Wer für Dienstleistungen im Netz nichts bezahlt, bezahlt am Ende doch und zwar mit seinen persönlichen Daten. So alt diese Erkenntnis mittlerweile auch ist, Meta findet immer neue Möglichkeiten diesen Spruch in die Tat umzusetzen. Eine besonders einschneidende Möglichkeit, Facebook Nutzer mit Werbung zu ködern, heißt „Custom Audiences“. Wie nicht anders zu erwarten, preist Meta seine Funktion auf der „Custom Audience Privacy Information“-Page als besonders datenschutzfreundlich an und suggeriert hierdurch Rechtskonformität. Grund genug also diese Funktion einer rechtlichen Prüfung zu unterziehen.
Der Inhalt im Überblick
- Wie funktioniert Custom Audiences?
- Auf welcher Rechtsgrundlage ist der Einsatz von Custom Audiences möglich?
- Sind gehashte Daten überhaupt personenbezogene Daten?
- Ist Facebook Custom Audiences rechtskonform einsetzbar?
- Wie ist die Einwilligung in die elektronische Werbung zu gestalten?
- Besser jemanden fragen, der sich damit auskennt
Wie funktioniert Custom Audiences?
Facebook Audiences ist eine Möglichkeit, eine Werbezielgruppe auf Facebook zu definieren, an die dann Werbung ausgespielt werden soll. Das besondere hieran ist, dass nicht nur Facebook-interne Parameter genutzt werden, sondern dass vom Werbetreibenden selbst Datensätze in Facebook geladen werden können, um die Werbekundschaft zu definieren. Die Quellen dieser Daten sind recht divers, besonders relevant ist die Möglichkeit, eine Liste von Bestandskunden hochzuladen, oder einen Tracking-Pixel zu nutzen, der Besucher der eigenen Webseite als potentielle Werbeempfänger definiert. In diesem Beitrag beschäftigen wir uns hauptsächlich mit der Methode, bei der Werbetreibende ihre eigenen Datensätze an Facebook übermitteln.
Der Umgang mit den vom Werbetreibenden zur Verfügung gestellten Daten durch Meta ist von besonderer Relevanz für die datenschutzrechtliche Einschätzung. Wir erläutern dies für Sie hier mittels des Schaubilds und den Stufen, die die Daten bei der Übermittlung an Facebook durchlaufen:
- Schritt 1:
Der Werbende lädt eine Liste mit E-Mail-Adressen oder Telefonnummern in seinen Browser, deren Inhaber später beworben werden sollen. - Schritt 2:
Um die o.g. Daten nicht im Klartext an Facebook zu versenden, werden die E-Mail-Adressen und Telefonnummern vor der Versendung lokal vom Werbenden gehashed. Eine Rückrechnung der gehashten Werte auf die Klartexte ist somit für Facebook nicht möglich, soweit Facebook diese Daten nicht bereits vorrätig hat, da es sich bei einer kryptografischen Hashfunktion um eine Einwegfunktion bzw. sog. Falltürfunktion handelt. - Schritt 3:
Nach verschlüsselter Übermittlung der Daten an Facebook über den eigenen Facebook-Account und die entsprechenden Schnittstellen nimmt Facebook einen Abgleich der vom Werbenden berechneten Hashwerte mit den selbst berechneten Hashwerten vor, denn Facebook hat von jedem eigenen Nutzer auch eigene Hashwerte aus den beiden o.g. Informationen angelegt, welche nun einen Abgleich mit den übermittelten Hashes ermöglichen. Durch diesen Abgleich erfährt Meta, welcher der Betroffenen zugleich auch Facebook-Nutzer ist und von Facebook zielgerichtet beworben werden kann. Durch das Hashingverfahren wird zugleich vermieden, dass Facebook darüber hinaus sinnvolle bzw. nutzbare Klardaten von anderen Betroffenen erhält. - Schritt 4:
Die sich aus dem Abgleich ergebenden Übereinstimmungen, also die zu bewerbenden Facebook-Nutzer werden sodann im Kundenaccount des Werbenden als „Custom Audience“ gespeichert. Nicht übereinstimmende Hashes werden naturgemäß ignoriert. - Schritt 5:
Die Hashwerte werden, gleichgültig ob übereinstimmend oder nicht, gelöscht sobald der Abgleichprozess beendet ist. - Schritt 6:
Das Endergebnis ist, dass der Kunde ein zugeschnittenes Zielpublikum (Custom Audience) für seine Facebook-Werbung erhält, welches im Werbeaccount des Werbenden gespeichert wird und nur von autorisierten Konto-Admins benutzt werden kann. Nach Eigenaussage von Facebook kann der Werbende die dahinter stehenden Einzelpersonen jedoch nicht identifizieren, sondern erhält lediglich Einblick in die ungefähre Anzahl der Menschen, die sein Zielpublikum enthält.
Auf welcher Rechtsgrundlage ist der Einsatz von Custom Audiences möglich?
Zweifelhaft ist jedoch, ob das seitens Facebook angebotene Verfahren tatsächlich in Europa rechtskonform einsetzbar ist. Die Übermittlung personenbezogener Daten an Dritte ist jedenfalls nur dann zulässig, wenn eine entsprechende Rechtsgrundlage nach Art. 6 DSGVO vorliegt. Für Direktwerbung kommt nach EG 47 grundsätzlich auch Artikel 6 Abs. 1 S. 1 lit. f) DSGVO in Betracht.
Jedoch verneinte das VG Bayreuth und der VGH München bereits vor der Anwendbarkeit der DSGVO ein überwiegend berechtigtes Interesse der verantwortlichen Stelle an der Übermittlung gehashter E-Mail-Adressdaten im Rahmen von Facebook Cutsom Audiences Facebook. Denn einerseits würden die Daten nicht selbst vom Verantwortlichen zu Werbezwecken genutzt, sondern an einen Dritten weitergeleitet. Bei dessen Werbeanzeigen sei zudem nicht sofort klar erkennbar, woher die Daten für die Anzeige stammen und wo sowie gegenüber wem der Betroffene sein Widerspruchsrecht geltend machen könne. Anderseits sei es ohne unverhältnismäßigen Aufwand möglich, eine Einwilligung des Betroffenen zu Werbezwecken, z.B. im Rahmen eines Bestellvorgangs, einzuholen. Diese Argumentation des Gerichts ist zwar (schon aufgrund des EG 47) nicht Eins-zu-Eins auf die DSGVO zu übertragen. Die Entscheidungen bieten aber immer noch sinnvolle Anhaltspunkte für die konkrete Interessenabwägung. Zudem wurde auch mit sehr ähnlichen Punkten vom EDSA in seinen Guidelines zum Targeting von Social Media Users unter der DSGVO gegen ein berechtigtes Interesse argumentiert (S.19/20). Lediglich bei Werbung mit ähnlichen Produkten an Bestandskunden bringt man eine Zweckänderung und ein berechtigtes Interesse ins Spiel (Rn. 66). Ansonsten ist daher bei Custom Audiences die Einwilligung die einschlägige Rechtsgrundlage.
Sind gehashte Daten überhaupt personenbezogene Daten?
Fraglich ist, ob es sich im vorliegenden Fall trotz Hashing aus Sicht des Empfängers (hier Meta) um personenbezogene Daten handelt. Facebook stellt sich hier auf den Standpunkt, dass es sich aufgrund des Hashings nicht mehr um solche Daten handeln würde. Dies war in der rechtlichen Betrachtung eine Weile lang umstritten.
Folgte man der objektiven Theorie, wonach ein Personenbezug bereits dann zu bejahen ist, wenn die objektive Möglichkeit zur Herstellung eines Personenbezugs ausreicht, so handelt es sich trotz Hashing um personenbezogene Daten.
Selbst wenn man aber der subjektiven Theorie folgte, wonach die subjektive Fähigkeit des Empfängers für die Frage des Personenbezugs entscheidend wäre, so erfährt Facebook zumindest wer Kunde des Werbenden ist oder in elektronische Werbung des Werbenden eingewilligt hat, was letztlich ein personenbezogenes Datum darstellt.
Einsatz von Facebook Cutom Audiences: Aufsichts- und Gerichtsverfahren
Inzwischen haben sich auch Aufsichtsbehörden und Gerichte zu der Einschätzung geäußert:
Bereits im Tätigkeitsbericht des BayLDA von 2013/2014 wurde das Hashing als unsicher und damit technisch nicht hinreichend für eine Verschlüsselung kritisiert. (S. 160):
„Ein in der aufsichtlichen Praxis häufig vorkommender Sachverhalt ist der Einsatz von Hashfunktionen, die fälschlicherweise als Verschlüsselungsverfahren benannt und auch eingesetzt werden.“
Hinsichtlich Facebooks Custom Audiences wird genauer ausgeführt (S. 172):
„Als Algorithmus kommt das bekannte MD5-Verfahren zum Einsatz, das aufgrund seiner effizienten Berechnung (siehe Kapitel 22.4) für Anonymisierungsverfahren im Allgemeinen ungeeignet ist.“
Theoretisch ist es also möglich, die hinter den Hashwerten stehenden personenbezogenen Daten mit einer Brute-Force-Attacke (Durchprobieren aller möglichen E-Mail-Adressen oder Telefonnummern) wiederherzustellen. Da die hier gehashten Daten oft nach einem sehr ähnlichen Schema aufgebaut sind (Vorname, Nachname mit Punkten und Zahlen bei wenigen großen Providern oder Landesvorwahl, Ortsvorwahl, max. 15 Zeichen), lässt sich die Anzahl der auszuprobierenden Möglichkeiten und somit auch der Aufwand mittels Wörterbüchern und Logikvorgaben eingrenzen. Forscher der Uni Hamburg haben 2018 in einem Versuch so immerhin 43 % der E-Mail-Adressen hinter MD5- und SHA-256-Hashwerten mit einem herkömmlichen Rechner innerhalb eines Tages wiederherstellen können.
In der folgenden Berichtsperiode 2015/2016 prüfte das BayLDA dann zufällige Onlineshop-Betreiber auf deren Nutzung von Facebook Custom Audiences und stellte eine nicht unerhebliche Verbreitung fest. Im Tätigkeitsbericht wurde folgendes Fazit gezogen:
„Wir halten somit an unserer Auffassung fest, dass sowohl die Verfahren der Kundenliste als auch die des Zählpixels als datenschutzrechtlich problematisch einzustufen sind.“
Es wurde dann in Fachkreisen diskutiert, ob die Übermittlung der Daten an Facebook lediglich eine nicht einwilligungsbedürftige Auftragsverarbeitung begründet. Dieser Überlegung hat das VG Bayreuth im Jahr 2018 (noch gestützt auf das alte BDSG) eine klare Absage erteilt.
Im Leitsatz heißt es unmissverständlich:
„Das Hochladen von gehashten E-Mail-Adresslisten an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks und gehashten Daten und der Erstellung einer Ausgangsaudience für Werbezwecke ist nach BDSG rechtswidrig, wenn keine Einwilligung des Betroffenen gegenüber demjenigen vorliegt, der die gehashten Daten hochlädt.“
Den Beschluss haben wir auch bereits hier im Blog besprochen.
Meinung der Aufsichtsbehörde in zweiter Instanz bestätigt
Der VGH München hat sich dieser Ansicht vollumfassend angeschlossen und in seinem Beschluss vom 26.9.2018 folgende Leitsätze veröffentlicht:
- Die Übermittlung gehashter E-Mail-Adressen an ein soziales Netzwerk zur Ausspielung zielgerichteter Werbung erfolgt nicht im Rahmen einer Auftragsdatenverarbeitung, wenn der Datenempfänger einen eigenen Entscheidungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat. (Rn. 11 ff.)
- Sofern keine ausdrückliche Einwilligung des Betroffenen vorliegt, ist über die Rechtmäßigkeit der Weitergabe von E-Mail-Adressen zu Werbezwecken nach § 28 Abs. 1 Nr. 2 BDGS a.F. in unionsrechtskonformer Auslegung durch Interessenabwägung zu entscheiden. (Rn. 26 ff.)“
Ist Facebook Custom Audiences rechtskonform einsetzbar?
Aus den Leitsätzen zeigt sich, dass der VGH München für Facebook Custom Audiences das Konstrukt der Auftragsdatenverarbeitung ablehnt. Zwar steht dem Auftragsverarbeiter nach der DSGVO ein weiterer Ermessenspielraum als nach dem alten BDSG zu. Aber zwischenzeitlich ergingen auch zwei Entscheidungen des EuGHs (Wirtschaftsakademie, Fashion-ID), die die vorher wenig beachtete Figur der Gemeinsamen Verantwortung näher konkretisieren. So gibt es einige Stimmen, die im Fall von Custom Audiences für eine Gemeinsame Verantwortlichkeit argumentieren.
Insbesondere gehen auch die europäischen Datenschutzbehörden davon aus (Rn. 62), dass eine Gemeinsame Verantwortlichkeit zwischen Werbenden und Meta vorliegt. Da Facebook aber nur einen (unzureichenden) Vertrag zur Auftragsverarbeitung anbietet, ist Custom Audiences aktuell wohl nicht rechtskonform einsetzbar.
Wie ist die Einwilligung in die elektronische Werbung zu gestalten?
Generell sollte man für digitale Werbung auch immer die Regelung des § 7 UWG im Auge haben und sich an dessen Vorgaben orientieren. So fordert bspw. auch der § 7 Abs. 3 UWG generell für Werbung unter Verwendung von elektronischer Post eine Einwilligung. Ausgenommen davon ist die Werbung mit ähnlichen Produkten an Bestandskunden, für die auch der EDSA im Fall der Custom Audiences ein berechtigtes Interesse ins Spiel bringt (Rn. 66). Nach dem Best Practice zum Einholen einer Einwilligung für elektronische Post sollte auch beim Einholen der Einwilligung zur Weitergabe der E-Mail-Adresse an Facebook zu Werbezwecken auf die Umsetzung eines Double-Opt-In-Verfahrens zur Verifikation geachtet werde, damit auch wirklich nur der Inhaber der E-Mail-Adresse diese Einwilligung erteilt.
Im Zusammenhang mit der Tracking Pixel-Variante von Facebook Custom Audiences ist zu beachten, dass derartige Instrumente auf Daten im Endgerät zugreifen, entsprechend unter das TTDSG fallen und nur eingesetzt werden dürfen, wenn eine aktive Einwilligung bei Nutzung der Webseite des Anbieters vorliegt. Wie alle derartigen Instrumente müssen diese deaktiviert sein, bis die aktive Einwilligung im Rahmen eines rechtskonformen Cookie-Banners erfolgt ist. Beachten Sie dazu auch den Standpunkt der europäischen Aufsichtsbehörden.
Besser jemanden fragen, der sich damit auskennt
Der Einsatz von Facebook Custom Audiences ist aktuell mit einigen rechtlichen Problemen behaftet. Jemanden bei dem sich beim Thema Meta vermutlich regelmäßig die Nackenhaare aufstellen, der Ihnen aber bei dem Thema Datenschutz und praxisorientierte Lösung weiterhelfen kann, ist Ihr betrieblicher Datenschutzbeauftragter.
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
Es ist leider ein weit verbreiteter Irrglaube, der hier weiter verbreitet wird:
„werden die E-Mail-Adressen und Telefonnummern vor der Versendung lokal vom Werbenden gehashed. Eine Rückrechnung der gehashten Werte auf die Klartexte ist somit für Facebook nicht möglich, soweit Facebook diese Daten nicht bereits vorrätig hat, da es sich bei einer kryptografischen Hashfunktion um eine Einwegfunktion bzw. sog. Falltürfunktion handelt.“
Das ist wissenschaftlich lange widerlegt. Hashes von E-Mails lassen sich mit einem Standard PCs in wenigen Minuten zurückrechnen. Siehe Paper der Uni HH von 2018: https://dl.gi.de/bitstream/handle/20.500.12116/16294/sicherheit2018-04.pdf
[Unsachlich. Satz gelöscht]
Es ist kein Irrglaube, der Hashwert kann nicht zurückgerechnet werden. Er kann aber, wenn er etwa wie in diesem Fall durch das MD5-Verfahren gehasht wurde, mittels Brute-Force-Attacke in vertretbarer Zeit geknackt werden (Diesen Umstand belegt auch Ihre verlinkte Studie). Wie das funktioniert, hatten wir im Beitrag Hashwerte und Hashfunktionen einfach erklärt unter dem Punkt Stand der Technik beschrieben. Das der von Facebook eingesetzte MD5-Algorithmus nicht mehr hundertprozentig sicher ist, ist auch weitaus länger als seit 2018 bekannt. Wir hatten über dahingehende erste Anzeichen z.B. schon 2011 im Rahmen eines Beitrag zur Passwort Sicherheit berichtet.
Zudem war eben dieser Umstand auch einer der springenden Punkte im Verfahren des BayLDA von 2013/2014, die zu diesem Zeitpunkt von einer Reidentifikationsmöglichkeit von 70% bis 80% aller MD5-Hashwerte durch Brute-Force Attacken ausgingen. In dem Zusammenhang heben wir weiter unten im Beitrag aus dem Bericht des BayLDA hervor: „Als Algorithmus kommt das bekannte MD5-Verfahren zum Einsatz, das aufgrund seiner effizienten Berechnung (siehe Kapitel 22.4) für Anonymisierungsverfahren im Allgemeinen ungeeignet ist.“ Aber vielen Dank, wir haben Ihren Kommentar zum Anlass genommen, nach dem Zitat einen Satz zu ergänzen und die Studie als Beispiel aufzunehmen.