Social Media Targeting: Leitlinien der EU-Datenschützer zur gemeinsamen Verantwortlichkeit der Beteiligten

Hintergrund und Hauptziel der Leitlinien: Klarstellungen zur datenschutzrechtlichen Verantwortlichkeit

Die auf Englisch verfassten Leitlinien umfassen in ihrer definitiven Version (2.0) 40 Seiten und tragen den Titel: «Guidelines 8/2020 on the targeting of social media users«. Das erklärte Hauptziel der Leitlinien besteht in der Klarstellung der datenschutzrechtlichen Rollen und Verantwortlichkeiten der Social Media Plattform-Betreiber und der «Targeter», also den werbenden Unternehmen.

Es geht damit um die Frage, in welche Rolle die beteiligten Unternehmen beim Social Media Targeting datenschutzrechtlich einzuordnen sind; konkret, ob es sich um Allein-Verantwortliche, gemeinsam Verantwortliche oder Auftragsverarbeiter handelt. Hierzu hat der Europäische Gerichtshof (EuGH) in den vergangenen Jahren bereits mehrere wegweisende Urteile gefällt. Bezeichnenderweise betrafen zwei dieser Urteile bereits das Verhältnis zwischen den Betreibern von Social Media Plattformen und deren Unternehmens-Kunden (vgl. MLL-News vom 17.6.2018 und vom 10.8.2019).

Trotz dieser Urteile blieb die grundlegende Frage nach der Einordnung in die datenschutzrechtlichen Rollen in vielen Bereichen kontrovers und mit erheblichen Unsicherheiten verbunden. Daran vermochte auch der Leitlinien-Entwurf des EDSA zu diesen Rollen nur teilweise etwas zu ändern (vgl. MLL-News vom 21.12.2020). Vor diesem Hintergrund sind die Stellungnahmen des EDSA zu begrüssen, selbst wenn sie teilweise vage und fragwürdig bleiben.

Auch beim Targeting sind die Werbenden regelmässig Co-Verantwortliche

Nachdem der EuGH in den beiden genannten Urteilen jeweils die Unternehmens-Kunden neben den Plattform-Betreibern als gemeinsam Verantwortliche qualifiziert hatte, vermag das Ergebnis der EDSA-Leitlinien wenig zu überraschen: In nahezu allen erläuterten Beispielen des Social Media Targetings schliesst der EDSA auf eine gemeinsame Verantwortlichkeit. Unterschiede bestehen einzig darin, dass sich die Co-Verantwortlichkeit nicht stets auf gleich viele Bearbeitungsschritte innerhalb des gesamten für das Targetings erforderlichen Bearbeitungsprozesses bezieht.

Hervorzuheben sind folgende (etwas verkürzt wiedergegebene) Beispiele:

• «Example 1: Targeting on the basis of provided data«: Ein Unternehmen möchte für seine Werbekampagne Männer im Alter zwischen 30 und 45 Jahren ansprechen, die in ihrem Profil in den sozialen Medien angegeben haben, dass sie Single sind. Es nutzt dabei die von der Social Media Betreiberin bereitgestellten Targeting-Kriterien als Parameter zur Identifizierung des Zielpublikums, welchem die Werbeanzeigen angezeigt werden sollen.
  Würdigung des EDSA: In diesem Fall definiert das werbende Unternehmen gemeinsam mit der Plattformbetreiberin den Zweck und die Mittel der Datenbearbeitungen. Der Zweck besteht in der Anzeige der spezifischen Werbung an das definierte Zielpublikum. Dass aus dieser Bearbeitung ein beidseitiger Nutzen resultiert, ist nach EDSA ein zusätzlicher Indikator für die untrennbare Verbindung der von den Beteiligten verfolgten Zwecke. Auch die Mittel werden gemäss EDSA gemeinsam festgelegt. Der Targeter beteilige sich an der Festlegung der Mittel, indem er sich für die Nutzung der angebotenen Dienste entscheidet und ihn bittet, eine Zielgruppe anhand bestimmter Kriterien anzusprechen. Er lege die Kriterien fest, nach denen die Ansprache erfolgt, und bestimmt die Kategorien von Personen, deren personenbezogene Daten verwendet werden sollen. Der Social Media Anbieter seinerseits habe beschlossen, personenbezogene Daten seiner Nutzer so zu verarbeiten, dass er die Targeting-Kriterien für sie entwickeln und bereitstellen kann.

• «Example 4: Pixel-based Targeting«: Der Betreiber von «BestBags.com» möchte Social Media Nutzer ansprechen, die seine Website besucht haben, ohne einen Rucksack gekauft zu haben. Zu diesem Zweck setzt er ein so genanntes «Zählpixel «auf seiner Website ein, das vom Anbieter der sozialen Medien zur Verfügung gestellt wird. Den Besuchern von BestBags.com, die sich später in ihr Social Media Konto einloggen, werden Werbeanzeigen für die von ihnen betrachteten Rucksäcke angezeigt.
  Würdigung des EDSA: Bestbags.com und der Social Media-Anbieter legen hier gemäss EDSA gemeinsam den Zweck der Verarbeitung fest, der darin besteht, den Personen aus der Zielgruppe eine bestimmte Werbung auf der Social Media Plattform anzuzeigen. Durch die Einbindung des Zählpixels in seine Website übe Bestbags.com einen entscheidenden Einfluss auf die Art und Weise der Verarbeitung aus. Die Erhebung und Übermittlung der Daten der Website-Besucher an den Social Media Anbieter wäre ohne die Einbettung des Pixels nicht erfolgt. Der Social Media Anbieter wiederum hat den Softwarecode (Zählpixel), der zur automatischen Erhebung, Übermittlung und Auswertung der personenbezogenen Daten an den Social Media Anbieter zu Marketingzwecken führt, entwickelt und bietet ihn an.

Die Kriterien, die der EuGH in seinen Grundsatz-Urteilen als ausschlaggebend bezeichnet hatte, finden sich auch in diesen Beispielen wieder: Bei den «Fanpages» war nach Ansicht des EuGH entscheidend, dass die Page-Betreiber die (von Facebook zur Auswahl gestellten) Kriterien festlegen, nach denen Facebook die Statistiken («Audience Insights») erstellen soll, und sogar die Kategorien von Personen bezeichnen konnten, deren personenbezogene Daten von Facebook ausgewertet werden. Dieser Aspekt findet sich in Beispiel 1 wieder, wo die Unternehmen die von Social Media Anbietern zur Auswahl gestellten Targeting-Kriterien als Parameter zur Identifizierung des Zielpublikums wählen. Im Fall des Like-Buttons war sodann wie im Beispiel 4 entscheidend, dass das Unternehmen durch die Einbindung des Buttons überhaupt erst die Datenerhebung und anschliessende Bearbeitung durch Facebook ermöglicht. Zugleich stellte der EuGH auf die wirtschaftlichen Vorteile ab, die sich der Website-Betreiber von der Einbindung verspricht.

Reichweite der gemeinsamen Verantwortlichkeit

In all diesen Fällen ist somit von einer gemeinsamen Verantwortlichkeit der Unternehmenskunden und der Social Media Anbieter auszugehen. Die beiden Beispiele in den Leitlinien verdeutlichen nun aber, was der EuGH bereits in seinem Urteil zum Like-Button – gegenüber dem weniger differenzierten Urteil in Sachen Fanpages – präzisierte: Die gemeinsame Verantwortlichkeit erstreckt sich nicht auf sämtliche Bearbeitungen, die mit dem fraglichen Tool in Zusammenhang stehen. Vielmehr ist zwischen einzelnen Verarbeitungsschritten zu unterscheiden.

Gemäss EDSA umfasst die Co-Verantwortlichkeit in Beispiel 1 die Verarbeitungen, die sich aus der Auswahl der relevanten Targeting-Kriterien und der Anzeige der Werbung bei der Zielgruppe ergeben. Sie erstrecke sich auch auf die Verarbeitung durch den Social Media Anbieter, der dem Auftraggeber über die Ergebnisse der Targeting-Kampagne berichtet. Die gemeinsame Verantwortlichkeit erstrecke sich jedoch nicht auf Verarbeitungs-Vorgänge, die vor der Auswahl der relevanten Targeting-Kriterien oder nach Abschluss der Targeting-Kampagne und der Berichterstattung stattfinden (z. B. die Entwicklung neuer Targeting-Kriterien durch den Social Media Anbieter auf der Grundlage abgeschlossener Targeting-Kampagnen) und bei denen der Auftraggeber nicht an der Festlegung der Zwecke und Mittel beteiligt ist; ebenso nimmt der Social Media Anbieter grundsätzlich nicht an der Planungsphase einer Targeting-Kampagne vor dem Zeitpunkt teil, zu dem der Auftraggeber mit dem Social Media Anbieter Kontakt aufnimmt.

Veranschaulicht wird dies zusätzlich durch den Vergleich zu Beispiel 4: Dort besteht eine gemeinsame Verantwortlichkeit bereits in Bezug auf die Erhebung personenbezogener Daten und ihre Übermittlung mittels Pixel und nicht nur in Bezug auf den Abgleich und die anschliessende Anzeige der Werbung auf der Social Media Plattform sowie für alle Reports im Zusammenhang mit der Targeting-Kampagne.

Rechtsgrundlagen: primär Einwilligung – berechtigtes Interesse meist ausgeschlossen

In seinen Leitlinien nimmt der EDSA auch ausführlich Stellung zu den Rechtsgrundlagen für die Datenbearbeitungen beim Social Media Targeting. Unter der DSGVO – anders als im Schweizer Bundesdatenschutzgesetz (DSG) – ist bekanntlich für jede Datenbearbeitung eine Rechtsgrundlage bzw. ein Erlaubnistatbestand erforderlich, andernfalls ist die Datenbearbeitung unzulässig (vgl. zu diesem Verbotsgrundsatz in Art. 6 DSGVO, z.B. MLL-News vom 24.11.2019 und vom 15.6.2020).

Der EDSA bekräftigt hierzu seinen (strengen) Standpunkt, dass die Rechtsgrundlage «Vertrag» im Bereich der verhaltensbezogenen Online-Werbung, hier beim Social Media Targeting, regelmässig ausgeschlossen ist (vgl. dazu bereits MLL-News vom 24.11.2019). Anders als, in bestimmten Fällen, die Personalisierung von Inhalten, könne das Targeting von Social Media Nutzern kaum je ein immanentes und erwartetes Element von Online-Diensten darstellen. Ob dieser Standpunkt tatsächlich korrekt ist, wird voraussichtlich in einem Verfahren, das vor dem Obersten Österreichischen Gerichtshof hängig ist, geklärt. Geht es nach der Ansicht des EDSA verbleiben aber jedenfalls als Rechtsgrundlagen nur noch die Einwilligung und das «überwiegende berechtigte Interesse».

In Bezug auf das «überwiegende berechtigte Interesse» verdeutlicht der EDSA die hohen Anforderungen. Während zwar relativ rasch von einem solchen berechtigten Interessen auszugehen ist, sind die zwei weiteren Voraussetzungen aus Sicht des EDSA deutlich weniger rasch gegeben. So verlange das Element der «Erforderlichkeit» (der Bearbeitung zur Verwirklichung des berechtigten Interesses), dass kein weniger einschneidendes Mittel zur Erreichung desselben Interesses vorhanden ist. Ferner dürften die Interessen der Nutzer im Vergleich zum Interesse der Verantwortlichen nicht überwiegen. Der EDSA bekräftigt, dass kein überwiegendes berechtigtes Interesse angenommen werden könne, in Fällen von einschneidenden Profiling- und Tracking-Praktiken zu Marketingzwecken, wie z.B. wenn das Verhalten von Personen über mehrere Websites, Standorte, Geräte oder Dienste hinweg beobachtet werde. Deshalb könne diese Rechtsgrundlage insbesondere in Beispiel 4 des Tracking-Pixels für keinen der Bearbeitungsschritte greifen.

Dies gilt umso mehr, als nach den Vorgaben der EU-ePrivacy-Richtlinie ohnehin für sämtliche Bearbeitungen zu Marketingzwecken unter Verwendung von Cookies eine Einwilligung erforderlich ist (vgl. MLL-News vom 25.10.2019). Die Anforderungen an die Einwilligung, die sich, auch beim Einsatz von Cookies, aus der DSGVO ergeben, sind dabei wiederum sehr hoch. So kann nach Ansicht des EDSA eine Einwilligung unter keinen Umständen(!) durch ein Scrollen oder Swipen zum Ausdruck gebracht werden (vgl. hierzu auch MLL-News vom 19.12.2019). Wenn die Einwilligung ferner als nicht verhandelbarer Teil von AGB gebündelt wird, fehlt nach Ansicht des EDSA die Voraussetzung der Freiwilligkeit. Darüber hinaus sind gemäss EDSA alle Verantwortlichen, die sich zum Erhebungs- oder einem späteren Zeitpunkt auf die Einwilligung berufen wollen, mit Namen zu nennen. Sind die Verantwortlichen im Erhebungszeitpunkt noch nicht bekannt, müsse eine nachträgliche Information erfolgen.

Schliesslich ruft der EDSA in Erinnerung, dass selbst eine Einwilligung, die alle Anforderungen erfüllt, ein unverhältnismässiges oder unfaires Targeting nicht zu legitimieren vermag. Mit anderen Worten sind neben dem Rechtmässigkeitsgrundsatz auch die weiteren Grundsätze und Pflichten aus der DSGVO einzuhalten. Dies gilt in besonderem Masse, wenn besondere Kategorien von personenbezogenen Daten im Spiel sind. Dass dies sehr schnell der Fall ist, insb. auch wenn eine (womöglich auch bloss falsche) Zuordnung einer Person bspw. zu einer politischen Partei erfolgt, veranschaulichen die Leitlinien ebenfalls.

Auswahl weiterer interessanter Aspekte

Die umfangreichen Leitlinien enthalten sodann weitere interessante Stellungnahmen, wie zum Beispiel zu den folgenden Themen:

• Profiling: Der EDSA wiederholt seine Einschätzung, dass dem Social Media Targeting zwar meistens ein Profiling im Sinne der DSGVO zugrunde liegt. In vielen typischen Fällen hätte jedoch die Entscheidung zur Anzeige von zielgerichteter Werbung basierend auf dem Profiling keine rechtlichen oder ähnlich erheblichen Auswirkungen. Die zusätzlichen Vorgaben für solche automatisierten Entscheidungen (Art. 22 DSGVO) sind daher nach Ansicht des EDSA in der Regel nicht anwendbar. Eine Ausnahme könne jedoch z.B. beim Targeting von finanziell «verwundbaren» («vulnerable») Personen für die Anzeige von Online-Wett-Angeboten vorliegen.
• Abschluss einer Vereinbarung unter Co-Controllern: Der EDSA nimmt sodann auch Stellung zu der Vereinbarung, welche die gemeinsam Verantwortlichen abzuschliessen haben (Art. 26 DSGVO). Dabei betont der EDSA, dass der Vertrag alle Datenbearbeitungen der gemeinsamen Verantwortlichkeit abdecken muss. Im Vertrag sollten ferner alle Informationen enthalten oder referenziert sein, welche die Parteien benötigen, um ihre Pflichten unter der DSGVO zu erfüllen, wie z.B. die Beurteilung, ob die Anforderungen an die gewählte Rechtsgrundlage erfüllt sind. Schliesslich betont der EDSA, dass sich an der (Co-)Verantwortlichkeit der Unternehmenskunden als solcher nichts ändert, nur weil sie die auf die Vereinbarung mit den Social Media Anbietern keinen Einfluss nehmen können («Take it or leave it conditions»). Sie werden deshalb nicht von ihren Verpflichtungen unter der DSGVO befreit.
• Unterschiedlicher Grad der Verantwortung: Gleichwohl betont der EDSA aber, dass auch innerhalb des Bereichs der gemeinsamen Verantwortlichkeit Unterschiede zwischen den Akteuren bestehen können. Es könne ein unterschiedlicher Grad an Verantwortung vorliegen. Für den Grad der Verantwortung seien zahlreiche Faktoren relevant, darunter die Möglichkeit zur effektiven Einflussnahme auf die Datenbearbeitung sowie das vorhandene Wissen. Der Grad der Verantwortung hat letztlich Einfluss darauf, wie hoch im Falle einer Verletzung die mögliche Sanktion ausfällt oder wer von den beiden Co-Verantwortlichen in welchem Ausmass für einen verursachten Schaden einzustehen hat (vgl. Art. 82 Abs. 2-5 DSGVO und Art. 83 Abs. 2 DSGVO).

Fazit und Anmerkungen

Die vorliegenden Leitlinien enthalten zahlreiche wertvolle Stellungnahmen. Sie liefern wichtige Hinweise dafür, wie die Behörden bereits bestehende Standpunkte in einem besonders wichtigen und viel diskutieren Bereich umsetzen. Auch wenn somit die Aussagen des EDSA vergleichsweise konkret sind, bleiben sie gleichwohl oftmals noch zu vage und in vielen Fällen unzutreffend streng. Letzteres betrifft namentlich die Ansicht zur Rechtsgrundlage «Vertrag» bzw. auch die damit verbundene Frage nach der Freiwilligkeit der Einwilligung. Damit wird die Wirtschaftsfreiheit der Unternehmen zu wenig stark gewichtet, wobei einzuräumen ist, dass im Bereich der Social Media aufgrund der Grösse und wirtschaftlichen Macht der Anbieter faktische Abhängigkeiten bestehen, die es zu berücksichtigen gilt (vgl. hierzu auch MLL-News vom 24.11.2019). Es bleibt zu hoffen, dass das Verfahren vor dem OGH in Österreich gegen Facebook hier zumindest mehr Klarheit schafft.

Weitere Informationen:

• EDSA Leitlinien zum Targeting von Social Media Nutzern
• MLL-News vom 21.12.2020: «EDSA veröffentlicht Leitlinien-Entwurf zu den datenschutzrechtlichen Rollen des Verantwortlichen und des Auftragsverarbeiters»
• MLL-News vom 15.06.2020: «EDSA Leitlinien zur Einwilligung nach der DSGVO – Cookie-Walls unzulässig»
• MLL-News vom 19.12.2019: «Spanische Datenschutzbehörde auferlegt «Vueling-Airlines» Busse wegen ungenügender Cookie-Policy»
• MLL-News vom 24.11.2019: «Europäischer Datenschutzausschuss: DSGVO-Rechtsgrundlage „Vertrag“ bei Online-Dienstleistungen ist eng auszulegen»
• MLL-News vom 25.10.2019: «EuGH-Urteil: aktive Einwilligung in Werbe-Cookies erforderlich – auch bei fehlendem Personenbezug»
• MLL-News vom 10.08.2019: «Website-Betreiber sind für Datenverarbeitungen durch Facebook Like-Button mitverantwortlich»
• MLL-News vom 17.06.2018: «EuGH bejaht datenschutzrechtliche Mitverantwortung des Betreibers einer Facebook-Fanpage»