Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).
Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.
Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.
Facebook Custom Audience über die Kundenliste
Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.
Facebook Custom Audience über das Pixel-Verfahren
Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.
Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,
im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.
Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.
Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,
wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.
Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.
Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.
Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.