• Datenschutz - auch bei Facebook Custom Audiences ein sehr wichtiges Thema

Facebook Custom Audiences & Datenschutz

Marketing Tools wie die Facebook Custom Audiences werden von Datenschützern stets etwas argwöhnisch beobachtet. Das Bayerische Landesamt für Datenschutz (BayLDA) hat sich nun dazu positioniert. Diese Rechtsauffassung aus dem Jahr 2017 dürfte über längere Zeit und bundesweit Bestand haben.

Die Custom Audiences erlauben bekanntermaßen, die Streuverluste der Werbung erheblich zu senken. Was genau Custom Audiences sind und wieso Unternehmen diese verwenden sollten, wurde bereits im Beitrag „13 Gründe, warum man Facebook Custom Audiences nutzen sollte“ beschrieben.
Zum Generieren einer Facebook Custom Audience gibt es mehrere Verfahren. In diesem Beitrag soll beschrieben werden, wie es datenschutzrechtlich bei Facebook Custom Audiences aussieht, die über eine Kundenliste, also eine Liste mit Daten (wie Name, E-Mail-Adresse, Anschrift, etc.) von Kunden, generiert werden.

Welche juristischen Fallstricke kann es bei den Facebook Custom Audiences geben?

Wenn die Facebook Custom Audience via Kundenliste generiert werden, überträgt das werbende Unternehmen die Daten an Facebook verschlüsselt mit dem SHA256-Verfahren. Damit ist prinzipiell die Datensicherheit gewährleistet. Dennoch ergibt sich die datenschutzrechtliche Problematik, dass es sich um personenbezogene Daten handelt, die das Unternehmen erfasst hat und nun an Facebook übermittelt. So einer Datenübermittlung zu Werbezwecken müssen die Kunden explizit zustimmen. Das BayLDA ist der Auffassung, dass die werbenden Unternehmen die ausdrückliche Einwilligung der Kunden einholen müssten. Die juristische Fragestellung lautet hierbei: Handelt es sich trotz der eingesetzten Verschlüsselung immer noch um personenbezogene Daten?

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben zu den persönlichen und/oder sachlichen Verhältnissen einer natürlichen Person (§ 3 BDSG). Diese Definition gilt als schwammig. Unstreitig personenbezogen sind aber:

  • Name und Anschrift
  • Telefonnummer und E-Mail-Adresse

Diese Daten geben viele Unternehmen an Facebook weiter. Sie werden allerdings durch das SHA-265-Verfahren gehasht, somit also verschlüsselt. Ist diese Verschlüsselung stark genug, um die Daten zu anonymisieren? Das BayLDA widerspricht dem. Nach seiner Auffassung lassen die Daten trotz Hashing Rückschlüsse auf konkrete Nutzer von Facebook zu. Facebook kann laut BayLDA durch den Vergleich von Hashwerten feststellen, welcher Facebook-Nutzer zu den Kunden des übermittelnden Unternehmens gehört. Facebook kennt selbst mindestens die E-Mail-Adressen der Nutzer, die für die Facebook-Anmeldung erforderlich sind. Trotz der Verschlüsselung lässt sich daher ein Personenbezug herstellen. Die Kundendaten sind somit für das soziale Netzwerk nicht anonym. Es besteht laut BayLDA auch kein großer Aufwand für die Ermittlung der Kunden durch den Hashwert-Vergleich. Hierbei kommt die Brut-Force-Methode zum Einsatz, die das Zurückrechnen der Hashwerte zu den bei Facebook vorliegenden Kundendaten ermöglicht.

Wie können Unternehmen die Facebook Custom Audiences im Sinne des Datenschutzrechtes sicher nutzen?

Im Datenschutz herrscht ein “Verbot mit Erlaubnisvorbehalt“, das der § 4 Absatz 1 BDSG und der § 12 Absatz 1 TMG definieren. Bei einer Zustimmung der Betroffenen oder per spezieller Regelung (etwa auf behördliche oder richterliche Anordnung zur Verfolgung von Straftaten) ist die Erhebung und Verarbeitung personenbezogener Daten erlaubt. Es gibt auch die im § 28 Absatz 3 Satz 2 Nummer 1 BDSG erlaubte Übermittlung personenbezogener Daten ohne Einwilligung und nur für Zwecke der Werbung und des Adresshandels, wenn privilegierte Datenarten verwendet werden. Dazu gehören folgende Daten:

  • Angehörige einer Personengruppe
  • Branchen-, Berufs- oder Geschäftsbezeichnungen
  • Name, Titel, akademischer Grad
  • Anschrift
  • Geburtsjahr

E-Mail-Adressen gehören nicht dazu. Es kann zu Werbezwecken der Datenbestand erweitert werden, doch dabei dürfen schutzwürdige Interessen von Betroffenen nicht angetastet werden. Das sieht das BayLDA bei den Facebook Custom Audiences nicht gegeben. Die Betroffenen können laut der Auffassung der bayerischen Datenschützer nicht klar erkennen, wozu ihre Daten genutzt werden. Facebook kann nämlich die Daten auch für eigene Werbezwecke nutzen. Dem haben die Nutzer aber niemals zugestimmt. Wer daher als Unternehmen die Facebook Custom Audiences nutzt, muss nach Auffassung des BayLDA die Einwilligung der Nutzer einholen. Erst dann ist das Marketing Tool rechtssicher einzusetzen.

Wie muss eine wirksame Einwilligung der Kunden juristisch beschaffen sein?

Der Kunde muss seine Einwilligung eindeutig und bewusst erteilen, diese Einwilligung muss das Unternehmen protokollieren. Den Inhalt seiner Einwilligung muss der Kunde jederzeit abrufen und der Einwilligung auch jederzeit für die Zukunft widersprechen können. Zudem hat das Unternehmen seinen Kunden verständlich über die Nutzung der Daten zu informieren. Die Information muss so konkret sein, dass ein Kunde seine Einwilligung auch für den einzelnen Fall erteilen oder versagen kann. Es stellt sich nun die Frage, ob die Einwilligung per Opt-in oder Opt-out erteilt werden muss. Zur Unterscheidung:

  • Beim Opt-in erteilt der Kunde aktiv seine Einwilligung.
  • Beim Opt-out kennt er seine grundsätzliche Widerspruchsmöglichkeit, nutzt sie aber nicht.

Das BayLDA hat sich dazu ausdrücklich nicht geäußert. Spezialisierte Anwälte empfehlen das Opt-in-Verfahren. Der Kunde muss ein Häkchen in ein Feld neben dem Text “Ich willige ein, dass … “ setzen. Außerdem muss der Kunde genau wissen, welche seiner Daten erhoben, wie lange sie gespeichert und zu welchen Zwecken sie verwendet werden. Auch sollten die Unternehmen dem Datenempfänger mitteilen, dass die Daten zu Werbezwecken an Facebook gehen. Selbst eine Aufklärung zur Datenverarbeitung durch Facebook ist sehr zu empfehlen.

Fazit

Die Erstellung einer Facebook Custom Audience mittels einer Kundenliste, mag zwar datenschutzrechtlich nicht verboten sein, es ist aber in jedem Fall davon abzuraten, weil der Datenschutz der betreffenden Personen so auf jeden Fall nicht gewährleistet ist.
LINKILIKE unterstützt Sie gerne bei der richtigen Verwendung von Custom Audiences und hilft Ihnen dabei, Custom Audiences zu erstellen, die datenschutzrechtlich unfragwürdig sind.
Bei Fragen und für Unterstützung melden Sie sich gerne jederzeit per E-Mail.

2018-03-07T11:47:16+00:00 2. März 2018|Kategorien: Allgemein|Tags: , , |

About the Author:

Sarah studiert Webwissenschaften mit dem Schwerpunkt auf Social Web. Bei LINKILIKE kümmert sie sich um die Gewinnung und Betreuung neuer Social Influencer. Bei dieser Tätigkeit kommen ihr außerdem zahlreiche Inhalte aus ihrem Bachelorstudium der Publizistik- und Kommunikationswissenschaft sowie ihr persönliches Interesse an den Trends des World Wide Web und seine technischen, psychologischen und kommunikationswissenschaftlichen Aspekten zu Gute.