Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich zu den rechtlichen Voraussetzungen beim Einsatz von Facebook Custom Audience im Rahmen der Online-Werbung geäußert. Die fünfseitige Stellungnahme ist <link https: www.lda.bayern.de media pm2017_07.pdf _blank external-link-new-window>hier abrufbar.
Die Zusammenfassung basiert auf einer bayernweiten Prüfaktion der Behörde von 40 Unternehmen hinsichtlich des Einsatzes von Facebook Custom Audience.
Das Ergebnis ist in jeder Hinsicht ernüchternd: Theoretisch, wobei die Betonung auf dem Wort "theoretisch" liegt, ist in Deutschland Facebook Custom Audience datenschutzkonform einsetzbar. In der Praxis sind aber die Voraussetzungen, die aufgestellt werden, kaum einzuhalten, so dass jedes Unternehmen sich die Verwendung zweimal überlegen sollte.
Im einzelnen:
Facebook Custom Audience ist in zweierlei Hinsicht einsetzbar. Zum einen mittels einer vom Unternehmer erstellten Kundenliste. Vor der Übertragung der Informationen werden diese Daten gehasht und dann an Facebook übertragen.Zum anderen mittels Einsatz eines Pixels auf der Webseite. Hier werden bestimmte Verhaltensweise des Surfers (z.B. das Kaufverhalten) an Facebook übertragen.
Wie bewertet das BayLDA nun beide Verfahrensweisen?
Facebook Custom Audience mittels Kundenliste:
Das Hash-Verfahren wird nicht als ausreichend angesehen, um die Daten zu entpersonalisieren. Die Hash-Werte könnten mit geringem Aufwand innerhalb weniger Sekunden zurückgerechnet werden, so dass man u.a. die ursprünglichen Telefonnummern und E-Mail-Adresse erhalte.
Der Einsatz dieses Tools ist somit nur dann möglich, wenn eine ausdrückliche und informierte Einwilligung des Users vorliegt. Schaut man sich die hohen Anforderungen der Rechtsprechung an solche Einwilligungen an, liegt die Wahrscheinlichkeit einer rechskonformen Einwilligung im Promille-Bereich.
Facebook Custom Audience mittels Pixel:
Der User muss umfassend auf der Webseite des Unternehmens über den Einsatz und Inhalt des Pixels informieren. Darüber hinaus muss es ein Opt-Out-Verfahren geben.
Werden diese beiden Punkte eingehalten, ist der Einsatz rechtskonform. Es bestehen aber erhebliche Zweifel, ob es in der Praxis einem Unternehmen überhaupt möglich ist, ausreichend über Art und Umfang des Facebook-Pixels zu informieren. Denn das würde voraussetzen, dass der Unternehmer zu 100% sicher weiß, was alles bei Facebook mit den Daten passiert. Nur wenn er hierüber informiert ist, kann er auch seine eigenen Nutzer informieren.
Der Präsident des BayLDA, Thomas Kranich, äußert sich zu dem Ergebnis der Prüfung wie folgt:
"Uns ist bewusst, dass personalisierte Werbung für die Wirtschaft ein enormer Vorteil ist. Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten. Das hat aber seine Grenzen, wenn gegen geltendes Recht verstoßen wird und der Einzelne nur noch zum Objekt seiner Daten degradiert wird.
Der Nutzer hat keine Chance mehr, sich dem zu entziehen. Es findet eine systematische Durchleuchtung der Nutzer durch die Algorithmen von Facebook´s Künstlicher Intelligenz (KI) statt. Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozi- alen Netzwerken sind, werden verfolgt. Als ein Ergebnis unserer Prüfung mussten wir feststellen, dass den geprüften Unternehmen, die Facebook Custom Audience eingesetzt haben, der rechtliche Rahmen häufig völlig unklar war.
Unternehmen, die jedoch nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen."
Die Stellungnahme des BayLDA kann jedem, der sich näher mit Facebook Custom Audience beschäftigen will, nur wärmstens an Herz gelegt werden, da sie detailliert die einzelnen rechtlichen Voraussetzungen auflistet und erläutert.