Facebook Custom Audiences ist rechtswidrig

News

Der Einsatz von Facebook Custom Audiences ist rechtswidrig. Zu diesem Ergebnis kommt das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in seinem 6. Tätigkeitsbericht für die Jahre 2013 und 2014. Näheres zu den Feststellungen des BayLDA erfahren Sie hier.

Einsatz von Facebook Custom Audiences

Über Facebook Custom Audiences erhält ein Werbetreibender ein zugeschnittenes Zielpublikum für seine Facebook Werbung. Hierfür werden Datensätze durch den Werbetreibenden gehashed auf Facebook hochgeladen und durch Facebook mit eigenen Hashwerten abgeglichen. Auf diese Weise ist es Facebook möglich, Facebook-Nutzer zu identifizieren und den so identifizierten Nutzer Werbeanzeigen des Werbetreibenden einzublenden. Näheres zur Funktionsweise finden Sie in unserem Artikel Facebook „Custom Audiences“: Vereinbar mit dem Datenschutz?

Feststellungen des BayLDA

Das BayLDA hat sich bei seiner Untersuchung näher mit dem von Facebook verwendeten Algorithmus – dem MD5-Verfahren – befasst und festgestellt, dass dieses für Anonymisierungsverfahren ungeeignet ist. Sofern ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden, erleichtert dies eine Zurückrechnung. Das BayLDS führt hierzu folgendes aus:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können.“

Einwilligung erforderlich

Personen, deren Daten im Rahmen von „Custom Audiences“ an an Facebook übermittelt werden, müssen dementsprechend einwilligen. Ohne eine entsprechende Einwilligung stellt die Nutzung des Produkts eine Ordnungswidrigkeit dar. Für Werbetreibende bedeutet dies, dass sie ihre Kunden entweder vor der Datenübermittlung um eine Einwilligung bitten oder von dem Einsatz von „Custom Audiences“ absehen. Dies gilt auch dann, wenn die Erteilung einer Einwilligung verweigert wird. Ansonsten droht für sie die Gefahr, mit einem Bußgeld belastet zu werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Marketing und Datenschutz

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.