Personalisiertes Marketing soll dabei helfen, das Werbebudget effektiver einzusetzen. Das verspricht auch Facebook Custom Audiences. Wer dieses Tool nutzt, sollte aber die Anforderungen des Datenschutzrechts beachten. Ansonsten drohen nicht nur Bußgelder und Abmahnungen, sondern auch schwere Imageschäden. Wir zeigen den aktuellen Stand auf.

Mit Facebook Custom Audiences kann ein Unternehmen seine Kunden und Website-Nutzer auf Facebook durch gezielte Werbung ansprechen. Dazu werden insbesondere zwei Verfahren genutzt:

Custom Audiences from your Customer List (Listen-Variante):
Unternehmen können eine Liste mit E-Mail-Adressen oder Telefonnummern ihrer Kunden im Adverts Manager ihres Facebook-Unternehmensaccounts hochladen. Nach Angaben von Facebook werden diese Daten vor der Übertragung an Facebook verschlüsselt, d.h. aus der E-Mail-Adresse wird ein Hash-Wert gebildet (eine Kombination verschiedener Buchstaben und Zahlen). Facebook kann diese Hash-Werte mit den entsprechenden Hash-Werten von E-Mail-Adressen von Facebook-Nutzern abgleichen. Auf diese Weise wird ermittelt, welche Kunden auch Facebook-Nutzer sind, und diesen kann auf der Facebook-Plattform gezielte Werbung angezeigt werden.

Custom Audiences from your website (Pixel-Variante):
Eine andere Möglichkeit besteht darin, auf der Website eines Unternehmens den Facebook-Pixel einzubauen. Durch diesen Pixel kann Facebook bei eingeloggten Nutzern erkennen, auf welchen Seiten diese Nutzer waren. An Personen, welche die Unternehmenswebsite besucht haben, kann entsprechend zielgerichtete Werbung ausgespielt werden.

Rechtsauffassung der Aufsichtsbehörden und Gerichte
Die bayerische Datenschutzbehörde vertrat in ihrem Tätigkeitsbericht im März 2017 noch die Auffassung, dass beide Formen von Custom Audiences problematisch seien, wenn keine Einwilligung vorliegt (S. 30). Diese Auffassung hatten die bayerischen Datenschützer in einer weiteren Veröffentlichung zur Nutzung von Facebook Custom Audiences insofern revidiert, als dass die Pixel-Variante auch ohne Einwilligung zulässig sei.

In zwei aktuellen Veröffentlichungen der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: DSK) wurde diese Auffassung erneut gewechselt (“EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern” und “Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018”). Nunmehr soll für jedweden Einsatz von Tracking-Mechanismen, hierzu zählt auch die Pixel-Methode, eine DSGVO-konforme Einwilligung erforderlich sein. Allerdings ist diese Auffassung der DSK rechtlich nicht bindend und kann mit gewichtigen Gegenargumenten konfrontiert werden.

Wer die Listen-Variante nutzt, muss hingegen vorab eine Einwilligungserklärung des Nutzers einholen und im Falle eines Widerrufs den Nutzer von der Liste streichen. Diese Rechtsauffassung wurde durch eine aktuelle Entscheidung des VG Bayreuth bestätigt (Update vom 24 Oktober 2018: Diese Rechtsauffassung des VG Bayreuth teilt auch das Verwaltungsgerichtshof München mit einer Entscheidung vom 26. September 2018). Auch diese bezieht noch nicht die DSGVO ein. Da sich die gerichtliche Wertung zur vorzunehmenden Interessenabwägung allerdings auf die neue Rechtslage übertragen lässt, wird mit dieser Entscheidung jedenfalls eine Tendenz deutlich.

Für die Einwilligung reicht es nicht aus, eine vorformulierte Erklärung in den AGB oder der Datenschutzerklärung aufzunehmen. Es empfiehlt sich deshalb, einen separaten Einwilligungstext und ein Ankreuzkästchen vorzusehen. Die wichtigsten Vorgaben zu rechtskonformen Einwilligungen finden Sie hier.

Einsatz der Pixel-Variante ohne EInwilligung
Die Pixel-Variante kann nach vertretbarer Auffassung ohne Einwilligung eingesetzt werden. Es muss aber auf diesen Einsatz von Custom Audiences in der Datenschutzerklärung der Website hingewiesen und ein Opt Out angeboten werden. Neben den allgemeinen durch die DSGVO vorgeschriebenen Informationspflichten, die Sie hier nachlesen können, müssen die Hinweise bzgl. Custom Audiences die folgenden besonderen Angaben enthalten:

  • welches Verfahren zum Einsatz kommt (Produktname),
  • welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
  • für welchen Zweck die Datenverarbeitung erfolgt,
  • auf welcher Rechtsgrundlage die Datenverarbeitung beruht (Art. 6 Abs. 1 Buchst. f) DSGVO),
  • welchem berechtigten Interesse die Verarbeitung dient,
  • dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Websites ermöglichen und
  • dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren gem. Art. 21 Abs. 2 DSGVO zur Verfügung steht.

Für das Opt Out genügt es nicht, auf Seiten von Drittanbietern wie youronlincechoices.eu oder auf www.facebook.com/settings zu verweisen; ausreichend ist es aber, das Opt Out mittels eines Cookies umzusetzen, der ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer ist.

Vertragliche Ausgestaltung
Beim Einsatz der Listen-Variante muss außerdem beachtet werden, dass es sich hierbei um eine Auftragsverarbeitung durch Facebook handelt. Das VG Bayreuth hat in seiner Entscheidung vom 8. 5. 2018 zwar hinsichtlich der Listen-Variante das Vorliegen einer Auftragsverarbeitung mit Verweis auf den vorhandenen Wertungs- und Entscheidungsspielraum von Facebook bei der Ausspielung der Werbung abgelehnt. Diese Rechtsprechung kann aber unter der DSGVO nicht fortgesetzt werden, da diese den Anwendungsbereich der Auftragsverarbeitung im Vergleich zur alten Rechtslage wesentlich erweitert hat.
Die Auftragsverarbeitung muss durch einen den Anforderungen des Art. 28 Abs. 3 DSGVO genügenden Vertrag geregelt werden. Nach den Nutzungsbedingungen für Custom Audiences wird ein solcher Vertrag mit der Übersendung der verschlüsselten Daten abgeschlossen.

Wird Custom Audiences unter Einsatz der Pixel-Variante genutzt, kann es zukünftig außerdem notwendig sein, mit Facebook eine Vereinbarung über die gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO zu treffen. Denn die Einbindung des Facebook-Pixels in die eigene Website gleicht der jüngst durch den EuGH mit dem sog. Fanpage-Urteil entschiedenen Konstellation. Ähnlich wie der Betreiber einer auf Facebook unterhaltenen Fanpage trägt der den Facebook-Pixel einsetzende Websitebetreiber zur Verarbeitung der personenbezogenen Daten der Besucher seiner Website durch Facebook bei. Bisher bietet Facebook eine solche Vereinbarung nicht an. Die weitere Entwicklung hierzu ist im Auge zu behalten.

Best Practice
Die von den Datenschutzbehörden aufgestellten Anforderungen haben zwar keine Gesetzeskraft, bieten aber eine gute Orientierung. Auch die Rechtsprechung weicht jedenfalls nicht wesentlich von den Einschätzungen der Aufsichtsbehörden ab. Wer Custom Audiences nutzen will, sollte hierüber auf jeden Fall in der Datenschutzerklärung genau informieren. Die Pixel-Variante kann vorerst auch ohne Einwilligung der betroffenen Person eingesetzt werden. Allerdings geschieht dies unter einem nicht geringen rechtlichen Risiko. Die Entwicklung hierzu, über die wir auch in unserem Newsletter berichten, sollte unbedingt weiterverfolgt werden.


Verfasser: Rechtsanwalt Marinus Stehmeier