Personalisiertes Marketing soll dabei helfen, das Werbebudget effektiver einzusetzen. Das verspricht auch Facebook Custom Audiences. Wer dieses Tool nutzt, sollte aber die Anforderungen des Datenschutzrechts beachten. Ansonsten drohen nicht nur Bußgelder und Abmahnungen, sondern auch schwere Imageschäden. Wir zeigen den aktuellen Stand auf.

Mit Facebook Custom Audiences kann ein Unternehmen seine Kunden oder seine Website-Nutzer auf Facebook durch gezielte Werbung ansprechen. Dazu werden insbesondere zwei Verfahren genutzt:

  • Custom Audiences from your Customer List: Unternehmen können eine Liste mit E-Mail-Adressen oder Telefonnummern ihrer Kunden im Adverts Manager ihres Facebook-Unternemensaccounts hochladen. Nach Angaben von Facebook werden diese Daten vor der Übertragung an Facebook verschlüsselt, d.h. aus der E-Mail-Adresse wird ein Hash-Wert gebildet (eine Kombination verschiedener Buchstaben und Zahlen). Facebook kann diese Hash-Werte mit den entsprechenden Hash-Werten von E-Mail-Adressen von Facebook-Nutzern abgleichen. Auf diese Weise wird ermittelt, welche Kunden auch Facebook-Nutzer sind, und diesen kann auf der Facebook-Plattform gezielte Werbung angezeigt werden.
  • Custom Audiences from your website: Eine andere Möglichkeit besteht darin, auf der Website eines Unternehmens einen Pixel von Facebook einzubauen. Durch diesen Pixel kann Facebook bei eingeloggten Nutzern erkennen, auf welchen Seiten diese Nutzer waren. An Personen, welche die Unternehmenswebsite besucht haben, kann entsprechend zielgerichtete Werbung ausgespielt werden.

Geänderte Rechtsauffassung der bayerischen Datenschutzbehörde?
Die bayerische Datenschutzbehörde vertrat in ihrem letzten Tätigkeitsbericht im März 2017 die Auffassung, dass beide Formen von Custom Audiences problematisch seien, wenn keine Einwilligung vorliegt (S. 30). Nach einem aktuellen Bericht soll die Behörde aber mittlerweile die Pixel-Variante für zulässig erachten, wenn auf den Einsatz des Pixels auf der Website hingewiesen und eine Opt Out-Möglichkeit angeboten wird. Eine offizielle Bestätigung dazu fehlt aber bislang.

Pixel-Variante
Für die Pixel-Variante genügt der Hinweis und das Angebot eines Opt Out nur, wenn eine Pseudonymisierung vorliegt. Das Pixel weist einem Website-Nutzer einen bestimmten Wert zu. Hier liegt noch eine Pseudonymisierung vor. Wenn Facebook diese Informationen mit den eigenen Nutzerdaten zusammenführt, indem einem eingeloggten Nutzer ein Pixel zugeordnet wird, könnte die Pseudonymisierung entfallen. Denn Facebook verpflichtet seine Nutzer zur Verwendung von Klarnamen. Der Website-Betreiber wird für diese von Facebook vorgenommene Verknüpfung wohl auch verantwortlich zu machen sein. Gerichte haben bereits entschieden, dass Website-Betreiber für die auf ihrer Seite eingebauten Social Media-Plugins wie den Like-Button von Facebook verantwortlich sind.
Auch Facebook schließt nicht aus, dass eine Einwilligung notwendig ist. Denn in seinen AGB zu Custom Audiences verpflichtet Facebook denjenigen, der Custom Audiences nutzen will, unter anderem dazu, zu garantieren, dass jede notwendige Einwilligung vom Betroffenen eingeholt worden ist.

Anforderungen an eine Einwilligung
Für die Einwilligung reicht es nicht aus, eine vorformulierte Erklärung in den AGB oder der Datenschutzerklärung aufzunehmen. Der Kunde muss ausdrücklich und nach einem umfassenden Hinweis seine Einwilligung erklären. Es empfiehlt sich deshalb, einen separaten Einwilligungstext und ein Ankreuzkästchen vorzusehen. Die wichtigsten Vorgaben zu rechtskonformen Einwilligungen finden Sie hier.

Best Practice
Für den Einsatz von Custom Audiences im Listenverfahren ist davon auszugehen, dass eine Einwilligung aller Betroffenen zwingend notwendig ist. Hinsichtlich des Pixel-Verfahrens könnte es ausreichen, auf den Einsatz des Pixels hinzuweisen und ein Opt Out anzubieten. Hier bestehen aber rechtliche Risiken. In jedem Fall sollte in die Datenschutzerklärung ein Hinweis auf die Nutzung von Facebook Custom Audiences aufgenommen werden. Hierbei können wir Sie gerne rechtliche unterstützen.


Verfasser: Dr. Malte Kröger (juristischer Mitarbeiter der Datenschutzkanzlei)