Bei 40 bayerischen Unternehmen hat die zuständige Datenschutzbehörde beim Einsatz des Werbe-Tools Facebook Custom Audience eine Vielzahl von Verstößen festgestellt. Verantwortlich für die Datenschutzverstöße sind die Unternehmen, die nun aufgefordert wurden, die Vorgaben zum Datenschutz beim Einsatz derartiger Instrumente zu beachten, um Bußgelder zu vermeiden. Zugleich gab es Hinweise zur zulässigen Tool-Nutzung.
Facebook Custom Audience ist ein Tool zur zielgruppengenauen Ausrichtung von Werbung, das von diesem sozialen Netzwerk seinen Unternehmenskunden zur Verfügung gestellt wird. Die Software kann dabei auf zwei unterschiedliche Varianten genutzt werden.
Einsatzvarianten von Facebook Custom Audience
- Variante 1:
Zum einen übermittelt das Unternehmen eine Liste mit persönlichen Daten von Kunden (z.B. Name, E-Mail-Adresse, Telefonnummer) auf sein Facebook-Konto. Diese Daten werden dabei durch ein sogenanntes Hash-Verfahren vor der Übermittlung in feste Zeichenfolgen umgewandelt, wodurch eine gewisse Anonymisierung ermöglicht werden soll. Facebook gleicht diese Daten mit einer Liste seiner Nutzer ab und kann dann die Werbung gezielt an bestimmte Gruppen ausliefern, also beispielsweise Frauen in einer bestimmten Altersklasse und mit bestimmten Interessen, ausliefern.
- Variante 2
Bei der zweiten Variante wird auf den Webseiten des Unternehmens ein unsichtbares Facebook-Pixel eingebaut. Hierüber können bei Facebook die Aktivitäten der Webseitenbesucher nachverfolgt werde. Legt sich beispielsweise der Besucher eines Online-Shops einen Artikel in den Warenkorb, bricht aber anschließend den Kaufvorgang ab, kann ihm über Facebook-Werbung dieser Artikel anschießend erneut nahegebracht und er so animiert werden, den Kauf doch noch zu tätigen.
Unzulässiger Einsatz von Facebook Custom Audience
Der bayerische Datenschutzbeauftragte hat gegen den Einsatz dieser Methoden einige Einwände.
- Bei den Kundenlisten bezweifelt er vor allem die ausreichende Anonymisierung. So könne das eingesetzte Verfahren zur Erzeugung der Hashwerte keine ausreichende Sicherheit bieten und schon mit vergleichsweise geringem Aufwand ließen sich die Daten wieder errechnen. Unternehmen, die diese Listen an Facebook übertragen, übermitteln damit nach Ansicht der Behörde personenbezogene Daten ohne Einwilligung der Nutzer, was einen Rechtsverstoß darstellt.
- Beim Einsatz des Pixel-Verfahrens werden die Kunden über den Einsatz von Facebook Custom Audience oftmals gar nicht oder nur unzureichend informiert und es wird häufig keine Widerspruchsmöglichkeit (Opt-Out) offeriert. Aber selbst in den Fällen, in denen es ein solches Opt-Out gibt, treten bei der technischen Umsetzung oftmals Probleme auf, sodass die Daten trotzdem erfasst und übertragen werden.
Zudem werden bei diesem Verfahren auch Daten von solchen Nutzern erhoben, die gerade nicht bei Facebook eingeloggt sind oder die nicht einmal ein Facebook-Konto haben. Ebenso werden Anwender, die in ihrem Browser strenge Datenschutzeinstellungen vorgenommen haben, und etwa die Annahme von Drittanbieter-Cookies verweigern, auf diesem Wege erfasst.
Ahnungslosigkeit bei Unternehmen
Bei seinen Untersuchungen kommt der bayerische Datenschutzbeauftragte zu dem Schluss, dass die Nutzer keine Chance mehr haben, sich der Durchleuchtung durch die Algorithmen der Werbenetzbetreiber zu entziehen.
„Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozialen Netzwerken sind, werden verfolgt.“
Den Unternehmen, die Facebook Custom Audience einsetzen, sei der rechtliche Rahmen häufig völlig unklar gewesen. Unternehmen, die jedoch nicht wissen, wie solche Tools funktionieren, könnten ihre Nutzer auch nicht richtig darüber informieren. Und wer dies nicht könne, dürfe solche Tools auch nicht einsetzen, fasst Thomas Kranig, Präsident des BayLDA die Ergebnisse zusammen.
Informationen zum Einsatz der Werbe-Tools
In der Pressemitteilung bietet die Bayerische Datenschutzbehörde (BayLDA) im Anhang umfangreiche Informationen, was Unternehmen beim Einsatz dieser Tools beachten müssen. Zunächst verzichtet das BayLDA noch auf die Verhängung von Sanktionen bei Verstößen, kündigt aber an, die Prüfungen zu gegebener Zeit wieder aufnehmen zu wollen.
Weitere News zum Thema:
E-Mail-Newsletter rechtssicher und abmahnfest versenden
Hintergrund:
Werbenetzwerke, die das Nutzungsverhalten von Websurfern aufzeichnen und aus diesen Daten Empfehlungen für passende Werbebanner erstellen, sind für Datenschützer schon lange ein Ärgernis. Auch wenn die Daten hier in anonymer Form genutzt werden, sehen die Kritiker in diesem Vorgehen eine weitreichende Überwachung und fordern schon seit langem eine bessere Möglichkeit für die Internetnutzer, sich dieser Kontrolle entziehen zu können.