Bayerische Datenschützer: Facebook-Pixel ist zulässig, Matching von Kundenlisten nur mit Einwilligung

Facebook Custom Audience ermöglicht ein zielgruppengenaues Targeting von Werbeanzeigen auf Facebook. Vergleichbare Targeting-Verfahren werden auch von verschiedenen anderen sozialen Netzwerken angeboten. Das Bayerische Landesamt für Datenschutzaufsicht hat sich nun mit den verschiedenen Audiences-Möglichkeiten bei Facebook befasst und Allgemeine Hinweise und Anforderungen zum Einsatz von Facebook Custom Audience veröffentlicht.

Facebook Custom Audience mit Kundenlisten
Mit Customs Audience mittels Kundenlisten werden Kunden über E-Mail-Adresse, Telefonnummer, Facebook-Nutzer-IDs oder App-Nutzer-ID identifiziert. Hat ein Unternehmer die E-Mail-Adresse eines Kunden gespeichert und ist der Kunde mit dieser E-Mail-Adresse auch Facebook bekannt, so kann diesem Kunden gezielt Werbung auch auf Facebook angezeigt werden.

Das Datenschutzproblem rührt daher, dass E-Mail-Adressen in aller Regel personenbezogene Daten sind. Zwar erfolgt der Upload der Kundenlisten bei Facebook nicht im Klartext, sondern mittels eines von Facebook vorgegebenen Hash-Verfahrens. Facebook gleicht dann die mit dem gleichen Hash-Verfahren verfremdeten Datensätze, um eine Übereinstimmung festzustellen.

Die bayerischen Datenschützer halten dieses Verfahren für einen Datenschutzverstoß. Dabei stört sich die Behörde am eingesetzten Hash-Verfahren, das eine einfache Rückrechnung erlaube. Aus den Hashwerten ließen sich insbesondere die übermittelten Telefonnummern und E-Mail-Adressen ohne Weiteres zurückrechnen. Selbst mit einem sichereren Hashverfahren wäre das Verfahren wohl nicht zulässig. Schließlich weiß Facebook über den Abgleich im Falle einer Übereinstimmung, dass sich das betreffende Mitglied in der Kundenliste des Werbenden befindet und kann das Profil des Facebook-Mitglieds um diese Information anreichern. Jedenfalls in diesem Fall besteht Personenbezug.

Kunde muss vorab einwilligen
Zurecht meint die Behörde in ihrer Stellungnahme, dass eine gesetzliche Grundlage für diesen Abgleich nicht zu finden ist, so dass Custom Audience mit einer solche Kundenliste nur zulässig ist, wenn der Kunde eingewilligt hat. Die Einwilligung ist nur wirksam, wenn der Kunde auch weiß worin er einwilligt. Dies schließt es aus, die Einwilligungen in den AGB zu verstecken und sich mit einem Hinweis auf die AGB zu begnügen. Vielmehr muss eine solche Einwilligung gesondert und freiwillig erteilt werden.

Keine wesentlich andere Lage nach Wirksamwerden der DSGVO
Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Wer sich damit noch nicht befasst hat, sollte das schleunigst nachholen. Anders als bei vielen anderen Datenverarbeitungsprozessen in Unternehmen, ändert sich bei Facebook Custom Audience aber prinzipiell nicht viel. Auch nach neuem Recht wird es schwierig, eine gesetzliche Grundlage für den Datenabgleich mit Facebook zu finden. Insofern bleibt es auch nach der DSGVO bei dem Einwilligungserfordernis. Die Anforderungen an die Einwilligung steigen allerdings nach der DSGVO tendenziell, so dass hier auf jeden Fall nachjustiert werden muss.

Facebook-Pixel ist auch ohne Einwilligung einsetzbar
Die Behörde hat sich auch mit dem Facebook-Pixel befasst und meint zunächst, dass datenschutzrechtlich verantwortlich zunächst der Website-Betreiber, nicht Facebook, sei. Dafür spricht viel, ob das wirklich so ist, wird der Europäische Gerichtshof in einer anderen Sache demnächst entscheiden.

Der einfache Einsatz des Pixels sei zulässig, wenn ein funktionierendes Opt-out angeboten wird und darauf auch ordnungsgemäß hingewiesen wird. Bei dem Opt-out müsse es sich aber um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln. Cookies mit kurzer Gültigkeitsdauer seien nicht ausreichend.

Wenn ein Opt-Out-Cookie des Nutzers gesetzt wurde, muss jeder Datenverkehr über das Facebook-Pixel diesen Kunden betreffend gestoppt werden. Werden ungeachtet des Widerspruchs Daten an Facebook übergeben, ist das Opt-Out-Verfahren ungeeignet zur Erfüllung der gesetzlichen Anforderungen. Im Zweifel solle der Website-Betreiber („durch Programmieren von wenigen Zeilen Javascript-Code“ selbst für Implementation eines vernünftigen Tools sorgen.

Ein Verweis auf Facebook oder Drittanbieter genüge in der Regel nicht. Hintergrund ist, dass nach Setzen eines Opt-Out-Cookies Drittanbieter weiterhin ein Datenaustausch zwischen dem Endgerät des Nutzers und dem Werbenetzwerk stattfinde. Zudem sei es unzumutbar, dass der Nutzer bei Einsatz solcher Drittidienste wiederum getrackt werden. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren dar. Dies gelte schon deshalb, weil die Option nur Facebook-Mitgliedern zur Verfügung stehe. Das ist jedoch nicht ganz schlüssig. Wird bei einem Nicht-Facebook-Mitglied lediglich ein Pixel gesetzt, ist damit noch kein Personenbezug verbunden. Dieser entsteht beim Facebook-Pixel erst mit der Wiedererkennung bei Facebook. Eine Wiederkennung kann aber nur bei Mitgliedern geschehen. Insofern unterscheidet sich Facebook dann nicht von regulärem Re-Targeting.

Sehr kritisch sieht die Behörde die Option „Erweiterter Abgleich“ bei der weitergehende Informationen über den Nutzer an Facebook übermittelt werden. Hier gelte nichts anderes als bei dem Upload von Kundenlisten, so dass die Zulässigkeit von der Einholung einer ordnungsgemäßen Einwilligung abhänge.

Durchgreifen der Behörde
Bisher hat sich die Behörde gegenüber den 40 befragten Unternehmen mit Bußgeldern zurückgehalten und sich damit begnügt, dass die Unternehmen einen datenschutzkonformen Einsatz der Marketinginstrumente zugesagt haben. Für die Zukunft ist aber angekündigt worden, „notfalls die entsprechenden aufsichtlichen Maßnahmen ergreifen“ zu wollen – letztlich also auch Untersagungen zu verfügen und Bußgelder zu verhängen. Wer weiter Kundenlisten an Facebook verschickt, muss im Falle einer Entdeckung jedenfalls in Bayern mit Bußgeldern rechnen. Auch von anderen Behörden man ab und an, wegen des Einsatzes von Facebook Marketing-Möglichkeiten vorgehen zu wollen, wenn der Datenschutz aus Sicht der Behörde dabei auf der Strecke bleibt.

Es ist begrüßenswert, dass die Behörde den monatelangen internen Ermittlungen und Recherchen nun eine solche Stellungnahme hat folgen lassen. Dieses kann Unternehmen – nicht nur in Bayern – durchaus eine Guideline für den Umgang mit Facebook Audiences geben. Nur mit einer Einwilligung der Nutzer sind die Unternehmen auf der sicheren Seite. Wird sie so eingeholt, wie die Datenschützer sich das vorstellen, dürfte die Quote derer, die ihre Zustimmung geben, aber überschaubar sein. Das Facebook-Pixel lässt sich dagegen weiterhin einsetzen.