Facebook (Website) Custom Audiences – Mit dem Datenschutz vereinbar?

geschrieben am in der Kategorie Social Media Marketing von

Über die Funktion „Custom Audiences“ ermöglicht Facebook seinen Nutzern zu Werbezwecken Listen mit Emailadressen oder Telefonnummern hochzuladen. Auf diese Weise können Werbemaßnahmen schnell, gezielt und auf die jeweiligen Kunden angepasst bei Facebook angezeigt werden. Doch auch über das Surfverhalten der Facebook-Nutzer kann kundenspezifische Werbung generiert werden. Durch die Weitergabe der IP-Adressen beim Besuch einer Website und der automatischen Verknüpfung zu einer Facebook-ID, können Unternehmen erfahren, welche Interessen der Besucher der Seite hat, und entsprechende Werbung anzeigen lassen (Website Custom Audiences). Für die Unternehmen klingt die Funktion erst einmal verlockend, doch wie ist diese mit den in Deutschland geltenden datenschutzrechtlichen Bestimmungen zu vereinbaren?

Custom Audiences durch Übertragung von Datendateien

Beim Hochladen der Kundendaten bei Facebook werden die E-Mail Adressen und Telefonnummern gehashed, sodass ausschließlich verschlüsselte Daten an Facebook übertragen werden. Facebook kann die übermittelten Hashwerte mit seinen eigens erstellten Hashwerten vergleichen und so erkennen, welche Kunden bereits bei Facebook registriert sind, und diese zielgerichtet bewerben. Die Hashwerte dieser Nutzer werden entsprechend als „Custom Audience“ (= Benutzerdefiniertes Publikum) gespeichert. Am Ende des Abgleichs werden alle hochgeladenen Hashwerte wieder gelöscht.
Unternehmer haben im Endergebnis nun über Facebook Zugriff auf spezifische Kundenlisten, die sie gezielt und maßgeschneidert ansprechen können.
Facebook sichert dabei zu, dass die Listen keine Informationen zu den dahinter stehenden Einzelpersonen enthalten, sondern lediglich Angaben zu der ungefähren Anzahl von Kunden preisgeben, die sich hinter den Listen verbergen.

Website Custom Audiences

Da jeder Facebook Nutzer über eine unabhängige Facebook-ID verfügt, können Werbetreibende über Website Custom Audiences erfahren, welcher Nutzer ihre Seite besucht hat, und diese Information entsprechend für gezielte Werbemaßnahmen nutzen. Website Betreiber können zu diesem Zweck im Facebook Werbekonto einen Code-Schnipsel generieren und diesen auf ihrer Website einbinden. Auf diese Weise wird jeder Besucher der Seite markiert und einem Facebook-Profil zugeordnet.

Die datenschutzrechtlichen Vorgaben

Das deutsche Datenschutzgesetz sieht vor, dass die Übermittlung personenbezogener Daten an Dritte nur dann zulässig ist, wenn der Betroffene eingewilligt hat oder eine Norm die Erhebung der Daten erlaubt (Vgl. §4 BDSG). Daten dürfen beispielsweise ohne ausdrückliche Einwilligung genutzt werden, wenn dies zur Erfüllung der vertraglichen Pflichten notwendig ist (Vgl. §28 BDSG). Da hier keine solche Norm einschlägig ist, ist für die Datenübertragung an Facebook eine Einwilligung der Betroffenen Voraussetzung für die rechtskonforme Übertragung der Daten. Dabei spielt es keine Rolle, ob es sich um das klassische Custom Audiences durch die Übertragung von Datendateien oder um Website Custom Audiences handelt. Die Tatsache, dass die Daten verschlüsselt werden, ändert ebenfalls nichts an dieser Voraussetzung. Auch bei den gehaschten Werten und den IP-Adressen handelt es sich nach überwiegender Meinung um personenbezogene Daten, für deren Übertragung immer eine Einwilligung vorausgesetzt wird.

Voraussetzungen für eine wirksame Einwilligung

Eine wirksame Einwilligung setzt voraus, dass der Betroffene genau erfährt, zu welchem Zweck und an wen seine Daten übertragen werden. Dies ergibt sich aus dem Transparenzgebot des Datenschutzgesetzes. Das bedeutet konkret, dass der Betroffene genau darüber informiert werden müsste, über welches Werbemedium, für welche Produktkategorien und von wem Werbung versendet werden darf. Die Einwilligung muss dabei ausdrücklich erfolgen, eine sogenannte „Opt out Lösung“ ist nicht zulässig. Die Einwilligung darf auch nicht versteckt über die Zustimmung zu den AGB´s erteilt werden. Schließlich gilt als weiterer wichtiger Grundsatz die Zweckbindung. Das heißt, dass die erhobenen Daten dann auch ausschließlich nur zu dem Zweck verarbeitet und genutzt werden dürfen, für den eine Einwilligung erteilt wurde. Unternehmer sollten sich, bevor sie ihre Kundendaten bei Facebook hochladen, genau überlegen ob deren Nutzung zur Bestimmung des „Benutzerdefinierten Publikums“ zulässig ist. Häufig wird die Einwilligung zur Datenübertragung für die Abwicklung eines Kaufs erteilt. Die Datennutzung für Facebook Custom Audiences gehört jedoch eindeutig nicht mehr zur Kaufabwicklung. Auch die Zustimmung eines Kunden zur Zusendung des Newsletters ist nicht davon umfasst. Der Newsletter ist eine Werbemaßnahme, die auf die Zusendung einer Email beschränkt ist und nicht die Darstellung von Werbeanzeigen bei Facebook umfasst.

Die Zwei-Klick-Lösung

Bei der Website Custom Audiences ist die Einholung einer wirksamen Einwilligung ein bisschen komplizierter, denn die Daten werden bereits durch das bloße Anklicken der Seite automatisch übertragen. Hier stellt sich im Grunde genommen die gleiche Problematik wie beim Facebook-Like-Button. Beim Besuch einer Website, auf der ein Facebook-Like-Button eingebaut ist, werden personenbezogene Daten über den Website-Besucher erhoben und an Facebook übermittelt. Facebook verknüpft  anschließend die erhaltenen Daten mit dem Account des Besuchers. Dieser Vorgang ist datenschutzrechtlich sehr umstritten. Eine abschließende Rechtsprechung steht noch aus. Es empfiehlt sich auf die Zwei-Klick-Lösung zurückzugreifen. Dabei aktiviert der Nutzer die Übertragung bewusst selbst. Bei einem Seitenaufruf wird zunächst nur die gewünschte Seite geladen. Platzhalter ersetzen die eigentlichen Buttons, die der Nutzer zunächst durch einen Klick aktivieren muss. Hierbei bietet es sich an, den Nutzer durch ein sogenanntes Mouseover, also ein Textfeld das bei Mauskontakt automatisch erscheint, bereits vor dem ersten Klick über die datenschutzrechtliche Problematik „aufzuklären“. Aktiviert der Nutzer den Button dann durch einen ersten Klick, wird der eigentliche Button nachgeladen und eine Serververbindung mit dem sozialen Netzwerk hergestellt.
Ein weiterer Klick führt dann die eigentliche Funktion des Buttons aus.
Nutzt ein Website-Betreiber die Website Custom Audience Funktion, müsste dieser ähnlich wie eben beschrieben dafür sorgen, dass die Nutzer zunächst über ein Pop up-Fenster über die Datenübertragung und die konkrete Nutzung der Daten informiert werden. Erst nach einer aktiven Zustimmung des Nutzers („Opt in“) kann von einer wirksamen Einwilligung in die Datenübertragung ausgegangen werden.
Betroffene haben gegenüber dem Verantwortlichen einen Anspruch auf Auskunft über die Menge und den Zweck der über ihn gespeicherten Daten. Kunden dürfen jederzeit ihre Zustimmung widerrufen und haben ein Recht auf Sperrung, Berichtigung oder Löschung ihrer Daten.
Liegt keine wirksame Einwilligung vor, setzt sich das werbende Unternehmen einer hohen Strafe aus. Das Bundesdatenschutzgesetz sieht für die unbefugte Weitergabe von Daten ein Bußgeld in Höhe von bis zu 300.000 Euro vor (Vgl. §43 Abs. 2 Nr. 1).

Fazit

Facebook (Website) Custom Audiences ist ein effektives Marketing-Tool, jedoch ohne konkrete Einwilligung der Kunden rechtswidrig. Es droht ein hohes Bußgeld. Auch eine Abmahnung durch Mitbewerber ist denkbar, da die rechtswidrige Weitergabe von Kundendaten zu Werbezwecken ebenfalls einen Wettbewerbsverstoß begründet.


Christian SolmeckeDie Kölner Kanzlei WILDE BEUGER SOLMECKE hat sich auf die Beratung der Online-Branche spezialisiert. Insgesamt arbeiten in der Kanzlei 20 Anwälte.

Rechtsanwalt Christian Solmecke (40) hat in den vergangenen Jahren den Bereich Internetrecht/E-Commerce stetig ausgebaut. So betreut er zahlreiche Medienschaffende und Web 2.0 Plattformen. Neben seiner Kanzleitätigkeit ist Christian Solmecke auch Geschäftsführer des Deutschen Instituts für Kommunikation und Recht im Internet (DIKRI) an der Cologne Business School (http://www.dikri.de). Dort beschäftigt er sich insbesondere mit den Rechtsfragen in Sozialen Netzen. Vor seiner Tätigkeit als Anwalt arbeitete Solmecke mehrere Jahre als Journalist für den Westdeutschen Rundfunk und andere Medien.

WILDE BEUGER SOLMECKE Rechtsanwälte, Kaiser-Wilhelm-Ring 27-29, 50672 Köln
Ansprechpartner: Christian Solmecke, LL.M., Rechtsanwalt
Tel.: 0221 – 951563-0
Fax: 0221 – 951563-3
E-Mail: info@wbs-law.de
Internet: http://www.wbs-law.de/

An dieser Stelle erscheinen gelegentlich Gastartikel von verschiedenen Experten des Online Marketings.

Einen Kommentar schreiben

* Pflichtfelder

  1. Solange es Gesetze in diese Richtung gibt, gibt es Leute die versuchen damit Geld zu verdienen. Ich würde vorschlagen es zu unterlassen, bis es Wasserdicht ist.
    Grüße
    Shining Marie 🙂