Eine Möglichkeit Facebook als Unternehmen zu nutzen ist die Funktion Custom Audience. Hierbei muss zwischen zwei möglichen Implementierungen von Facebook-Custom-Audiences unterschieden werden:
- der „Listen-Variante“, bei der Sie Listen mit E-Mail-Adressen von Kunden oder Interessenten an Facebook übertragen
- der „Pixel-Variante“, bei der Sie ein Custom Audiences-Pixel auf Ihrer Webseite XY einbauen (Cookie Prinzip: ist der Nutzer in den Facebook Account eingeloggt und die Funktion nicht ausgeschaltet ist, wird ein Cookie gesetzt. Wenn die entsprechende Webseite aufgerufen wird, erfährt dies Facebook und so wird die Werbung der Webseite XY auf Facebook angezeigt. Durch einen Klick auf die Werbung gelangt der Nutzer auf die Website von XY, so dass ggf. der Kauf nachverfolgt werden kann).
Wie werden diese Varianten aktuell rechtlich beurteilt?1. Was die „Pixel-Variante“ angeht, vertrat die bayerische Datenschutzbehörde noch in ihrem Tätigkeitsbericht im März 2017 die Auffassung, dass beide Formen von Custom Audiences problematisch seien, wenn keine ausdrückliche Einwilligung der betroffenen Websitebesucher vorliegt. Diese Auffassung hat sie zwischenzeitlich aber in einer weiteren Veröffentlichung revidiert. Danach sei es zulässig, die Pixel-Variante auch ohne Einwilligung zu nutzen, sofern man in der Datenschutzerklärung ausreichend darauf hinweist. In zwei aktuellen Veröffentlichungen der Konferenz der deutschen Datenschutzbehörden (DSK) wurde diese Auffassung erneut gewechselt. Insbesondere in einem Papier vom April 2018 hat die DSK verlautet, dass jede Nutzung von Tracking-Mechanismen, und hierzu zählt auch das Custom Audiences-Pixel, eine wirksame Einwilligung voraussetzt. Allerdings wurde diese Auffassung der DSK in der einschlägigen Literatur heftig angegriffen, sie ist auch rechtlich nicht bindend und auch aus unserer Sicht nicht zutreffend. In einigen Teilen der datenschutzrechtlichen Literatur wird deshalb immer noch die Auffassung vertreten, dass die Nutzung von Facebook Custom Audiences in der „Pixel-Variante“ nach wie vor ohne ausdrückliche Einwilligung der betroffenen Website-Besucher zulässig ist, weil man sich auf berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO) stützen kann. Dafür muss aber in der Datenschutzerklärung der Webseite deutlich auf den Einsatz von Custom Audiences hingewiesen und ein Opt-out angeboten werden. Sofern diese Voraussetzungen eingehalten werden, ist der Einsatz von Facebook Custom Audiences in der „Pixel-Variante“ nach wie vor – das heißt bis zum Vorliegen einer höchstrichterlichen Entscheidung – vertretbar. Es bleibt jedoch ein gewisses Restrisiko.
2. Was die „Listen-Variante“ anbelangt, ist vor kurzem eine zweitinstanzliche Entscheidung des Verwaltungsgerichtshofs München ergangen. In seiner Entscheidung vom 26. September 2018 vertritt der VGH die Auffassung, dass die Nutzung von Facebook Custom Audiences in der „Listen-Variante“ unzulässig ist, solange keine Einwilligung der betroffenen Adressinhaber vorliegt. Der VGH bestätigte damit die bereits vorliegende erstinstanzliche Entscheidung des VG Bayreuth vom Mai. Beide Entscheidungen beziehen sich allerdings auf die alte Rechtslage nach dem Bundesdatenschutzgesetz. Es gibt zwar in der datenschutzrechtlichen Literatur Stimmen, die die Entscheidungen des VG Bayreuth und des VGH München nicht für richtig halten, insbesondere seit dem Inkrafttreten der DSGVO. Dennoch müssen wir diese natürlich zur Kenntnis nehmen.
Was heißt das jetzt in der Praxis?
1. Der Einsatz von Facebook Custom Audiences in der „Pixel-Variante“ erscheint uns (gerade noch) als vertretbar, ohne dass eine Einwilligung der betroffenen Website-Besucher eingeholt werden muss. Sofern in der Datenschutzerklärung der Website ein Hinweis enthalten ist und eine Opt-out-Möglichkeit angeboten wird, lässt sich diese Art der Nutzung von Facebook Custom Audiences auf der Grundlage berechtigten Interessen vertreten. Das verbliebene rechtliche Restrisiko wäre nur ausgeschlossen, wenn man tatsächlich eine Einwilligung der betroffenen Website-Besucher einholen würde. Eine solche Einwilligung könnten Sie in dem Fall über ein „Opt-in-Banner“ auf Ihrer Webseite einholen. Es gibt hierfür eine Vielzahl von Tools. Wenn Sie also das (geringe) beschriebene rechtliche Risiko reduzieren möchten, dann empfehlen wir Ihnen, einen solchen Opt-in-Banner zu nutzen.
2. Die Nutzung von Facebook-Custom-Audiences in der „Listen-Variante“ erfordert in jedem Fall eine Einwilligung. Man wird vor dem Hintergrund der jetzt vorliegenden Entscheidungen – auch wenn diese die alte Rechtslage betreffen – davon ausgehen müssen, dass die Aufsichtsbehörden die Ansicht vertreten werden, dass die Nutzung von Facebook Custom Audiences in der „Listen-Variante“ ohne Einwilligung unzulässig ist. Zwar gibt es nach wie vor viele Unternehmen, die die „Listen-Variante“ nach wie vor trotzdem auch ohne Einwilligung verwenden. Wir sollten aber spätestens jetzt – jedenfalls empfehlen wir das – auf eine Einwilligungslösung umstellen oder auf die Nutzung dieses Tools vorläufig verzichten.
Hinweis für die DSE:
Verwendung des Facebook-Besucheraktions-Pixel Mit Ihrer Einwilligung wird innerhalb unseres Internetauftritts der „Besucheraktions-Pixel“ der Facebook Inc., 1601 South California Avenue, Palo Alto, CA 94304, USA („Facebook“) eingesetzt. Mit dem „Besucheraktions-Pixel“ können Aktionen von Nutzern nachverfolgt werden, sobald diese durch einen Klick auf eine Facebook-Werbeanzeige auf die Webseite eines Anbieters weitergeleitet werden. Hiermit ist es uns möglich, die Wirksamkeit von Facebook-Werbeanzeigen für statistische und marktforschungszwecke zu erfassen und unsere Marketingmaßnahmen dahingehend zu optimieren. Die erfassten Daten sind für uns anonym, wir können keine personenbezogenen Daten einzelner Nutzer einsehen oder Rückschlüsse hierauf ziehen. Es werden für z.B. dynamisches Remarketing auch anonymisierte Produktdaten (z.B. ID, Kategorie, Name), anonymisierte Warenkorbdaten (z.B. Welche Artikel hinzugefügt oder entfernt wurden) sowie anonymisierte Transaktionsdaten (z.B. Bestellnummer, Bestellwerte) übergeben.Facebook speichert und verarbeitet diese Daten. Facebook kann daher diese Daten Ihrem Facebook-Konto zuordnen. Sie können Facebook und dessen Partnern das Schalten von Werbeanzeigen auf und außerhalb von Facebook ermöglichen. Es kann ferner zu diesen Zwecken ein Cookie auf Ihrem Rechner gespeichert werden. Nähere Informationen zur Erhebung und Nutzung der Daten durch Facebook sowie über Ihre diesbezüglichen Rechte und Möglichkeiten zum Schutz Ihrer Privatsphäre finden Sie in den Datenrichtlinien von Facebook: https://www.facebook.com/about/privacy/ Eine Einwilligung in die Verwendung des Facebook-Besucheraktions-Pixels darf nur von Nutzern, die älter als 13 Jahre alt sind erklärt werden. Sie können die Einwilligung widerrufen. Sie können der Erfassung durch den Facebook-Pixel und Verwendung Ihrer Daten zur Darstellung von Facebook-Ads widersprechen. Um einzustellen, welche Arten von Werbeanzeigen Ihnen innerhalb von Facebook angezeigt werden, können Sie die von Facebook eingerichtete Seite aufrufen und dort die Hinweise zu den Einstellungen nutzungsbasierter Werbung befolgen: https://www.facebook.com/settings?tab=ads. Die Einstellungen erfolgen plattformunabhängig, d.h. sie werden für alle Geräte, wie Desktopcomputer oder mobile Geräte übernommen. Sie können dem Einsatz von Cookies, die der Reichweitenmessung und Werbezwecken dienen, ferner über die Deaktivierungsseite der Netzwerkwerbeinitiative (http://optout.networkadvertising.org/) und zusätzlich die US-amerikanische Webseite (http://www.aboutads.info/choices) oder die europäische Webseite (http://www.youronlinechoices.com/uk/your-ad-choices/) widersprechen.