Menü
zurück zur Auswahl
14.11.2017

Social Media-Recht – Teil 4: Facebook Custom Audiences

Nach der datenschutzrechtlichen Einführung im Beitrag der letzten Woche möchten wir im Themenkomplex des Datenschutzes bleiben und die rechtlichen Besonderheiten des für Marketingzwecke gerne verwendeten Instruments der „Facebook Custom Audiences“ vorstellen.

Unter der Begrifflichkeit „Facebook Custom Audiences" (= benutzerdefinierte Zielgruppe) versteht man eine Form des Marketings auf Facebook, bei der bestimmte Zielgruppen durch gezielt auf sie zugeschnittene Werbeanzeigen auf diejenigen Unternehmen aufmerksam gemacht werden sollen, von denen sie bereits in der Vergangenheit etwas gekauft oder sonst mit ihm in Verbindung gestanden haben.

Um eine solche Zielgruppe zu identifizieren, nutzt Facebook ein Verfahren mit sogenannten Pixels („Custom Audiences from Website“) und eines über hochgeladene Kundenlisten („Custom Audiences from File“).

Bei der Methode „Custom Audiences from Website" ist auf der Website eines Unternehmens ein nicht sichtbares sogenanntes Facebook-Pixel eingebunden. Damit soll nachverfolgt („getrackt“) werden können, wer die Seite besucht und wie der Besucher sich dort verhält, also beispielsweise welches Produkt er in seinen Warenkorb gelegt, aber nicht gekauft hat. Mithilfe dieser Form des Conversion-Tracking kann ein präzises Profil eines jeden Nutzers erstellt werden. Beim Abgleich dieses Profils mit Facebook-Profildaten wird sodann nach Übereinstimmungen gesucht, um im Idealfall exakt den Nutzer anzusprechen, der zuvor auf der Website gesurft ist. Je mehr Übereinstimmungen auftreten, desto wahrscheinlicher ist es, dass mit der im Anschluss auf Facebook geschalteten Werbung ein „Treffer“ erzielt wird. Wenigstens aber sollen Nutzer mit ähnlichen Profilen als potenzielle Neukunden angesprochen werden. Verglichen mit herkömmlichen Werbeflyern im Briefkasten oder entsprechenden Anzeigen im Internet, hat diese Methode weitaus weniger Streuverluste.

Diese Streuverluste lassen sich mit den Facebook Custom Audiences über die Kundenliste noch weiter reduzieren („Custom Audiences from File“). Hier erstellt das Unternehmen eine Liste mit Namen, Wohnorten, E-Mail-Adressen und Telefonnummern seiner Kunden und übermittelt diese per Upload an Facebook.

Facebook-Erklärung zur Variante mit Kundenliste

Ähnlich wie bei den Social Plugins lauern die rechtlichen Fallstricke der „Custom Audiences From File“ bei der Übermittlung der gewonnenen Nutzerdaten an Facebook. Im Fokus stehen dabei Verschlüsselungsverfahren, die laut Facebook eine sichere Datenübermittlung gewährleisten. Im Rahmen dieser Verschlüsselung wird ein Hash-Verfahren eingesetzt. Die Daten werden dabei in eine Zeichenfolge umgewandelt (sogenannter Hashwert), die das Ziel hat, keinen Hinweis auf die Identität des Kunden zu liefern. Diese Werte werden sodann von Facebook mit jenen Daten verglichen, die bereits zuvor im Rahmen der Facebook-Nutzung erhoben wurden. Die so gefundenen Übereinstimmungen lassen sich für maßgeschneiderte Werbung nutzen.

In dieser vermeintlich sicheren Verschlüsselung sieht das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) ein Problem. Als zuständige Datenschutzbehörde ist es seine Aufgabe, Unternehmen zu kontrollieren und mögliche Verstöße aufzudecken. Aus einer Pressemitteilung geht hervor, dass die 40 überprüften bayerischen Unternehmen die Varianten der Facebook Custom Audiences zumeist nicht datenschutzkonform eingesetzt haben (Pressemitteilung des BayLDA vom 4. Oktober 2017). Das eingesetzte Hash-Verfahren sei nicht geeignet, um eine anonyme Zeichenfolge zu generieren, weil die Hashwerte teilweise mit wenig Aufwand wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurückgerechnet werden könnten.

Laut gesetzlicher Definition in § 3 Abs. 1 BDSG sind personenbezogene Daten „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener)". Nach Ansicht des BayLDA fallen die angesprochenen Telefonnummern und E-Mail-Adressen wegen ihrer nur unzureichenden Verschlüsselung eindeutig unter diesen Begriff. In dem Upload einer Kundenliste an Facebook liege daher eine Übermittlung personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG.

Die Facebook-Pixel waren ebenso Gegenstand der Untersuchungen. Anders als bei der Variante mit Kundenliste ist bei den Pixeln bereits die Erhebung der Daten kritisch. Zwar gestattet das Telemediengesetz (TMG) in § 15 Abs. 3 TMG das Erstellen von Nutzungsprofilen zu Werbezwecken. Allerdings müssen dabei Pseudonyme verwendet werden und der Nutzer darf der Erhebung nicht widersprochen haben. Das BayLDA kritisiert, dass die Nutzer nicht oder nicht vollständig über die Datenerhebung informiert werden und auf die Möglichkeit des Widerspruchs nicht gesetzeskonform hingewiesen werden.

Zu Recht wird teilweise eingewandt, dass bei den erstellten Profilen von der Verwendung von Pseudonymen bereits keine Rede sein kann, wenn die dahinterstehende natürliche Person nach dem Abgleich mit den Facebook-Daten ohne Weiteres zu bestimmen ist. In diesem Fall liegt, wie bereits bei der Variante mit Kundenliste, eine Übermittlung personenbezogener Daten vor.

Immer wenn dies der Fall ist, bedarf es einer gesetzlichen Erlaubnis oder einem vorab erteilten Einverständnis des Betroffenen (§ 4 Abs. 1 BDSG). Gesetzliche Erlaubnistatbestände kommen hier nicht in Betracht. Die Frage nach dem rechtmäßigen Einsatz von Custom Audiences dreht sich also bei beiden Varianten um die Einwilligung des betroffenen Nutzers.

Die Einwiliigung setzt voraus, dass der Nutzer ausreichend informiert ist, um über die Abgabe einer entsprechenden Erklärung zu entscheiden. Er muss also wissen, dass seine übermittelten Daten verwendet werden sollen, um Custom Audiences bei Facebook zu erstellen. Außerdem muss die Einwilligung ausdrücklich erfolgen. Dies könnte durch das Anklicken einer Checkbox auf der Seite des werbenden Unternehmens erfolgen. Zudem sollte sie vorab erfolgen, also bevor irgendwelche Daten an Facebook übermittelt werden.

Facebook zu Verwendungsmöglichkeiten des Pixels

Für die bloße Datenerhebung, die der Datenübermittlung vorausgeht, gelten bei den Facebook-Pixels nicht ganz so strenge Anforderungen. Für die wirksame Erhebung der Daten ist gemäß § 15 Abs. 3 TMG Genüge getan, dass dem Nutzer die Möglichkeit eingeräumt wird, der Erhebung zu widersprechen. Dies kann durch das Einsetzen einer Checkbox im Wege des Opt-Out-Verfahrens umgesetzt werden. In allen Fällen muss die Datenschutzerklärung über die Anlegung eines Nutzungsprofils zu Werbezwecken aufklären.

Unter Berücksichtigung der Stellungnahmen des BayLDA ist zusammenfassend ist bei der Nutzung von Facebook Custom Audiences Folgendes zu beachten:

Kundenliste (Custom Audiences from File)

Informierte Einwilligung der Kunden notwendig

Bei Widerruf durch Kunden: Unverzügliches Entfernen von Kundenliste

Pixel-Verfahren (Custom Audiences from Website)

  • Informierte Einwilligung aller Website-Besucher notwendig

  • Hinweise in der Datenschutzerklärung zu:
- der Zuständigkeit für Datenerhebung- und Verarbeitung 
- des konkret eingesetzten Verfahrens
- der Arten von personenbezogenen Daten, die erhoben bzw. übertragen werden
- des Zweckes, zu dem die Datenverarbeitung erfolgt
- der möglichen Identifizierung des Nutzers über zahlreiche Websites
- durch Tracking-Verfahren
- des zur Verfügung stehenden Opt-Out-Verfahrens
  • Opt-Out-Verfahren:
- geeignet: Verwendung von Cookie als persistentes HTML5-Storage-Objekt mit
- unbegrenzter Gültigkeitsdauer
- ungeeignet: Session-Cookie und sonstige persistente HTML-Cookies mit
- kurzer Gültigkeitsdauer
- Opt-Out-Cookie: Muss dafür sorgen, dass Datenverkehr via Facebook-Pixel unterbunden wird; andernfalls: Unzulässiges Opt-Out-Verfahren!
- ungeeignet: Verweis auf Webseiten von Drittanbietern (z.B. www.youronlinechoices.eu)
- ebenfalls ungeeignet: Verweis auf Facebook-URL www.facebook.com/settings

Wer trotz der insgesamt unsicheren Rechtslage also nicht auf die Verwendung von Custom Audiences verzichten will, sollte also alles tun, um diese Anforderungen zu erfüllen. Insbesondere ist dabei auf eine wirksame Einwilligung der Nutzer zu achten.


In der kommenden Woche widmen wir uns dem Urheberrecht und geben Informationen zur rechtssicheren Verwendung von urheberrechtlich geschütztem Material.

Beitragsreihe Social Media-Recht (Erscheinungsweise: wöchentlich)

Teil 1: Das Impressum in sozialen Netzwerken (Grundlagen, Facebook, Twitter, YouTube)

Teil 2: Das Impressum in Karrierenetzwerken (XING, LinkedIn)

Teil 3: Datenschutzerklärung und Social Plugins

Teil 4: Facebook Custom Audiences

Teil 5: Nutzung von urheberrechtlich geschütztem Material

Teil 6: Nutzung fremder Marken und der Abbildungen von Personen

Teil 7: Risiken beim Sharen, Linken, Liken

Teil 8: Vorgaben für Gewinnspiele

Teil 9: Direkt- und Influencermarketing

Teil 10: Private Social Media-Nutzung und die Kündigung 2.0

Teil 11: Wem gehören Social Media-Kontakte?

Teil 12: Risiken der Werbung für den Arbeitgeber in Social Media

Teil 13: Digitale Unternehmenszugehörigkeit

Teil 14: Recruiting in Social Media

Teil 15: Rechtsfolgen bei Verstößen

Anwälte