Datenschutz

Facebook Custom Audiences – Mit dem Datenschutz vereinbar?

Über die Funktion „Custom Audiences“ ermöglicht Facebook seinen Nutzern zu Werbezwecken Listen mit Email Adressen oder Telefonnummern hochzuladen. Auf diese Weise können Werbemaßnahmen schnell, gezielt und auf die jeweiligen Kunden angepasst bei Facebook angezeigt werden. Für Unternehmen klingt die Funktion erst einmal verlockend, doch wie ist diese mit den in Deutschland geltenden datenschutzrechtlichen Bestimmungen zu vereinbaren?

Wie funktioniert Custom Audiences?

Beim Hochladen der Kundendaten bei Facebook, werden die E-Mail Adressen und Telefonnummern gehashed, sodass ausschließlich verschlüsselte Daten an Facebook übertragen werden. Facebook kann die übermittelten Hashwerte mit seinen eigens erstellten Hashwerten vergleichen und so erkennen, welche Kunden bereits bei Facebook registriert sind und diese zielgerichtet bewerben. Die Hashwerte dieser Nutzer werden entsprechend als „Custom Audience“ (= Benutzerdefiniertes Publikum) gespeichert. Am Ende des Abgleichs werden alle hochgeladenen Hashwerte wieder gelöscht.

Unternehmer haben im Endergebnis nun über Facebook Zugriff auf spezifische Kundenlisten, die sie gezielt und maßgeschneidert ansprechen können. Facebook sichert dabei zu, dass die Listen keine Informationen zu den dahinter stehenden Einzelpersonen enthalten, sondern lediglich Angaben zu der ungefähren Anzahl von Kunden preisgeben, die sich hinter den Listen verbergen.

Die datenschutzrechtlichen Vorgaben

Das deutsche Datenschutzgesetz sieht vor, dass die Übermittlung personenbezogener Daten an Dritte nur dann zulässig ist, wenn der Betroffene eingewilligt hat oder eine Norm die Erhebung der Daten erlaubt (Vgl. §4 BDSG). Daten dürfen beispielsweise ohne ausdrückliche Einwilligung genutzt werden, wenn dies zur Erfüllung der vertraglichen Pflichten notwendig ist (Vgl. §28 BDSG). Da hier keine solche Norm einschlägig ist, ist für die Datenübertragung an Facebook Custom Audiences eine Einwilligung der Betroffenen Voraussetzung für die rechtskonforme Übertragung der Daten. Die Tatsache, dass die Daten verschlüsselt werden ändert nichts an dieser Voraussetzung. Auch bei den gehaschten Werten handelt es sich nach überwiegender Meinung um personenbezogene Daten, für deren Übertragung immer eine Einwilligung vorausgesetzt wird.

Voraussetzungen für eine wirksame Einwilligung

Eine wirksame Einwilligung setzt voraus, dass der Betroffene genau erfährt zu welchem Zweck und an wen seine Daten übertragen werden. Dies ergibt sich aus dem Transparenzgebot des Datenschutzgesetzes. Das bedeutet konkret, dass der Betroffene genau darüber informiert werden müsste über welches Werbemedium, für welche Produktkategorien und von wem Werbung versendet werden darf. Die Einwilligung muss dabei ausdrücklich erfolgen, eine sogenannte „Opt out Lösung“ ist nicht zulässig. Die Einwilligung darf auch nicht versteckt über die Zustimmung zu den AGB´s erteilt werden. Schließlich gilt als weiterer wichtiger Grundsatz die Zweckbindung. Das heißt, dass die erhobenen Daten dann auch ausschließlich nur zu dem Zweck verarbeitet und genutzt werden dürfen, für den eine Einwilligung erteilt wurde. Unternehmer sollten sich bevor sie ihre Kundendaten bei Facebook hochladen genau überlegen ob deren Nutzung zur Bestimmung des “Benutzerdefinierten Publikums” zulässig ist. Häufig wird die Einwilligung zur Datenübertragung für die Abwicklung eines Kaufs erteilt. Die Datennutzung für Facebook Custom Audiences gehört jedoch eindeutig nicht mehr zur Kaufabwicklung. Auch die Zustimmung eines Kunden zur Zusendung des Newsletters ist nicht davon umfasst. Der Newsletter ist eine Werbemaßnahme, die auf die Zusendung einer Email beschränkt ist und nicht die Darstellung von Werbeanzeigen bei Facebook umfasst.

In den allermeisten Fällen, werden sich Unternehmer verpflichtet sehen nachträglich eine Einwilligung ihre Kunden einholen zu müssen, wenn sie von „Custom Audiences“ Gebrauch machen wollen.

Betroffene haben gegenüber dem Verantwortlichen einen Anspruch auf Auskunft über die Menge und den Zweck der über ihn gespeicherten Daten. Kunden dürfen jederzeit ihre Zustimmung widerrufen und haben ein Recht auf Sperrung, Berichtigung oder Löschung ihrer Daten.

Liegt keine wirksame Einwilligung vor, setzt sich das werbende Unternehmen einer hohen Strafe aus. Das Bundesdatenschutzgesetz sieht für die unbefugte Weitergabe von Daten ein Bußgeld in Höhe von bis zu 300.000 Euro vor (Vgl. §43 Abs. 2 Nr. 1).

Fazit: Facebook Custom Audiences ist ein effektives Marketing Tool, jedoch ohne konkrete Einwilligung der Kunden rechtswidrig. Es droht ein hohes Bußgeld. Auch eine Abmahnung durch Mitbewerber ist denkbar, da die rechtswidrige Weitergabe von Kundendaten zu Werbezwecken ebenfalls einen Wettbewerbsverstoß begründet.

 

 

 

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (2 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (4)

Kommentar schreiben | Trackback URL

  1. René Jacobi sagt:

    Interessante Sicht der Dinge.

    Für mich stellt sich neben der Opt-Out und Opt-In Geschichte noch zusätzlich eine Frage. Müsste ein Unternehmen, welches Daten an Facebook weitergibt nicht auch nach dem BDSG eines Auftragsdatenschutzverarbeitungsvertrag (ADV) mit Facebook haben?

    Zumindestens passiert in diesem Falle ja das gleiche, als wenn ein Unternehmen seinen Kundenservice „outsourct“ und der externe Partner Zugriff respektive Kenntnis über personenbezogene Informationen erhält. Das Unternehmen lädt die Daten ja nicht bei Facebook hoch, damit Facebook damit arbeitet, sondern damit das Unternehmen mit den weitergegeben Daten auf Facebook im Rahmen von Werbemaßnahmen arbeiten kann.

    Das gleiche geschieht auch dann, wenn ein Unternehmen Daten, vor allem personenbezogene Daten in der Cloud speichert und ablegt. Hier ist es ja ebenfalls so, dass der Cloudanbieter nicht direkt mit den Daten arbeitet, jedoch im Rahmen von Backups etc. eine Datenverarbeitung, wenn auch automatisiert geschieht.

  2. Kann es sein, dass Ihre rechtliche Analyse allein auf der Möglichkeit fußt, E-Mail-Adressen an FB weiterzugeben und Sie die Möglichkeit außer Acht lassen, über Cookies direkt Custom Audiences zu erstellen? Siehe: http://www.thomashutter.com/index.php/2014/04/facebook-custom-audience-oder-wie-facebook-ads-mit-hoher-praezision-kunden-erreichen/

  3. […] mit Emailadressen, Rufnummern etc. – diese Möglichkeit ist rechtlich problematisch, da Kunden bereits im Vorfeld der Verwendung der Daten für Facebook Remarketing explizit […]

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×