Whitepaper: Custom Audiences und Datenschutz bei Facebook, Twitter und Google

– Gastbeitrag von RA Dr. Thomas Schwenke –

Der nachfolgende Gastbeitrag von RA Dr. Thomas Schwenke steht als PDF Whitepaper (8 MB) zum Download bereit.

Jetzt Whitepaper „Custom Audiences und Datenschutz bei Facebook, Twitter und Google“ herunterladen!

[hr]

Nach rund vier Jahren hat sich die Zielgruppendefinition mit Hilfe der „Custom Audiences“-Methode fest im Online-Marketing etabliert. Trotz des Erfolges, sprechen Unternehmen aber nicht gern öffentlich über deren Einsatz.

Der Grund sind die Datenschutzbedenken, die „Custom Audiences“ seit Anbeginn begleiten, sie aber scheinbar nicht am Erfolg hindern. Warum das so ist und ob sich die Risiken auch für Sie lohnen, möchte ich mit Hilfe dieses Beitrags erklären.

Sie erhalten einen Einblick in die gesetzlichen Grundlagen, praktische Risiken, Empfehlungen für die Praxis und eine abschließende Zusammenfassung . Beginnen möchte ich mit der Funktionsweise von „Custom Audiences“.

Definition von Zielgruppen mit Hilfe von Custom Audiences

Zu den wichtigsten Zielen des Marketings gehört es, unnötige Kosten durch Streuverluste zu vermeiden. Mit Hilfe von „Custom Audiences“, (deutsch: „Benutzerdefinierten Zielgruppe) können Streuverluste erheblich gesenkt werden. Dazu werden Werbeanzeigen nur solchen Nutzer angezeigt, bei denen ein höheres Interesse an den Werbebotschaften vermutet wird:

  • Custom Audiences from Website – In dieser Variante bindet ein Website-Inhaber z.B. ein so genanntes „Facebook Pixel“ in die Website ein. Mit Hilfe des Pixels erfährt Facebook, welche Mitglieder die Website besucht haben und zeigt nur diesen die Werbung des Website-Inhabers (sog. „Tracking“ und „Targeting“ zu Zwecken des „Remarketings„).
  • Custom Audiences from File – Ein viel genaueres Targeting ist möglich, wenn z.B. Nutzer-IDs, E-Mailadressen oder Telefonnummern an die sozialen Netzwerke übermittelt werden. Damit können Werbeanzeigen gezielt an Kunden, Newsletterempfänger oder z.B. die Teilnehmer eines Kongresses ausgespielt werden.
  •  Lookalike Audiences – Bei dieser Abwandlung der beiden o.g. Verfahren werden die Werbebotschaften nicht den eigentlichen Website-Besuchern oder Kunden, sondern Netzwerkmitgliedern mit vergleichbaren Profileigenschaften angezeigt (so genannte „Lookalikes“). Generell können die Zielgruppen feiner granuliert werden, z.B. mit Kriterien wie Alter, Wohnort oder Interessen.
"Custom Audiences" können bei Facebook bequem im Werbeanzeigenmanager angelegt werden.
„Custom Audiences“ können bei Facebook bequem im Werbeanzeigenmanager angelegt werden.
"Custom Audiences form Website" setzen die Einbindung eines Tracking Codes voraus.
Custom Audiences form Website“ setzen die Einbindung eines Tracking Codes voraus.

Custom Audiences bei Facebook, Twitter und Google

Aufgrund der Konzentration des behördlichen und medialen Interesses auf Facebook, wird kaum über „Custom Audiences“ bei anderen Plattformen gesprochen. So bietet z.B. Twitter „Maßgeschneiderte Zielgruppen“ oder Google „Customer Match Audiences“ an.

Auch wenn hier ebenfalls Facebook vorwiegend als Beispiel dient, können die rechtlichen Ergebnisse grundsätzlich auch auf die anderen Plattformen übertragen werden. Praktisch bieten Twitter, Google und Co. insoweit Vorteile, als dass sie nicht im Fokus der Datenschützer stehen und die im folgenden geschilderten Risiken bei deren Einsatz noch eine Stufe geringer sind, als bei Facebook.

Twitters "Maßgeschneiderte Zielgruppen" (englisch: "Tailored Audiences") können beim Anlegen einer Ad ausgewählt werden. Wie auch Facebook erlaubt Twitter den Upload von Listen mit personenbezogenen Daten oder das Tracking der Website-Besucher.
Twitters „Maßgeschneiderte Zielgruppen“ (englisch: „Tailored Audiences“) können beim Anlegen einer Ad ausgewählt werden. Wie auch Facebook erlaubt Twitter den Upload von Listen mit personenbezogenen Daten oder das Tracking der Website-Besucher.
Google bietet für AdWords ein "Customer Match" an und hat z.B. durch die Verknüpfung von Services mit Werbung ähnliche Funktion bereits früher für bestimmte Branchen zur Verfügung gestellt.
Google bietet für AdWords ein „Customer Match“ an und hat z.B. durch die Verknüpfung von Services mit Werbung ähnliche Funktion bereits früher für bestimmte Branchen zur Verfügung gestellt.

Angebliche Anonymität

Anbieter wie Facebook betonen die Sicherheit bei der Übermittlung von Daten und verweisen auf Verschlüsselungsverfahren, die den Anschein der Anonymität wecken möchten. Das Verfahren läuft bei Facebook z.B. wie folgt ab:

  • Ein Unternehmen übermittelt eine Liste mit E-Mail-Adressen der Kunden an Facebook.
  • Die E-Mail-Adressen werden von Facebook beim Upload verschlüsselt  (z. B. wird dann aus „kanzlei@rechtsanwalt-schwenke.de“ der so genannte Hash-Wert „0828aa737b64c8208954“). D.h. es werden nur verschlüsselte Informationen übermittelt.
  • Nunmehr verschlüsselt Facebook die E-Mail-Adressen seiner Mitglieder nach demselben Verfahren und vergleicht die Ergebnisse mit den übermittelten Hash-Werten.
  • Beim Treffer (sog. „Match“), also wenn der Upload-Hash-Wert dem Hash-Wert der E-Mailadresse des Mitglieds entspricht, d.h. hier „0828aa737b64c8208954“, wird die Werbeanzeige dem Mitglied (der zugleich ein Kunde des Unternehmens ist) angezeigt.

Das bedeutet, eine bestimmte Person wird als Werbeempfänger bestimmt. Damit liegt ein Personenbezug im Sinne des § 3 Abs. 1 BDSG vor:

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

Das Matching-Verfahren, wie es bei Google stattfindet. Auch Facebook und Twitter gehen ähnlich vor und verweisen auf die hohe technische Sicherheit der Verfahren.
Das Matching-Verfahren, wie es bei Google stattfindet. Auch Facebook und Twitter gehen ähnlich vor und verweisen auf die hohe technische Sicherheit der Verfahren.

Auch bei „Custom Audiences from Website“ liegt eine derartige Bestimmung des Website-Besuchers als Werbeempfänger vor.

Die Verschlüsselung führt lediglich dazu, dass die Daten in der Zwischenphase der Übermittlung als Pseudonym betrachtet werden können (§ 3 Abs. 6a BDSG):

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

D.h. pseudonyme Daten bedürfen weiterer Informationen, um eine Person bestimmen zu können. Doch genau diese Zusammenführung von Daten passiert bei den Plattformanbietern, da ansonsten die Bestimmung des Werbeempfängers nicht möglich wäre. Wären die Daten anonym, dann wäre diese Zusammenführung gar nicht möglich (Datenschutzbehörden halten verschlüsselte Daten ohnehin nicht für anonym).

Die Folge des Personenbezuges ist, dass Custom Audiences nur dann gebildet werden dürfen, wenn die betroffenen Dateninhaber eingewilligt haben oder eine gesetzliche Erlaubnis vorliegt.

Einwilligung der Betroffenen

Eine wirksame Einwilligung (§§ 4a BDSG, 12 Abs. 1 TMG) setzt zunächst eine ausdrückliche Erklärung, z.B. der Kunden oder der Website-Besucher voraus.

So könnten Shop-Kunden z.B. beim Check-Out mittels einer Checkbox oder Website-Besucher mittels eines Banners, um Einwilligung in die Verwendung ihrer Daten für Custom Audiences gebeten werden.

Voraussetzung wäre jedoch, dass sie zuvor deutlich auf deren Einsatz hingewiesen und über die Wirkungsweise, Risiken und Widerspruchsrechte belehrt werden (was in dem Umfang in der Datenschutzerklärung erfolgen kann). Das ist theoretisch möglich, praktisch jedoch aufgrund der Unkenntnis der Nutzer oder abschreckenden Wirkung der Einwilligung (was zum Teil auch deren Funktion ist) fernliegend. Zudem wird zum Teil gezweifelt, ob eine derartige Einwilligung wegen der Risiken und mangelnder Transparenz überhaupt wirksam sein kann.

Auch die bekannten „Cookie-Banner“ helfen nicht weiter, solange sie nur Hinweise enthalten, während die Tracking-Cookies bereits ausgeführt werden (s. dazu „Google macht Cookie-Hinweise zur Pflicht – Handlungsempfehlung für Website- und Appanbieter„).

Ebenso wenig helfen die Datenschutzerklärungen der Plattformanbieter, die grundsätzlich keinen hinreichend deutlichen Hinweis auf „Custom Audiences“ enthalten.

D.h. im Ergebnis kann eine Einwilligung zwar eingeholt werden, jedoch ist dies weder praktikabel, noch absolut rechtssicher.

Der Cookie-Hinweis müsste schon eine derartige Deutlichkeit haben, um überhaupt den Forderungen der Datenschützer an eine wirksame Einwilligung entgegen zu kommen. Des Weiteren dürften Tracking-Cookies erst dann gesetzt werden, wenn die Nutzer auf "OK" klicken.
Der Cookie-Hinweis müsste schon eine derartige Deutlichkeit haben, um überhaupt den Forderungen der Datenschützer an eine wirksame Einwilligung entgegen zu kommen. Des Weiteren dürften Tracking-Cookies erst dann gesetzt werden, wenn die Nutzer auf „OK“ klicken.

Datenschutzerklärung und Opt-Out-Möglichkeit

Angesichts der fehlenden aktiven Zustimmungsmöglichkeit, erscheinen Hinweise auf „Custom Audiences“ in der Datenschutzerklärung, sowie die Information über Opt-Out-Möglichkeiten als überflüssig.

Dennoch sollte man Bedenken, dass die Belehrungspflicht auch unabhängig von der Zulässigkeit von „Custom Audiences from Website“ besteht (§ 13 Abs. 1 S. 1 TMG), denn nur um diese geht es an dieser Stelle. D.h. es ist wahrscheinlich, dass jemand davon Abstand nimmt eine Abmahnung auszusprechen, weil Custom Audiences rechtlich nicht abschließend geklärt sind. Dagegen ist die Abmahnberechtigung bei fehlenden Datenschutzhinweisen laut vieler Gerichtsurteile eindeutig (u.a. OLG Hamburg, 27.06.2013, 3 U 26/12; LG Frankfurt/Main, 18.02.2014, 3-10 O 86/12).

Was jedoch anzumerken ist, dass die Opt-Out-Möglichkeiten zumindest nicht den Anforderungen der Datenschutzbehörden entsprechen dürften. Grundsätzlich bieten sie z.B. keine Datenlöschung an (außer man kündigt die ganze Mitgliedschaft), sondern deren Nutzung für bestimmte Zwecke, zu denen auch „Custom Audiences“ gehören können (s. z.B. Opt-Out von Facebook oder von Google; alleine Twitter scheint mit der Berücksichtigung der „Do-Not-Track“-Einstellungen der Browser ein gutes Beispiel zu sein, sofern diese als Opt-Out anerkannt und umgesetzt werden).

Twitter unterstützt den Do-Not-Track-Standard, mit dem Nutzer durch Browsereinstellungen über die Nutzung von Daten zu Werbezwecken bestimmen können. Ob dieser Standard als eine Einwilligung akzeptiert oder sich überhaupt durchsetzen wird, ist derzeit noch nicht entschieden.
Twitter unterstützt den Do-Not-Track-Standard, mit dem Nutzer durch Browsereinstellungen über die Nutzung von Daten zu Werbezwecken bestimmen können. Ob dieser Standard als eine Einwilligung akzeptiert oder sich überhaupt durchsetzen wird, ist derzeit noch nicht entschieden.
Opt-Out-Einstellungen von Facebook gewährleisten kein Opt-Out vom Tracking, sondern nur vom Targeting. Das genügt den Datenschützern nicht für einen wirksamen Widerruf.
Opt-Out-Einstellungen von Facebook gewährleisten kein Opt-Out vom Tracking, sondern nur vom Targeting. Das genügt den Datenschützern nicht für einen wirksamen Widerruf.
Auch wenn die zulässige Nutzung von "Custom Audiences" oder der Opt-Outs angezweifelt wird, sollten Nutzer in jedem Fall über deren Einsatz auf der Website aufgeklärt werden.
Auch wenn die zulässige Nutzung von „Custom Audiences“ oder der Opt-Outs angezweifelt wird, sollten Nutzer in jedem Fall über deren Einsatz auf der Website aufgeklärt werden.

Gesetzliche Erlaubnis von „Custom Audiences“

Liegt eine Einwilligung nicht vor, kann sich eine Erlaubnis zur Nutzung von „Custom Audiences“ aus dem Gesetz ergeben und bei folgenden Voraussetzungen vorliegen:

  • Erforderlich zur Begründung und Durchführung von Verträgen (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) – Zuerst sind nur konkrete Verträge gemeint. D.h. es reicht nicht darauf zu verweisen, dass „Custom Audiences“ erforderlich sind, um überhaupt Kunden anzulocken. Auch kann sich eine Agentur nicht darauf berufen, dass deren Auftraggeber „Custom Audiences“ für erforderlich hält. Darüber hinaus ist es nicht vorstellbar, dass „Custom Audiences“ erforderlich sind, z.B. im Rahmen eines Kaufvertrages im E-Shop.
  • Berechtigte Interessen der Werbenden und kein Grund zur Annahme, dass schutzwürdige Interessen der Nutzer überwiegen (§ 28 Abs. 1 S. 1 Nr. 2 BDSG) – Das Interesse eigenen Absatz zu steigern, ist an und für sich berechtigt. Allerdings kann angesichts der heimlichen Nutzung personenbezogener Daten zu Werbezwecken, ein höheres Schutzinteresse Betroffener angenommen werden.
  • Allgemein zugängliche Daten und kein offensichtlich überwiegendes Interesse der Nutzer (§ 28 Abs. 1 S. 1 Nr. 1 BDSG) – Personenbezogene Daten sind allgemein zugänglich, wenn sie dazu bestimmt (Juristen sagen dazu „gewidmet“) sind, von jedermann wahrgenommen zu werden. Das kann zumindest dann bejaht werden, wenn z.B. E-Mails aus Impressen oder der publizierten Teilnehmerliste einer Veranstaltung stammen. In derartigen Fällen kann man m.E. erfolgreich argumentieren, dass die Interessen der Betroffenen zumindest nicht eindeutig überwiegen. Werden die Daten jedoch aus geschlossenen Netzwerken oder Teilnehmerlisten gewonnen, sind sie nach meiner Ansicht nicht allgemein zugänglich. Zum einem weil beim Zutritt häufig die Nutzung personenbezogener Daten außerhalb untersagt wird. Zusätzlich meine ich, dass bereits aufgrund der vertraglichen Pflichten zur Rücksichtnahme (§ 241 Abs. 2 BGB), die internen Daten zumindest in diesem Kontext nicht allgemein zugänglich sind.
  • Pseudonyme Verarbeitung von Nutzungsdaten zu Werbezwecken (§ 15 Abs. 3 TMG) – Diese Vorschrift erlaubt die Verwendung pseudonymer Nutzungsprofile zu Werbezwecken. Damit sind z.B. Cookies gemeint, die nicht mit Klarnamen, E-Mailadressen (die sehr häufig Namensbestandteile enthalten) oder sonstigen Klardaten der Nutzer verwendet werden. Erlaubt ist z.B. das Profil für einen Nutzer XY anzulegen und ihm Werbung anhand seines Verhaltens anzuzeigen. Dabei ist es für den Anbieter jedoch nicht klar, wie die wahre Identität des Nutzers ist. Allerdings müssten die Plattformanbieter nachweisen, ob sie das sog. „“Zusammenführungsverbot“ (§ 15 Abs. 3 S. 3, 13 Abs. 4 Nr. 6 TMG) beachten und die pseudonymen Daten nicht mit z.B. den Nutzerprofilen (die z.B. Facebook-ID, Namen oder E-Mailadressen enthalten) verbinden. Dies ist technisch zwar möglich, die tatsächliche Umsetzung wird jedoch häufig angezweifelt. Ferner müssten effektive Widerspruchsmöglichkeiten zur Verfügung stehen, die jedoch wie zuvor erläutert angezweifelt werden.
  • Auftragsdatenverarbeitung (§ 11 BDSG) – Würden die Plattform-Anbieter die personenbezogenen Daten nur im Auftrag, das heißt insoweit der Kontrolle und Weisung der Werbekunden auf Grundlage eines Vertrages verarbeiten, könnten sie durchaus nur als deren „Verlängerter Arm“ erscheinen. Die Datenverarbeitung wäre durchaus zulässig. Allerdings werden derartige Verträge nicht angeboten. Auch Facebooks „Addendum zur Datenverarbeitung“ genügt nicht den hohen Ansprüchen und Googles Vertrag beschränkt sich nur auf Google Analytics.
  • Listenprivileg (§ 28 Abs. 3 BDSG) – Diese Ausnahme erlaubt die Nutzung von Daten, die in einer Liste mit einem gemeinsamen Merkmal gespeichert sind (z.B. „Newsletter-Empfänger“). Ferner müssen sie aus öffentlichen Verzeichnissen stammen (z.B. Branchenbuch) oder im Rahmen von Rechts- und ähnlichen Geschäften für Targetingzwecke eingesetzt werden, die auf die beruflichen Interessen der Betroffenen abzielen. Allerdings sind die Listendaten auf „Berufs-, Branchen- oder Geschäftsbezeichnung, Namen, Titel, akademischen Grad, Anschrift und Geburtsjahr“ beschränkt. Folglich gehören die für die Bildung von „Custom Audiences“ benötigte Daten, wie z.B. Facebook-IDs, E-Mailadressen oder Telefonnummern nicht zu erlaubten Listendaten. Ebenso ist den Betroffenen ein § 28 Abs. 4 BDSG zu gewähren. Zwar werden beide Einschränkungen kritisch diskutiert, in der Datenschutzpraxis führen sie jedoch dazu, dass die Vorschrift als Erlaubnisgrundlage eher ausscheidet.
  • EU-US „Privacy Shield“ – Seit Juli 2016 können sich Unternehmen für das sog. „Privacy Shield„, als Nachfolger des bisherigen „Safe Harbor„-Abkommen zertifizieren lassen (wie z.B. FacebookGoogle und Twitter). Diese (gerichtlich bereits angefochtene) Zertifizierung begründet jedoch keine Erlaubnis zur Datenverarbeitung. Sie besagt lediglich, dass für diese Unternehmen ein mit der EU vergleichbares Datenschutzniveau anzunehmen ist, obwohl sie in dem datenschutzrechtlich unsicherem Drittstaat USA sitzen. Das „Privacy Shield“ erleichtert damit die Einholung einer Einwilligung, ersetzt sie jedoch nicht.

Im Ergebnis erlaubt das Gesetz nur die Nutzung von Daten aus öffentlich verfügbaren Listen für die Bildung von „Custom Audiences“. Mangels Einwilligung und gesetzlicher Erlaubnis bleibt als letzte Rettung die Frage, ob der Werbekunde oder nur Facebook für potentielle Datenschutzverstöße verantwortlich ist.

Das von Facebook im Zusammenhang mit "Custom Audiences" angebotene Addendum zur Datenverarbeitung trägt zur Risikominderung bei, erfüllt jedoch nicht die formellen und inhaltlichen Kriterien an einen gesetzlich anerkannten Vertrag über Verarbeitung von Daten im Auftrag.
Das von Facebook im Zusammenhang mit „Custom Audiences“ angebotene Addendum zur Datenverarbeitung trägt zur Risikominderung bei, erfüllt jedoch nicht die formellen und inhaltlichen Kriterien an einen gesetzlich anerkannten Vertrag über Verarbeitung von Daten im Auftrag.

Datenschutzrechtliche Verantwortlichkeit

Die Frage nach Verantwortlichkeit von Unternehmen beim Einsatz von Facebook für Marketingzwecke wird bereits in zwei Gerichtsverfahren diskutiert:

  • Verantwortung für Facebook-Seiten: Die schleswig-holsteinische Datenschutzbehörde (ULD) ist der Ansicht, dass Betreiber von Facebook-Seiten für die Analysen des Nutzungsverhaltens durch Facebook verantwortlich sind, auch wenn sie selbst keinen Zugriff auf Daten der Nutzer erhalten (§§ 3 Abs. 7 BDSG). Das soll der Fall sein, weil die Betreiber Einfluss auf die Datenverarbeitung haben, indem sie die Facebook-Seiten eröffnen und Nutzer zum Besuch einladen. Die Betreiber der Facebook-Seiten meinen jedoch, dass nur Facebook alleine auf die Zwecke und Mittel der Datenverarbeitung Einfluss hat. Bisher hat das ULD vor Gerichten verloren, jedoch vor allem, weil diese meinten, dass die irischen Datenschutzbehörden zuständig sind (OVG Schleswig, 04.09.2014 – 4 LB 20/13, Beitrag bei Allfacebook.de). Dieser Fall liegt derzeit dem Bundesverwaltungsgericht zur Revision vor (Az.: BVerwG 1 C 28.14) und wurde wegen des europarechtlichen Bezugs an den Europäischen Gerichtshof (EuGH) zur Entscheidung vorgelegt.
  • Verantwortung für Social Plugins: In einem weiteren Fall, bei dem es um die Nutzung des Page-, bzw. Like-Plugins ging, obsiegte die Verbraucherzentrale NRW gegen Peek & Cloppenburg vor dem LG Düsseldorf (09.03.2016, Az. 12 O 151/15, Beitrag bei Allfacebook.de). Hier sah das Gericht die Verantwortung von Peek & Cloppenburg, weil das Unternehmen das Plugin in die eigene Website eingebunden hatte und Facebook dabei den Zugriff auf die Daten der Websitebesucher ohne deren Einwilligung gewährte. Auch dieser Fall ist noch nicht endgültig entschieden.
allfacebook_schwenke_custom_audiences_facebook_page_plugin
Das LG Düsseldorf hält die Einbindung des Page-Plugins auf Webseiten für einen Datenschutzverstoß, für den die Webseitenbetreiber verantwortlich sind. Das dürfte auch für Custom Audiences gelten.

„Custom Audiences“ erinnern eher an Social Plugins, vor allem bei Einbindung eines Facebook Pixels in die Website. Aber auch im Fall einer Listenübermittlung kann kaum davon gesprochen, dass die Werbekunden nicht über die Mittel (hier u.a. die Listendaten) und Zwecke dieser Datenverarbeitung bestimmen.

Ob in diesem Fall die Verantwortlichkeit gegeben ist, werden die kommenden Gerichtsentscheidungen vorgeben. Bis dahin ist eher eine Tendenz zur Verantwortlichkeit der Werbekunden für den Einsatz von Custom Audiences anzunehmen.

In der Praxis ist es jedoch nicht nur wichtig, ob ein Rechtsverstoß vorliegt, sondern auch, welche Folgen er nach sich ziehen kann.

Folgen des rechtswidrigen Einsatzes von Custom Audiences

Ein rechtswidriger Einsatz von Custom Audiences kann viele Folgen nach sich ziehen:

  • Untersagungsverfügungen – Untersagungen können von Datenschutzbehörden ausgesprochen und werden in der Regel mit der Androhung eines Zwangsgeldes im Fall der Nichtbefolgung verbunden.
  • Bußgelder – Laut Gesetz sind je nach wirtschaftlichem Potential des Unternehmens, Umfang und Intensität des Verstoßes, Bußgelder von bis zu 300.000 Euro möglich (§§ 43 Abs.2 Nr. 1, Abs.3 BDSG, 16 Abs.2 Nr.2, Abs.3 TMG).
  • Abmahnungen und Klagen von klagebefugten Organisationen – Verbraucherschutzzentralen, Wettbewerbsverbände u.ä. Organisationen können die Nutzung von Custom Audiences abmahnen und die Abgabe einer Unterlassungserklärung verlangen. Dies hat zur Folge, dass bei deren erneuter Nutzung eine Vertragsstrafe fällig wird, die rund 5.000 Euro betragen kann. Bei Nichtbefolgung können diese Ansprüche vor Gericht durchgesetzt werden. Ferner müssen die Kosten der Abmahnung (rund 200 Euro) erstattet werden.
  • Abmahnungen und Klagen von Mitbewerbern – Auch Mitbewerber können derart abmahnen (§ 3a UWG). Die zu erstattenden Abmahngebühren betragen dann jedoch ca.1.000, statt 200 Euro.
  • Abmahnungen der Kunden oder Nutzer – Auch die Betroffenen selbst können gegen die Verarbeitung ihrer Daten zur Bildung von Custom Audiences vorgehen. Die Kosten sind ähnlich wie bei Mitbewerbern.
  • Nachteile für das Image – Der Einsatz von Custom Audiences kann zu Reputationsschäden führen. Allerdings hängt dies stark davon ab, wie wichtig der Datenschutz für die betroffenen Kunden oder Nutzer ist. Derzeit sind in dieser Hinsicht keine Fälle relevanter Imageschäden bekannt. Zwar haben Menschen Sorge um ihre Privatsphäre, diese ist jedoch häufig diffuser Art und wird angesichts der Vorteile, wie einer gebührenfreien Nutzung von sozialen Netzwerken in der Regel hingenommen (man bezeichnet dieses widersprüchliche Verhalten auch als ein „Privacy-Paradox“). Nachteile könnten jedoch entstehen, wenn ein Kunde feststellt, dass seine Daten an Facebook übermittelt wurden.
Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in seinem Tätigkeitsbericht 2013/2014, S. 172 auf die Gefahr eines Bußgeldverfahrens beim Einsatz von "Custom Analytics from Website" hin.
Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) weist in seinem Tätigkeitsbericht 2013/2014, S. 172 auf die Gefahr eines Bußgeldverfahrens beim Einsatz von „Custom Analytics from Website“ hin.

Wahrscheinlichkeit des Eintritts von negativen Folgen

Wenn sich die Nutzung von „Custom Audiences“ wirtschaftlich absolut nicht rentieren würde, dann wäre diese Art der Zielgruppenbestimmung sicherlich nicht derart verbreitet. Dass sie es ist, kann mit Hilfe einer derzeit geringen Wahrscheinlichkeit des Eintritts von negativen Folgen erklärt werden:

  • Fehlende Erkennbarkeit – Der Einsatz des Facebook-Pixels auf der Website ist mit Plugins, wie z.B. Ghostery, erkennbar. Auch bietet Facebook eine Funktion an, die Unternehmen anzeigt, die Nutzerdaten an Facebook überlassen haben. Doch diese Funktion ist weit versteckt und Tracking-Pixel sind auf fast jeder Website Usus. Dennoch könnten z.B. Datenschutzbehörden Websites auf den Einsatz der Facebook-Pixel scannen, wie sie es z.B. bei Google-Analytics taten und Fragebögen versenden.
  • Unklare Rechtslage – Derzeit werden bereits Verfahren geführt, die ähnliche Konstellation wie „Custom Audiences“ betreffen. In derartigen Fällen wird der Ausgang dieser Musterverfahren abgewartet und Behörden sprechen, zumindest nach meiner Erfahrung, zuerst eher Untersagungsverfügungen aus.
  • Zurückhaltende Mitbewerber – Dass Unternehmen sich gegenseitig wegen Datenschutzverstößen im Onlinemarketing abmahnen ist eher selten. Da Onlinemarketing ohne mögliche Datenschutzverstöße kaum möglich erscheint, will niemand eine mögliche „Gegenabmahnung“ riskieren.
Noch ist diese Auskunft über Werbetreibende, die Facebook Nutzerdaten überlassen, vielen Nutzern nicht bekannt, könnte jedoch zu unangenehmen Rückfragen führen, wenn ein Unternehmen selbst z.B. Kundendaten hochlädt.
Noch ist diese Auskunft über Werbetreibende, die Facebook Nutzerdaten überlassen, vielen Nutzern nicht bekannt, könnte jedoch zu unangenehmen Rückfragen führen, wenn ein Unternehmen selbst z.B. Kundendaten hochlädt.
Mit Hilfe des Browser-Plugins Ghostery kann man herausfinden, ob auf einer Website Nutzer für "Custom Audiences" getrackt werden.
Mit Hilfe des Browser-Plugins Ghostery kann man herausfinden, ob auf einer Website Nutzer für „Custom Audiences“ getrackt werden.

Entscheidung pro Custom Audiences

Angesichts der geschilderten Risiken verwundert es nicht, dass „Custom Audiences“ weiterhin beliebt bleiben. Das gilt vor allem bei KMUs, wenn keine Datenschutzbeauftragten oder Compliance Regeln beachtet werden müssen.

Wirtschaftlich gesehen ist es eine Frage der Risikobereitschaft und Risikobewertung. Diese muss individuell erfolgen. Doch wenn mit Custom Audiences im Schnitt ein wirtschaftlicher Vorteil von mehr als 5.000 Euro erzielt wird, werden sich viele für deren Einsatz entscheiden.

Wenn die Werbenden im Ausland sitzen, ist die Gefahr, dass gegen sie vorgegangen wird noch um ein Vielfaches geringer. Das gilt vor allem für Unternehmen außerhalb der EU, wie der Schweiz.

Dennoch darf nicht außer Acht gelassen werden, dass die Rechts- und Risikolage sich ständig entwickelt und permanent beobachtet werden muss.

Im Übrigen können die Ergebnisse, zumindest ausgehend vom heutigen Standpunkt, auch auf die ab Mail 2018 wirkende Datenschutzgrundverordnung (DSGVO) übertragen werden. Wobei hier zu bedenken sein wird, dass die DSGVO flexible Bußgelder mit sich bringt, die bis zu 4 % des Umsatzes und maximal 20 Mio Euro betragen können (Art. 83 DSGVO).

Zusammenfassung

  • Custom Audiences dürfen grundsätzlich nur mit Einwilligung der Betroffenen eingesetzt werden.
  • Daten von Kunden und Newsletterempfänger dürfen ohne Einwilligung der Betroffenen nicht hochgeladen werden.
  • Der Upload von öffentlich zugänglichen und nutzbaren Daten (z.B. von öffentlich zugänglichen E-Mail-Listen), birgt geringere Risiken. Bereits nicht als öffentlich, sind nur nach Registrierung oder Einladung zugängliche personenbezogene Daten zu betrachten (z.B. innerhalb sozialer Netzwerke oder nur für Teilnehmer einer Konferenz zugängliche Daten).
  • Ein Cookie-Hinweis ist für „Custom Audiences from Website“ als Einwilligung nicht ausreichend.
  • Unabhängig von einer fehlenden Einwilligung, sollten beim Einsatz eines Facebook-Pixels für „Custom Audiences from Website“ Datenschutzhinweise und Opt-Out-Möglichkeiten in die Datenschutzerklärung aufgenommen werden.
  • Es bestehen Risiken von Abmahnungen durch Betroffene, Mitbewerber oder klagebefugte Organisationen, ebenso wie von behördlichen Bußgeldern und Untersagungsverfügungen.
  • Derzeit ist die Wahrscheinlichkeit des Eintritts der Risiken gering.
  • Rein wirtschaftlich betrachtet, ist für viele der Einsatz von „Custom Audiences“ bei Werbevorzügen im Wert von über 5.000 Euro, vertretbar (die Summe hängt vom Unternehmen und der Art der „Custom Audiences“ ab).
  • Die rechtlichen Entwicklungen müssen permanent verfolgt werden.

Fazit und Anmerkungen

Zusammenfassend sind es vor allem die wirtschaftlich vertretbare Risiken die dazu führen, dass „Custom Audiences“ trotz der unklaren Rechtslage eingesetzt werden. Ich hoffe, dass Sie mit Hilfe dieses Beitrags einschätzen können, ob und falls, auf welche Art und Weise der Einsatz von „Custom Audiences“ für Sie in Frage kommt.

Ich empfehle zudem die Risikoverteilung zwischen Agenturen und deren Kunden klar zu regeln, falls doch Nachteile auftreten sollten. Ohne eine Klärung wird zwar das werbende Unternehmen zuerst haften, jedoch hat es gute Chancen die Agentur in Regress zu nehmen.

Falls Sie weitere Beratung zu „Custom Audiences“, Gutachten oder der Regelung der Risikoverteilung wünschen, stehe ich gerne zu Ihrer Verfügung.

Hinweis: Die hier vertretenen Ansichten stellen die Meinung des Autors dar und können in diesem sich permanent entwickelndem Rechtsbereich keinen Anspruch auf absolute Rechtssicherheit erheben. Ebenso dient der Beitrag einer Übersicht über die Problematik und stellt keine umfassende Darstellung aller möglichen rechtlichen Details und Probleme dar, zumal jeder Fall einzeln beurteilt werden muss.

Rechtsanwalt Dr. Thomas Schwenke
Rechtsanwalt Dr. Thomas Schwenkehttps://drschwenke.de
Dr. jur. Thomas Schwenke, LL.M. (UoA), Dipl.FinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen sowie Agenturen im Marketingrecht, und Datenschutzrecht, Vertragsrecht und E-Commerce, ist Datenschutzsachverständiger, zertifizierter Datenschutzbeauftragter sowie Referent, Blogger, Podcaster und Buchautor. Podcast: Rechtsbelehrung, DSGVO-Datenschutzerklärung: Datenschutz-generator.de.

Neueste Artikel

Weekly Newsletter abonnieren. Kostenlos. Jederzeit kündbar!

Ähnliche Artikel

2 Kommentare

  1. Hi! Würd mir gerne das Whitepaper downloaden, leider funktioniert der Link aber nicht. Könnt ihr das mal checken? Außerdem hab ich noch eine andere Frage: Der Artikel bezieht sich ausschließlich auf Custom Audiences, die benutzt werden, um Personen gezielt anzuspielen. Was ist denn, wenn ich Custom Audiences nutze, um Personen gezielt von meiner Werbung auszuschließen? Trolle z.B.? Danke :)

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein