Facebook Custom Audience: Das sagt die Datenschutzaufsicht
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) prüft weiterhin stichprobenartig die Verwendung von „Facebook Custom Audiences“. Dabei wird nicht nur der Einsatz von Custom Audience als solcher geprüft, sondern auch die mittlerweile immer mehr an Popularität gewinnende, aber umstrittene Pixel-Variante. Das BayLDA hat den Einsatz beider Verfahren datenschutzrechtlich bewertet. Das Ergebnis stellen wir Ihnen hier vor:
Nicht-anonymisierte Personendaten
Indem die verantwortliche Stelle Kundenlisten mit E-Mail Adressen innerhalb ihres Facebook-Accounts hochlädt und Facebook Ireland Ltd. zur Verfügung stellt, werden personenbezogene Daten übermittelt. Diese werden vor dem Upload nicht anonymisiert. Das stattdessen verwendete Hash-Verfahren kann außerdem Rückschluss darüber geben, um welchen konkreten Nutzer es sich handelt. Durch einen Vergleich der Hashwerte kann Facebook feststellen, welcher Facebook-Nutzer auch Kunde der entsprechenden Stelle ist. Zudem kann der Hashwert ohne großen Aufwand durch eine einfache Brute-Force-Attacke zurückgerechnet werden.
Unzulässige Datenübermittlung
Der Facebook Ireland Ltd. wird quasi eine eigenständige „Rechtliche Zuständigkeit“ bzw. ein inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt – z. B. welche Facebook-Nutzer beworben werden. Somit liegt bei der Übermittlung der Daten an Facebook keine Auftragsdatenverarbeitung vor. Es würde sich nur dann um eine Auftragsdatenverarbeitung handeln, wenn die verantwortliche Stelle die andere Stelle damit betrauen würde, Daten zu erheben, zu verarbeiten oder zu nutzen, aber selber Herr der Daten bleiben würde.
Die Übermittlung der personenbezogenen Daten durch die verantwortliche Stelle an Facebook ist also datenschutzrechtlich unzulässig, sofern keine informierte Einwilligung der Betroffenen vorliegt. Wer diese also nicht explizit für jeden einzelnen Betroffenen vorweisen kann, verstößt gegen geltendes Recht und muss entsprechende Konsequenzen tragen.
Opt-Out als Muss im Pixel-Verfahren
Der Einsatz des Pixel-Verfahrens wiederum kann laut BayLDA auf § 15 Abs. 3 TMG gestützt werden. Ein zulässiger Einsatz setzt allerdings voraus, dass der Nutzer der Datenverarbeitung jederzeit widersprechen kann. Das bedeutet: Es muss ein Opt-Out Verfahren in der Datenschutzerklärung vorhanden sein. Andernfalls ist auch der Einsatz des Pixel-Verfahrens unzulässig. Zudem muss in der Datenschutzerklärung über den Einsatz des Facebook-Pixels aufgeklärt werden.
Ein Vorschlag für den Text in der Datenschutzerklärung wäre z. B.:
Nutzung des Facebook Custom Audience Pixel
Auf unserer Webseite verwenden wir „Custom Audiences Pixel“ der Facebook Inc. („Facebook“). Dies dient dem Zweck, Besuchern unserer Webseite im Rahmen ihres Besuchs des sozialen Netzwerkes Facebook interessenbezogene Werbeanzeigen zu präsentieren. Dazu wurde auf unserer Website ein Pixel von Facebook implementiert. Über dieses Pixel wird beim Besuch unserer Webseite eine direkte Verbindung zu den Facebook-Servern hergestellt. Dabei wird an den Facebook-Server übermittelt, dass Sie unsere Website besucht haben und Facebook ordnet diese Information Ihrem persönlichen Facebook-Benutzerkonto zu. Nähere Informationen zur Erhebung und Nutzung der Daten durch Facebook sowie über Ihre diesbezüglichen Rechte und Möglichkeiten zum Schutz Ihrer Privatsphäre finden Sie in den Datenschutzhinweisen von Facebook unter https://www.facebook.com/about/privacy/. Alternativ können Sie interessenbezogener Werbung auf Facebook unter https://www.facebook.com/settings/?tab=ads#_=_ widersprechen. Hierfür müssen Sie bei Facebook angemeldet sein.
Quelle Titelbild: TCmake_photo / iStock
