Custom Audiences bei Facebook nur noch mit Zustimmung

Wenn Du auf Facebook Werbung betreibst, und dabei die sogenannten "Custom Audiences" (ausgewählte Listen Deiner Kunden, z.B. nach Interessen) einsetzt, brauchst Du dafür die definitive Einwilligung Deiner Kunden nach der DSGVO. Und das liegt nicht nur daran, dass die "Verschlüsselung" von Facebook gar keine ist. Aber fangen wir vorne an:

Was ist eine Custom Audience

Facebook erlaubt das Anlegen sogenannter "Custom Audiences", also Listen von Facebook-Profilen die Du dann weiter verwenden kannst:

Eine Custom Audience aus einer Kundenliste ist eine Zielgruppenart, die du aus deinen existierenden Kunden erstellen kannst. Du kannst Werbeanzeigen an die Zielgruppe richten, die du auf Facebook, Instagram und im Audience Network erstellt hast.

Du lädst deine verschlüsselte Kundenliste hoch, kopierst und fügst sie ein oder importierst sie. Anschließend verwenden wir die verschlüsselten Daten aus der Liste, um die Personen auf deiner Liste auf Facebook zu identifizieren.

Quelle: Facebook-Hilfe: Informationen zu Custom Audiences aus Kundenlisten

Oder anders gesagt, Du kannst beliebige Listen von Profilen zusammenstellen, denen Du ganz spezifische Werbung auf Facebook anzeigen lassen möchtest. Zum Beispiel Kunden,  die ein bestimmtes Produkt bei Dir gekauft haben, könntest Du Zubehör oder Folgeprodukte anzeigen. Interessenten, die noch nicht gekauft haben, könntest Du gezielt gute Argumente zeigen, warum sie Dein Produkte doch besser kaufen sollten. Du merkst schnell, die Ideen lassen sich hier beliebig fortsetzen, was Custom Audiences bei Facebook zu einem mächtigen Werkzeug macht. Aber dürfen wir das noch verwenden?

Der Beschluss des Verwaltungsgerichts

Nach dem Beschluss des Verwaltungsgericht Bayreuth (v. 08.05.2018 – B 1 S 18.105 zur Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten) sind Custom Audiences bei Facebook nur noch mit Zustimmung zulässig.

Der Beschluss bezieht sich zwar "nur" auf Kundenlisten und erging nach BDSG-alt, allerdings ist der Sachverhalt auch mit der DSGVO und BDSG-neu so gelagert, dass - meiner Meinung nach - Custom Audiences bei Facebook generell nur noch mit Zustimmung rechtlich zulässig sind.

Um zu verstehen, wie das Gericht zu seiner Meinung kommt, schauen wir uns die übliche Vorgehensweise bei Custom Audiences näher an.

Wie funktionieren Custom Audiences?

Schritt 1 - Wir brauchen eine Liste

Dafür gibt es üblicherweise zwei Wege, einer führt über den Facebook-Pixel auf Deiner Homepage. Damit bekommst Du Custom Audience Gruppen von Besuchern bestimmter Unterseiten Deiner Homepage. Aber darauf möchte ich hier gar nicht näher eingehen. Was das Datenschutzrecht angeht, sehe ich keinen Unterschied zu dem im folgenden beschriebenen Verfahren. Auch Deine Besucher müsstest Du vor dem Einsatz des Facebook-Pixels informieren und sie müssten dem zugestimmt haben (aber das habe ich ja bereits an anderer Stelle erläutert).

Wir möchten also eine Liste aller Facebook-Profile aus einer ausgesuchten Liste von Kunden erstellen, eine sogenannte "Custom Audience".

Dafür lädst Du Dir eine Vorlagendatei bei Facebook herunter. In diese trägst Du die Daten Deiner Kunden ein. Zum Beispiel per Export aus Deiner Warenwirtschaft oder dem Marketing-Tool Deiner Wahl - einige bieten hier Schnittstellen, um direkt eine Custom Audience bei Facebook zu erstellen.

Damit der Abgleich klappt, brauchst Du insbesondere die E-Mail Adressen und Telefonnummern Deiner Kunden. Diese werden später mit den gespeicherten Daten bei Facebook verglichen und die Profile so identifiziert. Das alles bereitest Du als CSV- oder Text-Datei für den Upload vor.

Schritt 2 - Der Upload zu Facebook

Diese Datei lädst Du zu Facebook hoch. Dabei gibt Facebook an, dass die Daten lokal in Deinem Browser "verschlüsselt" (gehasht) werden:

Deine Kundenliste wird lokal in deinem Browser verschlüsselt und dann an Facebook gesendet. Dort wird sie mit unserer bestehenden Liste der gehashten IDs unserer Nutzer verglichen. Die Übereinstimmungen werden dann zu deiner Custom Audience hinzugefügt.

Schritt 3 - Facebook gleicht die Daten ab

Facebook nimmt jetzt einen Abgleich der Daten vor und erstellt die Custom Audience (im Prinzip eine Gruppe von Facebook-Accounts), die Du später als Ziel für Werbung verwenden kannst.

Schritt 4 - Wir schalten zielgerichtete Werbung

Jetzt kannst Du zielgerichtet Werbung für diese Gruppe Deiner Kunden (Custom Audience) erstellen. Der Trick besteht natürlich darin, wie bereits beschrieben, nicht immer alle Deine Kunden hochzuladen. Sondern mehrere Gruppen insbesondere nach Interessenslagen zu unterteilen und mit konkreten Angeboten zu bewerben (z.B. "bestehende Kunden", "Interessent für XYZ", "Käufer von ABC").

Wo liegt das Problem?

Das Problem ist, dass die Verschlüsselung keine echte Anonymisierung der Daten ist. Denn damit handelt es sich wieder um personenbezogene Daten - und die fallen unter die DSGVO.

Wie funktioniert Hashing?

Hashing ist eine Einwegfunktion. Aus einem Text (String) berechnet Sie einen anderen Text (oder Zahl). Diese Operation ist mit Informationsverlust behaftet und nicht umkehrbar. Aus "herbert@mueller.de" wird z.B. "A4D3" (vereinfachte Darstellung, das von Facebook verwendete SHA-256 generiert immer 64 Zeichen als Ergebnis - SHA256("") = e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855). Eine gute Hash-Funktion zeichnet sich jetzt dadurch aus, dass sie für einen anderen String wie "dieter@meier.de" auch ein anderes Ergebnis liefert - z.B. "N3D5".

Aus "A4D3" kann erst einmal niemand den Text "herbert@mueller.de" wiederherstellen (plump ausgedrückt, es fehlen ja ein paar Zeichen) und es könnte theoretisch sein, dass ein zweiter Text ("thomas@hagedorn.de") ebenfalls gehasht das gleiche Ergebnis ("A4D3") liefert (was eben bei guten Hash-Funktionen im sinnvollen Textbereich nahezu ausgeschlossen - aber möglich - ist).

Wir haben also eine Kundenliste

1 herbert@mueller.de> weitere Daten Müller
2 dieter@meier.de> weitere Daten Meier

die wird im lokalen Browser auf unserem Rechner verschlüsselt und an Facebook übertragen

1 A4D3 weitere Daten Müller
2 N3D5 weitere Daten Meier

Facebook hat jetzt folgende Tabelle, mit der es unsere Einträge abgleicht.

1 A4D3 herbert@mueller.de> Profil von Herbert Müller
2 N3D5 dieter@meier.de> Profil von Dieter Meier

Beim Abgleich findet Facebook "A4D3" (aus unserer Tabelle) = "A4D3" (aus ihrer Tabelle) = Profil von Herbert Müller (auf Facebook) und fügt dieses Profil zur neuen Custom Audience hinzu.

Selbst wenn bei Facebook also die Spalte mit den E-Mail Adressen wirklich fehlen sollte (was sie nicht tut, da wir sie ja im Facebook-Profil aufrufen können und auch Benachrichtigungen bekommen etc.), werden an dieser Stelle wieder Daten mit eindeutig auf einzelne Personen identifizierbaren Profilen verknüpft (z.B. Hash-Wert der E-Mail mit der Profil-ID und dem Namen im Profil).

Daran stört sich das Gericht

Gehashte E-Mail Adresse sind personenbezogene Daten

"Gehashte E-Mail-Adressen" hat das Verwaltungsgericht explizit als personenbezogene Daten definiert. Dies wiederum finde ich korrekt, da es sich in diesem Kontext nicht wirklich um eine vollständige, nicht umkehrbare Anonymisierung handelt (wie oben gezeigt). Wenn wir es mit personenbezogenen Daten zu tun haben, greift natürlich automatisch die DSGVO.

Das Verwaltungsgericht sieht kein berechtigtes Interesse

Zwei wichtige Werkzeuge in unserem Koffer beim Umgang mit der DSGVO sind immer die "Einwilligung" und das "berechtigte Interesse". Ein "berechtigtes Interesse" des Werbetreibenden wurde in diesem Fall vom Verwaltungsgericht aber eindeutig verneint. Das Gericht läßt hier das "berechtigte Interesse" des Werbetreibenden nicht gelten (4)(5), da "eine im Einzelfall einzuholende Einwilligung des Betroffenen, [z.B. im] Rahmen eines Bestellvorgangs, ohne unverhältnismäßigen Aufwand gewahrt werden" kann. Das Thema "berechtigtes Interesse" ist damit also durch.

Bleibt die Einwilligung der betroffenen Person

Für die Rechtmäßigkeit der Verarbeitung (Artikel 6 DSGVO) bleibt uns also nur noch Absatz 1 a), die Einwilligung der betroffenen Person - alle anderen Gründe des Artikel 6 sehe ich beim besten Willen nicht.

Fazit

Wenn das "berechtigte Interesse" laut Verwaltungsgericht entfällt, solltest Du Facebook Custom Audience nur mit Einwilligung der betroffenen Person einsetzten.

Hierfür gilt es insbesondere Artikel 7, 12 und 14 der DSGVO zu beachten. Also wie Du vermutlich bereits weißt, die Einwilligung freiwillig, transparent, in klarer Sprache und nicht mit anderen Angeboten gekoppelt auszuarbeiten. Und zwar BEVOR Du Facebook Custom Audiences einsetzt. Oder anders gesagt - und bitte nicht den Boten köpfen - bestehende Facebook Custom Audiences solltest Du löschen.

Die gute Nachricht: Mit transparenter, freiwilliger und informierter Einwilligung sehe ich keinen Grund, warum Du Facebook Custom Audiences nicht einsetzten solltest. Dir also viel Erfolg beim Bewerben Deiner Zielgruppen.

Hier noch der Original-Text des Beschlusses des Verwaltungsgericht Bayreuth:

1. Das Hochladen von gehashten E-Mail-Adresslisten an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks und gehashten Daten und der Erstellung einer Ausgangsaudience für Werbezwecke ist nach BDSG rechtswidrig, wenn keine Einwilligung des Betroffenen gegenüber demjenigen vorliegt, der die gehashten Daten hochlädt. (Rn. 41 – 70) (redaktioneller Leitsatz)

2. Gehashte E-Mail-Adressen sind personenbezogene Daten gem. § § 3 Abs. 1 BDSG, da das Hashen keine Anonymisierung darstellt. (Rn. 45) (redaktioneller Leitsatz)

3. Die Weitergabe der gehashten E-Mail-Adressen ist eine Übermittlung an Dritte iSd § 3 Abs. 8 S. 3 BDSG (hier sog. Funktionsübertragung) und keine Auftragsdatenverarbeitung gem. § 11 BDSG, wenn der Empfänger über bloße technische Hilfsfunktionen hinaus mit einem eigenen Wertungs- und Entscheidungsspielraum tätig wird. (Rn. 47 – 51) (redaktioneller Leitsatz)

4. Das Listenprivileg des § 28 Abs. 3 S. 3, S. 4 BDSG findet beim Hochladen gehashter E-Mail-Adresslisten keine Anwendung. Dies verstößt nicht gegen Unionsrecht, da auf § 28 Abs. 1 S. 1 Nr. 2 BDSG zurückgegriffen werden kann (Interessenabwägung). (Rn. 54 – 60) (redaktioneller Leitsatz)

5. Auch die Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG kann die Übermittlung der gehashten E-Mail-Adressen nicht rechtfertigen. Das berechtigte Interesse der verantwortlichen Stelle an der Übermittlung gehashter E-Mail-Adressdaten kann auch durch eine im Einzelfall einzuholende Einwilligung des Betroffenen, zB Rahmen eines Bestellvorgangs, ohne unverhältnismäßigen Aufwand gewahrt werden. Demgegenüber stehen die überwiegend schutzwürdigen Persönlichkeitsrechte des Betroffenen. (Rn. 61 – 65) (redaktioneller Leitsatz)

Disclaimer

Ich bin zertifizierter Datenschutzbeauftragter (IHK) und war lange Jahre als externer Datenschutzbeauftragter tätig - ich bin aber kein Rechtsanwalt.

Meine Artikel stellen daher ausschließlich meine persönliche Meinung und keine Rechtsberatung dar. Eine Rechtsberatung ist in Deutschland nach dem Rechtsdienstleistungsgesetz zudem im Wesentlichen nur Rechtsanwälten, Rechtsbeiständen, Steuerberatern und Patentanwälten erlaubt.

Ich bemühe mich immer genügend Quellenangaben mitzuliefern, damit Du Dir eine eigene Meinung bilden kannst. Wenn doch noch Zweifel bleiben sollten, empfehle ich Dir einen Fachanwalt für Datenschutzrecht hinzuzuziehen.