Google

In der digitalen Welt gilt oft: Wer für eine Dienstleistung nichts bezahlt, zahlt am Ende mit seinen Daten. Diese Erkenntnis ist nicht neu, doch Meta (vormals Facebook) findet immer wieder Wege, sie zu optimieren. Ein markantes Beispiel dafür ist die Werbefunktion „Custom Audiences“, mit der Facebook-Nutzer gezielt mit Werbung angesprochen werden. Obwohl Meta die Funktion auf seiner Seite zur „Custom Audience Privacy Information“ als besonders datenschutzfreundlich darstellt, stellt sich die Frage, ob diese tatsächlich den europäischen Datenschutzvorgaben entspricht. Ein Grund, um diese Werbemethode genauer unter die Lupe zu nehmen.

Was steckt hinter Facebook Custom Audiences?

Mit Custom Audiences bietet Facebook Unternehmen eine Möglichkeit, spezifische Zielgruppen für ihre Werbung zu definieren. Die Besonderheit liegt darin, dass nicht nur Facebook-eigene Daten, sondern auch vom Werbetreibenden bereitgestellte Informationen genutzt werden können. So ist es beispielsweise möglich, eine Liste bestehender Kunden hochzuladen oder durch Tracking-Pixel Besucher der eigenen Webseite als potenzielle Werbeempfänger zu identifizieren. In diesem Artikel fokussieren wir uns auf die Variante, bei der Unternehmen ihre eigenen Daten an Facebook übermitteln.

Wie funktioniert die Übertragung der Daten?

Die datenschutzrechtliche Bewertung hängt maßgeblich davon ab, wie Meta die vom Werbetreibenden übermittelten Daten verarbeitet. Die Datenübertragung durchläuft dabei mehrere Schritte:

• 1. Upload der Daten: Der Werbetreibende lädt eine Liste mit E-Mail-Adressen oder Telefonnummern in den eigenen Browser hoch, deren Inhaber später beworben werden sollen.
• 2. Hashing der Daten: Um die Übertragung der Daten zu sichern, werden die E-Mail-Adressen und Telefonnummern vor dem Versenden lokal gehasht. Dies bedeutet, dass die Daten verschlüsselt werden, sodass sie nicht direkt auf die ursprünglichen Informationen zurückgeführt werden können.
• 3. Abgleich durch Facebook: Facebook erhält die gehashten Daten und vergleicht diese mit den eigenen Hashwerten der Nutzerdaten. Dadurch kann festgestellt werden, ob der Empfänger ein Facebook-Nutzer ist, der gezielt beworben werden kann.
• 4. Erstellung der Custom Audience: Die Übereinstimmungen zwischen den hochgeladenen und den Facebook-Daten werden im Werbekonto des Unternehmens als „Custom Audience“ gespeichert. Nicht passende Daten werden ignoriert.
• 5. Löschung der Hashwerte: Unabhängig davon, ob die Daten übereinstimmen oder nicht, werden die Hashwerte nach dem Abgleichprozess gelöscht.
• 6. Zielgruppendefinition: Der Werbetreibende erhält eine Liste von Personen, die als potenzielle Zielgruppe für Werbung auf Facebook identifiziert wurden. Die Identität der Personen bleibt jedoch anonym.

Die fragwürdige Datenschutzrichtlinie

Instagram sammelt fleißig Daten, um sein Geschäftsmodell zu stützen, was aus der Datenschutzrichtlinie mehr als deutlich hervorgeht. Die Nutzung der App ist zwar kostenlos, bezahlt wird jedoch mit einer Fülle von persönlichen Informationen – oft ohne dass den Nutzern das volle Ausmaß bewusst ist. Während Instagram behauptet, die Daten nicht zu verkaufen, werden diese dennoch für Werbezwecke an Dritte weitergegeben. So wird mit den gesammelten Daten Umsatz generiert, selbst wenn diese formal nicht "verkauft" werden.

Ist Custom Audiences datenschutzkonform?

Ob das Verfahren in Europa rechtskonform genutzt werden kann, ist umstritten. Eine Übermittlung personenbezogener Daten an Dritte ist nur dann erlaubt, wenn eine entsprechende Rechtsgrundlage, beispielsweise gemäß Art. 6 DSGVO, vorliegt. Für Direktwerbung könnte Art. 6 Abs. 1 lit. f) DSGVO („berechtigtes Interesse“) in Betracht kommen. Allerdings gibt es bereits Gerichtsurteile, die das Gegenteil andeuten.

Vor Inkrafttreten der DSGVO argumentierten das Verwaltungsgericht Bayreuth und der Bayerische Verwaltungsgerichtshof, dass bei der Übermittlung gehashter E-Mail-Adressen an Facebook kein überwiegendes berechtigtes Interesse vorliege. Insbesondere weil die Daten nicht vom Werbetreibenden selbst, sondern durch einen Dritten – Facebook – für Werbezwecke verwendet werden und unklar ist, wie der Betroffene sein Widerspruchsrecht ausüben kann. Zudem könnte eine Einwilligung des Betroffenen ohne großen Aufwand eingeholt werden.

Auch der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien zum Targeting von Social-Media-Nutzern gegen das berechtigte Interesse bei Custom Audiences argumentiert. In der Praxis wird daher oft eine Einwilligung der Nutzer gefordert.

Sind gehashte Daten personenbezogen?

Ein weiterer Streitpunkt ist, ob gehashte Daten weiterhin als personenbezogene Daten zu werten sind. Facebook behauptet, dass durch das Hashing der Personenbezug verloren geht. Nach der objektiven Theorie jedoch ist der Personenbezug bereits gegeben, wenn die Möglichkeit besteht, diesen herzustellen. Selbst nach der subjektiven Theorie, die auf die Fähigkeiten des Empfängers abzielt, erhält Facebook mindestens Informationen darüber, wer Kunde eines Unternehmens ist – was als personenbezogenes Datum gilt.

Gerichtliche und behördliche Einschätzungen

Auch Aufsichtsbehörden und Gerichte haben sich zu Facebook Custom Audiences geäußert. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) kritisierte bereits 2013/2014 das Hashing als nicht ausreichend sicher und wies darauf hin, dass Verfahren wie MD5 aufgrund ihrer leichten Berechenbarkeit für die Anonymisierung ungeeignet seien.

In einem Testversuch konnten Forscher der Universität Hamburg 2018 sogar 43 % der gehashten E-Mail-Adressen mittels Brute-Force-Attacken wiederherstellen. Das BayLDA kam daher zu dem Schluss, dass sowohl die Kundenlisten als auch der Tracking-Pixel von Facebook Custom Audiences datenschutzrechtlich problematisch seien.

Fazit: Ist der Einsatz von Custom Audiences rechtens?

Nach der derzeitigen Rechtslage scheint die Nutzung von Facebook Custom Audiences ohne Einwilligung der Betroffenen nicht mit den Datenschutzvorschriften vereinbar zu sein. Die bayerischen Gerichte und der VGH München lehnten die Annahme einer bloßen Auftragsdatenverarbeitung ab und betonten die Notwendigkeit einer Interessenabwägung oder Einwilligung. Auch der Europäische Gerichtshof (EuGH) hat in jüngeren Entscheidungen die gemeinsame Verantwortlichkeit zwischen Werbetreibenden und Facebook betont.

Da Facebook jedoch bisher nur einen unzureichenden Vertrag zur Auftragsverarbeitung anbietet, ist Custom Audiences aktuell nicht rechtskonform einsetzbar.

Was ist bei der Einwilligung zu beachten?

Für digitale Werbung sollte stets auch die Regelung des § 7 UWG berücksichtigt werden. Werbung per E-Mail bedarf im Regelfall einer ausdrücklichen Einwilligung, außer es handelt sich um Werbung für ähnliche Produkte an Bestandskunden. Bei der Einholung der Einwilligung zur Datenweitergabe an Facebook sollte ein Double-Opt-In-Verfahren genutzt werden, um sicherzustellen, dass nur der tatsächliche E-Mail-Inhaber die Einwilligung erteilt hat.

Beim Einsatz von Tracking-Pixeln ist zudem darauf zu achten, dass diese erst nach einer aktiven Einwilligung durch den Nutzer aktiviert werden, um den Vorgaben des TTDSG zu entsprechen.

Unterstützung durch den Datenschutzbeauftragten

Angesichts der rechtlichen Unsicherheiten rund um Facebook Custom Audiences empfiehlt es sich, den betrieblichen Datenschutzbeauftragten hinzuzuziehen, um eine datenschutzkonforme Lösung zu finden.