestellt, dass die Werbeanzeigen den Personen gezeigt werden, die mit hoher Wahrscheinlichkeit die gewünschte Handlung ausführen und man erhält über das Dashboard des Facebook-Pixels ausführliche Statistiken darüber, wie Personen die Webseite verwenden.

Datenschutzkonformer Einsatz der Facebook-Tools

In weiten Teilen wird beim Einsatz der oben genannten Tools juristisches Neuland betreten, sodass in diesem Bereich keine schwarz/weiß Antworten gegeben werden können. Es können und werden durchaus verschiedene Sichtweisen vertreten. Hiervon sollten sich Unternehmen aber nicht zu sehr abschrecken lassen. Wie so oft, wenn es um neue Technologien geht, gibt es auch hier keine hundertprozentig rechtssicheren Lösungen. Die nachfolgenden Ausführungen verschaffen jedoch einen guten Überblick über die Rechtslage und geben einen Weg vor, um (höchstmögliche) Datenschutzkonformität zu erreichen.

Datenschutzkonformer Einsatz von Facebook Custom Audience und Lookalike Audiences

Aus datenschutzrechtlicher Sicht gestalten sich die Custom Audiences und Lookalike Audiences gleich. Beide Tools setzen voraus, dass personenbezogene Daten von Kunden (z. B. E-Mail-Adressen) des Unternehmens bei Facebook hochgeladen und dann von Facebook verarbeitet werden.  Der Umstand, dass die personenbezogenen Daten vor der Übermittlung an Facebook verschlüsselt werden, stellt übrigens keine „Anonymisierung“ im Sinne des deutschen Datenschutzrechts dar – auch wenn Facebook das zu suggerieren versucht.

Bei dem Upload der Daten handelt es sich also um eine Übermittlung personenbezogener Daten, die nur dann ohne Einwilligung der Betroffenen zulässig ist, wenn diese einem legitimen Geschäftszweck des Unternehmens entspricht. Da der Einsatz der Tools für die Verfolgung des Geschäftszwecks in der Regel nicht erforderlich ist, gibt es zwei gangbare Wege, um die o.g. Tools einzusetzen.

  • Eine (100 % rechtssichere) Möglichkeit:

Es muss eine ausdrückliche Einwilligung der betroffenen Kunden, deren Daten an Facebook übermittelt werden eingeholt werden (sinngemäßes Beispiel: „Ich bin einverstanden, dass das jeweilige Unternehmen meine E-Mail-Adresse an Facebook übermittelt, damit Facebook mir dort Werbung zusenden kann“).

Da das Einholen einer solchen Einwilligung wegen der Impraktikabilität keine Option für die meisten Unternehmen ist, ist die nachfolgende Möglichkeit attraktiver, aber auch risikoreicher.

  • Eine (riskantere, aber aus unserer Sicht rechtskonforme) Möglichkeit:

Es wird ein Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG mit Facebook Irland geschlossen. Darin müsste konkret geregelt sein, wie Facebook mit den gesammelten Daten umzugehen hat, wobei das Gesetz die zu regelnden Punkte vorgibt. Nach langen Verhandlungen stellt Facebook nun auch einen solchen Vertrag zur Verfügung und ist zum Abschluss bereit. Unserer Auffassung nach stellt dieser eine genügende Rechtsgrundlage für die Datenübermittlung an Facebook dar, da Facebook hier als klassischer Werbedienstleister auftritt und somit, als Auftragnehmer, zum Unternehmen in einem klassischen Auftragsdatenverarbeitungsverhältnis steht.

Risikoreich ist diese Möglichkeit deswegen, weil die deutschen Datenschutzbehörden nach den bisher vorliegenden Stellungnahmen Facebook Custom Audience für unzulässig halten dürften. „Der Einsatz der ‚Custom Audiences‘ ohne Einwilligung der Nutzer stellt eine Ordnungswidrigkeit dar, die entsprechend mit Bußgeldern sanktioniert werden kann.“ (so das Bayerische Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2013/14, S. 172; Von den anderen 15 deutschen Datenschutzaufsichtsbehörden gibt es zwar noch keine ausdrücklichen Stellungnahmen. Wir gehen aber davon aus, dass sie die Facebook-Tools ähnlich wie die Behörde in Bayern bewerten).

Allerdings hat die Behörde zum damaligen Zeitpunkt offenbar nicht bedacht, dass Facebook nun bereit ist einen Auftragsdatenverarbeitungsvertrag mit den werbenden Unternehmen zu schließen. Eine Garantie, dass die Behörden ihre Ansicht im Falle des Abschlusses eines Auftragsdatenverarbeitungsvertrages ändern würden, gibt es aber nicht. Dies sollte bei der Risikoabwägung immer bedacht werden.

Datenschutzkonformer Einsatz von Facebook-Pixel

Aus unserer Sicht kann das Facebook-Pixel (etwa im Zusammenhang mit dem Tool „Custom Audiences über deine Website“) im Einklang mit dem Datenschutzrecht genutzt werden, wenn in der Datenschutzerklärung darauf hingewiesen wird.

Allerdings ist die Rechtslage hier sehr unklar. Man kann sich mit sehr guten Argumenten auch auf den Standpunkt stellen, dass das Facebook-Pixel nur genutzt werden darf, wenn (genau wie bei Facebook Audiences und Lookalike) eine Einwilligung des Nutzers eingeholt wird oder ein entsprechender Auftragsdatenverarbeitungsvertrag mit Facebook abgeschlossen wird, der für Facebook-Pixel noch nicht existiert und deshalb ausgehandelt werden müsste.

Jedenfalls muss auf den Einsatz des Facebook-Pixels unbedingt in der Datenschutzerklärung hingewiesen werden, da der Websitebesucher getargetet wird.  Außerdem muss auf die Opt-out-Funktion von Facebook hingewiesen werden.

Wegen der unklaren Rechtslage gehen wir davon aus, dass die Behörden gegen ein Unternehmen wegen des – aus Behördensicht möglicherweise unzulässigen – Einsatzes des Facebook-Pixels nicht sofort Bußgelder verhängen oder Kontrollen durchführen würden, sondern lediglich zur Entfernung des Pixels auffordern würden, was jedoch natürlich (insbesondere bei großen Unternehmen) nicht ausgeschlossen werden kann. Zu beachten ist  insoweit jedoch, dass, anders als bei den Custom und Lookalike Audiences, von jedermann leicht überprüft werden kann, ob das Facebook-Pixel genutzt wird.  Dieses Risiko, sowie die Gefahr von Reputationsschäden, sollte bei der Risiko-Nutzen-Analyse berücksichtigt werden.

Fazit

Aus unserer Sicht stellt sich die datenschutzrechtliche Lage wie folgt dar:

  • Facebook Custom Audience ist auf jeden Fall mit der ausdrücklichen Einwilligung der Nutzer zulässig; möglicherweise ist das Tool aber auch ohne Einwilligung zulässig, sofern ein Auftragsdatenverarbeitungsvertrag mit Facebook Irland geschlossen wird.
  • Facebook Lookalike Audiences ist auf jeden Fall ebenfalls nur mit der ausdrücklichen Einwilligung der Nutzer zulässig; möglicherweise ist auch dieses Tool aber auch ohne Einwilligung zulässig, sofern ein Auftragsdatenverarbeitungsvertrag mit Facebook Irland geschlossen wird.
  • Das Facebook-Pixel kann eingesetzt werden, wenn in der Datenschutzerklärung darauf hingewiesen wird; vorsichtshalber sollte jedoch auch hier versucht werden, einen Auftragsdatenverarbeitungsvertrag mit Facebook Irland abzuschließen.

 Empfehlung

Wir empfehlen vorsichtshalber, im Zweifel vom Einsatz der „Upload-Tools“ (d. h. Facebook Custom Audiences und Lookalike Audiences) abzusehen.

Wer die Upload-Tools trotzdem einsetzen will, sollte Mut zur datenschutzrechtlichen Kreativität haben. Der Einsatz sollte vertretbar gerechtfertigt werden können, um auf Nachfragen der Datenschutzbehörden vorbereitet zu sein. Zur Absicherung sollte auf jeden Fall ein den gesetzlichen Anforderungen genügender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abgeschlossen werden.

Das Facebook-Pixel kann aus unserer Sicht datenschutzkonform eingesetzt werden, sofern der Nutzer in der Datenschutzerklärung darauf hingewiesen wird und auf die Opt-out-Funktion von Facebook verlinkt wird. Wie die Behörden das sehen, bliebe abzuwarten. Am wichtigsten ist die Reaktionsfähigkeit im Ernstfall.

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.