Abgleich von Kundenlisten bei Facebook
Facebook Business bietet Werbetreibenden die Möglichkeit, sich mit Facebook-Werbeanzeigen auf eine einfache Art an Leads mit Facebook-Account zu wenden und so die eigenen Leistungen zielgerichtet beim täglichen Facebook-Surf in Erinnerung zu rufen. Die (datenschutzrechtliche) Luft für dieses sehr effektive Tool wird gerade dünner - wir zeigen, wie sie es weiterhin nutzen können.
Wie geht das?
Facebooks Programm nennt sich "Facebook Custom Audience mit erweitertem Abgleich" und erlaubt dem Werbetreibenden, eine Kundenliste, bestehend beispielsweise aus Name, Anschrift, E-Mailadresse, Telefonnummer oder Geburtsdatum an Facebook übermitteln. Die Listen können entweder manuell zusammengestellt oder anhand eines Events aus der eigenen Website, auf der Facebook-Pixel intergriert wurde, erstellt werden. Es handelt sich dabei um das sogenannte Facebook Custom Audience mit erweitertem Abgleich.
Die in der Liste enthaltenen Daten werden nach Aussage von Facebook zunächst lokal im eigenen Browser verschlüsselt und erst danach an Facebook übermittelt. Facebook zufolge entsteht beim Hashing ein kurzer Fingerabdruck, der vor dem Hochladen zu Facebook entsteht und dort nicht zurückkonvertiert werden kann.
Facebook gleicht diese gehashten Daten dann mit den eigenen, ebenfalls gehashten Daten ab. Übereinstimmungen werden zur Custom Audience hinzugefügt, sodass sich eine Liste ergibt, aus der ersichtlich ist, wer Kunde des Websitebetreibers und zugleich Facebook-Kunde ist. Laut Facebook werden die Daten bei dem Verschlüsseln in eine Art „Fingerabdruck“ umgewandelt und können nicht zurück konvertiert werden. Dies geschehe, bevor die Daten an Facebook gesendet würden.
Bei den so identifizierten Nutzern können Werbetreibenden dann ihre Werbeanzeigen zielgenau platzieren.
So weit, so stimmig. Insbesondere das Hashing-Verfahren macht das Ganze doch datenschutzkonform. Oder nicht?
Ausgangspunkt ist Artikel 6 DSGVO, wonach personenbezogene Daten nur übermittelt werden dürfen, wenn der Betroffene eingewilligt hat oder eine Rechtsgrundlage für die Übermittlung besteht. Aber stellen die „gehashten“ Daten überhaupt personenbezogene Daten dar?
Nach Art. 4 DSGVO sind personenbezogene Daten solche, die sich auf identifizierte oder identifizierbare Person beziehen.
Das Verwaltungsgericht Bayreuth sagte dazu in seinem Beschluss vom 8. Mai 2018 (Az.: B 1 S 18.105), dass trotz des Hashings ein Rückschluss auf einen konkreten Nutzer möglich sei – die Daten könnten der Identifizierung einer Person dienen, da durch den von Facebook vorgenommenen Abgleich der gehashten Daten mit den dort vorhandenen gehashten Daten ein Rückschluss auf einen konkreten Nutzer möglich sei. Auch die angepriesene fehlende Rückverfolgbarkeit der gehashten Daten sei nicht gewahrt – bei dem eingesetzten Hashingverfahren SHA-256 könnten die Daten ohne größeren Aufwand zurückgerechnet werden und damit zur Identifizierung der Person dienen.
Was bedeutet das?
Das bedeutet, dass für die Datenverarbeitung von einem gesetzlich vorgesehenen Rechtfertigungsgrund getragen sein muss.
Eine Legitimation aufgrund des Vorliegens eines berechtigten Interesses scheidet aus. Zwar liegt die Datenverarbeitung deutlich im Interesse des Websitebetreibers und die Bewerbung der eigenen Produkte ist als Rechtfertigungsgrund durchaus anerkannt. Bei der anschließend anzustellenden Interessenabwägung muss das Interesse eines Websitebetreibers allerdings hinter das Interesse des Betroffenen zurücktreten. Jedenfalls die Weitergabe der personenbezogenen Daten an das Unternehmen Facebook lässt das Interesse des Betroffenen überwiegen.
Somit kommt allenfalls eine erteilte Einwilligung als Legitimationsgrund in Betracht.
Hier liegt die Schwierigkeit darin, den gesetzlichen Anforderungen nachzukommen, was konkret bedeutet, dass die Einwilligung vor Erhebung oder Verarbeitung der Daten eingeholt und sie informiert erteilt werden muss.
Ein Websitebesucher muss also wissen, was mit seinen Daten, die beim Besuch der Website aber auch beim Abschluss von Verträgen mit dem Unternehmer erhoben werden, geschieht. Er muss daher auch darüber informiert werden, dass seine Daten an Facebook übermittelt werden und was damit dann bei Facebook geschieht. Insbesondere letzteres ist schier unmöglich, sieht man sich die Informationserteilung von Facebook an.
Festzuhalten bleibt damit: eine wirksame Einwilligung für die Verwendung von Facebook Custom Audiences kann nicht eingeholt werden.
Und nun?
Facebook hat seine Praxis umgestellt: ab dem 28. Februar 2019 ist es für die User möglich, direkt an der Anzeige nachzuvollziehen, ob er auf Grundlage einer Datenübermittlung eines Werbetreibenden getrackt wurde - unter Angabe des Klardaten des Werbekunden.
Gleichzeitig stehen die Datenschutzbehörden auf dem Standpunkt, dass sich durch die DSGVO an der alten Rechtslage nichts geändert habe - und schon damals sei der Einsatz ohne Einwilligung rechtswidrig gewesen, befand zuletzt etwa der VGH München, Beschluss v. 26.09.2018, 5 CS 18.1157.
Damit dürfte ein weiterer Einsatz von Facebook Custom Audiences mit erweitertem Abgleich ohne vorherige Einwiligung betriebswirtschaftlich nicht mehr zu rechtfertigen sein.
Es bleibt allerdings dabei, dass diese Werbemethode das derzeit präziseste Targeting am Markt bietet. Damit bleibt nur ein Ausweg: es muss eine Einwilligung her. Hierzu muss der Prozess der Leadgewinnung angepasst werden. Die DSGVO macht es den Werbetreibenden einfacher: der Verkehr ist bereits jetzt gewohnt, zu nahezu allem, was an Kleingedrucktem abverlangt wird, Ja und Amen zu sagen. Will man daher eine Einwilligung einholen, muss man eine Balance zwischen einer hohen Einwilligungsrate und der trotzdem notwendigen Transparenz finden. Wie das geht, wissen wir - rufen Sie uns für ein kostenloses Erstgespräch an und wir diskutieren unverbindlich ihren individuellen Lösungsansatz. Sie müssen noch nicht einmal einem erwiterten Abgleich zustimmen...
Ihnen hat dieser Beitrag gefallen und Sie möchten auch in Zukunft mit interessanten Themen durch uns versorgt werden?
Dann melden Sie sich hier zu unserem kostenfreien Newsletter an:
* Datenschutz- und Datenverwendungshinweis
Mit der Übersendung Ihrer Nachricht willigen Sie ein, dass wir Sie auch künftig per Mail über Nützliches aus dem Bereich des Marketingrechts informieren. Und zwar nur dann, wenn es auch einen praktischen Nutzen für Sie hat - versprochen. Sie können Ihre Einwilligung jederzeit formlos - unter anderem durch eine Mail an hello@franz.de - widerrufen. Aber warten Sie doch einfach mal ab - es wird interessant ;-)... Und: natürlich geben wir Ihre Daten nicht an Dritte weiter. Beachten Sie bitte unsere Datenschutzerklärung.