Was, wenn beim Transport etwas schiefgeht?
Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.
Auch wenn die neuen sozialen Netzwerke wie TikTok auf dem Vormarsch sind und Facebook bei der Jugend immer weniger angesagt ist, bleibt der Riese aus dem Silicon Valley weiterhin ein wichtiges Mittel für das Marketing. Mit seinen Werbeverfahren wie Facebook Custom Audiences oder Lookalike Audiences bietet die Plattform eine Möglichkeit, die Werbung zielgerichtet zu schalten und damit Ihre Konversionsrate nach oben zu treiben. Doch sind diese Verfahren mit den geltenden datenschutzrechtlichen Vorgaben vereinbar? Welche Fragen sollen Sie sich stellen, bevor Sie auf die genannten Facebook Tools zugreifen? In dem aktuellen Rechtstipp der Woche erhalten Sie die passenden Antworten.
Was ist eine Custom Audience?
Unter Custom Audience versteht man eine erstellte Zielgruppe aus Facebook-Nutzern, an welche Sie Ihre Werbeanzeigen richten. Eine Custom Audience können Sie entweder mithilfe von Kundenlisten oder des Facebook Pixels kreieren.
Eine eigene Kundenliste lässt sich im Facebook-Konto des Unternehmens hochladen, und enthält Daten wie z.B. Name, E-Mailadresse, Telefonnummer, Wohnort etc. Sie wird mittels SHA256-Verfahren verschlüsselt. Im nächsten Schritt vergleicht Facebook diese Liste mit allen Facebook-Nutzern und kann so feststellen, welche Personen aus Ihrer Liste auch tatsächlich Facebook-Nutzer sind. Für diese können Sie dann Ihre Werbeanzeigen zielgerichtet freischalten.
Statt eine Kundenliste selbst hochzuladen, können Sie die Custom Audience mithilfe von Facebook-Pixel erstellen. Nachdem Sie den Pixel auf der Webseite eingebunden haben, analysiert dieser das Online-Verhalten Ihrer Kundschaft. Wenn eine Person zum Beispiel ein Produkt in den Warenkorb legt und den Bestellvorgang abbricht, bekommt Facebook diese Information und benutzt sie, um eine Werbeanzeige zu schalten.
Wie funktioniert Lookalike Audience?
Eine Lookalike Audience basiert auf der Custom Audience, geht jedoch einen Schritt weiter. Dabei werden Facebook-Nutzer ausfindig gemacht, deren Interessen und demografische Merkmale denen Ihrer Kundschaft ähneln, sodass Sie Ihre Zielgruppe dadurch vergrößern können.
In beiden Fällen verarbeitet Facebook jedoch Daten, die von Ihrer Kundschaft stammen, um die Audiences zu erstellen. Wie ist diese Verarbeitung datenschutzrechtlich zu bewerten?
Ist die Datenweitergabe durch Hashings unproblematisch?
Facebook hat sich in der Vergangenheit bei dem Hochladen von Kundenlisten auf das Hashing-Verfahren berufen, und behauptet, es sei dadurch möglich, den Personenbezug der Daten aufzuheben.
Beim Hashing findet die Umwandlung eines Datums in einen Wert oder Schlüssel mit fester Länge. Je nach angewandtem Verfahren kann der erstellte Hashwert unterschiedlich komplex sein.
Bedenken der Datenschutzbehörde
Die bayerische Datenschutzaufsichtsbehörde hatte diesbezüglich jedoch eine andere Ansicht. Sie sieht in dem von Facebook verwendeten Hashing-Verfahren kein geeignetes Anonymisierungsverfahren, welches einen Personenbezug der Daten aufheben kann. Diese Auffassung begründet sie damit, dass trotz Hashing ein Rückschluss auf einen konkreten Nutzer von Facebook immer noch möglich ist. Die Hashwerte der E-Mailadressen und Telefonnummern lassen sich laut der Datenschutzbehörde leicht auf die Ursprungswerte zurückrechnen.
Somit liegt ganz klar eine Verarbeitung der personenbezogenen Daten vor.
Auf welcher Rechtsgrundlage dürfen Sie die Daten verarbeiten?
Listenvariante
Geht es um die Erstellung einer Facebook Audience über die Kundenliste, fehlt es hier bis heute an einer klaren Regelung oder abschließenden Rechtsprechung.
Die einzig relevante Entscheidung zu dem Thema hat das VG Bayreuth am 08.05.2018 erlassen. Das Gericht war der Ansicht, dass beim Einsatz von Facebook Custom Audience über die sogenannte Kundenliste eine vorherige informierte Einwilligung des Betroffenen einzuholen ist. Zu erwähnen ist hier jedoch, dass diese Entscheidung noch auf der alten Rechtslage beruht. Die DSGVO hat seitdem einige Änderungen in den Bereich Datenschutz reingebracht.
Das Bayerische Landesamt für Datenschutzaufsicht hat sich dennoch ausdrücklich zu dem Einsatz der Listen-Variante positioniert und hält auch hier eine vorherige ausdrückliche Einwilligung der betroffenen Person für notwendig. Vor diesem Hintergrund empfehlen wir eine Einwilligung einzuholen, bevor Sie eine Lookalike oder Custom Audience mithilfe einer Kundenliste erstellen.
Pixel-Variante
Sofern Sie sich für die Pixel-Variante entschieden haben, sollen Sie wissen, dass es sich bei dem Facebook-Pixel um ein Tracking-Pixel handelt. Seit dem Planet 49 Urteil benötigen Sie für die Verwendung aller technisch nicht notwendigen Cookies eine ausdrückliche Einwilligung. Es spielt dabei keine Rolle, ob das Cookie oder die eingesetzte ähnliche Technologie personenbezogene Daten beinhaltet. Tracking- oder Affiliate-Cookies sind für die Funktion einer Webseite nicht notwendig und dürfen daher nur mit Einwilligung eingesetzt werden. Eine entsprechende Einwilligung lässt sich dabei bequem über ein Consent- Management Tool einholen. Der Trusted Shops Consent-Manager bietet Ihnen hierfür die perfekte Lösung. Diese Leistung ist in sämtlichen Legal-Produkten enthalten.
Datenschutzerklärung anpassen
Mit Einholung einer wirksamen Einwilligung ist das Thema Facebook Audience jedoch nicht abgeschlossen. Es sind noch die Informationspflichten nach Art. 13 und Art. 14 DSGVO zu erfüllen. Dafür müssen Sie in Ihrer Datenschutzerklärung klar und transparent über die Datenverarbeitung informieren.
Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?
Bereits das VG Bayreuth urteilte, dass Facebook bei der Verarbeitung der Kundendaten ein Ermessensspielraum zukommt, der weit über die Auftragsverarbeitung hinausgeht, da Facebook selbst noch in erheblichem Maße mittrackt. Nach der „Fashion ID“-Rechtsprechung zu Facebook Fanpages ist es auch naheliegend, die Erstellung von Custom- und Lookalike-Audiences als Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO zu beurteilen.
Daher ist hier ein Vertrag gem. Art. 26 DSGVO notwendig.
Datenübermittlung in die USA
Sofern Sie Daten in Länder außerhalb der EU bzw. des EWR übermitteln, für die die Europäische Kommission kein angemessenes Datenschutzniveau festgestellt hat, müssen Sie die Einhaltung eines hohen Datenschutzniveaus auf andere Weise sicherstellen. Zu solchen Ländern gehören unter anderem auch die USA. Die Zusammenarbeit mit Facebook muss sich also auf geeignete „Garantien“ stützen. Hierbei handelt es sich in der Regel um zusätzliche Vertragsbedingungen zum Datenschutz. Diese sind meistens in den Nutzungsbedingungen Ihrer Dienstleister enthalten. Beachten Sie bitte, dass Sie Ihre Datenübermittlung nach dem Schrems-Urteil nicht mehr auf den EU-US Privacy Shield stützen können.
Unser Tipp
Wenn Ihnen eine Custom oder Lookalike Audience immer noch verlockend erscheint, sollten Sie sich zuerst mit den datenschutzrechtlichen Anforderungen auseinandersetzen. Um rechtliche Risiken zu vermeiden ist es ratsam, immer eine Einwilligung von Ihrer Kundschaft einzuholen, bevor Sie eine Facebook Audience erstellen. Informieren Sie in der Datenschutzerklärung möglichst umfassend über die Datenverarbeitung und sorgen Sie bei der Datenübermittlung für die geeigneten Garantien. Denken Sie bitte letztendlich daran, dass die Verarbeitung unter gemeinsamer Verantwortlichkeit stattfindet.
Über die Autorin
Tetiana Popova ist Wirtschaftsjuristin und als Legal Consultant bei der Trusted Shops GmbH tätig. Ihr Bachelorstudium des Wirtschaftsrechts sowie Masterstudium des Medienrechts und Medienwirtschafts hat sie an der Technischen Hochschule Köln absolviert. Sie betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit den für Online-Shops relevanten Rechtsgebieten, wie Datenschutz- und E-Commerce-Recht auseinander.
27.05.21
