Mit der Einführung des Werkzeugs „Custom Audiences“ (benutzerde?nierte Zielgruppen) erö?net Facebook eine interessante Funktion, spezifizierte Zielgruppen auf Facebook mit Werbeanzeigen auf Facebook zu erreichen. Selbstverständlich haben Unternehmen, die das Werkzeug in Deutschland nutzen wollen, die datenschutzrechtlichen Vorgaben zu beachten.
Im Rahmen einer Kooperation mit Thomas Hutter haben wir deshalb das Whitepaper „Custom Audiences – Funktionsweise und rechtliche Betrachtungen“ erstellt, dass heute anlässlich der Allfacebook Konferenz in Berlin auf dem Blog von Thomas veröffentlicht worden ist.
In dem Whitepaper findet sich auf insgesamt 19 Seiten eine umfassende Einführung von Thomas in die Möglichkeiten und Anwendungsszenarien von Custom Audiences. Darüber hinaus habe ich eine entsprechende datenschutzrechtliche Bewertung vorgenommen, die – neben ersten Beiträgen geschätzter Kollegen – die wesentlichen rechtlichen Fragen und Gestaltungsmöglichkeiten aufzeigt.
Die datenschutzrechtliche Bewertung von Facebook Custom Audiences, die in dem Whitepaper im Detail nachgelesen werden kann, lässt sich wie folgt zusammenfassen:
A. Funktionsweise von Facebook Custom Audiences
Facebook Custom Audiences machen es über den sogenannten Werbeanzeigenmanager oder den Power Editor macht es Facebook möglich, Telefonnummern, E Mails oder Facebook-IDs einzustellen, die mit den bei Facebook gespeicherten Nutzerdaten abgeglichen werden. Im Rahmen des Werkzeugs werden die Daten aber nicht direkt an Facebook übertragen, sondern zunächst über ein Hashing-Verfahren verschlüsselt.
Nach verschlüsselter Übermittlung der Daten an Facebook über den eigenen Facebook Account bzw. an eine entsprechende Schnittstelle nimmt Facebook einen Abgleich der vom Unternehmen übermit- telten Hashwerte mit aus den entsprechenden Daten der bei Facebook registrierten Nutzern von Facebook selbst berechneten Hashwerten vor. Durch diesen Abgleich kann Facebook identi?zieren, welche Facebook Nutzer von den Unternehmen werblich angesprochen werden sollen. Durch das Hashing-Verfahren wird zugleich vermieden, dass Facebook nutzbare Klardaten von den Betro?enen erhält. Die Hashwerte werden von Facebook nach eigener Angabe unmittelbar nach dem Abgleich gelöscht.
B. Datenschutzrechtliche Grundlagen zur Funktionsweise von Custom Audiences
Nach dem Bundesdatenschutzgesetz (BDSG) dürfen personenbezogene Daten nur weitergegeben oder verarbeitet werden, wenn ein gesetzlicher Erlaubnistatbestand dies legitimiert oder die Person in die konkrete Datennutzung eingewilligt hat (sog. Verbot mit Erlaubnisvorbehalt).
Damit ist zunächst die Frage zu klären, ob das geschilderte Verfahren überhaupt eine Übermittlung personenbezogener Daten im Sinne des BDSG darstellt. Personenbezogene Daten sind nach § 3 Abs.1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betro?ener).
Bei den vom Unternehmen verwendeten Daten (E-Mail-Adresse, Telefonnummer oder Facebook ID) handelt es sich zunächst natürlich um personenbezogene Daten.
Da beim Hashing, welche über ein als sicher angesehene Methode vorgenommen wird, werden die personenbezogenen Daten durch ein Kennzeichen ersetzt werden, zu dem Zweck, die Bestimmung des Betro?enen auszuschliessen oder wesentlich zu erschweren ist das Hashing als Pseudonymisierung im Sinne des § 3 Abs. 6a BDSG anzusehen. Kann die die Daten verarbeitende Stelle (hier Facebook) die Pseudonymisierung nicht umkehren, da ihr die Reidenti?zierung nicht möglich ist, so sind die Daten für sie anonym (vgl. Simitis, BDSG § 3 Rdnr. 217 a).
Davon ausgehend, dass das gewählte Hashingverfahren nach dem derzeitigen Stand der Technik eine Rückrechnung verhindert und Facebook die übermittelten Hashwerte unmittelbar nach dem Abgleich löscht, dürfte ein realistisches Risiko einer Reidenti?zierung auf Grundlage der übermittelten Daten eigentlich ausscheiden. Diese Annahme könnte über entsprechende Regelungen in einem Vertrag über eine Auftragsdatenverarbeitung mit Facebook (Details siehe unten) zusätzlich abgesichert werden.
Auch wenn sich die oben stehende Argumentation, die einen Personenbezug der zu übermittelnden Daten verneint, aus mit den im Whitepaper ausgeführten Argumenten durchaus vertreten lässt, ist darauf hinzuweisen, dass im Datenschutzrecht zahlreiche Fragen durchaus umstritten sind bzw. von den Datenschutzbehörden restriktiver interpretiert werden. Aufgrund dieser Unwägbarkeiten sollte bei jedem entsprechenden Projekt auch die Wahrscheinlichkeit und das potentielle Risiko einer Datenschutzverletzung bewertet werden.
In dem Whitepaper wird insofern zusätzlich im Detail geprüft, ob sich bei der Annahme einer (potentiellen) Personenbeziehbarkeit der Daten andere Wege einer datenschutzkonformen Nutzung der Custom Audiences gestalten lassen. Danach wäre die Nutzung der Custom Audiences im Hinblick auf die Übermittlung potentiell personenbeziehbarer Informationen nur zulässig, wenn auch eine gesetzliche Legitimation die Verwendung des Werkzeugs rechtfertigt.
C. Datenschutzrechtliche Legitimation von Custom Audiences
1. Legitimation über eine Einwilligung der Betro?enen (§ 4 BDSG)
Die Nutzung von Custom Audiences ist rechtlich sicher zulässig, wenn das Unternehmen eine entsprechend aufgeklärte Einwilligung von den betro?enen Nutzern eingeholt hat (§ 4 BDSG).
Unternehmen sollten deshalb in Erwägung ziehen, zukünftig – z.B. im Rahmen der schon gängigen Einwilligungserklärungen zur Versendung von E-Mailnewslettern –auch entsprechende Einwilligungen bezüglich der Datengewinnung aus und Werbeansprache in und über die Sozialen Medien einzuholen. Für entsprechende Datenbestände dürfte sich die Nutzung von Custom Audiences (und anderen zukünftigen Auswertungsoptionen und Werbemitteln in Sozialen Medien) und möglicherweise auch weitergehende Möglichkeiten im Bereich von Social Customer Relationship (Social CRM) dann perspektivisch ohne weiteres datenschutzkonform gestalten lassen.
2. Legitimation über Auftragsdatenverarbeitung (§ 11 BDSG)
Denkbar wäre es zudem, den Datenabgleich als Auftragsdatenverarbeitung im Sinne des § 11 BDSG durchzuführen. Erforderlich dafür ist, dass ein detailliert umrissener Auftrag an Facebook zugrunde gelegt wird, der sich auf die Aufklärung einer speziellen Aufgabe (hier Abgleich gehashter Daten und danach Löschung) konkretisiert und sich Facebook dann natürlich an den Rahmen dieses Auftrags hält. Insbesondere ist vertraglich sicherzustellen, dass Facebook mit den Daten keine Geschäftszwe- cke wahrnimmt, die ausserhalb des Datenabgleichs liegen. Dies kann und sollte vertraglich geregelt und gg?s. über entsprechende Testate abgesichert werden. Bei Einhaltung dieser Kriterien handelt es sich bei dem Datenabgleich um eine Auftragsdatenverarbeitung.
Für eine entsprechende datenschutzrechtliche Absicherung von Custom Audiences ist es bei Wahl dieser Alternative insofern erforderlich einen entsprechenden Auftragsdatenverarbeitungsvertrag mit Facebook zu schliessen. Wenn und soweit dieser den Anforderungen des § 11 Abs. 1 S. 1 BDSG im Hinblick auf Custom Audiences genügt, was bei Vorlage eines entsprechenden Musters von Facebook individuell geprüft werden sollte, ist eine datenschutzkonforme Nutzung denkbar.
D. Zusammenfassung „Facebook Custom Audiences & Datenschutz“
Die detaillierten Ausführungen in dem Whitepaper zeigen, dass durchaus Gestaltungsmöglichkeiten bestehen, Custom Audiences mit den datenschutzrechtlichen Vorgaben in Einklang zu bringen.
Je nach konkretem Einzelfall können über
- eine Einwilligung,
- die Verwendung ö?entlich zugänglicher Daten
- das Listenprivileg
- die Gestaltung einer Auftragsdatenverarbeitung
teilweise im Zusammenwirken unterschiedliche Einsatzszenarien für Custom Audiences gestaltet werden, die auch in Übereinstimmung mit deutschem Datenschutzrecht durchgeführt werden können.
Dabei sollte allerdings stets die Rechtskonformität des Einzelfalles unter Berücksichtigung der Herkunft der zu übermittelnden Daten, die Einhaltung notwendiger datenschutzrechtlicher Verp?ichtungen (z.B. Hinweis- und Widerspruchsmöglichkeiten) bzw. der Abschluss eines dem deut- schen Datenschutzrecht genügenden Auftragsdatenverarbeitungsvertrages jeweils geprüft und über geeignete Maßnahmen entsprechend sichergestellt werden. Je nach gewähltem Legitimationstatbestand kann es förderlich bzw. erforderlich sein, Facebook über sogenannte „individuelle Anweisungen“ weitere spezi?sche Vorgaben zu machen, die die Nutzung der Custom Audiences erst auf eine hinreichende datenschutzrechtliche Grundlage stellen.
Bei weiteren Fragen zu Custom Audiences oder anderen Social CRM Projekten unterstützen wir Sie gerne bei der datenschutzkonformen Gestaltung.
Weiterführend:
[…] Carsten Ulbricht: Facebook Custom Audiences & Datenschutz – Rechtliche Prüfung der Gestaltungsmöglichkeiten […]