Facebook Advertising & Recht: Was jetzt wichtig ist!

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Facebook Advertising & Recht: Was jetzt wichtig ist!

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Vor einigen Wochen machte ein Artikel eines Schweizer Magazins (Das Magazin N°48 – 3.12.2016) viel Wirbel, wonach die Nutzung von Facebook-Daten einen entscheidenden Anteil am US-Wahlsieg von Donald Trump gehabt haben soll. Trumps Team habe Methoden der Psychometrik genutzt, um das Wahlverhalten der US-Wähler vorherzusagen und zu beeinflussen. Anhand des Like-Verhaltens könne ein Persönlichkeitsprofil der Facebook User erstellt werden. Schon ab 68 Likes könne die Analyse-Maschine ziemlich treffsicher sagen, wer man ist und wie man für bestimmte Botschaften besonders empfänglich ist. Ab 300 Likes kenne die Maschine einen besser als der Lebenspartner. Sodann werden Botschaften auf die identifizierten Persönlichkeitsprofile (32 verschiedene sollen es sein) genau abgestimmt. Das heißt, eine als extrovertiert identifizierte Persönlichkeit wird anders angesprochen, als zum Beispiel jemand, der als sensibel eingestuft wurde. Die Strategie heißt Microtargeting: jeder bekommt die Botschaft, für die er empfänglich ist.

gerichtssaal

Vor einigen Wochen machte ein Artikel eines Schweizer Magazins (Das Magazin N°48 – 3.12.2016) viel Wirbel, wonach die Nutzung von Facebook-Daten einen entscheidenden Anteil am US-Wahlsieg von Donald Trump gehabt haben soll. Trumps Team habe Methoden der Psychometrik genutzt, um das Wahlverhalten der US-Wähler vorherzusagen und zu beeinflussen. Anhand des Like-Verhaltens könne ein Persönlichkeitsprofil der Facebook User erstellt werden. Schon ab 68 Likes könne die Analyse-Maschine ziemlich treffsicher sagen, wer man ist und wie man für bestimmte Botschaften besonders empfänglich ist. Ab 300 Likes kenne die Maschine einen besser als der Lebenspartner. Sodann werden Botschaften auf die identifizierten Persönlichkeitsprofile (32 verschiedene sollen es sein) genau abgestimmt. Das heißt, eine als extrovertiert identifizierte Persönlichkeit wird anders angesprochen, als zum Beispiel jemand, der als sensibel eingestuft wurde. Die Strategie heißt Microtargeting: jeder bekommt die Botschaft, für die er empfänglich ist.

Diese im politischen Bereich verwendete Technology ist auch in anderen Bereichen einsetzbar und deswegen für viele Unternehmen besonders interessant. Microtargeting ist vorstellbar für die Nutzung für Werbung oder für die Suche nach bestimmten Menschengruppen. z.B. im Bereich Recruiting. Anbieter solcher Services sind derzeit nur einige wenige Agenturen, weshalb es derzeit schwierig zu durchleuchten ist, mit welchen Methoden sie an die begehrten Like-Daten kommen. Ob man die Agenturen beauftragen darf – vor allem, weil unbekannt ist, wie die Datenerhebung funktioniert- muss im Einzelfall beurteilt werden.

Co-Autorin und Rechtsanwältin Kathrin Schürmann ist Expertin für Datenschutz und IT-Recht und ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

 

Gängiger und vielen Unternehmen bekannt, ist die Nutzung von Facebook Advertising Tools, die von Facebook selbst angeboten werden. Wie diese datenschutzkonform genutzt werden können wird im Folgenden erläutert.

Facebook Advertising im Überblick

Beim Schalten einer Facebook-Werbeanzeige, können die Zielgruppen, denen sie gezeigt wird, nach Standort, Alter, Interessen und anderen Kriterien ausgewählt werden. Das Unternehmen entscheidet selbst, welche Art von Menschen es erreichen möchte. Dadurch soll eine höhere Relevanz für den Menschen, den sie erreichen, erzielt werden. Für diesen Zweck gibt es bei Facebook mehrere Möglichkeiten.

Custom Audience

Eine „Custom Audience“ ist eine Zielgruppenoption für Werbeanzeigen, mit der Werbetreibende ihre bestehenden Zielgruppen bzw. Kunden unter Personen, die Facebook verwenden, finden können.
Die Zielgruppenart bei Facebook kann dabei über eine Kundenliste, die das Unternehmen aus existierenden Kunden erstellen kann, festgelegt werden. Diese Kundenliste wird verschlüsselt bei Facebook hochgeladen, und anschließend verwendet Facebook die verschlüsselten Daten aus der Liste, um die Personen auf der Liste auf Facebook zu identifizieren.

Lookalike Audiences

Mit Lookalike Audiences können auf Facebook Personen gefunden werden, die Merkmale – etwa Standort, Alter, Geschlecht und Interessen – mit den bestehenden Kunden gemeinsam haben. So können Werbeanzeigen noch mehr Personen erreichen, für die das Unternehmen Relevanz haben könnte.

Facebook Pixel

Wenn jemand auf der Unternehmenswebsite eine Handlung ausführt (z. B. etwas kauft), wird das Facebook-Pixel ausgelöst und die Handlung gemeldet. Dann versucht das Pixel, diese Handlung einer Person auf Facebook zuzuordnen. So erfährt das Unternehmen, wann ein Kunde eine Handlung ausgeführt hat, nachdem er eine Facebook-Werbeanzeige des Unternehmens gesehen hat.
So wird sichergestellt, dass die Werbeanzeigen den Personen gezeigt werden, die mit hoher Wahrscheinlichkeit die gewünschte Handlung ausführen und man erhält über das Dashboard des Facebook-Pixels ausführliche Statistiken darüber, wie Personen die Webseite verwenden.

Datenschutzkonformer Einsatz der Facebook-Tools

In weiten Teilen wird beim Einsatz der oben genannten Tools juristisches Neuland betreten, sodass in diesem Bereich keine schwarz/weiß Antworten gegeben werden können. Es können und werden durchaus verschiedene Sichtweisen vertreten. Hiervon sollten sich Unternehmen aber nicht zu sehr abschrecken lassen. Wie so oft, wenn es um neue Technologien geht, gibt es auch hier keine hundertprozentig rechtssicheren Lösungen. Die nachfolgenden Ausführungen verschaffen jedoch einen guten Überblick über die Rechtslage und geben einen Weg vor, um (höchstmögliche) Datenschutzkonformität zu erreichen.

Co-Autorin Inna Gendelman ist Rechtsanwältin und Beraterin für ISiCO Datenschutz.

 

Datenschutzkonformer Einsatz von Facebook Custom Audience und Lookalike Audiences

Aus datenschutzrechtlicher Sicht gestalten sich die Custom Audiences und Lookalike Audiences gleich. Beide Tools setzen voraus, dass personenbezogene Daten von Kunden (z. B. E-Mail-Adressen) des Unternehmens bei Facebook hochgeladen und dann von Facebook verarbeitet werden.  Der Umstand, dass die personenbezogenen Daten vor der Übermittlung an Facebook verschlüsselt werden, stellt übrigens keine „Anonymisierung“ im Sinne des deutschen Datenschutzrechts dar – auch wenn Facebook das zu suggerieren versucht.

Bei dem Upload der Daten handelt es sich also um eine Übermittlung personenbezogener Daten, die nur dann ohne Einwilligung der Betroffenen zulässig ist, wenn diese einem legitimen Geschäftszweck des Unternehmens entspricht. Da der Einsatz der Tools für die Verfolgung des Geschäftszwecks in der Regel nicht erforderlich ist, gibt es zwei gangbare Wege, um die o.g. Tools einzusetzen.

Eine (100 % rechtssichere) Möglichkeit:
Es muss eine ausdrückliche Einwilligung der betroffenen Kunden, deren Daten an Facebook übermittelt werden eingeholt werden (sinngemäßes Beispiel: „Ich bin einverstanden, dass das jeweilige Unternehmen meine E-Mail-Adresse an Facebook übermittelt, damit Facebook mir dort Werbung zusenden kann“).

Da das Einholen einer solchen Einwilligung wegen der Impraktikabilität keine Option für die meisten Unternehmen ist, ist die nachfolgende Möglichkeit attraktiver, aber auch risikoreicher.

Eine (riskantere, aber aus unserer Sicht rechtskonforme) Möglichkeit:
Es wird ein Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG mit Facebook Irland geschlossen. Darin müsste konkret geregelt sein, wie Facebook mit den gesammelten Daten umzugehen hat, wobei das Gesetz die zu regelnden Punkte vorgibt. Nach langen Verhandlungen stellt Facebook nun auch einen solchen Vertrag zur Verfügung und ist zum Abschluss bereit. Unserer Auffassung nach stellt dieser eine genügende Rechtsgrundlage für die Datenübermittlung an Facebook dar, da Facebook hier als klassischer Werbedienstleister auftritt und somit, als Auftragnehmer, zum Unternehmen in einem klassischen Auftragsdatenverarbeitungsverhältnis steht.

Risikoreich ist diese Möglichkeit deswegen, weil die deutschen Datenschutzbehörden nach den bisher vorliegenden Stellungnahmen Facebook Custom Audience für unzulässig halten dürften. „Der Einsatz der ‚Custom Audiences‘ ohne Einwilligung der Nutzer stellt eine Ordnungswidrigkeit dar, die entsprechend mit Bußgeldern sanktioniert werden kann.“ (so das Bayerische Landesamt für Datenschutzaufsicht, Tätigkeitsbericht 2013/14, S. 172; Von den anderen 15 deutschen Datenschutzaufsichtsbehörden gibt es zwar noch keine ausdrücklichen Stellungnahmen. Wir gehen aber davon aus, dass sie die Facebook-Tools ähnlich wie die Behörde in Bayern bewerten).

Allerdings hat die Behörde zum damaligen Zeitpunkt offenbar nicht bedacht, dass Facebook nun bereit ist einen Auftragsdatenverarbeitungsvertrag mit den werbenden Unternehmen zu schließen. Eine Garantie, dass die Behörden ihre Ansicht im Falle des Abschlusses eines Auftragsdatenverarbeitungsvertrages ändern würden, gibt es aber nicht. Dies sollte bei der Risikoabwägung immer bedacht werden.

Datenschutzkonformer Einsatz von Facebook-Pixel

Aus unserer Sicht kann das Facebook-Pixel (etwa im Zusammenhang mit dem Tool „Custom Audiences über deine Website“) im Einklang mit dem Datenschutzrecht genutzt werden, wenn in der Datenschutzerklärung darauf hingewiesen wird.

Allerdings ist die Rechtslage hier sehr unklar. Man kann sich mit sehr guten Argumenten auch auf den Standpunkt stellen, dass das Facebook-Pixel nur genutzt werden darf, wenn (genau wie bei Facebook Audiences und Lookalike) eine Einwilligung des Nutzers eingeholt wird oder ein entsprechender Auftragsdatenverarbeitungsvertrag mit Facebook abgeschlossen wird, der für Facebook-Pixel noch nicht existiert und deshalb ausgehandelt werden müsste.

Jedenfalls muss auf den Einsatz des Facebook-Pixels unbedingt in der Datenschutzerklärung hingewiesen werden, da der Websitebesucher getargetet wird.  Außerdem muss auf die Opt-out-Funktion von Facebook hingewiesen werden.

Wegen der unklaren Rechtslage gehen wir davon aus, dass die Behörden gegen ein Unternehmen wegen des – aus Behördensicht möglicherweise unzulässigen – Einsatzes des Facebook-Pixels nicht sofort Bußgelder verhängen oder Kontrollen durchführen würden, sondern lediglich zur Entfernung des Pixels auffordern würden, was jedoch natürlich (insbesondere bei großen Unternehmen) nicht ausgeschlossen werden kann. Zu beachten ist  insoweit jedoch, dass, anders als bei den Custom und Lookalike Audiences, von jedermann leicht überprüft werden kann, ob das Facebook-Pixel genutzt wird.  Dieses Risiko, sowie die Gefahr von Reputationsschäden, sollte bei der Risiko-Nutzen-Analyse berücksichtigt werden.

Fazit

Aus unserer Sicht stellt sich die datenschutzrechtliche Lage wie folgt dar: Facebook Custom Audience ist auf jeden Fall mit der ausdrücklichen Einwilligung der Nutzer zulässig; möglicherweise ist das Tool aber auch ohne Einwilligung zulässig, sofern ein Auftragsdatenverarbeitungsvertrag mit Facebook Irland geschlossen wird. Facebook Lookalike Audiences ist auf jeden Fall ebenfalls nur mit der ausdrücklichen Einwilligung der Nutzer zulässig; möglicherweise ist auch dieses Tool aber auch ohne Einwilligung zulässig, sofern ein Auftragsdatenverarbeitungsvertrag mit Facebook Irland geschlossen wird.

Das Facebook-Pixel kann eingesetzt werden, wenn in der Datenschutzerklärung darauf hingewiesen wird; vorsichtshalber sollte jedoch auch hier versucht werden, einen Auftragsdatenverarbeitungsvertrag mit Facebook Irland abzuschließen.

Empfehlung

Wir empfehlen im Zweifel vom Einsatz der „Upload-Tools“ (d. h. Facebook Custom Audiences und Lookalike Audiences) abzusehen. Wer die Upload-Tools trotzdem einsetzen will, sollte Mut zur datenschutzrechtlichen Kreativität haben. Der Einsatz sollte vertretbar gerechtfertigt werden können, um auf Nachfragen der Datenschutzbehörden vorbereitet zu sein. Zur Absicherung sollte auf jeden Fall ein den gesetzlichen Anforderungen genügender Auftragsdatenverarbeitungsvertrag gem. § 11 BDSG abgeschlossen werden.

Das Facebook-Pixel kann aus unserer Sicht datenschutzkonform eingesetzt werden, sofern der Nutzer in der Datenschutzerklärung darauf hingewiesen wird und auf die Opt-out-Funktion von Facebook verlinkt wird. Wie die Behörden das sehen, bliebe abzuwarten. Am wichtigsten ist die Reaktionsfähigkeit im Ernstfall.

Autoren: Rechtsanwältin Kathrin Schürmann ist Expertin für Datenschutz und IT-Recht und ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers. In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann als Beraterin für ISiCO Datenschutz, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet. Beratungsschwerpunkte: IT- und Datenschutzrecht, Urheber- und Medienrecht und Gewerblicher Rechtsschutz.

Inna Gendelman ist Rechtsanwältin und Beraterin für ISiCO Datenschutz. Sie berät ihre Mandanten (vorrangig aus dem Startup-Umfeld) bei der Entwicklung von Datenschutzkonzepten und der Vertragsgestaltung, bei der datenschutz- und wettbewerbsrechtskonformen Umsetzung von Online-Marketingvorhaben sowie bei app- und mobile-basierten Geschäftsmodellen.

(jm)

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
1 Kommentar
Oldest
Newest
Inline Feedbacks
View all comments
profiadress
profiadress
20. Januar 2017 9:37

Der in dem Artikel zitierteDer in dem Artikel zitierte Tätigkeitsbericht 2013/14 des Bayerischen Landesamts für Datenschutzaufsicht ist ja nun schon etwas älter. Wenn man tatsächlich auf Seite 172 nachschlägt stellt man fest, dass nicht Custom Audiences generell beanstandet werden, sondern das Hashing-Verfahren nach MD-5. Zitat: „Als Algorithmus kommt das bekannte MD5-Verfahren zum Einsatz, das aufgrund seiner effizienten Berechnung (siehe Kapitel 22.4) für Anonymisierungsverfahren im Allgemeinen ungeeignet ist.“ Mittlerweile akzeptiert Facebook nur noch Daten, die nach SHA-256 gehashed wurden – siehe https://developers.facebook.com/docs/marketing-api/custom-audience-api/v2.8 „The accepted way to hash your data is SHA256. Other hashing mechanisms are not supported.“ Wie sieht denn unter… Weiterlesen »

Andere Leser haben sich auch für die folgenden Artikel interessiert

Soll es ein Black Friday 2020 im Sommer geben? Ein Großteil der Verbraucher findet diese Idee gut und ist bereit, beim Onlineshopping durchschnittlich 360 Euro auszugeben. Die Onlinehändler sehen als Vorteile eine Umsatzsteigerung und den Lagerabverkauf.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Social Commerce

Neue Trends im Onlinehandel

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

* Jederzeit kündbar

Entdecken Sie weitere Magazine

Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.