Facebook „Custom Audiences“: Vereinbar mit dem Datenschutz?

facebook 10
Fachbeitrag

Wer für Dienstleistungen im Netz nichts bezahlt, bezahlt am Ende doch und zwar mit seinen persönlichen Daten. So alt diese Erkenntnis mittlerweile auch ist, Facebook findet immer neue Möglichkeiten diesen Spruch in die Tat umzusetzen.

Eine noch relativ neue Möglichkeit Facebook Nutzer mit Werbung zu überschwemmen heißt „Custom Audiences„. Wie nicht anders zu erwarten preist Facebook seine neue Funktion auf der „Facebook and Privacy„-Page als besonders datenschutzfreundlich an und suggeriert hierdurch Rechtskonformität. Grund genug also diese Funktion einer rechtlichen Prüfung zu unterziehen.

Wie funktioniert Custom Audiences?

Wichtig hierfür ist die Funktionsweise von Custom Audiences, welche nachfolgend in verschiedenen Schritten dargestellt wird. Zum Vergrößern bitte auf das Bild klicken.

Schritt 1:

Der Werbende lädt eine Liste mit E-Mail-Adressen oder Telefonnummern in seinen Browser, deren Inhaber später beworben werden sollen.

Schritt 2:

Um die o.g. Daten nicht im Klartext an Facebook zu versenden, werden die E-Mail-Adressen und Telefonnummern vor der Versendung lokal vom Werbenden gehashed. Eine Rückrechnung der gehashten Werte auf die Klartexte ist somit für Facebook nicht möglich, soweit Facebook diese Daten nicht bereits vorrätig hat, da es sich bei einer kryptografischen Hashfunktion um eine Einwegfunktion bzw. sog. Falltürfunktion handelt.

Schritt 3:

Nach verschlüsselter Übermittlung der Daten an Facebook über den eigenen Facebook-Account und die entsprechenden Schnittstellen nimmt Facebook einen Abgleich der vom Werbenden berechneten Hashwerte mit den selbst berechneten Hashwerten vor, denn Facebook hat von jedem eigenen Nutzer auch eigene Hashwerte aus den beiden o.g. Informationen angelegt, welche nun einen Abgleich mit den übermittelten Hashes ermöglichen. Durch diesen Abgleich erfährt Facebook, welcher der Betroffenen zugleich auch Facebook-Nutzer ist und von Facebook zielgerichtet beworben werden kann. Durch das Hashingverfahren wird zugleich vermieden, dass Facebook darüber hinaus sinnvolle bzw. nutzbare Klardaten von anderen Betroffenen erhält.

Schritt 4:

Die sich aus dem Abgleich ergebenden Übereinstimmungen, also die zu bewerbenden Facebook-Nutzer werden sodann im Kundenaccount des Werbenden als „Custom Audience“ gespeichert. Nicht übereinstimmende Hashes werden naturgemäß ignoriert.

Schritt 5:

Die Hashwerte werden, gleichgültig ob übereinstimmend oder nicht, gelöscht sobald der Abgleichprozess beendet ist.

Schritt 6:

Das Endergebnis ist, dass der Kunde ein zugeschnittenes Zielpublikum (Custom Audience) für seine Facebook-Werbung erhält, welches im Werbeaccount des Werbenden gespeichert wird und nur von autorisierten Konto-Admins benutzt werden kann. Nach Eigenaussage von Facebook kann der Werbende die dahinter stehenden Einzelpersonen jedoch nicht identifizieren, sondern erhält lediglich Einblick in die ungefähre Anzahl der Menschen, die sein Zielpublikum enthält.

Ist der rechtskonforme Einsatz möglich?

Fraglich ist jedoch, ob das seitens Facebook angebotene Verfahren tatsächlich in Europa rechtskonform einsetzbar ist. Die Übermittlung personenbezogener Daten an Dritte ist jedenfalls nur dann zulässig, wenn der Betroffene eingewilligt hat oder eine Rechtsgrundlage (z.B. ein Gesetz) besteht (§ 4 Abs. 1 BDSG).

Bei Facebook Custom Audiences ist mangels entsprechender Rechtsgrundlage eine Einwilligung des Betroffenen zwingende Voraussetzung für den rechtskonformen Einsatz.

Handelt es sich überhaupt um personenbezogene Daten?

Fraglich ist, ob es sich im vorliegenden Fall trotz Hashing aus Sicht des Empfängers (hier Facebook) um personenbezogene Daten handelt. Folgt man mit der wohl herrschenden Meinung der objektiven Theorie, wonach ein Personenbezug bereits dann zu bejahen ist, wenn die objektive Möglichkeit zur Herstellung eines Personenbezugs ausreicht, so handelt es sich vorliegend um personenbezogene Daten.

Selbst wenn man aber der subjektiven Theorie folgen würde, wonach die subjektive Fähigkeit des Empfängers für die Frage des Personenbezugs entscheidend wäre, so erfährt Facebook zumindest wer Kunde des Werbenden ist oder in elektronische Werbung des Werbenden eingewilligt hat (denn nur in solchen Fällen wäre elektronische Werbung gem. § 7 Abs. 2 Nr. 3 und Abs. 3 UWG  überhaupt zulässig), was letztlich personenbezogene Daten darstellt.

Mangels einer vorliegenden Rechtsgrundlage, ist eine Datenübermittlung an Facebook aus Sicht des werbenden Unternehmens daher nur für den Fall zulässig, dass der Nutzer gegenüber dem Werbenden in die Übermittlung seiner Daten an Facebook wirksam eingewilligt hat.

Wie ist eine Einwilligung in die Datenübermittlung zu gestalten?

Hieran wird es jedoch regelmäßig fehlen, zumal an den Inhalt einer solchen Einwilligung im Hinblick auf dessen Transparenz extrem hohe Anforderungen zu stellen sind (§ 4a Abs. 1 S2 BDSG, § 307 Abs. 1 S2 BGB).

Eine solche Einwilligung müsste konkret darauf hinweisen, welche Daten zu welchem Zweck an welche Legaleinheit (z.B. Facebook Irland oder Facebook USA) in welchem Land übermittelt werden. Diese Einwilligung beträfe allerdings nur die Datenweitergabe.

Die unbefugte Verarbeitung bzw. Übermittlung eines personenbezogenen Datums kann ein Bußgeld von bis zu 300.000,- EUR nach sich ziehen (§ 43 Abs. 2 Nr. 1 BDSG). Wer also gleich seine ganze Kundendatenbank unbefugt an Facebook übermittelt, setzt sich des Risikos eines millionenschweren Bußgelds aus.

Wie ist die Einwilligung in die elektronische Werbung zu gestalten?

Soweit es sich zudem nicht um Bestandskundenwerbung gem. § 7 Abs. 3 UWG handelt, wäre eine elektronische Werbung nur mit Einwilligung des Betroffenen zulässig. Nach der Payback-Entscheidung des BGH, müsste die Einwilligung in den Erhalt elektronischer Werbung nach richtlinienkonformer Auslegung des § 7 Abs. 2 Nr. 3 UWG zusätzlich, d.h. getrennt von sonstigen Erklärungen erfolgen. Auch diese Einwilligung müsste konkret erläutern welche Legaleinheit, mittels welchem Werbemedium (z.B. E-Mail oder Telefon) welche Produktkategorien (z.B. Elektronikartikel) bewerben darf.

Erfahrungsgemäß scheitern elektronische Werbemaßnahmen häufig an einer nicht vorhandenen oder unwirksamen Einwilligung.

Besser jemanden fragen, der sich damit auskennt

Jemanden bei dem sich beim Thema Facebook vermutlich regelmäßig die Nackenhaare aufstellen, der Ihnen aber bei dem Thema Datenschutz weiterhelfen kann, ist Ihr betrieblicher Datenschutzbeauftragter.

Apropos: Hat Ihr Unternehmen eigentlich einen betrieblichen Datenschutzbeauftragten?

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Datenschutzkonforme Gestaltung von Social-Media-Kampagnen und Fanpages
  • Implementierung von Social Plugins (z.B. dem Facebook Like-Button)
  • Erstellung von Social-Media-Guidelines für Unternehmen

Informieren Sie sich hier über unser Leistungsspektrum: Social Media / Social Networks

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.