Bild
Text
Ein Betrag von Kai Bodensiek, Partner BvM Berlin
Facebook Custom Audience ist seit seiner Einführung immer wieder kritisch von Datenschützern besprochen worden, erstmals liegt aber jetzt eine ausdrückliche Bewertung einer Aufsichtsbehörde vor. Das Werbeangebot von Facebook basiert darauf, dass der Werbetreibende eine Kundenliste als verschlüsselten Hash an Facebook übermittelt . Unter Hash versteht man einen mathematischen Wert, der aufgrund einer Formel aus einer bestimmten Zeichenfolge errechnet wird - im Grunde also eine Art Verschlüsselung. Verwendet man den gleichen Hash-Algorythmus ergibt sich aus einem bestimmten Zeichensatz (z.B. einer E-Mailadresse) immer der gleiche Hash-Wert. Facebook übernimmt also die verschlüsselte Kundenliste des Werbetreibenden und gleicht diese mit der gleichermaßen verschlüsselten Liste der Facebookmitglieder ab. Ergeben sich hieraus Treffer, weiss Facebook, dass ein Nutzer sowohl Facebook Kunde ist als auch Kunde des Werbetreibenden und ordnet diesen der sogenannten Custom Audience zu.
Basierend auf dieser Erkenntnis wird dann Werbung gezielt entweder an diese Kunden oder Facebook Kunden ausgespielt, die ähnliche Interessen oder Verhaltensmuster haben. Selbst wenn Facebook also keine E-Mailadressen übertragen werden - wobei dies die bayrische Datenschutzbehörde aufgrund der angeblichen einfachen Überwindbarkeit der Verschlüsselung schon anzweifelt - erwirbt Facebook doch durch Zusammenführung der Datensätze Kenntnis darüber, dass ein Nutzer eine Leistung des Werbetreibenden nutzt.
Alternativ können die Daten auch an Facebook durch einen sogenannten Tracking Pixel übermittelt werden. Hier werden dann Informationen über das Surfverhalten des Nutzers aus dem Browser übermittelt, soweit dies nicht per Cookie abgeschaltet wurde. Je nach dem jeweiligen Surfverhalten schaltet Facebook dann gezielt Werbung, soweit der Kunde auf Facebook zugreift. Dabei ist es egal, ob der Nutzer Facebook nutzt oder nicht.
Text
Das Bayrische Landesamt für den Datenschutz hat in seiner Stellungnahme nun ausdrücklich festgehalten, dass entgegen der bisher verbreiteten Ansicht unter den Nutzern des Custom Audience Programs eine Weitergabe der Daten an Facebook unter keine Erlaubnisnorm des BDSG (und auch nicht unter der DSGVO) fällt, insbesondere nicht unter die § 28 Absatz 1 Nr. 2 BDSG (Wahrung berechtigter Interessen). Vielmehr kommt das Landesamt zu dem Schluss, dass eine Nutzung des Facebook Programms nur zulässig ist, wenn jeder Betroffene im voraus umfänglich über die übermittelten Daten, deren Nutzung und Verarbeitung informiert wird und dann dazu seine Einwilligung erteilt. Da das Landesamt nicht von der Wahrnehmung berechtigter Interessen bei der Nutzung ausgeht, bedeutet dies für aktuelle Kundenbestände, dass das Program nach Ansicht des Bayrischen Landesamtes für den Datenschutz nur genutzt werden dürfte, wenn alle Kunden vorab entsprechend informiert werden und dann ausdrücklich (z.B. aktives Setzen eines Häckchens) dieser Nutzung zustimmen. Dies wird wohl kaum praktikabel sein.
Text
Für die Verwendung des Tracking-Pixels gilt ähnliches. Hier fordert das Landesamt eine vorab Benachrichtigung wie sie inzwischen bei Cookies häufiger werden. So muss jeder Besucher der Webseite erst der Pixelnutzung zustimmen und sollte er sie ablehnen muss ein permanentes Cookie mit dieser Information gesetzt werden. Erst danach dürfte ein Trackingpixel überhaupt aktiviert (bzw. eben nicht) werden.
Mit diesen Anforderungen dürfte eine Nutzung von Facebook Custom Audiences - zumindest für aktuelle Kundenbestände - kaum mehr praktiabel sein. Mit der Veröffentlichung will das Bayrische Landesamt für den Datenschutz auf der einen Seite ein Bewußtsein bei den Unternehmen schaffen, dass diese Methoden rechtlich fragwürdig sind, diese aber zum anderen auch bösgläubig machen. Wer ab jetzt in Bayern Facebook Custom Audiences noch nutzt, ohne sich an die strikten Vorgaben zu halten, wird wohl kaum mehr behaupten können, dass er nicht gewusst hat, dass die Nutzung rechtswidrig wäre. Es ist zu erwarten, dass sich andere Landesbehörden dieser Ansicht anschließen. Mit Bußgeldbescheiden kann daher in Zukunft gerechnet werden.
Zur Person: