Landesdatenschutzbehörde erklärt Facebook Custom Audiences über die Webseite für zulässig

– Gastbeitrag von RA Carsten Ulbricht –

Facebook bietet eine Vielzahl unterschiedlicher Marketingwerkzeuge, deren datenschutzrechtliche Zulässigkeit seit einiger Zeit diskutiert wird.

Im Zentrum der Diskussionen steht Facebook „Custom Audiences“ (deutsch „benutzerdefinierte Zielgruppe“), über das Streuverluste in der Werbung effektiv reduziert werden können.

Neben „Custom Audiences from File“, bei dem Kundenlisten an Facebook übermittelt werden können, bietet Facebook über „Custom Audiences from Website“ die Möglichkeit, bei den Besuchern der eigenen Webseite ein Facebook-Pixel zu setzen, über das das dann der jeweilige Nutzer auf Facebook wieder angesprochen werden kann.

Zulässigkeit des Targeting über Facebook Custom Audiences

Nachdem ich zu der Zulässigkeit der beiden Werbemöglichkeiten in den letzten Jahren eine Vielzahl von Gutachten geschrieben habe, liegt mir zu „Custom Audiences from Webseite“ nun eine aktuelle Stellungnahme des Bayerischen Landesamtes für Datenschutz vor, welche das Retargeting über das Facebook-Pixel bei Einhaltung konkreter Vorgaben ausdrücklich für zulässig erklärt. Diese Stellungnahme schafft damit mehr Rechtssicherheit, bei Webseitenbetreibern, die „Custom Audiences from Website“ einsetzen wollen bzw. bei den Unternehmen, bei denen die eigenen Datenschutz- oder Rechtsabteilungen Bedenken bezüglich des Einsatzes geäußert hatten.

Nach der nachvollziehbaren Auffassung der Bayerischen Landesdatenschutzbehörde ist beim Einsatz von „Custom Audiences from Website“ entscheidend, dass die Vorgaben des § 15 Abs.3 TMG eingehalten werden.

Nach § 15 Abs.3 TMG darf ein Webeseitenbetreiber auch für Zwecke der Werbung pseudonyme Nutzungsprofile erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer desweiteren im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG auf sein Widerspruchsrecht hinzuweisen.

An der Stellungnahme der Bayerischen Landesdatenschutzbehörde, die sonst teilweise sehr konservative Interpretationen vertritt, ist vor allem neu, dass die Datenschützer bestätigen, dass die Nutzungsprofile, die im Rahmen von „Custom Audiences from Website“ erstellt werden, als pseudonyme Daten gewertet werden.

Damit steht § 15 Abs.3 TMG als Legitimationstatbestand für Facebook Retargeting offen.

Wer „Custom Audiences from Website“ einsetzt, sollte in Zukunft also dafür Sorge tragen, dass die Nutzer der eigenen Webseite in der Datenschutzerklärung über Art, Umfang und Zwecke der konkret stattfindenden Datenverarbeitung sowie über die Verarbeitung in Staaten außerhalb der EU in allgemein verständlicher Form und ihr bestehendes Widerspruchsrecht unterrichtet werden. Wie bei anderen Analysewerkzeugen auch, sollte die Ausübung des Widerspruchsrecht über ein konkretes Opt-Out ermöglicht werden.

Werden diese Vorgaben eingehalten, ist der Einsatz von Facebook „Custom Audiences from Website“ auf Grundlage der ausdrücklichen Stellungnahme der Bayerischen Landesdatenschutzbehörde als zulässig anzusehen.

(Un-)Zulässigkeit von Custom Audiences from File

Die Anforderungen an die datenschutzrechtliche Zulässigkeit von “Custom Audiences from File”, also die Weitergabe von „gehashten“ E-Mailadressen oder Telefonnummern ist hingegen noch nicht abschließend geklärt.

Hier vertritt die Bayerische Landesdatenschutzbehörde weiter die Auffassung, dass ein solcher Datenabgleich nur auf der Grundlage einer ausdrücklichen Einwilligung des Betroffenen im Sinne von § 4 BDSG erlaubt sei.

Unternehmen, die „Custom Audiences from File“ einsetzen wollen, sollten unter Berücksichtigung der Herkunft und Legitimationsgrundlage der zu verwendenden Daten bzw. unter Abwägung der datenschutzrechtlichen Risiken prüfen, ob der Einsatz gesetzlich legitimiert werden kann oder eben eine informierte Einwilligung (Opt-In) bezüglich der im Rahmen von „Custom Audiences from File“ stattfindenden Datenverarbeitung einholen. Oft scheint die Einholung eines solchen „Social Opt-In“ perspektivisch sinnvoll, um Datenbestände zu schaffen, die auch für zukünftige Werbemöglichkeiten bei Facebook eingesetzt werden können.

Geltung der Datenschutzgrundverordnung (DSGVO) ab 25.Mai 2018

Die oben dargestellte Rechtslage orientiert sich an den aktuell geltenden gesetzlichen Vorgaben des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG).

Ab 25.Mai 2018 werden in der gesamten Europäischen Union jedoch grundlegend andere datenschutzrechtliche Vorgaben zu beachten sein. Ab diesem Tag gilt nämlich die Datenschutzgrundverordnung (DSGVO), die – nicht zuletzt wegen der erheblich erhöhten Bußgelder – ihre Schatten bereits voraus wirft.

Zum 25.Mai 2018 müssen die neuen gesetzlichen Vorgaben bezüglich der Erhebung und Verarbeitung personenbezogener Daten, die erweiterten Informationspflichten und die veränderten Regeln bezüglich der Datenweitergabe im Rahmen einer Auftragsdatenverarbeitung bereits umgesetzt sein.

Die neuen gesetzlichen Regeln betreffen natürlich auch sämtliche Datenverarbeitungsvorgänge auf und über Facebook bzw. den Einsatz und die Zulässigkeit solcher Werkzeuge wie „Custom Audiences“

Unternehmen, die „Custom Audiences“ oder andere datenschutzrechtliche relevante Werkzeuge einsetzen oder Agenturen, die bezüglich des Einsatzes beraten, sollten sich deshalb rechtzeitig vor dem 25.Mai 2018 über die neuen Anforderungen informieren bzw. rechtzeitig die notwendigen Veränderungen im Rahmen der eigenen Prozesse bzw. Einwilligungs- und Datenschutzerklärungen umsetzen.

Aufgrund der drängenden Vorbereitung und der Bedeutung der Auswirkungen der Datenschutzgrundverordnung wird dieses Thema einen wesentlichen Teil meines Vortrags „Rechtsupdate 2017 – Alles neu durch die europäische Datenschutzgrundverordnung ?!“ auf der Allfacebook Marketing Konferenz am 5.10.2017 in Berlin ausmachen. Im Rahmen des Rechtsupdates werde ich die Anforderungen der DSGVO skizzieren und aufzeigen, wie Werkzeuge a la „Custom Audiences“ in Zukunft legitimiert werden können.

Etwas ausführlicher werde ich die Anforderungen und konkrete Umsetzungsempfehlungen zur Datenschutzgrundverordnung – neben diversen anderen Themen – im Rahmen des am Vortag angesetzten Ganztagesworkshops „Facebook Recht und Datenschutz“ erläutern können.

Unabhängig von diesen Angeboten ist jedem der mit Online- und oder Facebookmarketing befasst ist empfohlen, sich so schnell wie möglich, mit der Datenschutzgrundverordnung und ihren konkreten Auswirkungen auseinanderzusetzen. Angesichts der europaweiten Wirksamkeit am 25.Mai 2018 bleit hier auch nicht mehr all zu viel Zeit…

Carsten Ulbricht
Carsten Ulbrichthttp://www.rechtzweinull.de
Dr. Carsten Ulbricht ist auf Internet und die digitale Transformation spezialisierter Rechtsanwalt bei der Kanzlei Bartsch Rechtsanwälte (Standorte Karlsruhe und Stuttgart) mit den Schwerpunkten IT-Recht, Marken-, Urheber- und Wettbewerbsrecht sowie Datenschutz. Im Rahmen seiner anwaltlichen Tätigkeit berät Dr. Ulbricht nationale und internationale Mandanten in allen Rechtsfragen des E- und Mobile Commerce, Big Data, sowie zu allen Themen im Bereich Social Web. Seine Schwerpunkte liegen dabei auf der rechtlichen Prüfung internetbasierter Geschäftsmodelle, datenschutzrechtlichen Themen aber auch dem Umgang mit nutzergenerierten Inhalten.

Neueste Artikel

Weekly Newsletter abonnieren. Kostenlos. Jederzeit kündbar!

Ähnliche Artikel

2 Kommentare

  1. Was muss ich tun um diesen Artikel ausdrucken zu können? Ohne dass es ihn zerschießt, beim Seitenumbruch etwas verloren geht oder ähnliches?

    • Im FF das Buchsymbol (Leseansicht) rechts in der URL-Eingabe-Leiste direkt neben dem Reload-Pfeil klicken. Und schon hat man den Artikeltext weitgehend ohne sonstiges Layout.

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein