Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich in einer Pressmitteilung  zu den datenschutzrechtlichen Voraussetzungen der Nutzung von Facebook Custom Audience (CA) geäußert. In einer bayernweiten Prüfaktion wurden zunächst 40 Unternehmen nach der Verwendung des Werbetools befragt. Die Stellungnahme bezieht sich ausschließlich auf die Varianten von Facebook Custom Audience über die Kundenliste sowie „über deine Website“ (Pixel Verfahren). Bei Facebook CA über Kundenlisten erstellt ein Unternehmen eine Liste mit Daten (beispielsweise E-Mail Adressen) von Kunden oder Interessenten und verschlüsselt diese mittels einer Hashfunktion. Die Liste wird anschließend bei Facebook hochgeladen und mit Daten von Facebook-Nutzern, die durch Facebook mit der gleichen Funktion verhasht wurden, verglichen; findet sich eine Übereinstimmung, heißt das, dass der entsprechende Kunde auch Facebook-Nutzer ist. Gehört der Nutzer zur vom Unternehmen zuvor gewählten Zielgruppe der Werbung, wird ihm diese daraufhin auf seinem Facebook-Profil angezeigt.

Das Pixel-Verfahren funktioniert durch die Einbettung eines Facebook Pixels, also eines Programmcodes, in die Internetseite des Unternehmens. Dadurch kann Facebook nachvollziehen, welches seiner Mitglieder die Seite besucht hat und kann dann Werbeanzeigen gezielt an Facebook-Mitglieder ausspielen, die die Unternehmensseite besucht haben. Neben der gezielten Werbung bei Websitebesuchern lässt das Pixel es auch zu, die Werbung an Facebook-Mitglieder mit Profilen auszuspielen, die denen der Websitebesucher ähneln, um so möglichst neue Kunden zu gewinnen.

Im Hinblick auf den Einsatz von Facebook CA über das Pixel-Verfahren stellt das BayLDA zunächst fest, dass viele Unternehmen ihre Nutzer nicht oder nur unvollständig über den Einsatz dieses Werbetools informieren und dem Nutzer darüber hinaus entweder gar keine oder nur technisch unzureichend umgesetzte Möglichkeiten zum Opt-out eröffnen. Zum Verfahren von Facebook CA über die Kundenliste stellt das BayLDA insbesondere fest, dass das eingesetzte Hashverfahren nicht zur Anonymisierung der Daten geeignet ist. Die erzeugten Hash-Werte könnten mit geringem Aufwand wieder in Klardaten zurückgerechnet werden. Eine Anonymisierung, also der Ausschluss der Re-Identifizierung des Betroffenen, werde so nicht erreicht.

Da sich im Rahmen der Unternehmensbefragung herausgestellt habe, dass viele Unternehmen nicht wissen, wie Facebook CA genau funktioniere und ihnen im Übrigen die rechtlichen Rahmenbedingungen „völlig unklar“ seien, stellt das BayLDA die beiden Varianten des Werbetools im Detail dar und fügt der Pressemitteilung „Allgemeine Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience“ bei. Weiterhin verlangt das BayLDA für den Einsatz von Facebook CA über die Kundenliste eine informierte Einwilligung des Kunden. Dem Kunden müsse darüber hinaus die Möglichkeit zum Widerruf gegeben werden.

Daneben sei es notwendig, die Betroffenen ausreichend zu informieren, u.a. über die Verantwortlichen im datenschutzrechtlichen Sinne, wozu neben Facebook gerade auch das werbende Unternehmen selbst zähle. Dabei müssten der Name des Verfahrens, die Arten personenbezogener Daten und der Zweck der Verarbeitung angegeben sowie über das Tracking und die dadurch ermöglichte Identifizierung der Nutzer und die Opt-out Möglichkeit informiert werden.

Praxishinweis:

Unternehmen sollten vor dem Einsatz von Facebook CA genau prüfen, ob die datenschutzrechtlichen Anforderungen, auch durch die technische Ausgestaltung der Nutzung, eingehalten worden sind. Es ist davon auszugehen, dass jedenfalls das BayLDA, aber ggfs. auch andere Landesdatenschutzbehörden, in Zukunft weitere Prüfungen durchführen werden. Das BayLDA hat sich in seiner Pressemitteilung lediglich zur Notwendigkeit einer Einwilligung geäußert. Möglicherweise kann über § 15 Abs. 3 TMG jedenfalls der Einsatz von Facebook CA über das Pixel-Verfahren (ohne die Funktion des erweiterten Abgleichs) zulässig sein, wenn die dort aufgeführten Voraussetzungen (insbesondere die Pseudonymisierung der Nutzerprofile und eine Opt-out Möglichkeit) erfüllt sind. Eine offizielle Stellungnahme des BayLDA steht hierzu noch aus.