Personalisiertes Marketing soll dabei helfen, das Werbebudget effektiver einzusetzen. Das verspricht auch Facebook Custom Audiences. Wer dieses Tool nutzt, sollte aber die Anforderungen des Datenschutzrechts beachten. Ansonsten drohen nicht nur Bußgelder und Abmahnungen, sondern auch schwere Imageschäden. Wir zeigen den aktuellen Stand auf.

Mit Facebook Custom Audiences kann ein Unternehmen seine Kunden und Website-Nutzer auf Facebook durch gezielte Werbung ansprechen. Dazu werden insbesondere zwei Verfahren genutzt:

• Custom Audiences from your Customer List (Listen-Variante): Unternehmen können eine Liste mit E-Mail-Adressen oder Telefonnummern ihrer Kunden im Adverts Manager ihres Facebook-Unternemensaccounts hochladen. Nach Angaben von Facebook werden diese Daten vor der Übertragung an Facebook verschlüsselt, d.h. aus der E-Mail-Adresse wird ein Hash-Wert gebildet (eine Kombination verschiedener Buchstaben und Zahlen). Facebook kann diese Hash-Werte mit den entsprechenden Hash-Werten von E-Mail-Adressen von Facebook-Nutzern abgleichen. Auf diese Weise wird ermittelt, welche Kunden auch Facebook-Nutzer sind, und diesen kann auf der Facebook-Plattform gezielte Werbung angezeigt werden.

• Custom Audiences from your website (Pixel-Variante): Eine andere Möglichkeit besteht darin, auf der Website eines Unternehmens einen Pixel von Facebook einzubauen. Durch diesen Pixel kann Facebook bei eingeloggten Nutzern erkennen, auf welchen Seiten diese Nutzer waren. An Personen, welche die Unternehmenswebsite besucht haben, kann entsprechend zielgerichtete Werbung ausgespielt werden.

Geänderte Rechtsauffassung der bayerischen Datenschutzbehörde
Die bayerische Datenschutzbehörde vertrat in ihrem Tätigkeitsbericht im März 2017 noch die Auffassung, dass beide Formen von Custom Audiences problematisch seien, wenn keine Einwilligung vorliegt (S. 30). Diese Auffassung haben die bayerischen Datenschützer nun in einer Veröffentlichung zur Nutzung von Facebook Custom Audiences insofern revidiert, als dass die Pixel-Variante auch ohne Einwilligung zulässig ist.

Wer die Listen-Variante nutzt, muss hingegen vorab eine informierte und eindeutige Einwilligungserklärung des Nutzers einholen; im Falle eines Widerrufs muss der Nutzer von der Liste gestrichen werden; dies gilt auch ab Geltung der DSGVO im Mai nächsten Jahres. Für die Einwilligung reicht es nicht aus, eine vorformulierte Erklärung in den AGB oder der Datenschutzerklärung aufzunehmen. Es empfiehlt sich deshalb, einen separaten Einwilligungstext und ein Ankreuzkästchen vorzusehen. Die wichtigsten Vorgaben zu rechtskonformen Einwilligungen finden Sie hier .

Wer die Pixel-Variante einsetzt, benötigt grundsätzlich keine Einwilligung. Es muss aber auf den Einsatz von Custom Audiences hingewiesen werden (bspw. in der Datenschutzerklärung) und ein Opt Out angeboten werden. Die Hinweise müssen mindestens folgende Angaben enthalten:
• wer für die Erhebung und Verarbeitung zuständig ist (Website-Betreiber und Facebook),
• welches Verfahren zum Einsatz kommt (Produktname),
• welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,
• für welchen Zweck die Datenverarbeitung erfolgt,
• dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Websites ermöglichen und
• dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.

Mit Geltung der DSGVO entstehen zusätzliche Informationspflichten der Website-Betreiber, die Sie in diesem Blog-Beitrag nachlesen können.
Für das Opt Out genügt es nicht, auf Seiten von Drittanbietern wie youronlincechoices.eu oder auf www.facebook.com/settings zu verweisen; ausreichend ist es aber, das Opt Out mittels eines Cookies umzusetzen, der ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer ist.

Achtung: Wer die Pixel-Variante mit der Funktion „Erweiterter Abgleich“ nutzt, muss wie bei der Listen-Variante eine Einwilligung einholen.

Best Practice
Die von der bayerischen Datenschutzbehörde aufgestellten Anforderungen haben zwar keine Gesetzeskraft, bieten aber eine gute Orientierung. Wer Custom Audiences nutzen will, sollte hierüber auf jeden Fall in der Datenschutzerklärung genau informieren. Die Pixel-Variante kann vorerst eingesetzt werden, sofern die von der bayerischen Datenschutzbehörde aufgestellten Kriterien eingehalten werden.


Verfasser: Rechtsanwalt Dr. Malte Kröger