Mit dem Anbruch des Informationszeitalters hat sich mehr und mehr gezeigt, dass Werbung mit digitalen Hilfsmitteln noch individueller auf den jeweiligen Adressaten zugeschnitten werden kann, als je zuvor. Umso mehr Daten aber zu Werbezwecken erhoben, übermittelt und verarbeitet werden, desto mehr ist das Datenschutzrecht gefragt, um den Einzelnen vor Verstößen der Unternehmen zu schützen.
Zunehmend ins Blickfeld geraten sind in diesem Zusammenhang sogenannte Facebook Custom Audiences, häufig in Verbindung mit Facebook-Pixels. Was sich hinter diesen Begriff verbirgt, wie die Verfahren jeweils funktionieren und was beachtet werden sollte, erklärt der heutige Beitrag von Dr. Mathias Schneider in unserer Reihe zum Onlinerecht.
Was bedeutet „Facebook Custom Audiences“?
Dr. Mathias Schneider: Der Begriff „Facebook Custom Audiences“ (= benutzerdefinierte Zielgruppe) beschreibt eine Form des Marketings auf Facebook, bei der bestimmte Zielgruppen gezielt mit für sie passenden Werbeanzeigen von Unternehmen konfrontiert werden, zu denen bereits eine Verbindung besteht. Bei den werbenden Unternehmen handelt es sich häufig um Onlineshop-Betreiber.
Wie werden Nutzer Teil von „Custom Audiences“?
Dr. Mathias Schneider: „Facebook Custom Audiences“ ist als Oberbegriff zu verstehen. Um eine solche Zielgruppe zu generieren, stehen verschiedene Verfahren zur Verfügung. Facebook verwendet hier Verfahren mit sog. Pixels ( „Custom Audiences from Website“) und Verfahren über hochgeladende Kundenlisten ( „Custom Audiences from File“).
Bei der Methode „Custom Audiences from Website“ bettet der Inhaber einer Internetseite sogenannte Facebook-Pixels in diese ein, um damit nachverfolgen („tracken“) zu können, wer seine Seite besucht hat. Anhand des Nutzerverhaltens wird ein Profil erstellt, das anschließend mit Facebook-Profildaten abgeglichen wird. Je größer die Übereinstimmung, desto höher die Wahrscheinlichkeit, dass bei der Werbung auf Facebook mit Inhalten des zuvor besuchten Unternehmens ein „Treffer“ gelandet wird. Streuverluste sind hier im Vergleich zu nur willkürlich ausgewählten Inhalten weitaus geringer.
Noch präzisere Ergebnisse liefert die Erstellung von Custom-Audiences über Kundenlisten („Custom Audiences from File“). Bei dieser Variante wird eine Kundenliste durch das Unternehmen erstellt. Diese enthält Nutzerdaten wie E-Mail-Adressen oder Telefonnummern. Anschließend kann diese bei Facebook hochgeladen werden.
Warum ist dies in datenschutzrechtlicher Hinsicht problematisch?
Dr. Mathias Schneider: Der Grund, warum diese Verfahren in datenschutzrechtlicher Hinsicht bedenklich sind, ist die Übermittlung der Nutzerdaten durch werbende Unternehmen an Facebook. Im Einzelnen:
Bei „Facebook Custom Audiences“ stehen Verschlüsselungsverfahren im Vordergrund, die laut Facebook eine sichere Datenübermittlung gewährleisten. Dabei werden die Kundendaten zunächst verschlüsselt, bevor sie an Facebook übertragen werden. Sie liegen dann nur noch in einer Zeichenabfolge vor (sogenannter Hashwert), die keinen Hinweis auf die Identität des Kunden liefert. Anschließend vergleicht Facebook diesen Hashwert mit den Daten, die im Rahmen der Facebook-Nutzung erhoben und auf gleichem Wege verschlüsselt wurden. Durch diesen Abgleich kann Facebook herausfinden, welcher Kunde auch Facebook-Nutzer ist und diesem maßgeschneiderte Werbung vorhalten.
Der Knackpunkt ist nun die Frage, ob es sich bei den Daten trotz Verschlüsselung um personenbezogene Daten im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) handelt. Das Gesetz versteht darunter „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener)“. Darunter fallen also insbesondere Name und E-Mail-Adresse eines Nutzers.
Von Seiten der Datenschutzbehörden, die im Rahmen ihrer Datenschutzaufsicht Unternehmen kontrollieren, hat sich bisher nur das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zu dieser Problematik geäußert. Zwölf verantwortliche Stellen seien geprüft worden, heißt es im Tätigkeitsbericht des BayLDA für die Jahre 2015/2016. Diesem Tätigkeitsbericht ist auch zu entnehmen, dass das Verfahren Facebook Custom Audiences durchaus kritisch gesehen wird. Zwar würden die Nutzerdaten vor der Übermittlung anonymisiert bzw. pseudonymisiert. Da Facebook selbst aber den Abgleich zwischen den übermittelten Kundendaten und den eigenen Nutzerdaten durchführe, könne es durch das Zusammenführen dieser Daten die hinter den Daten stehende Person bestimmen und somit den erforderlichen Personenbezug im Sinne des § 3 BDSG herstellen.
Gilt für die Facebook-Pixels etwas anderes als für die Variante mit Kundenliste?
Dr. Mathias Schneider: Auch die Facebook-Pixels gelten als datenschutzrechtlich problematisch. Hier muss aber früher angesetzt werden, und zwar bereits bei der Erhebung der Daten mithilfe des Pixels. Ergänzend findet das Telemediengesetz (TMG) Anwendung. § 15 Abs. 3 TMG erlaubt das Erstellen von Nutzungsprofilen zu Werbezwecken bei der Verwendung von Pseudonymen, sofern der Nutzer nicht widerspricht. Im Übrigen ist es unzulässig, wenn die Nutzungsprofile mit den Daten über den Träger des Pseudonyms zusammengeführt werden.
Teilweise wird schon infrage gestellt, ob überhaupt von einem Pseudonym die Rede sein kann, wenn die spätere Zusammenführung der erstellten Nutzungsprofile mit den vorhandenen Facebook-Daten wieder zu einer Bestimmbarkeit der natürlichen Person führt. Durch diese ergänzenden Informationen wird das Pseudonym jedenfalls „entschlüsselt“.
Im Rahmen der Übermittlung der Daten an Facebook gilt nichts anderes als bei der Variante mit der Kundenliste: Durch die Zusammenführung der Datensätze wird ein Personenbezug im datenschutzrechtlichen Sinne hergestellt.
Welche Folge hat die Einordnung von Facebook Custom Audiences als Übermittlung personenbezogener Daten?
Dr. Mathias Schneider: Durch den Personenbezug in ist eine Übermittlung der Daten in beiden Varianten (Custom Audiences from File und Custom Audiences from Website) nur dann zulässig, wenn eine gesetzliche Erlaubnis vorliegt oder der Betroffene sich damit einverstanden erklärt hat (§ 4 Abs. 1 BDSG). Da die gesetzlichen Erlaubnistatbestände in diesem Fall nicht eingreifen, kommt es entscheidend auf eine vor der Übermittlung der Daten abgegebene, wirksame Einwilligung an.
Wie kann eine Einwilligung wirksam eingeholt werden?
Dr. Mathias Schneider: Eine wirksame Einwilligung setzt voraus, dass der Nutzer sie ausdrücklich erklärt hat. Um dies sicherzustellen, könnte das Anklicken einer Checkbox auf der Seite des werbenden Unternehmens ein geeignetes Mittel sein. Gleichzeitig muss dort unter anderem noch darüber informieren, zu welchem Zweck die Daten verwendet werden sollen, nämlich zur Erstellung von Custom Audiences bei Facebook. Dies sollte in jedem Fall kritisch geprüft werden.
Was gilt für die Erstellung eines Nutzungsprofils mittels Facebook-Pixel?
Dr. Mathias Schneider: Während es für die Übermittlung der Daten bei der Pixels-Variante darauf ankommt, dass der Internetseiten-Betreiber seinerseits die Einwilligung vom Nutzer einholt, reicht es für die Erhebung der Daten nach § 15 Abs. 3 TMG aus, wenn ihm die Möglichkeit gegeben wird, dem zu widersprechen. Als technische Möglichkeit hierfür bietet sich das Abwählen einer Checkbox an (Opt-Out). Zudem muss in der Datenschutzerklärung über das Erstellen des Nutzungsprofils aufgeklärt werden.
Welche Konsequenzen können drohen, wenn Custom Audiences nicht rechtmäßig eingesetzt werden?
Dr. Mathias Schneider: Von Seiten der Datenschutzbehörden können Untersagungen ausgesprochen werden, die in der Regel mit einem Zwangsgeld im Falle der Nichtbefolgung verbunden werden. Auch Bußgelder von bis zu 300.000 Euro sind denkbar. Die Maximalhöhe der Bußgelder steigt mit Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 noch weiter an. Doch auch Mitbewerber können sich an der rechtswidrigen Verwendung von Custom Audiences stören und Abmahnungen verschicken oder sogar klagen. Auch die betroffenen Nutzer selbst können die Unternehmen abmahnen, die ihre Daten unerlaubt übermittelt haben.
Wie sollte man mit dem Thema Facebook Custom Audiences nun also umgehen?
Dr. Mathias Schneider: Die Verwendung von Custom Audiences muss als äußerst problematisch bewertet werden. Mit dem BayLDA hat erstmalig eine Behörde ihr Augenmerk auf diese Art des Marketings gelegt und als kritisch bewertet. Kann daher nicht auf die Verwendung von Custom Audiences verzichtet werden, sollte alles unternommen werden, um eine wirksame Einwilligung des Nutzers einzuholen.
Damit Sie nicht in die Rechtsfalle tappen, haben wir für Sie die relevantesten Themen rund um das Thema „Onlinerecht“ in Zusammenarbeit mit Medienanwalt Dr. Mathias Schneider der Kanzlei Hoffmann Liebs Fritsch & Partner Rechtsanwälte mbB zu einem Leitfaden gebündelt. Diesen können Sie sich als PDF-Dokument kostenlos herunterladen. Hier geht’s zum Leitfaden:
Dr. Mathias Schneider
Dr. Mathias Schneider ist Rechtsanwalt bei der Sozietät Hoffmann Liebs Fritsch & Partner Rechtsanwälte mbB (HLFP) und dort auf IT-Recht sowie Datenschutz spezialisiert. Besondere Schwerpunkte liegen dabei im Bereich des E-Commerce und des Online-Marketing.In seiner Ausbildung verbrachte er Stationen in Ho-Chi-Minh-Stadt (Vietnam) und Sydney (Australien). Danach war er promotionsbegleitend zunächst an der Heinrich-Heine-Universität Düsseldorf als wissenschaftlicher Mitarbeiter am Lehrstuhl für Bürgerliches Recht und Gewerblichen Rechtsschutz (Prof. Dr. Busche) und am Zentrum für Gewerblichen Rechtsschutz tätig.
Dr. Schneider publiziert regelmäßig Fachbeiträge zum IT-Recht und ist gefragter Referent auf fachspezifischen Veranstaltungen, zuletzt beispielsweise zu den rechtlichen Rahmenbedingungen von Apps. Seine Promotion erwarb er mit einer Arbeit über die Rechtsbeziehungen in virtuellen Welten.
Kontakt
Hoffmann Liebs Fritsch & Partner
Rechtsanwälte mbB
Telefon +49 (0) 211 51882 – 197
Fax +49 (0) 211 51882 – 220
E-Mail mathias.schneider@hlfp.de
Internet www.hlfp.de
Twitter: @HLFPNews
XING
LinkedIn
Weitere Beiträge aus der Beitragsreihe mit Dr. Mathias Schneider:
Recht und Online-Texte (Teil 1) – Der Pressekodex
Im ersten Teil widmen wir uns den Bestimmungen und Eigenheiten des deutschen Pressekodex.
Recht und Online-Texte (Teil 2) – Geschützte Begriffe und wie Sie am besten mit ihnen umgehen
Im zweiten Teil finden Sie heraus, ob ein Begriff geschützt ist und wie Sie ihn verwenden dürfen.
Recht und Online-Texte (Teil 3) – Impressumspflicht in Deutschland
Im dritten Teil zeigen wir Ihnen, wie Sie die Impressumspflicht einhalten und welche Informationen im Impressum Pflicht sind.
Recht und Online-Texte (Teil 4) – Abmahnungen in der Online-Welt
Im vierten Teil finden Sie heraus, wie Sie im Falle einer Abmahnung am besten reagieren sollten.
Recht und Online-Texte (Teil 5) – Bilder nutzen ohne das Urheberrecht zu verletzen
Beim Veröffentlichen im Internet wird Ihnen das Urheberrecht immer wieder begegnen. Erfahren Sie, wie Sie fremde Bilder nutzen können, ohne das Urheberrecht zu verletzen.
Recht und Online-Texte (Teil 6) – Die Datenschutzgrundverordnung DSGVO, mit Checkliste zur Umsetzung
In Teil sechs erfahren Sie, welche Veränderungen mit der europaweit einheitlichen Datenschutzgrundversorgung DSGVO auf Ihr Unternehmen zukommen. Inklusive Checkliste zur Umsetzung.
Weitere Rechtsbeiträge:
Vermeidung rechtlicher Fehler in Pressemitteilungen – 12 Tipps
Professionelle und zugleich qualitativ hochwertige Pressemitteilungen sind die Basis für eine erfolgreiche Öffentlichkeitsarbeit. Als Grundlage für die Professionalität ist es wichtig, Pressemitteilungen immer sachlich und regelkonform zu schreiben.
5 Tipps: So machen Sie Ihre Bilder und Grafiken rechtssicher
Ein gutes Bild oder eine ansprechende Grafik darf heute in einer Online-Pressemitteilung nicht mehr fehlen. Bei der Nutzung von Bildern, Grafiken und Videos gibt es rein rechtlich aber einiges zu beachten.