16.08.2017

[Gastbeitrag] Facebook Custom Audience unter Beobachtung

Bereits seit 2016 steht Einsatz der Dienste „Custom Audience“ „Pixel“ und „Kundenlisten“ von Facebook auf dem Prüfstand des Bayerischen Landesamts für Datenaufsicht.
Aktuell werden hierzu vor allem Webshop-Betreiber mit Sitz in Bayern von der Behörde im Rahmen der Datenschutzaufsicht gemäß § 38 Bundesdatenschutzgesetz (BDSG) angeschrieben und zur Auskunft aufgefordert.
 

Was sind Facebook-Pixel?


Mit dem Facebook-Pixel sollen wiederkehrende Besucher der Website erkannt werden. Es geht aber auch darum, Webseitenbesucher, die z. B. einen Kauf nicht beendet haben, nachdem sie auf eine Facebook-Werbeanzeige geklickt haben, zurückzuholen, damit der Vertrag doch noch abgeschlossen werden kann. In der Regel wird von den, durch das BayLDA geprüften, Unternehmen nicht über den Einsatz des Facebook-Pixels informiert und den Betroffenen Internetnutzern auch keine Möglichkeit zum Widerspruch gegeben.
 

Warum ist Facebook „Custom Audience“ problematisch?


Die betreffenden Facebook-Dienste sind aus Behördensicht mitunter deshalb datenschutzrechtlich problematisch, da z. B. bei Facebook „Custom Audience Kundenlisten“ werden Kundendaten in Form von E-Mail-Adressen direkt an Facebook übermittelt. Nutzern von Facebook wird sodann die passende Werbung geschaltet. Laut BayLDA genügt das von Facebook dabei eingesetzte Anonymisierungsverfahren den erforderlichen Anforderungen nicht, da weiterhin Rückschlüsse auf den einzelnen Facebook-Nutzer möglich sind. 
 

Was verlangt die Behörde?


Das BayLDA geht davon aus, dass die rechtskonforme Nutzung des Facebook-Pixels aktuell nur gemäß § 15 Absatz 3 Telemediengesetz (TMG) möglich ist. Den Betroffenen muss somit zwingend eine Widerspruchsmöglichkeit (Opt-Out) gegeben werden. Daneben müssen die betroffenen Nutzer, bspw. über die Datenschutzinformation entsprechend informiert werden. Erfüllt ein Unternehmen diese Voraussetzungen nicht, verlangt die Behörde die Einrichtung einer entsprechenden Opt-Out-Möglichkeit und Information. Alternativ kann der Dienst natürlich auch deaktiviert werden.  
Ferner verlangt die Behörde Auskunft über den Einsatz des Facebook-Dienstes „Customer Audience Kundenlisten“ – folgende Aspekte sind bei einer Auskunft zu erläutern:
  1. Wird „Customer Audience Kundenlisten“ genutzt?
  2. Wie hoch ist die Anzahl der Kundendaten, die an Facebook übermittelt wurden? Wann fand die Übermittlung statt?
  3. Zudem wird abgefragt, ob hierbei die Einwilligung der betroffenen Kunden vorab eingeholt wurde.
Ohne vorherige Einwilligung ist die Nutzung des Dienstes – jedenfalls nach derzeitiger Auffassung des BayLDA – datenschutzrechtlich unzulässig.
 

Wie muss jetzt getan werden?


Die aktuelle Maßnahme des BayLDA kann zur Einleitung von Ordnungswidrigkeitsverfahren führen. Deren konkreter Ausgang ist dabei völlig offen. Zurzeit sind allein Onlineshop-Betreiber aus Bayern betroffen. Eventuell ziehen Aufsichtsbehörden anderer Bundesländer nach. Dabei steht jedoch nicht fest, ob diese die Rechtsauffassung des BayLDA, vor allem zur generellen Nutzung von Facebook „Custom Audience“, teilen. Onlineshop-Betreiber – vor allem mit Sitz in Bayern – sollten daher beim Einsatz von Facebook „Custom Audience“ (Pixel und/oder Kundenlisten) prüfen, ob sie mindestens die Vorgaben des BayLDA erfüllen. Sofern diese Dienste jedoch faktisch keinerlei Nutzen für den Shop bringen, wäre zu empfehlen, diese zu deaktivieren. 
 

Zum Autor:


Matthias Rosa ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht bei der Kanzlei RESMEDIA Mainz, Am Winterhafen 78, 55131 Mainz, www.res-media.net, mro@res-media.net