Facebook Custom Audiences und Lookalike Audiences – eine datenschutzrechtliche Gratwanderung

Zielgerichtete Werbung auf Facebook

Mit zwei Milliarden monatlichen Nutzern kann Facebook nicht nur auf eine kaum vergleichbare Anzahl potentieller Werbeempfänger zurückgreifen, sondern die Werbung anhand der verfügbaren Informationen zielgerichtet bei jenen Nutzern platzieren, die in eine gewünschte Zielgruppe fallen. Bevor die Facebook-Nutzer aber überhaupt von einer Werbemassnahme anvisiert werden können, muss die gewünschte Zielgruppe (engl. target audience) vom werbetreibenden Unternehmen definiert werden. Für diese Zielgruppeneingrenzung stellt Facebook den Unternehmen sog. Custom- und Lookalike Audiences zur Verfügung.

Mit einer Custom Audience können bestehende Kunden von Unternehmen unter Facebook-Nutzern gefunden werden. Hierfür übermittelt ein Unternehmen zunächst Daten wie z.B. E-Mail-Adressen ihrer Kunden an Facebook. Diese Kundendaten werden mit einem Hashwert verschlüsselt, bevor sie Facebook übermittelt werden. Anschliessend vergleicht Facebook die Hashwerte der hochgeladenen Daten mit den Hashwerten der Nutzerdaten von Facebook. Anhand der übermittelten Daten können somit – sofern vorhanden – Facebook-Profile dieser Kunden ausfindig gemacht und in der Folge für Werbung des Unternehmens anvisiert werden.

Während mit Custom Audience dem bestehenden Kundenstamm via Facebook neue Angeboten des Unternehmens zugespielt werden, erweitert Lookalike Audience diese Zielgruppe auf sämtliche Facebook Nutzer, die ähnliche Merkmale wie die über Custom Audience ermittelten Nutzer aufweisen. Es liegt auf der Hand, dass die Streuung der Werbung auf diese Weise sehr gezielt auf jene Personen eingeschränkt werden kann, die aufgrund ihrer Ähnlichkeit mit bestehenden Kunden potentiell am beworbenen Angebot ebenfalls interessiert sein könnten. Bereits bei einem wenig aktiven Nutzerverhalten verfügt Facebook zumindest über demografische Merkmale wie Alter, Geschlecht oder Wohnort. Über aktivere Nutzer sind darüber hinaus regelmässig weitere, für das Marketing besonders wertvolle psychografische und sozioökonomische Merkmale vorhanden. Die Unternehmen erhoffen sich auf diese Weise eine optimale Streuung der über Facebook geschalteten Werbung.

Noch ausgefeilter werden diese Tools in Kombination mit Facebook Pixel. Dabei wird ein Programmcode in die Webseite des Anbieters eingebettet, mit dem stets automatisiert nachvollzogen werden kann, welcher Facebook-Nutzer die Webseite besucht hat. Die Zielgruppe der Angebote des Unternehmens wird auf diese Weise kontinuierlich mit den von Facebook Pixel gesammelten Informationen über die Besucher der Webseite erweitert. Mit der Kombination von Custom Audience und Facebook Pixel kann folglich ein Kunde, der sich in einem Online-Shop ein Produkt angesehen hat, ohne dieses zu kaufen, über Facebook „reaktiviert“ werden.

Custom und Lookalike Audiences als datenschutzrechtlicher Stolperstein?

Auch wenn sich solche Tools den Unternehmen verlockend präsentieren, darf die datenschutzrechtliche Tragweite ihrer Inanspruchnahme nicht unterschätzt werden. Auf den ersten Blick kann Custom Audiences mit einem Newsletter verglichen werden, bei dem bestehende Kunden nach einer Registrierung in einem Online-Shop per Mail über neue Angebote informiert werden. Anders als beim Newsletter werden im Rahmen von Custom Audiences die Mailadressen der bestehenden Kunden aber an Dritte – nämlich Facebook – übermittelt. Die Werbetools setzen voraus, dass personenbezogene Daten von Kunden des Anbieters bei Facebook hochgeladen und verarbeitet werden. Eine solche Weitergabe der Daten ist datenschutzrechtlich ohne die Einwilligung der Kunden heikel und nicht abschliessend geklärt.

Gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) dürfen personenbezogene Daten nur an Dritte weitergeben werden, wenn diese Bekanntgabe für die Betroffenen erkennbar ist und sie eingewilligt oder sich nicht dagegen ausgesprochen haben. Es empfiehlt sich, eine solche Bekanntgabe in der Datenschutzerklärung festzuhalten oder die Einwilligung jeweils bei der Registrierung einzuholen. Zudem müssen die Kunden laut EDÖB darüber informiert werden, dass sie sich jederzeit einer Verwendung ihrer Personendaten zu Marketingzwecken widersetzen können. Für nicht besonders schützenswerte Daten wie E-Mail Adressen genügt dabei eine implizite Einwilligung, welche mit einer Opt-out-Möglichkeit umgesetzt werden kann. Dabei ist den Kunden aber zumindest der Empfänger und der Zweck der Datenbekanntgabe mitzuteilen sowie ein Widerspruchsrecht einzuräumen. Die Datenschutzerklärung muss dabei in rechtsgenügendem Umfang über die Funktionsweise der verwendeten Tools informieren. Nimmt ein Kunde die Opt-out-Möglichkeit in Anspruch, muss er vollständig und unverzüglich aus der Custom Audience-Liste entfernt werden.

Zusätzlich zum Datenschutzgesetz müssen die Unternehmen bei der Verwendung der E-Mail Adressen stets auch die Bestimmungen des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) beachten. Zum Zwecke der Massenwerbung verlangt Art. 3 Abs. 1 lit. o UWG unter gewissen Voraussetzungen eine explizite Einwilligung (Opt-in) der Kunden.

Datenschutzbehörde in Deutschland äussert Bedenken

Das Bayrische Landesamt für Datenschutz hat in ihrer Pressemitteilung vom 4. Oktober 2017 Stellung zur datenschutzkonformen Nutzung solcher Werbe-Tools genommen. Nach Auswertung einer Befragung von mehreren Unternehmen ist die Datenschutzbehörde zum Schluss gekommen, dass viele Unternehmen ihre Kunden nicht oder nur unvollständig über den Einsatz dieses Werbetools informieren. Oftmals seien ausserdem entweder gar keine oder nur technisch unzureichend umgesetzte Möglichkeiten zu einem Opt-out vorgesehen. Weiter stellte die Behörde fest, dass die oben skizzierte Verschlüsselung mittels Hashwerten nicht zur Anonymisierung im datenschutzrechtlichen Sinne geeignet sei, da eine Entschlüsselung nicht ausgeschlossen werden kann.

Nach Auffassung der Bayrischen Datenschutzbehörde darf die Übermittlung der erlangten Kundendaten an Facebook nur erfolgen, wenn der Webseiten-Betreiber vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholt. Wichtig erscheint dabei die Feststellung der Behörde, dass ein Verweis auf die von Facebook eigens angebotene „Opt-out“-Funktion gerade nicht ausreiche, da diese lediglich zur Deaktivierung der Werbeanzeigen führe. Die Anreicherung der Custom Audience durch Facebook Pixel wird durch diesen Vorgang jedoch nicht ausgeschaltet. Um sich datenschutzrechtlich auf sicherem Terrain zu befinden, muss die Opt-out Möglichkeit somit direkt auf der Seite des Anbieters aufgeführt sein

(Schweizerisches und) Europäisches Datenschutzrecht befindet sich im Umbruch

Im Entwurf zur Totalrevision des schweizerischen Datenschutzgesetzes sind Änderungen vorgesehen, die für die Nutzung solcher Tools relevant sein dürften (vgl. dazu MLL-News vom 21.9.2017). So ist künftig nicht nur für die Bearbeitung von besonders schützenswerten Personendaten, sondern auch für ein sog. „Profiling“ eine ausdrückliche Einwilligung der betroffenen Person erforderlich (Art. 5 Abs. 6 E-DSG). Darunter wird gemäss Gesetzesentwurf auch die Bewertung bestimmter Merkmale einer Person auf der Grundlage von automatisiert bearbeiteten Personendaten erfasst. Mit Facebook-Pixel werden sehr viele und genaue Daten der Kunden geräteübergreifend erfasst und für anschliessende Werbemassnahmen verwendet. Es ist denkbar, dass dies unter den „Profiling“ Begriff erfasst würde.

Schweizer Unternehmen ist sodann zu empfehlen, die verschiedenen Revisionsvorhaben auf EU-Ebene im Auge zu behalten, da der Geltungsbereich der Europäischen Datenschutzbestimmungen sehr weit gefasst ist und sich die kommende Totalrevision des schweizerischen Datenschutzgesetzes ebenfalls daran orientiert. Im Vordergrund stehen die Bestimmungen der EU-Datenschutz-Grundverordnung (EU-DSGVO), welche ab dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Sobald Personendaten von Personen mit Sitz in einem EU-Mitgliedstaat bearbeitet werden, gilt das Europäische Regelwerk – inklusive Sanktionen bei dessen Mitachtung – auch für Schweizer Unternehmen. Die EU-DSGVO bringt im Vergleich zur bestehenden schweizerischen Datenschutzgesetzgebung einige Neuerungen mit sich (siehe MLL-News vom 30. Juli 2017). Zum jetzigen Zeitpunkt ist im Hinblick auf die Rechtslage bei der Benutzung von Facebook Custom und Lookalike Audiences unter der kommenden EU-DSGVO noch vieles unklar. Gemäss der Erlaubnisnorm von Art. 6 Abs. 1 lit. f DSGVO ist eine Datenverarbeitung möglich, wenn sie zur „Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ erscheint und „die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen(…)“. Ob die umschriebenen Werbe-Tools für die Wahrung der berechtigten Interessen der Unternehmen als erforderlich verstanden wird, kann zu diesem Zeitpunkt noch nicht gesagt werden.

Daneben dürfte die ebenfalls für 2018 geplante E-Privacy-Verordnung der EU die rechtlichen Anforderungen für den Einsatz von Custom und Lookalike Audiences in Kombination mit Facebook Pixel weiter ausbauen. Die Verordnung statuiert für verschiedene Online-Tracking-Tools ein grundsätzliches Verbot mit einem Einwilligungsvorbehalt. Dies dürfte auch Auswirkungen auf die beschriebene „Reaktivierung“ mittels Custom Audience und Facebook Pixel haben. Gemäss Entwurf zur E-Privacy Verordnung sind Cookies künftig nur noch erlaubt, wenn der Besucher der Webseite dazu explizit zustimmt. Bisher war für den Einsatz solcher Tools eine Opt-Out Möglichkeit mit Informationen in den Datenschutzerklärungen ausreichend.

Überprüfung der Datenschutzerklärungen erscheint angezeigt

Ein Unternehmen entscheidet selbst, welche Zielgruppe es erreichen möchte. Custom und Lookalike Audiences sind zweifellos attraktive Tools, um festzustellen, wer überhaupt zu dieser Zielgruppe gehört, und um diese Zielgruppe mit der eigenen Werbung über Facebook erreichen zu können. Ein datenschutzkonformer Einsatz dieser Tools bedingt jedoch einige Vorkehrungen auf der Website des Unternehmens. Bereits das geltende Recht verlangt gegenüber den Kunden volle Transparenz über die Nutzung dieser Tools. Dazu kommen verschiedene Revisionsvorhaben, die das datenschutzrechtliche Korsett für den Gebrauch solcher Werbetools voraussichtlich deutlich enger schnüren werden. Unternehmen, welche die Tools nutzen oder deren Nutzung beabsichtigen, sind daher gut beraten, ihre konkrete Umsetzung auf datenschutzrechtliche Konformität zu überprüfen und gegebenenfalls an das geltende bzw. künftige Datenschutzrecht anzupassen.

Weitere Informationen:

• Pressemitteilung Bayerische Landesamt für Datenschutzaufsicht (BayLDA)
• MLL-News: „Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft“
• MLL-News: „Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab“