Zu den häufigsten Fragen, die ich in letzter Zeit von Mandanten höre, gehört die nach der Zulässigkeit von Custom oder Lookalike Audiences. Dabei handelt es sich um eine sehr effektive Methode, Werbung auszusteuern. Doch wo die Begriffe „effektiv“ und „Werbung“ zusammen auftauchen, ist auch der Datenschutz nicht weit.
So ist es auch bei Custom Audiences, die zwar von Facebook als sicher propagiert werden, jedoch beim genauen Hinsehen rechtlich problematisch sind. Welche Risiken auf Sie zukommen und wie Sie diese mindern, werde ich in dem folgenden Beitrag erläutern.
Eine kleine Warnung, es wird heute sehr anspruchsvoll. Dennoch, wenn Sie mit Custom Audiences arbeiten, sollten Sie den Beitrag auf jeden Fall lesen oder Ihrer Rechtsabteilung vorlegen. Wie immer beginne ich mit den rechtlichen Grundlagen und wir schauen uns anschließend an, wie diese sich mit Custom Audiences vertragen.
Erlaubnis zum Targeting
Bereits im letzten Beitragsteil haben Sie gelernt, dass personenbezogenes Targeting einer gesetzlichen Erlaubnis oder einer Einwilligung bedarf. Aber ist das Targeting mit Custom Audiences überhaupt „personenbezogen“? D. h. erfolgt es auf Grundlage von Daten, die Rückschlüsse auf eine konkrete Person erlauben (§ 3 Abs.1 BDSG)?
Um das zu beurteilen, möchte ich zuerst in aller Kürze erklären, wie Custom Audiences funktionieren (ich wähle dabei E-Mail-Adressen als Targetingmittel):
- Sie möchten, dass Ihre FacebookAds nur bestimmten Personen angezeigt werden.
- Dazu übermitteln Sie an Facebook eine Liste, z. B. mit E-Mail-Adressen dieser Personen.
- Die E-Mail-Adressen werden nach einem bestimmten Verfahren verschlüsselt, bevor Facebook sie erhält (z. B. wird dann aus kanzlei@rechtsanwalt-schwenke.de der Wert 0828aa737b64c82089546b98bd543c98). Dadurch bekommt Facebook nie die klaren E-Mail-Adressen zu sehen.
- Nunmehr verschlüsselt Facebook die E-Mail-Adressen seiner Mitglieder nach demselben Verfahren und vergleicht die Ergebnisse mit Ihrer E-Mailing-Liste.
- Sie können sich entscheiden, ob Facebook nun Ihre Ads an die Mitglieder ausliefert, deren E-Mail-Adressen auf der Liste standen (= Custom Audiences) oder an die Mitglieder, deren Profile den Mitgliedern, die auf Ihrer Liste standen, entsprechen (= Lookalike Audiences)
- Nach dem Abgleich werden die übermittelten Daten bei Facebook gelöscht.
In den meisten Fällen höre ich von meinen Mandanten, dass in diesem Verfahren keine personenbezogenen Daten verwendet werden, da die E-Mails nur verschlüsselt übermittelt werden. Doch so einfach ist es leider nicht.
Personenbezug bei verschlüsselten Daten
Man könnte tatsächlich denken, die verschlüsselten Daten seien anonym. Das stimmt, wenn Sie oder ich die Daten erhalten würden, da wir z. B. mit der Ziffernfolge „0828aa737b64c82089546b98bd543c98“ nichts anfangen können.
Jedoch darf man bei der Beurteilung des Personenbezuges nicht abstrakt auf ein Datum schauen, sondern was deren bestimmungsgemäßer Empfänger, d. h. Facebook, mit dem Datum anfangen kann. Dabei wird es klar, dass Facebook die E-Mail-Adressen einem Mitglied zuordnen kann, nämlich demjenigen, dessen verschlüsselte E-Mail-Adresse ebenfalls „0828aa737b64c82089546b98bd543c98“ lautet. Dieses Mitglied bekommt dann das FacebookAd angezeigt.
Das heißt, die E-Mail-Adressen sind personenbezogen, sodass für deren Nutzung im Rahmen von Custom Audiences entweder eine Einwilligung der E-Mail-Inhaber oder eine gesetzliche Erlaubnis vorliegen muss.
Einwilligung
Ich denke einer Einwilligung brauche ich nicht viel Platz zu widmen, da es unwahrscheinlich ist, dass Sie z. B. Ihre Kunden nach Einwilligung in „Facebook Targeting“ fragen werden.
Eine Einwilligung ist nur dann wirksam, wenn die Einwilligenden wissen, in was sie einwilligen. D. h. wenn Sie die E-Mail-Adressen von Kunden im Rahmen eines Einkaufs im Onlineshops erhalten haben, reicht das als Einwilligung für Custom Audiences nicht aus. Das gilt auch für die Newsletter-Abonnenten, die nur in den Empfang von Newslettern und nicht in Facebook Targeting eingewilligt haben.
Mangels Einwilligung müssen wir also nach einer gesetzlichen Erlaubnisnorm Ausschau halten.
Gesetzliche Erlaubnis
Infrage kommt zuerst § 15 Abs.3 TMG. Die Vorschrift erlaubt es jedoch nur, Werbung anhand von Pseudonymen auszusteuern. Sie kommt z. B. zur Geltung, wenn das Nutzerverhalten in einem Cookie mit dem Pseudonym „NutzerXY1000“ gespeichert wird und dieser Nutzer die Werbung angezeigt bekommt. Im Fall von Custom Audiences kennt Facebook jedoch die Identität des Mitglieds, sodass diese Vorschrift ausscheidet.
Eine andere Erlaubnisnorm ist der § 28 Abs.1 S.1 Nr.3 BDSG. Diese Vorschrift erlaubt es, allgemein zugängliche Daten zu verwenden, solange die schutzwürdigen Interessen der Nutzer nicht offensichtlich überwiegen. D. h., wenn Sie Daten von Nutzern online sammeln oder eine Adressliste mit allgemein zugänglichen E-Mail-Adressen erwerben, handelt es sich um allgemein zugängliche Daten, die Sie im Rahmen von Custom Audiences einsetzen dürfen.
Ein offensichtlich überwiegendes Schutzinteresse der Dateninhaber sehe ich in diesem Fall nicht, da außer der Aussteuerung von Werbung deren Daten nicht anderweitig verwendet werden. Insbesondere ist zu beachten, dass ausgehend von Facebooks Angaben die technischen Schutzmaßnahmen zum Schutz der mitgeteilten Daten vorbildlich sind. Allerdings gebe ich zu, es ist ein Punkt, über den man diskutieren könnte, je nachdem wie schwerwiegend man die Einflüsse des Targetings bewertet.
Diese Vorschrift hilft jedoch wenig, wenn Sie die Daten Ihrer Kunden oder Newsletter-Abonnenten verwenden möchten. Es gibt jedoch noch einen Lichtblick.
Listenprivileg
Nach § 28 Abs.3 S.2 Nr.1 und 2 BDSG dürfen bestimmte listenmäßig zusammengefasste Daten unter den folgenden Voraussetzungen genutzt werden:
- Die Daten sind in einer Liste mit einem gemeinsamen Merkmal gespeichert (z. B. Newsletter-Empfänger).
- Es handelt sich um Daten aus öffentlichen Verzeichnissen (z. B. Branchenbuch) oder im Rahmen von Rechts- und ähnlichen Geschäften (wozu ich z. B. den Newsletter zählen würde) oder sie werden nur für Targeting eingesetzt, das auf die beruflichen Interessen der Betroffenen abzielt (B2B). Problematisch ist hier, ob Custom Audiences von dem Privileg umfasst sind und die Zuspeicherung der E-Mail-Adresse als Listenmerkmal zulässig ist.
- Die Daten sind für eigenen Werbezwecke erforderlich und die Schutzinteressen Betroffener überwiegen nicht (dies halte ich für gegeben, insbesondere, da die Vorschrift für Direktmarketing konzipiert und Targeting demgegenüber eine mildere Maßnahme ist).
- Die Betroffenen haben ein Widerspruchsrecht. Das ist ein Problem, da die Betroffenen von der Nutzung derer Daten meistens nichts erfahren. Allerdings behaupten viele namhafte Datenschutzexperten, dass ein Widerspruchsrecht nur beim Direktmarketing gegeben sein muss. D. h. es wäre hier nicht erforderlich.
Spätestens jetzt werden Sie sich wahrscheinlich fragen, wer all dies überblicken soll (wobei das noch eine verkürzte Darstellung ist). Das ist richtig und vor allem, weil diese Erlaubnisnorm nicht auf Custom Audiences, sondern auf Direktmarketing zugeschnitten ist und deren Anwendung daher in den Bereich kreativer Rechtsgestaltung fällt.
Aus diesem Grund, wird es Sie bestimmt auch interessieren, wie die praktischen Folgen aussehen, wenn Sie die rechtlichen Vorgaben nicht befolgen.
Praktisches Risiko
In diesem Abschnitt geht es weniger um rechtliche Aspekte, als um wirtschaftliche Risikoabschätzungen. Diesen gehen zwei Fragen vor:
- Bin ich überhaupt verantwortlich?
Die Antwort lautet ja. Zwar habe ich Ihnen im letzten Beitragsteil erklärt, dass Sie es nicht für Facebooks Datenerhebungen auf Ihrer Facebook-Seite sind. Das ist jedoch anders, wenn Sie Facebook E-Mail-Adressen übermitteln und mit der zielgerichteten Aussteuerung von Werbung beauftragen. In dieser Konstellation sind Sie zumindest (auch) datenschutzrechtlich verantwortlich (§ 3 Abs.7 BDSG).
- Kann ich „erwischt“ werden?
Direkt eher nein. Die Inhaber der Daten werden kaum merken, dass Sie die Aussteuerung der Werbung ausgestoßen und vor allem deren Daten verwendet haben. Jedoch sollten Sie bedenken, dass es vor allem in größeren Unternehmen Compliance-Regeln gibt, die datenschutzgerechtes Verhalten gebieten. Ferner wäre es eine gegenüber Ihren Kunden rechtlich mangelhafte Leistung.
Darüber hinaus wird der Einsatz von Custom Audiences nur schwer zu entdecken sein. Außer ein Mitarbeiter ist vielleicht unzufrieden und setzt das Wissen um Ihre potenziellen Datenschutzverstöße gegen Sie ein.
Sollte es herauskommen, dass Sie unerlaubterweise Custom Audiences eingesetzt haben, kann die Datenschutzbehörde gegen Sie ein Bußgeld verhängen oder Sie können von Mitbewerbern abgemahnt werden. Die Kosten hängen vom Umfang und der Art der Daten ab. Ich würde von ca. 1.000 bis 2.000 Euro ausgehen. Hinzu kommt ein moralischer Schaden, sollte der Fall publik werden.
Fazit
Es ist möglich, Custom und Lookalike Audiences rechtskonform umzusetzen, allerdings stellt dies eine rechtlich große Herausforderung dar, bei der ein gewisses Restrisiko verbleibt (was aber generell auf Social Media Marketing zutrifft). Ich hoffe die Ausführungen werden Ihnen eine Hilfe sein, auch wenn Sie ein datenschutzrechtliches Grundwissen voraussetzen. Falls Sie es wünschen, unterstütze ich Sie gerne mit einer individuellen Beratung und Rechtsgestaltung.
Wenn Sie die Problematik der Custom Audiences lieber nachhören möchten, empfehle ich Ihnen die Folge 21 des BVCM-Podcasts, in der ich mich als Gast dieses Themas angenommen habe. Darüber hinaus werde ich die Custom Audiences auch bei der Allfacebook Marketing Conference am 10.11.2014 in Berlin erläutern und beantworte gerne Ihre Fragen.
In dem nächsten Beitrag werde ich mich eine speziellen Art von Custom Audiences, den „Custom Audiences from your Website„, widmen.
Weitere Themen dieser Serie:
- Einleitung: Rechtliche Stolperfallen beim Facebook Marketing (KW 4 / 2014)
- Registrierung – Persönliche Chronik oder Facebook-Seite (KW 5 / 2014)
- Die Wahl des Konto- & Seitennamens (KW 6 / 2014)
- Das Impressum (KW 7 / 2014)
- Datenschutzerklärung, Disclaimer & Netiquetten (KW 8 / 2014)
- Nutzung von Bildern (KW 9 / 2014)
- Nutzung von Bildern 2 (KW 11 / 2014)
- Facebooks IP-Lizenz, Stockbilder, Sharing und Vorschaubilder (KW 12 / 2014)
- Grundlagen der Nutzung von fremden Texten (KW 16 / 2014)
- Sharing von Texten, Leistungsschutzrecht und Umgang mit Nutzerbeiträgen (KW 17 / 2016)
- Meinungen, üble Nachreden und Umgang mit Wettbewerbern (KW 18 / 2014)
- Wir sind besser als die Konkurrenz – Werbeinhalte und -Anzeigen (KW 16 / 2014)
- Schleichwerbung, Sponsoring und gekaufte Likes (KW 28 / 2014)
- Fanpage-Einladungen, Direktmarketing und Adressengenerierung (KW 32 / 2014)
- Gewinnspiele und Wettbewerbe (KW 34 / 2014)
- OVG Schleswig: Betreiber von Facebook-Seiten haften nicht für Facebooks Datenschutzverstöße (KW 36 / 2014)
- Verdecktes Guerilla-Marketing
- Nutzung der Marke Facebook, der Markenlogos und Screenshots
- Haftung für Inhalte der Seite, Links, Werbeanzeigen und Fanbeiträge
- Datenschutz und Social Media Plug-ins
- Mitarbeiter und Social Media Guidelines
Bild auf Basis von: Flat design vector stylish illustration concept with icons of retail / shutterstock.com
Guter Beitrag, Thomas!
Kleine Ergänzung zum Listenprivileg. Das passt hier schon deswegen nicht, weil eine E-Mail-Adresse NICHT zu den listenmäßigen Daten gehört. Geht also selbst bei kreativer Rechtsanwendung gar nicht.
Sehr verständlich aufbereitet, vielen Dank dafür!
Eine Frage bleibt für mich jedoch offen – beziehen sich die genannten rechtlichen Einschränkungen von Custom Audiences in gleichem Maße auf Lookalike Audiences? Denn letztere werden ja theoretisch nicht mehr „persönlich“ getargeted, oder?
Kann mich jemand aufklären?
Wie immer sehr lesenswert! Carlo Piltz weist in seinem Blog noch darauf hin, dass die bayerische Aufsichtsbehörde im aktuellen Tätigkeitsbericht Bußgeldverfahren für die Nutzung von „Custom Audiences“ in Aussicht stellt. Hintergrund ist wohl die (theoretische) Möglichkeit, die Hashwerte durch Tabellenbildung wieder zurückzurechnen.
@Stephan Hansen-Oest: Die E-Mail ist kein primäres Listendatum, aber die Frage, ob man sie nach § 28 Abs. 3 S. 3 BDSG mit hinzuspeichern darf, kann man zumindest stellen. Manche Kommentare formulieren da sehr weit (z.B. Simitis, § 28 Rn. 240). Das Konzept der Listendaten würde damit natürlich weitgehend ad absurdum geführt. Angesichts des ohnehin kruden § 28 Abs. 3 BDSG und seiner Gesetzgebungsgeschichte kann man diese Intention aber nicht völlig ausschließen.
@Lucas A.: Sehr interessante Frage. Beim Lookalike nutzt der Werbende letzlich die E-Mails der eigenen Kunden, um gegenüber Dritten zu werben. Vom Wortlaut her könnte auch das unter dieselben Vorschriften einschließlich § 28 Abs. 3 BDSG fallen – von der Idee her wohl weniger (was die Rechtfertigung noch problematischer macht). Der Rest, also die Nutzung der E-Mails/Profile des „Lookalike“-Publikums liegt in diesem Fall m.E. im Verantwortungsbereich von Facebook.
Sehr spannender und super ausgeführter Artikel. Aktuelle Frage: Hat sich durch das (vorübergehende?) Aussetzen von Safe Harbor eine der rechtlichen Einschätzungen verändert?
Der Einsatz solcher Tracker wird mir relativ einfach durch addons wie Ghostery angezeigt. Somit wäre ein erwischt werden mit eher ja zu bewerten. Dabei gehe ich natürlich nicht von den Betroffenen aus sondern Abmahnern, Aufsichtsbehörden etc.