Navigation öffnen
Startseite » News » Allgemein » Facebook Custom Audiences – Mit dem Datenschutz vereinbar?

Facebook Custom Audiences – Mit dem Datenschutz vereinbar?

Über die Funktion „Custom Audiences“ ermöglicht Facebook seinen Nutzern zu Werbezwecken Listen mit Email Adressen oder Telefonnummern hochzuladen. Auf diese Weise können Werbemaßnahmen schnell, gezielt und auf die jeweiligen Kunden angepasst bei Facebook angezeigt werden. Für Unternehmen klingt die Funktion erst einmal verlockend, doch wie ist diese mit den in Deutschland geltenden datenschutzrechtlichen Bestimmungen zu vereinbaren?

Wie funktioniert Custom Audiences?

Beim Hochladen der Kundendaten bei Facebook, werden die E-Mail Adressen und Telefonnummern gehashed, sodass ausschließlich verschlüsselte Daten an Facebook übertragen werden. Facebook kann die übermittelten Hashwerte mit seinen eigens erstellten Hashwerten vergleichen und so erkennen, welche Kunden bereits bei Facebook registriert sind und diese zielgerichtet bewerben. Die Hashwerte dieser Nutzer werden entsprechend als „Custom Audience“ (= Benutzerdefiniertes Publikum) gespeichert. Am Ende des Abgleichs werden alle hochgeladenen Hashwerte wieder gelöscht.

Unternehmer haben im Endergebnis nun über Facebook Zugriff auf spezifische Kundenlisten, die sie gezielt und maßgeschneidert ansprechen können. Facebook sichert dabei zu, dass die Listen keine Informationen zu den dahinter stehenden Einzelpersonen enthalten, sondern lediglich Angaben zu der ungefähren Anzahl von Kunden preisgeben, die sich hinter den Listen verbergen.

Die datenschutzrechtlichen Vorgaben

Das deutsche Datenschutzgesetz sieht vor, dass die Übermittlung personenbezogener Daten an Dritte nur dann zulässig ist, wenn der Betroffene eingewilligt hat oder eine Norm die Erhebung der Daten erlaubt (Vgl. §4 BDSG). Daten dürfen beispielsweise ohne ausdrückliche Einwilligung genutzt werden, wenn dies zur Erfüllung der vertraglichen Pflichten notwendig ist (Vgl. §28 BDSG). Da hier keine solche Norm einschlägig ist, ist für die Datenübertragung an Facebook Custom Audiences eine Einwilligung der Betroffenen Voraussetzung für die rechtskonforme Übertragung der Daten. Die Tatsache, dass die Daten verschlüsselt werden ändert nichts an dieser Voraussetzung. Auch bei den gehaschten Werten handelt es sich nach überwiegender Meinung um personenbezogene Daten, für deren Übertragung immer eine Einwilligung vorausgesetzt wird.

Voraussetzungen für eine wirksame Einwilligung

Eine wirksame Einwilligung setzt voraus, dass der Betroffene genau erfährt zu welchem Zweck und an wen seine Daten übertragen werden. Dies ergibt sich aus dem Transparenzgebot des Datenschutzgesetzes. Das bedeutet konkret, dass der Betroffene genau darüber informiert werden müsste über welches Werbemedium, für welche Produktkategorien und von wem Werbung versendet werden darf. Die Einwilligung muss dabei ausdrücklich erfolgen, eine sogenannte „Opt out Lösung“ ist nicht zulässig. Die Einwilligung darf auch nicht versteckt über die Zustimmung zu den AGB´s erteilt werden. Schließlich gilt als weiterer wichtiger Grundsatz die Zweckbindung. Das heißt, dass die erhobenen Daten dann auch ausschließlich nur zu dem Zweck verarbeitet und genutzt werden dürfen, für den eine Einwilligung erteilt wurde. Unternehmer sollten sich bevor sie ihre Kundendaten bei Facebook hochladen genau überlegen ob deren Nutzung zur Bestimmung des “Benutzerdefinierten Publikums” zulässig ist. Häufig wird die Einwilligung zur Datenübertragung für die Abwicklung eines Kaufs erteilt. Die Datennutzung für Facebook Custom Audiences gehört jedoch eindeutig nicht mehr zur Kaufabwicklung. Auch die Zustimmung eines Kunden zur Zusendung des Newsletters ist nicht davon umfasst. Der Newsletter ist eine Werbemaßnahme, die auf die Zusendung einer Email beschränkt ist und nicht die Darstellung von Werbeanzeigen bei Facebook umfasst.

In den allermeisten Fällen, werden sich Unternehmer verpflichtet sehen nachträglich eine Einwilligung ihre Kunden einholen zu müssen, wenn sie von „Custom Audiences“ Gebrauch machen wollen.

Betroffene haben gegenüber dem Verantwortlichen einen Anspruch auf Auskunft über die Menge und den Zweck der über ihn gespeicherten Daten. Kunden dürfen jederzeit ihre Zustimmung widerrufen und haben ein Recht auf Sperrung, Berichtigung oder Löschung ihrer Daten.

Liegt keine wirksame Einwilligung vor, setzt sich das werbende Unternehmen einer hohen Strafe aus. Das Bundesdatenschutzgesetz sieht für die unbefugte Weitergabe von Daten ein Bußgeld in Höhe von bis zu 300.000 Euro vor (Vgl. §43 Abs. 2 Nr. 1).

Fazit: Facebook Custom Audiences ist ein effektives Marketing Tool, jedoch ohne konkrete Einwilligung der Kunden rechtswidrig. Es droht ein hohes Bußgeld. Auch eine Abmahnung durch Mitbewerber ist denkbar, da die rechtswidrige Weitergabe von Kundendaten zu Werbezwecken ebenfalls einen Wettbewerbsverstoß begründet.