Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
clicksale
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
Flow Shopsoftware
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
SumUp
Teilehaber.de
Tentary
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
Zoho
ZVAB

Vorsicht: Die Nutzung von Facebook Custom Audiences ist datenschutzrechtlich problematisch - Was tun?

18.11.2022, 11:01 Uhr | Lesezeit: 5 min
Vorsicht: Die Nutzung von Facebook Custom Audiences ist datenschutzrechtlich problematisch - Was tun?

Mit dem Marketingtool Custom Audiences von Facebook können Händler potentielle Interessenten und Kunden ihrer Produkte oder Dienstleistungen recht zielgerichtet und somit vergleichsweise effizient bewerben. Allerdings ist der Einsatz des Tools datenschutzrechtlich problematisch und umstritten. Zwar werden personenbezogene Daten durch ein Hashing-Verfahren verfremdet, bevor sie verarbeitet werden. Doch findet nach Ansicht der Datenschutzbehörden dennoch eine Verarbeitung von personenbezogenen Daten statt, so dass datenschutzrechtliche Vorgaben zu beachten sind. Wir erläutern in diesem Beitrag, was beim Einsatz von Facebook Custom Audiences aus datenschutzrechtlicher Sicht zu beachten ist.

I. Was ist Facebook Custom Audiences?

Facebook Custom Audiences bezeichnet Zielgruppen, an die gezielt Werbung auf Plattformen wie Facebook oder Instagram ausgespielt werden kann. Eine solche Werbezielgruppe kann etwa durch Kundendaten oder ein sog. Facebook-Pixel erstellt werden. Bei letzterem werden Personen, die durch ihre Nutzung der Plattform ein bestimmtes Pixel ausgelöst haben, beispielsweise eine bestimmte Datei innerhalb der letzten zwei Wochen heruntergeladen haben, automatisch in die Kundenliste aufgenommen.

Bei ersterem ist die Besonderheit, dass die für die Erstellung einer Custom Audience relevanten Daten von dem werbenden Unternehmen bei Facebook hochgeladen werden können, um die Zielgruppe für die eigene Werbung zu bestimmen. Bei diesen Daten handelt es sich meistens um eine Liste von Bestandskunden samt den entsprechenden Kundendaten, wie etwa Email-Adressen oder Telefonnummern.

Banner Starter Paket

II. Werden im Rahmen von Facebook Custom Audiences personenbezogene oder anonyme Daten verarbeitet?

Ob es sich bei solchen Daten um personenbezogene Daten handelt, lässt sich auf den ersten Blick nicht eindeutig sagen. Denn Facebook benutzt bei der Erstellung von Custom Audiences das Hashing-Verfahren zur Maskierung von Daten und lehnt deshalb eine Einstufung der verwendeten (gehashten) Daten als personenbezogene Daten ab.

Um die datenschutzrechtliche Problematik bei Facebook Custom Audiences zu verstehen, muss man verstehen, was hinter dem Hashing-Verfahren steckt: Der Hashwert wird durch die sog. Hashfunktion berechnet und ist das Ergebnis der Umwandlung einer Datei (und dessen Inhalts) in eine bestimmte Zeichenfolge mit fester Länge. Den Vorgang dieser Umwandlung in einen, oft kürzeren, numerischen Wert bezeichnet man dabei als „Hashing“. Wichtig zu wissen ist außerdem, dass es sich bei der Hashfunktion um eine Einwegfunktion handelt, was bedeutet, dass aus dem erzeugten Hashwert nicht auf den ursprünglichen Inhalt geschlossen werden kann.

Man muss sich die Erstellung von Facebook Custom Audiences durch Kundendaten somit folgendermaßen vorstellen:

  • Das werbende Unternehmen hat die Möglichkeit, die Kundendaten, wie etwa Email-Adressen, in Facebook hochzuladen, allerdings nicht als Klartext, sondern in einer gehashten Form. In dieser Form ist es Facebook grundsätzlich auch nicht möglich, die originalen Klardaten, also Email-Adressen oder Telefonnummern zu ermitteln.
  • Nachdem die gehashten Daten an Facebook übermittelt worden sind, erfolgt durch Facebook ein Abgleich zwischen den übermittelten Hashwerten und den bereits bei Facebook vorhandenen Hashwerten aller Facebook-Nutzer, welche Facebook aus den von den Nutzern angegebenen Daten für sich berechnet. Eine eventuelle Übereinstimmung bedeutet somit, dass eine von dem werbenden Unternehmen aufgelistete Person bereits einen Facebook-Account besitzt und daher auf der Facebook-Plattform gezielt beworben werden kann. Diese Übereinstimmungen werden dann im Kunden-Account des werbenden Unternehmens als „Custom Audience“ gespeichert und die betroffenen Kunden dadurch zielgerichtet beworben.

Bei der Erstellung von Custom Audiences erhält Facebook aber letztlich Informationen darüber, welche Facebook-Nutzer – also welche konkreten, d.h. auch identifizierbaren Kunden von Facebook - auch zu dem Kundenkreis des werbenden Unternehmens gehören oder in dessen elektronische Werbung eingewilligt haben. Bei diesen Informationen handelt es sich um personenbezogene Daten, weshalb auch das vorgelagerte Hashing zu keiner wirklichen Anonymisierung führt.

III. Wieso wird Hashing auch nicht als taugliches Verfahren zur Anonymisierung von personenbezogenen Daten akzeptiert?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), also die bayerische Datenschutzbehörde, kam bereits in der Berichtsperiode 2013/2014 zu dem Ergebnis, dass jedenfalls das Hash-Verfahren MD5 im Allgemeinen ungeeignet ist, um personenbezogene Daten zu anonymisieren.

Dabei wurde u.a. argumentiert, dass die durch die Hashwerte vermeintlich anonymisierten personenbezogenen Daten mit einer sog. „Brute-Force-Attacke“ wiederhergestellt werden könnten. Etwas vereinfacht dargestellt handelt es sich bei einer solchen Attacke um ein Ausprobieren möglichst vieler Email-Adressen und/ oder Telefonnummern. So banal dies auch klingen mag, kann ein solcher Angriff sehr wohl zur De-Anonymisierung der gehashten Daten führen, da die durch das MD5-Verfahren gehashten Daten in der Regel nach einem ähnlichen Schema aufgebaut sind.

Auch noch später in den Jahren 2015 und 2016 hielt das BayLDA an seiner Auffassung fest und hatte sowohl die Verfahren der Kundenliste als auch die des Zählpixels als datenschutzrechtlich problematisch eingestuft.

IV. Ist eine datenschutzkonforme Nutzung von Facebook Custom Audiences überhaupt möglich?

Der Einsatz von Facebook Custom Audiences ist datenschutzrechtlich somit insgesamt zwar nicht unproblematisch. Händler können auf dieses Marketingtool aber dennoch zurückgreifen, wenn sie ein paar datenschutzrechtliche Aspekte im Blick behalten.

Eine Möglichkeit besteht darin, von den betroffenen Kunden eine datenschutzrechtliche Einwilligung hinsichtlich der Datenverarbeitung im Zusammenhang mit Facebook Custom Audiences einzuholen. Dabei sollte die Einwilligung – wie sämtliche datenschutzrechtlichen Einwilligungen – in transparenter Weise eingeholt und revisionssicher dokumentiert werden, um die rechtlichen Anforderungen an eine Einwilligung in die Weitergabe und Verarbeitung von Daten zu Werbezwecken bestmöglich zu erfüllen. Auch sollte nicht vergessen werden, die Datenschutzerklärung diesbezüglich anzupassen, insbesondere auch hinsichtlich des Hinweises auf die Widerrufsmöglichkeit des Kunden.

Ohne die Einwilligung der betroffenen Kunden ist das datenschutzrechtliche Risiko höher. Was es dann im Rahmen des sog. Pixelverfahrens zu beachten gibt, haben wir für unsere Mandanten bereits in einem früheren Beitrag zusammengetragen.

Die IT-Recht Kanzlei stellt ihren Mandanten zu diesem Thema zudem auch weitere Informationen, etwa auch die entsprechenden Datenschutzerklärungen zur Verfügung. Buchen Sie gerne noch heute eines unserer Schutzpakete!.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

OLG Oldenburg: Erste Entscheidungen zu Datenschutz-Klagen gegen Facebook
(30.04.2024, 15:07 Uhr)
OLG Oldenburg: Erste Entscheidungen zu Datenschutz-Klagen gegen Facebook
Vorsicht: Datenschutzrechtliche Risiken bei Verwendung von Single-Sign-On-Verfahren
(09.02.2023, 17:45 Uhr)
Vorsicht: Datenschutzrechtliche Risiken bei Verwendung von Single-Sign-On-Verfahren
Mögliches Verbot von Facebooks US-Datentransfers - kein Facebook mehr in Europa?
(30.08.2022, 12:08 Uhr)
Mögliches Verbot von Facebooks US-Datentransfers - kein Facebook mehr in Europa?
Ermittlungen von Datenschutzbehörde wegen Facebook-Fanpages
(03.08.2022, 11:17 Uhr)
Ermittlungen von Datenschutzbehörde wegen Facebook-Fanpages
Yes we can: AGB & Co. für Facebook jetzt auch in englischer Sprache
(26.03.2019, 14:54 Uhr)
Yes we can: AGB & Co. für Facebook jetzt auch in englischer Sprache
Neu: Hosting-Service der IT-Recht Kanzlei für Facebook/Instagram-Datenschutzerklärung
(05.07.2018, 17:11 Uhr)
Neu: Hosting-Service der IT-Recht Kanzlei für Facebook/Instagram-Datenschutzerklärung
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei