Wäre es als Werbetreibender nicht schön, das Nutzungsverhalten der eigenen Besucher über verschiedene Plattformen (Website, Apps etc.) hinweg zu verfolgen? Hier läge ein klarer Vorteil gegenüber Cookies. Facebook bietet mit dem Dienst „Custom Audiences from Your Website“ nunmehr eine Dienstleistung, welche ersteres ermöglichen soll. Hierbei wird ein Tracking-Pixel generiert und in die eigene Website implementiert. Grund genug dieses Verfahren einer rechtlichen Prüfung zu unterziehen.
Der Inhalt im Überblick
Was ist ein Custom Audience Pixel?
In den FAQ von Facebook findet sich hierzu folgende Aussage:
Q: What is a Custom Audience pixel?
A: A Custom Audience pixel is a small piece of JavaScript code that an advertiser places on every page of their website. This piece of code provides a set of lightweight functionalities for sending user-specific events and event-specific custom data to Facebook.
Advertisers can use the Custom Audience pixel to capture intent information about how people are using their website. A single Custom Audience pixel is added to all pages of a website. This pixel reports back general information about the browsing session, a hashed version of the Facebook ID, and the URL being viewed. Optionally, an advertiser can send Custom Data back to Facebook that contiained additional information about the browsing session.
Besteht ein Personenbezug und sind die Datenschutzgesetze anwendbar?
Die alles entscheidende Frage aus Datenschutzsicht ist, ob es sich vorliegend um personenbezogene Daten handelt. Nur dann sind Datenschutzvorschriften überhaupt anwendbar. Nach der gesetzlichen Definition in § 3 Abs. 1 BDSG handelt es sich bei personenbezogenen Daten um
(…) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) (…)
Der entscheidende Punkt ist hier die Frage der Bestimmbarkeit. Bestimmbarkeit im o.g. Sinn liegt vor, wenn die grundsätzliche Möglichkeit besteht, die Identität des Betroffenen festzustellen. Nach der EU-Datenschutzrichtlinie (Erwägungsgrund 26) müssen hierbei
(…) alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen (…)
Wie Facebook in den oben genannten FAQ erläutert, wird u.a. auch die Facebook-ID erfasst und an Facebook gesandt. Da bei sozialen Netzwerken generell damit zu rechnen ist, dass Nutzer sich mit ihrem Klarnamen registrieren und da nach den AGB von Facebook entgegen § 13 Abs. 6 TMG (d.h. rechtswidrig) Klarnamenzwang herrscht, ist Facebook in jedem Fall in der Lage die betreffenden Personen anhand der Facebook-ID zu bestimmen.
Somit handelt es sich um personenbezogene Daten und das Datenschutzrecht ist anwendbar.
Ermöglicht das Gesetz einen legalen Einsatz von „Custom Audiences from Your Website“?
Die Erhebung und Verwendung personenbezogener Daten im Zusammenhang mit Telemedien ist jedoch nur gestattet, sofern das Telemediengesetz (TMG) oder eine andere Rechtsvorschrift, welche sich ausdrücklich auf Telemedien bezieht, dies gestatten oder eine Einwilligung des Nutzers vorliegt (§ 12 Abs. bzw. 2 TMG). An eine Einwilligung sind weitere Anforderungen zu stellen, diese müsste zudem bereits vor Erhebung der Daten vorliegen, weshalb selbige beim vorliegenden Tracking-Verfahren ausscheidet.
Da andere Rechtsvorschriften, welche sich ausdrücklich auf Telemedien beziehen nicht ersichtlich sind, ist die Rechtmäßigkeit anhand der Vorschriften des TMG zu beurteilen. Vorliegend kämen daher allenfalls § 14 und § 15 TMG als Rechtsgrundlage in Betracht. Tatsächlich diskussionsfähig wäre vorliegend jedoch allenfalls § 15 Abs. 3 TMG, da die notwendigen Tatbestandsvoraussetzungen der übrigen TMG-Vorschriften offensichtlich nicht vorliegen.
Hiernach darf der Diensteanbieter
(…) für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden (…).
Auch die Pseudonymisierung ist gesetzlich definiert (§ 3 Abs. 6a BDSG):
(…) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren (…)
Zwar wird die Facebook-ID laut der o.g. FAQ lediglich als Hashwert übermittelt. Damit ist zumindest für den Websitebetreiber selbst eine Zuordnung zur konkreten Facebook-ID nicht möglich.
Da jedoch über ein Abgleich der beiden Hashwerte (übermittelter und bei Facebook bereits gespeicherter Hashwert der Facebook- ID) der jeweilige Nutzer unschwer zu identifizieren ist (im vorliegenden Fall ist dies ja sogar ausdrücklich gewollt), liegen die Voraussetzungen für eine wesentliche Erschwernis nicht vor, so dass folglich zum Zeitpunkt der Nutzungsprofilerstellung auch keine Pseudonymisierung gegeben ist. Daher werden entgegen des Gesetzeswortlautes letztlich Nutzungsprofile mit den Identifizierungsdaten des konkret Betroffenen zusammengeführt.
Unabhängig davon bedarf auch die Übermittlung personenbezogener Daten an Facebook (hier in Form der Hashwerte) einer Rechtsgrundlage (§ 12 Abs. bzw. 2 TMG). Eine solche ergibt sich jedoch weder aus dem TMG noch aus anderen Rechtsvorschriften, welche sich ausdrücklich auf Telemedien beziehen. Auch der Umweg über eine Auftragsdatenverarbeitung gem. § 11 BDSG ist ausgeschlossen, da dies einen schriftlichen Vertrag mit den im Gesetz genannten Inhalten und ein Weisungsrecht des Websitebetreibers als Auftraggeber gegenüber Facebook als Auftragnehmer voraussetzen würde. Letzteres scheitert angesichts des Gesamtkonstruktes jedoch bereits daran, dass der Websitebetreiber als Auftraggeber gar keine Kontrolle über die Datenverarbeitung durch Facebook hat.
Legal derzeit nicht möglich
Zusammenfassend kann festgestellt werden, dass ein Einsatz des Facebook Custom Audience Pixel legal derzeit nicht möglich ist und daher gem. § 16 Abs. 2 Nr. 5 TMG mit einem Bußgeld von bis zu 50.000,- EUR je Verstoß geahndet werden kann. Dies gilt sowohl gegenüber den handelnden Personen, dem Unternehmen als auch der Geschäftsführung. Weiterhin drohen ggf. wettbewerbsrechtliche Abmahnungen.
Eine etwas andere Sicht auf Custom Audiences from your Website vertritt dieser Autor:
Facebook „Custom Audiences from your Website“
Ist es nicht möglich das Tracking zu nutzen, wenn vorher informiert wird? S. etwa http://www.it-recht-kanzlei.de/Facebook-Besucheraktions-Pixel.html#abschnitt_28
Das bloße Informieren über Tracking-Methoden ist in vielen Fällen nicht ausreichend. Notwendig ist eine Einwilligung des Betroffenen. Die Einwilligung kann grundsätzlich jeden Umgang mit personenbezogener Daten legitimieren, wie man §12 Abs. 1 TMG a.E. entnehmen kann. An die Einwilligungserklärung zu Datenverarbeitungsprozesse sind besondere Voraussetzungen geknüpft. Zum einen muss die Einwilligung vor Beginn des Datenverarbeitungsprozess eingeholt worden sein und muss der Betroffene diese freiwillig erteilen. Weshalb er wissen muss, worin er einwilligt. Darüber hinaus sind bei einer elektronischen Einwilligung die Voraussetzungen des §13 Abs. 2 TMG zu beachten.
Ob eine Einwilligung des Betroffenen mittels Pop-Up Anzeige ausreicht oder ein Overlay, beim ersten Aufrufen der Webseite, eingeblendet oder gar vor Besuch der eigentlich Hauptseite eine Einwilligungserklärungs-Webseite angezeigt werden muss, ist nicht abschließend geklärt. Wichtig ist jedenfalls, dass der Betroffene über den Inhalt seiner Einwilligungserklärung aufgeklärt wird und eine eindeutige Handlung zur Zustimmung vornimmt. Die von der IT-Rechts Kanzlei aufgezeigte Methode scheint vertretbar, eine vollständige rechtliche Bewertung kann jedoch im Rahmen dieses Blogs nicht vorgenommen werden.
Danke für diesen nützlichen Beitrag. Wie sieht es denn datenschutztechnisch mit anderen Retargeting Platformen aus, wie bspw. Adroll? Darüber kann ebenfalls Remarketing auf Facebook betrieben werden. Laut PP (adroll.com/about/privacy) werden IP und Device ID übertragen. In diesem Artikel onlinehaendler-news.de/handel/interviews/10833-adroll-erstbesucher-kaufen-ein.html heißt es „So sammeln wir keine Daten, die zur Identifizierung eines Einzelnen führen könnten.“, was offensichtlich nicht stimmt, zumal für das Facebook Retargeting ohnehin zusätzlich noch die Facebook ID gepeichert werden muss. Trotzdem wird Adroll auch von deutschen Websites häufig ohne eindeutige Einwilligung der Nutzer verwendet, wie eine Suche nach „adroll datenschutz“ zeigt.
Im Moment gilt für in Deutschland befindliche Telemedien das Telemediengesetz (§ 12 TMG).
Online-Tracking ist somit nur sehr beschränkt unter Einhaltung der Vorschriften des § 15 Abs. 3 TMG möglich. D.h. die IP-Adresse müsste pseudonymisiert werden, da es sich bei IP-Adressen nach der herrschenden Meinung regelmäßig um personenbezogene Daten handelt (siehe hier).
D.h. die IP-Adresse dürfte allenfalls in gekürzter Form für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile verwendet werden. Ob dies bei dem von Ihnen genannte Tool der Fall ist wäre daher zu klären, die von Ihnen genannten Datenschutzhinweise beinhalten allerdings keine solche Einschränkung.
Eine anschließende Zusammenführung der Nutzungsprofile mit den Daten über den Träger des Pseudonyms (z.B. mit der Facebook ID), wäre jedenfalls unzulässig und bußgeldbewehrt (§ 16 Abs. 2 Nr. 5 TMG).