Über Facebooks „Custom Audiences“ haben wir bereits berichtet. Dabei ging es um werbetreibende Unternehmen, die aus ihren Kundendateien benutzerdefinierte Zielgruppen zusammenstellen und bei Facebook zum Abgleich hochladen.
Eine benutzerdefinierte Zielgruppe kann aber auch aus Besuchern der Homepage des Unternehmens gebildet werden. Diese spezielle Funktion namens „Custom Audiences from your Website“ dient vor allem dem Retargeting und Conversion Tracking, was ganz eigene Fragen aufwirft.
Der Inhalt im Überblick
Wer ist eigentlich verantwortlich?
Mithilfe des Zählpixels Facebook Tag API erhebt Facebook auf der Website des werbetreibenden Unternehmens Daten über die Besucher der Website. Diese Daten werden mit den Profilen von Facebook-Mitgliedern abgeglichen. Im Account eines Mitglieds, das die Website besucht hat, erscheint dann Werbung, die genau auf die Unterseiten der Website abgestimmt ist, die es sich angeschaut hat.
Welche Daten Facebook auf der Website erhebt und welche Facebook-Mitglieder Werbung erhalten, erfährt das werbetreibende Unternehmen nicht einmal. Trotzdem muss man davon ausgehen, dass es als Betreiber der Website für den Schutz der erhobenen Daten verantwortlich ist. Verantwortliche Stelle ist gemäß § 3 Abs. 7 Bundesdatenschutzgesetz jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Facebook wird im Auftrag des Website-Betreibers tätig, denn die erhobenen Daten werden genutzt, um dessen Werbung auf den Pinnwänden der Facebook-Mitglieder einzublenden. Durch den Vertrag mit Facebook hat das werbetreibende Unternehmen die Möglichkeit, die Verarbeitung der Nutzerdaten zu beeinflussen. Auch das spricht für eine Auftragsdatenverarbeitung, wobei die Einzelheiten unter den Experten umstritten sind.
Das werbetreibende Unternehmen ist als Website-Betreiber auch Diensteanbieter im Sinne des Telemediengesetzes, sodass es alle Pflichten aus diesem Gesetz trifft.
Widerspruch muss möglich sein!
Insbesondere weist § 15 Abs. 3 TMG Diensteanbietern eine datenschutzrechtliche Verantwortung für das Erstellen von Nutzungsprofilen zu. Danach darf der Diensteanbieter für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.
Zunächst stellt sich die Frage, ob diese Vorschrift überhaupt anwendbar ist. Nur dann würde es ausreichen, dem Website-Besucher eine Möglichkeit zum Widerspruch („Opt Out“) einzuräumen; anderenfalls müsste er vor der Erstellung des Nutzungsprofils einwilligen („Opt In“).
§ 15 Abs. 3 TMG regelt zunächst nur den Fall, dass der Betreiber einer Website selbst eine Reichweitenanalyse vornimmt und das werbetreibende Unternehmen erstellt die Nutzerprofile nicht selbst, sondern Facebook durch den Zählpixel auf der Unternehmens-Website. Doch handelt Facebook dabei im Auftrag, sodass der Betreiber der Website für die Reichweitenanalyse verantwortlich ist.
Insofern unterscheidet sich die Konstellation von den sogenannten Social Plugins (Facebooks „Like Button“, Twitter, LinkedIn), Youtube-Videos und vielen anderen Inhalten Dritter, die als iFrames in eine Website eingebunden werden. Dabei wird auch das Nutzerverhalten auf den jeweiligen Websites analysiert, allerdings können deren Betreiber keinen Einfluss auf die Erhebung der Nutzerdaten nehmen.
Da § 15 Abs. 3 TMG anwendbar ist, reicht die Möglichkeit des Widerspruchs aus. Positiv ist hervorzuheben, dass Facebook die technischen Voraussetzungen für einen Widerspruch geschaffen hat. Dadurch können werbetreibende Unternehmen es einem Website-Besucher ermöglichen, der Erfassung seines Nutzungsprofils zu widersprechen. Ein Cookie kann auf dem Browser des widersprechenden Nutzers gesetzt werden, der das weitere Tracking verhindert.
Betreiber von Websites müssen die Besucher in der Datenschutzerklärung auf ihr Widerspruchsrecht hinweisen, § 15 Abs. 3 S. 2 TMG. Facebook bietet sogar eine Möglichkeit, Nutzer von der Werbung in ihrem Facebook-Account auf die Datenschutzerklärung des Partnerunternehmens weiterzuleiten.
Nutzerprofil nur unter Pseudonym!
Wie Profile von Website-Besuchern angelegt werden dürfen, ist ebenfalls in § 15 Abs. 3 TMG geregelt. Im Wesentlichen gibt es neben der Widerspruchsmöglichkeit zwei weitere Voraussetzungen:
- Die über das Nutzungsverhalten erhobenen Daten dürfen nur mit einer Kennung (Pseudonym) versehen werden und
- niemals mit Daten zusammen geführt werden, mit denen der Nutzer als Person identifiziert werden kann.
Nutzerprofile sind unter einem Pseudonym zu erstellen, d.h. die Nutzerdaten dürfen nur mit einer Kennung versehen werden, die nicht ohne Weiteres Rückschlüsse auf die Identität des Nutzers erlaubt. Pseudonymisieren i.S.v. § 3 Abs. 6a BDSG ist das Ersetzen von Identifikationsmerkmalen durch Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Soweit ein Zählpixel dem Rechner des Users über ein Cookie nur eine Kennung zuweist, damit der Rechner wiedererkannt wird, ist diese Voraussetzung erfüllt.
Problematisch bei Werbung auf sozialen Netzwerken ist allerdings das Zusammenführungsverbot nach §§ 15 Abs. 3 S. 3 i. V. m. 13 Abs. 4 Nr. 6 TMG. Facebook muss ausschließen, dass die zur Erstellung der Nutzungsprofile verwendeten Pseudonyme mit identifizierbaren Angaben zu den Nutzern verbunden werden.
Diese Vorgabe dürfte für soziale Netzwerke, bei denen bereits der tatsächliche Name des Nutzers meist schon auf seiner Profilseite sichtbar ist, schwierig umzusetzen sein. Dem Facebook-Nutzer die Werbung einzublenden, die genau darauf abgestimmt ist, welche Unterseiten er sich auf der Homepage des werbetreibenden Unternehmens angeschaut hat, setzt im Grunde voraus, dass sein Nutzungsverhalten mit seinem Facebook-Profil zusammengeführt wird. Der Verstoß gegen § 15 Abs. 3 S. 3 TMG könnte nur durch eine vorherige Einwilligung des Nutzers aufgefangen werden.
Es ist zwar durchaus denkbar, dass soziale Netzwerke die Zusammenführung der Daten verhindern, etwa durch interne „Chinese Walls“ oder entsprechende Anonymisierungssoftware. Im Prinzip können solche Werbemaßnahmen und eine entsprechende Profilbildung gesetzeskonform umgesetzt werden.
Facebook nennt keine technischen Details
Facebook behauptet auch, dass die Informationen, die man durch „Custom Audiences from your Website“ über das Surfverhalten der eigenen Mitglieder erlangt, nicht in die Interessenprofile der Mitglieder einfließen. Wie eine Zusammenführung der Nutzungsdaten und der Facebook-Profile verhindert wird, obwohl jedes einzelne Mitglied gezielt verhaltensbasierte Werbung erhält, wird von Facebook allerdings nicht offenbart.
Zudem kann durch Zählpixel bei jedem Mitglied nachverfolgt werden, ob die Einblendung der Werbung zu einem Abschluss geführt hat (Conversion Tracking). Der bloße Verweis auf Hashing als sicheren Weg des Datenaustausches reicht nicht aus, um die Vereinbarkeit des Verfahrens mit den Anforderungen des Datenschutzrechts beurteilen zu können.
Ob Facebooks „Custom Audiences from your Website“ datenschutzkonform eingesetzt werden kann, lässt sich daher nicht abschließend beurteilen.
Eine etwas andere Sicht auf Custom Audiences from your Website vertritt dieser Autor:
Ist Facebook Custom Audiences from Your Website legal einsetzbar?