Aktuell und heiß diskutiert: die Custom Lookalike Audiences. Hier erfahren Sie, was Lookalike Audiences sind, wie diese funktionieren und wie sie datenschutzrechtlich einzuordnen sind.
Facebooks Custom Lookalike Audiences und Datenschutz
Einführung: Custom Lookalike Audiences
Zur Steigerung der sogenannten persönlichen Reichweite gibt es das Instrument der Lookalike Audiences. Lookalike Audiences sind Zwillingszielgruppen und dienen der Neukundengewinnung. Ausgehend von der bestehenden Source Audience, also der Custom Audience aus Pixel-Daten oder Fans der Unternehmens-Fanpage, kann man nun eine neue Audience erstellen, die der Source Audience in demografischen Daten und Interessen ähnelt. Personen, mit denen noch keine geschäftliche Kontakte bestanden, die jedoch ein ähnliches Interessenprofil wie Bestandskunden haben, sollen daher durch Anzeigen als potentielle Kunden gewonnen werden.
Diese Zielgruppenfunktion ist aber nicht nur auf Facebook begrenzt, sondern kann vielmehr auch auf anderen Social Media-Kanälen wie beispielsweise Instagram angewandt werden. Wichtig ist, dass nur dann eine Lookalike Audience erstellt werden kann, wenn man „Inhaber“ der Ausgangsquelle, der sogenannten Source Audience, ist.
Unabhängig von der konkreten Zielsetzung können Lookalike Audiences vielfach eingesetzt werden, wie beispielsweise um mehr Käufe, Downloads oder Traffic zu generieren. Dabei steht dem Ersteller der Lookalike Audiences ein großer Spielraum zu. Nach Angabe der Source Audience bestimmt der Ersteller den Ort, auf den abgezielt werden soll, und danach die Größe seiner Zielgruppe. Jedoch wird die Ähnlichkeit der Profile proportional zu einer ansteigenden Größe der Reichweite geringer.
Viele Werber greifen auf dieses Instrument zum Marketing zurück, um Werbekosten durch Steuerverluste zu senken, indem gezielt Personen mit einem vermuteten Interesse an der Werbung beworben werden.
Facebook Custom Audience über die Kundenliste
Die am häufigsten verwendete Methode der Facebook Lookalike Audiences funktioniert über die Kundenliste. Der Werbende verwendet eine Liste mit Kundendaten wie der E-Mail-Adresse als Grundlage der Lookalike Audience. Dafür lädt er diese bei Facebook hoch, indem die Daten der Kunden im Browser durch das Verfahren „Secure Hash Algorithm 256“ gehasht und anschließend verschlüsselt an Facebook übermittelt werden. Dort kommt es zu einem Abgleich der Hashwerte durch Facebook mit vorhandenen Nutzerdaten. Zusätzlich erlangt Facebook Kenntnis von der Nutzung der sozialen Medien einzelner Betroffener. Nun werden die Übereinstimmungen zu einer Custom Audience zusammengefasst und für den Werbenden gespeichert.
Facebook Custom Audience Pixel-Verfahren
Neben der Möglichkeit der Erstellung einer Lookalike Audience mittels Kundenliste steht Werbenden noch die Alternative des Pixel-Verfahrens zur Verfügung. Bei diesem Verfahren ist die Webseite der Ausgangspunkt. Der Seitenbetreiber verwendet einen unsichtbaren Pixel, indem er ihn als Code auf die Webseite einbindet. Dieser Pixel erkennt Wiederkehrer und erstellt von ihnen ein pseudonymes Nutzungsprofil, wodurch Facebook die Besucher der Webseite erkennt und ihnen künftig Werbeanzeigen des Webseiten-Inhabers anzeigt.
Datenschutzrechtliche Einordnung
Bei der rechtlichen Einordnung der Custom Lookalike Audiences ist eine differenzierte Ansicht nach den verschiedenen Verfahren vorzunehmen.
Das Pixel-Verfahren
Das Pixel-Verfahren ist aus datenschutzrechtlicher Hinsicht im Ergebnis nicht als rechtswidrig einzuordnen. Im Datenschutzrecht gilt allgemein das Prinzip des Verbots mit Erlaubnisvorbehalt: danach ist eine Datenverarbeitung grundsätzlich immer rechtswidrig, es sei denn die Verarbeitung geschieht im Rahmen einer rechtlichen Erlaubnis. Bislang wurde vertreten, dass es unter die Erlaubnisnorm § 15 Abs. 3 Telemediengesetz (TMG) fällt. § 15 Abs. 3 TMG erlaubt Dienstanbietern die Erstellung pseudonymer Nutzungsprofile für Zwecke der Werbung, Marktforschung oder bedarfsgerechten Gestaltung von Telemedien. Allerdings hat der Betroffene ein Widerspruchsrecht in Bezug auf die Nutzung seiner Daten, über das er informiert werden muss. Dafür ist eine Opt-Out-Lösung im Rahmen der Datenschutzerklärung heranzuziehen, um dem Betroffenen einen Widerspruch zu ermöglichen.
Folgende Inhalte muss der Hinweis über die Custom Audiences enthalten:
- Zweck der Datenverarbeitung
- Art der betroffenen personenbezogenen Daten
- Rechtsgrundlage der Datenverarbeitung (Art. 6 Abs. 1 lit. f) DS-GVO)
- Benennung des berechtigten Interesses
- Einsatz eines Tracking-Verfahrens
- Möglichkeit eines Opt-Out-Verfahrens
Jedoch liegt folgende Problematik vor: Ursprünglich wollte der europäische Gesetzgeber neben der DS-GVO am 25. Mai 2018 auch die ePrivacy-VO einführen. Dadurch bezweckte er ein einfacheres Zusammenspiel der aktualisierten europäischen Regelungen im Rahmen des Datenschutzrechts und der elektronischen Kommunikation. Allerdings blieb die ePrivacy-VO im Gesetzgebungsstadium aufgrund politischer Differenzen stecken.
Die ePrivacy-VO wird die ePrivacy-Richtlinie ablösen, welche wiederrum durch die nationalen Gesetze Telemediengesetz und Telekommunikationsgesetz umgesetzt werden. Die ePrivacy-VO entfaltet unmittelbare Wirkung, jedoch herrscht bislang noch ein Schwebezustand. Unternehmen stehen vor der Frage, ob neben der DS-GVO auch das TMG zu beachten ist. Nur dann kann § 15 Abs. 3 TMG eine Erlaubnisnorm für das Pixelverfahren darstellen.
Exkurs: Anwendbarkeit des Telemediengesetzes
Hinsichtlich des Telemediengesetzes kann festgestellt werden, dass der Gesetzgeber keine Änderungen am TMG vorgenommen hat, womit das Gesetz in erste Linie in Kraft bleibt.
Das Beratungsorgan der Datenschutzaufsichtsbehörden in Deutschland, die Datenschutzkonferenz (DSK), hat nun zu dieser Problematik Stellung genommen:
Die DS-GVO genießt Anwendungsvorrang. Die datenschutzrechtlichen Regelungen aus dem TMG könnten aufgrund von Kollisionsvorschriften, Umsetzungsauftrags oder einer Öffnungsklausel aus der DS-GVO vorrangig anwendbar sein. Art. 95 DS-GVO ist eine Kollisionsregel der DS-GVO zur ePrivacy-VO, womit die Grundsätze der ePrivacy-Richtlinie weiterhin gelten können. Diese Kollisionsregel findet nach Auffassung der DSK aber nicht auf den 4. Abschnitt des TMG Anwendung. Grund dafür ist, dass der 4. Abschnitt Umsetzungsregelungen der inzwischen aufgehobenen Datenschutzrichtlinie enthält und damit bereits durch den Anwendungsbereich der DS-GVO reformiert wurde. In der Konsequenz können die §§ 12, 13 und 15 TMG nicht mehr angewandt werden. §§ 12 ff. TMG regeln die Beurteilung der Rechtmäßigkeit der Reichweitenmessung und des Einsatzes von Tracking-Mechanismen. Diese Lücke wird nicht durch entsprechende Anwendung der ePrivacy-Richtlinie geschlossen, ferner greift nur die DS-GVO. Mithin ist taugliche Rechtsgrundlage für eine Datenverarbeitung somit Art. 6 Abs. 1 DS-GVO. Auch gelten die Grundsätze für die Datenverarbeitung nach Art. 5 DS-GVO verbindlich.
Tracking-Mechanismen dienten der Untersuchung von Nutzern im Internet oder der Erstellung von Nutzerprofilen, darunter fiele auch der Einsatz von Cookies. Würden Tracking-Mechanismen eingesetzt, bedürfe es nach neuster Ansicht der DSK aufgrund der unmittelbaren Geltung der DS-GVO auf Verarbeitungen der elektronischen Kommunikation einer DS-GVO-konformen Einwilligung des Betroffenen. Nach Art. 7 DS-GVO müsse der Betroffene die Einwilligung abgeben, bevor es zur Datenverarbeitung komme und zu diesem Zweck umfassend informiert werde.
Danach sollte die Verarbeitung derzeit nicht mehr auf § 15 Abs. 3 TMG gestützt werden.
Kritik an dieser Auffassung
Allerdings ist der gezogene Schluss der DSK nicht unproblematisch. Die bloße Anwendbarkeit der DS-GVO bedeutet nicht zwingend, dass eine Datenverarbeitung nur auf eine rechtskonforme Einwilligung nach Art. 7 DS-GVO gestützt werden kann. Vielmehr könnte eine Datenverarbeitung von einem anderen Rechtfertigungsgrund wie Art. 6 Abs. 1 lit. f) DS-GVO getragen werden. Danach ist eine Datenverarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. Maßgeblich ist also, ob der Einsatz von Cookies und anderen Tracking-Mechanismen von einem berechtigten Interesse gerechtfertigt werden kann. Der Begriff des berechtigten Interesses wird weit gefasst, so dass Direktwerbung und Marktforschung darunter fallen. Jedoch ist bislang unklar, ob für die Wahrung dieser Interessen auch die Verwendung von Werbe-Tools erforderlich ist oder nicht vielmehr ein milderes Mittel gleich geeignet ist. Diesbezüglich ist die Rechtslage noch unsicher. Nach Auffassung der DSK überwiegen bei einer Abwägung der Interessen beider Parteien stets die Betroffeneninteressen, sodass Art. 6 Abs. 1 lit. f) DS-GVO effektiv gesehen nicht eingreift und somit keine Rechtsfertigungsnorm darstellt.
Für die rechtssichere Verwendung der Nutzerdaten für das Pixel-Verfahren bedürfte es entsprechend einer informierten Einwilligung. Diese müsste idealerweise bereits bei Erheben des Datums eingeholt werden.
Das Listen-Verfahren
Bei den Custom Lookalike Audiences mittels Listen-Verfahrens hingegen sieht es etwas anders aus: eine Erlaubnisnorm greift hier nicht ein, sodass der Webseitenbetreiber auf eine rechtskonforme Einwilligung zur Datenverarbeitung angewiesen ist. Anderenfalls ist die Datenverarbeitung nicht gerechtfertigt. Widerruft der Betroffene also seine Einwilligung, so entfällt damit die Rechtsgrundlage, die Datenverarbeitung darf nicht weiter vorgenommen werden, der Nutzer ist von der Kundenliste zu streichen und Facebook über den Widerruf zu informieren.
Auch im Übrigen stellen sich in Bezug auf das Listen-Verfahren mehrere Fragen. Die bayerische Datenschutzbehörde ist der Auffassung, dass das verwendete SHA-265-Verfahren, mittels dem personenbezogene Daten gehasht und verschlüsselt an Facebook gesendet werden, kein geeignetes Anonymisierungsverfahren darstellt. Ein Anonymisierungsverfahren macht datenschutzrechtlich gesehen nur dann Sinn, wenn durch das Verfahren ausgeschlossen werden kann, dass die einzelnen Daten einer natürlichen Person zugeordnet werden können. Bei dem SHA-265-Verfahren kann dies aber nicht gewährleistet werden, da weiterhin trotz Hashing ein Rückschluss auf einen konkreten Nutzer von Facebook möglich ist. Facebook benutzt hinsichtlich der Verschlüsselung der E-Mail-Adressen von Facebook-Nutzern und denen der Custom Audience das gleiche Verfahren, so dass durch einen Vergleich der Hashwerte festgestellt werden kann, welcher Facebook-Nutzer auch Kunde in der Custom Audience ist. Diese Feststellung des Personenbezugs stellt also gerade keine Anonymisierung dar. Auch befürchtet die Datenschutzbehörde eine mögliche Zurückrechnung des Klartexts mittels der Brute-Force-Methode, wodurch die personenbezogenen Daten für Facebook letztendlich nicht verschlüsselt sind. Dass damit kein ausreichender Datenschutz gewahrt wird, ist offensichtlich.
Und was nun?
Festzuhalten bleibt, dass die Custom Lookalike Audiences datenschutzrechtlich nicht unproblematisch sind. Während die DSK kürzlich noch der Auffassung war, es bedürfe in Bezug auf das Pixel-Verfahren keiner Einwilligung als Rechtfertigungsgrund, so änderte sie ihre Meinung mit Veröffentlichungen wie „EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreiber“ und „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ und sieht nun sowohl in Bezug auf das Listen-Verfahren, als auch auf das Pixel-Verfahren das Erfordernis einer DS-GVO-konformen Einwilligung.
Zwar strahlt die Auffassung der DSK keine rechtliche Bindungswirkung aus, allerdings ist sie auch nicht zu unterschätzen. Die Gerichte orientieren sich an den Einschätzungen der Aufsichtsbehörden und weichen nicht wesentlich von ihnen ab.
Bei der Nutzung von Custom Audiences sollte der Betroffene über deren Einsatz jedenfalls in der Datenschutzerklärung informiert werden. Während bei der Verwendung des Listen-Verfahrens eine Einwilligung des Betroffenen vorliegen muss, liegt in Bezug auf das Pixel-Verfahren bislang noch kein Erfordernis vor.
Das EuGH-Fanpage-Urteil
Nicht nur die Facebook Custom Lookalike Audiences sind aus der Perspektive des Datenschutzrechts höchst interessant, sondern auch das Urteil des EuGH in Bezug auf eine Fanpage auf Facebook sorgte für Aufmerksamkeit. Hintergrund des Rechtsstreits ist, dass weder der Betreiber einer Fanpage über Facebook noch Facebook Ireland Ltd selber den Nutzer der Fanpage über die von Facebook vorgenommenen Datenverarbeitungen in Form des Setzen von Cookies und der damit verbundenen Datenerhebung informiert haben. Der EuGH entscheid nun im Rahmen eines Vorabentscheidungsersuchens, dass der Betreiber der Fanpage neben Facebook mitverantwortlich für die Datenverarbeitung ist.
Eine gemeinsame Verantwortlichkeit von Dienstanbietern für Verarbeitungen personenbezogener Daten regelt Art. 26 DS-GVO. Konsequenz dessen ist die gemeinsame Haftung beider Verantwortlicher, sodass sie zusammen eine Vereinbarung zur Erfüllung ihrer Pflichten, wie beispielsweise der Informationspflichten, abschließen müssen. Danach müsste Facebook dem Fanpage-Betreiber diverse Informationen über die Datenverarbeitungen offenlegen, damit letzterer seinen Informationspflichten nachkommen kann. Inwiefern Facebook die Fanpage-Betreiber letztendlich dahingehend unterstützen wird, bleibt abzuwarten.