Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Nachgang zu einer Prüfung des Services „Facebook Custom Audience“ allgemeine Hinweise und Anforderungen für Verantwortliche zum Einsatz des Services veröffentlicht, die wertvolle Hinweise für eine datenschutzkonforme Einbindung und Nutzung liefern.
Hintergrund
Wegen zahlreicher Beratungsanfragen bayerischer Unternehmen, die den Dienst Facebook Custom Audience zur gezielten Werbeschaltung auf Facebook nutzen wollten, aber nicht wissen, ob und wie sie es datenschutzkonform einsetzen können, hatte sich das BayLDA dazu entschlossen, den Service näher zu prüfen.
Die Prüfung ergab, dass Unternehmen, die das sog. Pixel-Verfahren für Facebook Custom Audience einsetzen (durch Einbindung eines nicht sichtbaren Facebook-Pixels auf der Website eines Unternehmens kann das Online-Verhalten eines Nutzers durch Facebook nachvollzogen werden), Nutzer oftmals nicht oder nicht vollständig über den Einsatz von Facebook Custom Audience informierten und kein Opt-Out zur Verfügung stellen. Teilweise wurde die Möglichkeit zum Opt-Out eines Nutzers technisch nicht korrekt umgesetzt, so dass trotz Aktionen datenschutzaffiner Nutzer weiterhin Online-Daten an Facebook flossen. Soweit beim Einsatz von Facebook Custom Audience über eine Kundenliste Kundendaten direkt an Facebook übermittelt werden (die Kundenliste enthält ausgewählte Kundendaten und wird als verschlüsselter Hash-Wert an Facebook übermittelt), sei das eingesetzte Hashverfahren nach Ansicht des BayLDA nicht geeignet, anonyme Zeichenfolgen zu generieren. Die Hash-Werte könnten zum Teil mit geringem Aufwand wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurückgerechnet werden. Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.
Ergebnisse und Konsequenzen
Im Ergebnis stellte das BayLDA fest, dass der Einsatz von Facebook Custom Audience über eine Kundenliste nur aufgrund einer informierten Einwilligung der Kunden zulässig sei. Das Hochladen der Kundenliste könne weder auf eine Rechtsgrundlage des BDSG noch des TMG gestützt werden. Eine parallele Auffassung vertrat das BayLDA für den Einsatz von Facebook Custom Audience über das Pixel-Verfahren, wenn vom Website-Betreiber die Funktion „erweiterter Abgleich“ aktiviert werde; auch insoweit sei eine vorherige Einwilligung der Website-Besucher erforderlich. Im Übrigen sei auf den Einsatz des Services hinzuweisen und eine Opt-out-Möglichkeit vorzusehen.
Website-Betreiber, die Facebook Custom Audience einsetzen möchten, sollten sich dringend an den Empfehlungen des BayLDA orientieren.
Quelle und weiterführende Informationen: Die vollständige Pressemitteilung des BayLDA nebst „Allgemeinen Hinweisen und Anforderungen für Verantwortliche zum Einsatz von Fa-cebook Custom Audience“ kann auf der Website des BayLDA abgerufen werden unter: https://www.lda.bayern.de/media/pm2017_07.pdf
