DatenschutzInternetrecht

Facebook Custom Services – effektiv aber datenschutzwidrig?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) veröffentlichte am 4.10.2017 einen Bericht zum Einsatz der “Facebook Custom Service” Technologie. Mit dieser recht neuen Art der Werbung können Unternehmen ihre Werbeannoncen auf Facebook direkt an eigene Kunden adressieren. Das rechtliche Fazit des BayLDA fällt dabei sehr kritisch aus, ob die Technologie daher wirklich zulässigerweise eingesetzt werden darf, kann zumindest bezweifelt werden.

Grundsätzlich gibt es zwei Arten, “Facebook Custom Services” einzusetzen. Zum einen können Unternehmen Daten, die sie über Kunden bzw. Interessenten gesammelt haben, auf ihrem Facebook-Unternehmensprofil hochladen und diese auf spezielle Merkmale filtern lassen. Facebook bewertet die Ergebnisse und schaltet dann die Werbung an Personenkreise, die der analysierten Zielgruppe des Unternehmens entsprechen. Sofern beispielsweise ein Unternehmen für Regenjacken zumeist überdurchschnittlich gut verdienende Kunden im Alter zwischen 35 und 45 Jahren anspricht, so wird explizit dieser Gruppe bei den nächsten Aufrufen der Facebook-Website eine Werbeannonce für das Regenjacken-Unternehmen präsentiert. Hierdurch soll die Effektivität der Werbung stark gesteigert und der Streueffekt minimiert werden.

Um die Kundendaten nicht völlig offen an Facebook übermitteln zu müssen, wird ein Hash-Verfahren (SHA256-Verfahren) zur Pseudonymisierung eingesetzt. Die Sicherheit dieser Hashfunktion wird indes vom BayLDA bestritten. Beim Hashing wird aus den ursprünglichen Daten ein einmaliger Prüfwert errechnet. Eine Zurückrechnung vom Prüfwert zu den ursprünglichen Daten sollte möglichst ausgeschlossen sein. Ist dies der Fall, lägen für Facebook keine personenbezogenen Daten vor. Die Behörde legt aber dar, dass die übermittelten, gehashten Daten „innerhalb von Sekunden mit einem handelsüblichen Gaming-PC” zurückgerechnet werden könnten. Die Unternehmen übermitteln daher personenbezogene Daten an Facebook, wofür ihnen, aus Sicht des BayLDA, aber weder durch das BDSG noch das TMG eine Befugnis zukommt. Damit müsste von jedem Betroffenen eine Einwilligung eingeholt werden. Zudem müsste die Möglichkeit eines Widerrufs der Einwilligung eingeräumt werden. Sofern dieser erklärt wird, muss dann auch die vollständige Custom Audience-Liste unverzüglich aktualisiert werden.

Die zweite Werbeart wird “Facebook-Pixel” genannt und ermöglicht die Nachverfolgung des Nutzungsverhaltens von Webshop-Nutzern durch Facebook. Ein Unternehmen, das einen Webshop betreibt, kann dabei direkt durch Facebook nachvollziehen lassen, wofür sich Nutzer interessieren und an welcher Stelle sie einen Bestellvorgang abbrechen. Dieses „Pixel-Tracking“ oder „Zählpixel“ genannte Verfahren zur Nachverfolgung ist seit langem bekannt. Um dann die verloren gegangenen Kunden zurückzugewinnen, wird ihnen auf Facebook personalisierte Werbung des Produktes des Webshops, für den sich der Nutzer augenscheinlich interessierte, angezeigt. Der Einsatz der Technologie kann auch in Form eines “erweiterten Abgleichs” erfolgen. Hierbei werden auch die Daten von Nutzern übertragen, die währenddessen nicht bei Facebook eingeloggt sind, bzw. womöglich dort sogar nicht registriert sind. Damit werden Nutzer, die explizit sog. “third-party-cookies” unterbinden wollen, trotzdem verfolgt.

Das BayLDA kritisiert hierbei, dass oftmals schon eine ordnungsgemäße Information über den Einsatz des Pixel-Verfahrens unterbleibt. Zudem sei die Opt-Out-Möglichkeit in einigen Fällen gar nicht bzw. fehlerhaft angeboten worden. Hierdurch sei es selbst datenschutzaffinen Nutzern nicht möglich, der Verfolgung durch Facebook zu entkommen.

Der BayLDA stellt daher klar, dass die erweiterte Abgleich nur erfolgen darf, wenn zuvor eine informierte Einwilligungserklärung aller Website-Besucher eingeholt wurde. Zudem muss eine wirksame Opt-out Möglichkeit zur Verfügung gestellt werden und eine ausführliche Information über Art und Umfang der Daten- und Erhebung gegeben werden.

Das BayLDA zeigt damit recht klar die Grenzen bzw. Konditionen des Einsatzes von personalisierter Werbung und Nutzeranalyse auf. Thomas Kranig, Präsident der Behörde, schreibt hierzu plakativ: „Uns ist bewusst, dass personalisierte Werbung für die Wirtschaft ein enormer Vorteil ist. Es ist ein berechtigtes Interesse der Unternehmen, ihre Produkte und Dienste optimal zu vermarkten. Das hat aber seine Grenzen, wenn gegen geltendes Recht verstoßen wird und der Einzelne nur noch zum Objekt seiner Daten degradiert wird.”

Für die Unternehmen dürfte der Einsatz solcher Tools aufgrund der nun klar definierten, hohen datenschutzrechtlichen Voraussetzungen unattraktiver sein. Dass sie in Zukunft auf durch Algorithmen personalisierte Werbung verzichten werden, ist ob der großen Effektivität der Methode aber wohl recht abwegig.

Diese Beispiele zeigen auch, dass Nutzer, die ihre Privatsphäre effektiv schützen wollen, um Selbstschutz nicht herumkommen. So kann durch die Installation von Ad-, Tracking oder Skriptblockern im Browser die Überwachung der Internetaktivitäten effektiv verhindert werden. Auch ist es sinnvoll, die im Browser angefallen Daten, insbesondere Cookies, in regelmäßigen Abständen zu löschen. So wird eine Reidentifizierung des Nutzers jedenfalls erschwert, wenn nicht sogar unmöglich gemacht.

https://www.lda.bayern.de/media/pm2017_07.pdf

http://www.dr-bahr.com/news/rechtliche-voraussetzungen-zum-einsatz-von-facebook-custom-audience-bei-online-werbung.html

https://www.datenschutz-notizen.de/facebook-custom-audience-weiterhin-im-fokus-der-datenschutzaufsicht-3817505/

https://www.elektronik-kompendium.de/sites/net/0908071.htm

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*