Ist die Zustimmung der Betroffenen erforderlich, um auf Facebook zu werben?

Gute Neuigkeiten! Seit Ende Mai bietet Facebook einen Datenverarbeitungsvertrag für seinen Werbedienst Custom Audiences an! Aber ist die Nutzung dieses Dienstes jetzt datenschutzrechtlich abgesichert, und dürfen Organisationen diesen Dienst nun ohne die Zustimmung ihrer Kunden und Besucher nutzen? Leider ist die Antwort noch nicht ganz klar.

Über Facebook Custom Audiences können Unternehmen ihren eigenen Kunden oder Besuchern Werbung auf Facebook zeigen. Sie laden Daten ihrer Kunden oder Besucher auf Facebook hoch, wie Name, Adresse, Geburtsdatum, Telefonnummer, E-Mail-Adresse oder eindeutige Kennung aus einem Facebook-Cookie. Sie laden die Daten in einem geänderten Format (Hashed Data) hoch. Facebook macht das Hashing auf seinen Servern rückgängig und findet die entsprechenden Facebook-Accountdaten. So kann Facebook die Anzeige auf dem persönlichen Profil des Kunden oder Besuchers der Werbeorganisation anzeigen. Wenn Sie dachten, Hashing sei ein Prozess der Anonymisierung, denken Sie bitte noch einmal darüber nach. Die Art und Weise, wie das Hashing von Facebook implementiert wurde, ist lediglich eine Sicherheitsmaßnahme bei der Übertragung der persönlichen Daten.

Im November letzten Jahres hat der niederländische Verbraucherschutzbund Alarm geschlagen (auf Niederländisch). Nach Angaben des Verbraucherschutzbundes durften die Organisationen diesen Service nicht ohne vorherige Zustimmung der Kunden bzw. Besucher nutzen. Die Organisation untersuchte 17 niederländische Unternehmen und stellte fest, dass keiner von ihnen um eine gesonderte Zustimmung gebeten hatte. Die niederländische Datenschutzbehörde bestätigte, dass dies damals nicht erlaubt war (auf Niederländisch). Die Inserenten konnten sich nicht auf den Rechtsgrund des berechtigten Interesses berufen, und Facebook bot keinen Datenverarbeitungsvertrag an, in dem die Verarbeitung für eigene Zwecke ausgeschlossen wurde.

Neue Datenverarbeitungsvereinbarung seit dem 25. Mai

Facebook hat jedoch seine Datenschutzrichtlinie geändert, um der Datenschutz-Grundverordnung (DSGVO) zu entsprechen. Seitdem bietet Facebook Organisationen in der EU eine separate Datenverarbeitungsvereinbarung für Custom Audiences an. Ein Datenverarbeiter darf die personenbezogenen Daten nur für die Zwecke verarbeiten, die in den Anweisungen der verantwortlichen Organisation (des für die Verarbeitung Verantwortlichen) dokumentiert sind. Und eben nicht für selbstbestimmte Zwecke. Normalerweise verarbeitet Facebook alle persönlichen Daten, die es über Menschen sammelt, sowie alle persönlichen Daten, die Menschen selbst Facebook zur Verfügung stellen, für alle in seiner Datenrichtlinie genannten Zwecke. Diese Zwecke umfassen die Verwendung aller Daten in Profilen, um personalisiertere Anzeigen zu schalten, aber auch die Verwendung aller Daten für den Fang aller Zwecke der Produktforschung und -entwicklung. Da es sich dabei um so viele verschiedene Arten von personenbezogenen Daten handelt, einschließlich hochsensibler Daten, birgt die kommerzielle Nutzung von Facebook für die betroffenen Personen ("die Betroffenen") ein erhebliches Datenschutzrisiko.

Verarbeitung mit hohem Risiko

In seinem regulären Werbeprozess nutzt Facebook jede Entscheidung des Werbetreibenden, z.B. ob er Personen aus einer Zielgruppe einbezieht oder ausschließt, um die entsprechenden Nutzerprofile anzureichern. Facebook bietet Unternehmen die Möglichkeit, bestimmte Zielgruppen auszuschließen. Diese Nutzung der Daten durch Facebook kann zu einer Stigmatisierung führen. Dies kann z.B. der Fall sein, wenn Facebook eine Person als Betroffenen einer ("interessiert an") gruseligen Krankheit profiliert, wenn dieser Person eine relativ unschuldige Anzeige als bestehender Kunde einer Wohltätigkeitsorganisation gezeigt wurde. Es kann auch zu Benachteiligungen führen, wenn andere Organisationen diese Person von bestimmten Angeboten ausschließen, und zu unfairer Beeinflussung, wenn bestimmte politische Botschaften dieser Person vorenthalten werden. Viele dieser Risiken können vermieden werden, wenn Facebook nur als Datenverarbeiter für das benutzerdefinierte Publikum fungiert. Natürlich können einzelne Werbetreibende auch unfaire Nachteile, unzulässige Beeinflussung oder diskriminierenden Ausschluss von Personen verursachen, aber zumindest würden diese negativen Folgen auf Facebook nicht auf alle anderen Werbetreibenden ausgedehnt.

Bitte beachten Sie: Für andere Werbemöglichkeiten, wie z.B. Werbung auf vergleichbaren ("look a like") Zielgruppen, und für die regelmäßige Auswahl auf Werbepublikum, darf Facebook niemals als Datenverarbeiter fungieren. Im Hinblick auf die regulären Werbeformen bestimmt Facebook selbst den Zweck und die Art der Verarbeitung und ist somit ein Datenverantwortlicher.

Wenn sie also die neue Datenverarbeitungsvereinbarung akzeptieren, können sich Organisationen dann auf die rechtliche Grundlage ihres berechtigten Interesses verlassen, um ihren Kunden und Website-Besuchern gezielte Werbung auf Facebook zu zeigen? Die Antwort ist leider nicht so einfach, und leider kein einfaches Ja oder Nein.

Der Rechtsgrund des berechtigten Interesses

Der Rechtsgrund des berechtigten Interesses ist einer der sechs Rechtsgründe, die es Organisationen erlauben, personenbezogene Daten zu verarbeiten. Dieser Rechtsgrund (Art. 6 Abs. 1 DSGVO) besteht aus drei Teilen.

  1. Wenn der Zweck (bzw. das Interesse) legitim ist. Das bedeutet: nicht verboten oder unmöglich zu verwirklichen.
  2. Wenn die Verarbeitung auf diese Weise wirklich notwendig ist. Das bedeutet: Wenn Sie nicht zu viele oder zu sensible Daten verarbeiten, die das Recht auf Privatsphäre der Betroffenen (Betroffenen) zu stark beeinträchtigen. Rechtlich gesehen: Wenn Sie die Grundsätze der Verhältnismäßigkeit und Subsidiarität einhalten.
  3. Wenn die Verarbeitung den einzelnen Menschen nicht zu sehr schadet und Sie Gegenmaßnahmen Sie ergreifen, um solche Schäden zu vermeiden.

Freie Marktwirtschaft

Die Verwendung personenbezogener Daten zum Versenden von Anzeigen, auch Direktmarketing genannt, wird seit der Einführung der bisherigen europäischen Datenschutzrichtlinie ausdrücklich als berechtigtes Interesse anerkannt. In einer freien Marktwirtschaft ist es unerlässlich, dass Organisationen sowohl ihre bestehenden Kunden als auch potenzielle neue Kunden über ihre wettbewerbsfähigen Dienstleistungen informieren können. Andernfalls würden sie nie in der Lage sein, Menschen für ihre neuen Produkte zu gewinnen, und die Menschen könnten nicht zu einer kundenfreundlicheren Organisation wechseln. In der DSGVO wird das berechtigte Interesse an der Durchführung von Direktmarketing im gesonderten Erwägungsgrund, Nr. 47, erwähnt.

Um sich auf den Rechtsgrund des berechtigten Interesses verlassen zu können, reicht es jedoch nicht aus, ein berechtigtes Interesse zu haben. Das Unternehmen muss auch die beiden anderen Elemente der Verhältnismäßigkeitsprüfung bestehen. Dies kann nur unter Berücksichtigung aller Umstände des Einzelfalles beurteilt werden, wie z.B. der Art der personenbezogenen Daten, der Häufigkeit des Marketings, des Alters der Empfänger, der Verständlichkeit der den Empfängern über das Marketing zur Verfügung gestellten Informationen und auch der Verfügbarkeit eines einfachen Opt-out. Um nur ein Beispiel zu nennen: Sie werden sich wahrscheinlich nicht auf Ihr legitimes Interesse verlassen können, wenn Sie ein Hersteller von Damenbinden sind und gezielte Postwerbung an 11-jährige Mädchen schicken. Das ist tatsächlich in den Niederlanden passiert! (Artikel auf Niederländisch).

Unterschiedliche Regeln für Post, Telefonie und Internetmarketing

Organisationen, die Direktmarketing betreiben wollen, müssen die unterschiedlichen Regeln für die verschiedenen Kanäle, die in der ePrivacy-Richtlinie und der DSGVO enthalten sind, berücksichtigen. Insgesamt waren und sind sie im Rahmen der DSGVO und der ePrivacy-Regeln berechtigt, unerbetene Postwerbung zu versenden und unerbetene Telemarketing-Anrufe zu tätigen, solange die Belästigung begrenzt ist und die Verletzung des Rechts auf Schutz der Rechte und Interessen der Empfänger nicht nennenswert ist. Wenn Unternehmen jedoch Identifikatoren aus den Tracking-Cookies oder Pixel von Facebook verwenden möchten, müssen sie zunächst die potenziellen Kunden oder Besucher um Zustimmung bitten, diese Daten zu lesen. In diesem Moment müssen sie auch gesondert um Zustimmung bitten, diese Daten zu nutzen, um gezielte Werbung auf Facebook zu schalten. In Deutschland sieht das hingegen etwas anders aus: laut § 7 Abs. 2 Nr. 2 UWG ist eine unzumutbare Belästung von Kunden fast immer anzunehmen.

Schießerei im O.K. Corral

Es ist möglich, den Custom Audience Service auf Facebook als digitalen Nachfolger der Briefposteinwürfe und Werbepost zu betrachten. Aber das würde nur gelten, wenn Facebook, wie der Postbote, den Inhalt der Nachricht nicht scannen würde und keine Aufzeichnungen über die Art der Post, die Häufigkeit und die Absender führen würde. Das könnte der Fall sein, wenn Facebook nur als Datenverarbeiter fungiert. Aber es ist nicht klar, ob dies der Fall ist. Der neue Vertrag über die Datenverarbeitung erwähnt ausdrücklich eine Reihe von Aktivitäten, die Facebook nicht durchführen wird, aber das ist nicht dasselbe wie eine einschränkende Liste von Zwecken, die der Datenverantwortliche definiert hat. Darüber hinaus sollten Organisationen in der Lage sein, dem jährlichen Audit, das Facebook zu organisieren verspricht, Fragen hinzuzufügen. Eine der Fragen, die es zu beantworten gilt, lautet: "Kann man vernünftigerweise ausschließen, dass Facebook die Daten für eigene Zwecke, wie die Verbesserung seiner Dienste, einschließlich des Testens neuer Dienste, und für Forschungszwecke verwendet?"

Um weiterhin sicherzustellen, dass das Interesse der Organisation die Rechte und Interessen der Empfänger überwiegt, müssen Organisationen auch ihre bestehenden Kunden aktiv über ihre Absicht informieren, Daten zu nutzen, um gezielte Werbung auf Facebook zu schalten, und die Möglichkeit, dieser Nutzung ihrer Daten leicht zu widersprechen. Darüber hinaus sollten Organisationen verhindern, dass sich einer der Empfänger wegen der Art der beworbenen Produkte oder Dienstleistungen schämt oder ausspioniert fühlt.

Es ist aber auch möglich, dass die niederländische Datenschutzbehörde an ihrem ursprünglichen Urteil festhält, dass die Nutzung von Custom Audiences nur nach vorheriger Zustimmung erlaubt ist, unabhängig davon, ob die Anzeigen auf neue oder bestehende Kunden ausgerichtet sind und unabhängig davon, wie die Daten erhoben wurden. Dieser Standpunkt wurde bereits von der Bayerischen Landesdatenschutzbehörde für den Datenschutz geäußert (auf Deutsch). Es ist die Frage, ob die anderen Aufsichtsbehörden zustimmen werden. Dies wird zweifellos zu einer atemberaubenden Schießerei im O.K. Corral (früher bekannt als die Artikel-29-Arbeitsgruppe) führen.

Author image
Sjoera Nas