Überspringen zu Hauptinhalt
Custom Audiences

Facebook, Fanpages und Custom Audiences – Was ist noch erlaubt?

In letzter Zeit hat die Rechtsprechung durch zwei Urteile von sich Reden gemacht, die Shopbetreiber mit einer Facebook-Fanpage und solche, die Custom Audiences nutzen, in rechtliche Schwierigkeiten gebracht haben. Zum einen entschied das Verwaltungsgerichtes Bayreuth, dass Facebook Custom Audiences from your List ohne Einwilligung der Kunden gegen Datenschutzrecht verstößt (Beschluss vom 08.05.2018, Az.: B 1 S 18.105) http://www.gesetze-bayern.de/C…. Zum anderen stufte der Europäische Gerichtshof (EuGH) die Betreiber von Facebook-Fanpages als Verantwortliche für den Datenschutz ein (Urteil vom 05.06.2018, Az. C-210/16) http://curia.europa.eu/juris/d…, obwohl sie keinen Einfluss auf das haben, was Facebook datenschutzrechtlich tut oder nicht. Es stellt sich daher die Frage, wie sich Shopbetreiber aktuell zu den beiden Themen verhalten sollen.

Update vom 08.11.2018: Der Beschluss des VG Bayreuth wurde inzwischen durch den VGH München (Beschluss v. 26.09.2018, Az.: 5 CS 18.1157) bestätigt. Wie schon das VG Bayreuth beurteilte der VGH München den Einsatz von Facebook Custom Audiences damit als grundsätzlich datenschutzwidrig.

Facebook Custom Audiences

Was ist was?

Bei Facebook Custom Audiences (Fb.CA) ist zwischen zwei Varianten zu unterscheiden:
Über die Variante „Kundenliste“ ist es möglich selbst erstellte Kundenlisten mit Facebook Nutzern abzugleichen, um auf Facebook gezielte Werbekampagnen für Kunden durchzuführen. Hierbei werden zum Beispiel E-Mailadressen oder Telefonnummern in den Facebook Adverts Manager im eigenen Unternehmensaccount hochgeladen und so durch den Shopbetreiber an Facebook übermittelt.
Bei der Nutzung der Variante „über Pixel“ wird ein sogenanntes Tracking-Pixel von Facebook auf Ihrer Webseite eingebaut. Durch das Pixel werden Cookies gesetzt. Mithilfe der Informationen aus den Cookies erfährt Facebook, welche seiner Nutzer die Webseite mit dem Pixel besucht haben und zeigt diesen bei Nutzung von Facebook Werbung der Webseite an. Ist zusätzlich die Funktion „erweiterter Datenabgleich“ aktiviert, werden die erzeugten Informationen außerdem mit über die Webseite erhobenen Daten angereichert und an Facebook übertragen. Dies können z.B. E-Mail-Adressen, Telefonnummern, Nutzerkontodaten oder Ähnliches sein.

Rechtliche Lage

Der Dienst Fb.CA „Kundenliste“ sollte zukünftig nur noch mit Einwilligung des Nutzers verwendet werden. Mit Beschluss vom 08.05.2018 bestätigt das Verwaltungsgericht Bayreuth eine entsprechende Anordnung des Bayrischen Landesbeauftragten für Datenschutz (BayLDA), nach der ein Einsatz dieses Marketing Werkzeuges ohne Einwilligung des Nutzers unzulässig ist. Die Anordnung erging vor Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO), berücksichtigt aber bereits vorsorglich die neue Rechtslage. Da die DSGVO den Schutz der Betroffenen grundsätzlich erweitert, ist davon auszugehen, dass die Anordnung auch einer gerichtlichen Überprüfung auf der Grundlage des neuen Datenschutzrechts standhalten würde. Eine Nutzung des Dienstes trotz fehlender Einwilligung der Betroffenen kann daher zu Abmahnungen und Bußgeldern führen.

Für die Nutzung von Fb. CA „über Pixel“ mit aktiviertem erweiterten Datenabgleich, ist aufgrund der Übertragung der angereicherten Daten an Facebook ebenfalls eine Einwilligung einzuholen.

Auch die Nutzung von Fb. CA „über Pixel“ ohne Zusatzfunktion ist zumindest nach einer Stellungnahme der Datenschutzkonferenz vom 26.04.2018 https://www.ldi.nrw.de/mainmen…ohne vorherige Einwilligung der Betroffenen unzulässig, denn nach Meinung der Datenschützer erfordert der Einsatz von Tracking-Diensten jeglicher Art immer eine vorherige Einwilligung. Wer als Shopbetreiber also jegliches Risiko ausschließen möchte, sollte beim Einsatz von Fb.CA in allen Varianten immer eine Einwilligung einholen.
Allerdings gibt es noch keine gerichtlichen Entscheidungen zu dieser Thematik. Nach unserer Einschätzung sollte die Nutzung von Fb.CA zumindest in der einfachen Pixel-Variante (also ohne jeglichen Datenabgleich) auch ohne vorherige Einwilligung auf der Grundlage eines berechtigten Interesses gemäß Art. 6 Abs. 1 f DSGVO möglich sein. Voraussetzung wäre jedoch, dass die Webseitenbesucher in der Datenschutzerklärung umfassend informiert werden und ihnen eine Opt-Out-Möglichkeit angeboten wird. Wir meinen, dass durchaus auch grundlegende, statistische Analysefunktionen künftig unter ein berechtigtes Interesse fallen und somit keiner Einwilligung der Betroffenen bedürfen.

In allen Fällen ist in der Datenschutzerklärung umfassend über die Verwendung der Dienste zu informieren.

Was müssen Sie tun?

Holen Sie für die Nutzung von Facebook Custom Audiences „Kundenliste“ die Einwilligung der Nutzer für die Datenverarbeitung ein. Sofern Sie den Dienst Facebook Custom Audiences „Pixel“ mit erweitertem Datenabgleich nutzen wollen, holen Sie bitte auch hier eine Einwilligung der Webseitenbesucher ein. Die Einwilligungen können in beiden Fällen über ein sogenanntes Cookie-Banner abgefragt werden. Bitte stellen Sie sicher, dass bereits vor dem Setzen des ersten Cookies eine Zustimmung vorliegt.
Zusätzlich muss den Nutzern in allen Varianten die Möglichkeit geboten werden Ihre Einwilligung zu widerrufen. Bei der Gestaltung der Widerrufsmöglichkeit sollten die entsprechenden „Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience“ des BayLDA https://www.lda.bayern.de/medi… beachtet werden. Ein Widerruf soll demnach durch Setzen eines Opt-Out-Cookies erfolgen. Dieses verhindert das Setzen von Tracking-Cookies und sollte unbegrenzte Gültigkeit besitzen. Nach Setzen des Opt-Out-Cookies darf keinerlei weiterer Datenverkehr mit Facebook stattfinden. Der Webseitenbetreiber muss selbst eine geeignete Opt-Out-Lösung implementieren und darf nicht einfach auf Facebook verweisen.

Facebook Fanpages

Das rechtliche Problem

Nachdem der EuGH sowohl Facebook als auch die Betreiber von Fanpages als „Verantwortliche“ im Sinne des Datenschutzrechts eingeordnet hatte, musste Facebook reagieren. Die DSGVO sieht in Art. 26 ausdrücklich vor, dass bei mehreren Verantwortlichen vertraglich festgelegt werden muss, „wer von ihnen welche Verpflichtung gemäß dieser Verordnung erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Person angeht und wer welchen Informationspflichten […] nachkommt.“

Wie hat Facebook reagiert?

Am 11.09.2018 hat die Facebook die Allgemeinen Geschäftsbedingungen geändert und um die entsprechenden Regelungen ergänzt. Im „Page Controller Addendum“ https://www.facebook.com/legal/terms/page_controller_addendum wird jetzt geregelt, dass Facebook mit dem Fanpage-Betreiber  gemeinsam verantwortlich ist und die Verantwortung für die Bereiche Informationspflichten (Art. 12 – 13 DSGVO), Betroffenenrechte (Art. 15 – 22 DSGVO) und Datensicherheit und Meldung von Datenschutzverletzungen (Art. 32-34 DSGVO) übernimmt.

Was müssen Sie tun?

Der Fanpage-Betreiber selbst muss nur noch eine umfassende Datenschutzinformation in die eigene Fanpage integrieren mit Infos dazu, zu welchem Zweck bzw. auf welcher Rechtsgrundlage welche personenbezogenen Daten verarbeitet werden. Außerdem ist anzugeben, dass Facebook ein gemeinsam Verantwortlicher ist und es sollte auf die Datenschutzinformation von Facebook hingewiesen und verlinkt werden. Schließlich muss darüber informiert werden, welche Rechte ein Betroffener gegenüber Facebook geltend machen kann und wie er dazu vorzugehen hat. Auch hier kann auf die entsprechenden Infos bei Facebook hingewiesen und verlinkt werden.

 

 

Bildnachweis: © gustavofrazao – stock. adobe. com

An den Anfang scrollen