E-Mail-Adressen für Custom-Audience bei Facebook hochladen? Nicht mit der Bayerischen Datenschutzaufsicht

Facebook Custom Audience ermöglicht ein zielgruppengenaues Targeting von Werbeanzeigen auf Facebook. Vergleichbare Targeting-Verfahren werden auch von verschiedenen anderen sozialen Netzwerken angeboten. Das Bayerische Landesamt für Datenschutzaufsicht hat sich nun mit den verschiedenen Audiences-Möglichkeiten bei Facebook befasst und eine Guideline veröffentlicht. Kurzzusammenfassung: Das Hochladen von Kundenlisten ist nur mit Einwilligung des Nutzers zulässig. Das Facebook-Pixel lässt sich dagegen einsetzen, wenn einige Voraussetzungen beachtet werden.

Facebook Custom Audience mit E-Mail-Listen
E-Mail-Marketer suchen immer wieder nach neuen Möglichkeiten, die gesammelten Kundendaten, insbesondere E-Mail-Adressen zu monetarisieren. Seit einiger Zeit bietet insbesondere Facebook die Möglichkeit, einzelne Kunden gezielt im sozialen Netzwerk über Werbeanzeigen anzusprechen. Dabei muss das werbende Unternehmen seine Kundenliste an Facebook schicken. Kann Facebook die E-Mail einem Mitglied zuordnen, wird die Werbung ausgeliefert. Der Upload erfolgt dabei nicht im Klartext, sondern verschlüsselt unter Einsatz eines Hash-Verfahrens. Facebook gleicht dann die mit dem gleichen Hash-Verfahren verfremdeten Datensätze, um eine Übereinstimmung festzustellen.

LDA Bayern: Verletzung von Datenschutzrecht
Die bayerischen Datenschützer halten dieses Verfahren für einen Datenschutzverstoß. Dabei stört sich die Behörde am eingesetzten Hash-Verfahren, das eine einfache Rückrechnung erlaube. Auf diese Weise ließen sich insbesondere die übermittelten E-Mail-Adressen aus den Hashwerten ohne Weiteres wieder ermitteln. Selbst mit einem sichereren Hashverfahren wäre eine andere Beurteilung wohl nicht gerechtfertigt. Zwar ist die E-Mail-Adresse nicht ohne Weiteres auslesbar. Über den Abgleich weiß Facebook aber jedenfalls bei einem Match, dass sich das betreffende Mitglied in der Kundenliste befindet und kann das Profil des Mitglieds um diese Information anreichern. Jedenfalls in diesem Fall besteht Personenbezug.

Einwilligung unabdingbar
Zurecht meint die Behörde in ihrer Stellungnahme, dass eine gesetzliche Grundlage für diesen Abgleich nicht zu finden ist, so dass Custom Audience mit einer solche Kundenliste nur zulässig ist, wenn der Kunde eingewilligt hat. Die Einwilligung ist nur wirksam, wenn der Kunde auch weiß worin er einwilligt. Dies schließt es aus, die Einwilligungen in den AGB zu verstecken und sich mit einem Hinweis auf die AGB zu begnügen. Vielmehr muss eine solche Einwilligung gesondert und freiwillig erteilt werden.

Anpassungen durch die DSGVO
Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Wer sich damit noch nicht befasst hat, sollte das schleunigst nachholen. Für Facebook Custom Audience ändert sich allerdings prinzipiell nicht viel. Auch nach neuem Recht wird es schwierig, eine gesetzliche Grundlage für den Datenabgleich mit Facebook zu finden. Insofern bleibt es auch nach der DSGVO bei dem Einwilligungserfordernis. Die Anforderungen an die Einwilligung steigen allerdings nach der DSGVO tendenziell, so dass hier auf jeden Fall nachjustiert werden muss.

Die Behörde hat angekündigt, den Einsatz von Facebook Custom Audience weiter zu beobachten und bei den (bayerischen) Unternehmen abzufragen. Wer weiter Kundenlisten an Facebook verschickt, muss im Falle einer Entdeckung mit Bußgeldern rechnen.

Hohe Hürden für Facebook-Pixel
Die Behörde hat sich auch mit dem Facebook Pixel befasst und meint, datenschutzrechtlich verantwortlich sei bei dessen Einbindung der Website-Betreiber, nicht Facebook. Dafür spricht viel, ob das wirklich so ist, wird der Europäische Gerichtshof in einer anderen Sache demnächst entscheiden. Die Option „Erweiterter Abgleich“ bei der weitergehende Informationen über den Nutzer an Facebook übermittelt werden, sei wiederum einwilligungsbedürftig. In der einfachen Variante genüge aber ein transparenter Hinweis auf eine Opt-out-Möglichkeit. Das Opt-out-Flag müsse es aber ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer sein. Cookies mit kurzer Gültigkeitsdauer seien nicht ausreichend. Ein Verweis auf Facebook oder Drittanbieter genüge in der Regel nicht.

Fazit
Es ist begrüßenswert, dass die Behörde den monatelangen internen Ermittlungen und Recherchen nun ein Paper hat folgen lassen. Dieses kann Unternehmen – nicht nur in Bayern – durchaus eine Guideline für den Umgang mit Facebook Audiences geben. Nur mit einer Einwilligung der Nutzer sind die Unternehmen auf der sicheren Seite. Wird sie so eingeholt, wie die Datenschützer sich das vorstellen, dürfte die Quote derer, die ihre Zustimmung geben, aber überschaubar sein.

Der RSS-Feed für Kommentare zu diesem Artikel. Die TrackBack URI dieses Artikel.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.