von RA Jan Lennart Müller und RA Phil Salewski

Facebook-Pixel in der DSGVO-Praxis: Datenschutzrechtliche Hinweise für Händler

News vom 29.04.2019, 17:21 Uhr | Keine Kommentare

Facebook Pixel, das hauseigene Analysetool des weltweit größten sozialen Netzwerks, ist in den letzten Jahren einem steten technischen Wandel unterlegen, um Werbetreibenden ein noch detaillierteres, und ergebnisgenaueres Auswerten der Nutzerströme und so das optimale Ansprechen von Interessengruppen zu ermöglichen. Nachdem zunächst mit dem „erweiterten Datenabgleich“ ein zweiter, umfangreicherer Tracking-Modus geschaffen wurde, stellte Facebook zuletzt im Oktober 2018 die Funktionsweise des Cookie-basierten Pixel-Trackings grundsätzlich um. Diese Änderungen bleiben für die korrekte datenschutzrechtliche Handhabung des Facebook Pixels allerdings nicht folgenlos und machen unter Geltung der DSGVO Anpassungen sowohl in der Datenschutzerklärung als auch bei der technischen Einbindung des Tools erforderlich. Wie Händler das Facebook-Pixel-Tracking möglichst rechtssicher betreiben können, soll in diesem Beitrag erläutert werden.

I. Funktionsweise und First Party-Cookie-Umstellung

1. Einleitung

Mit dem Facebook-Pixel wird Händlern, die Anzeigen auf Facebook schalten, ermöglicht, das Nutzerverhalten nach Klick auf eine plattforminterne Werbeanzeige und nach anschließender Weiterleitung auf die Zielseite zu analysieren und auszuwerten.

Durch eine kontinuierliche Analyse können so einerseits genaue Statistiken über den Erfolg einer Werbeanzeige und andererseits Interessentengruppen gemäß der auf der Zielseite durchgeführten Nutzungshandlungen kategorisiert werden. Durch einen steten Datenaustausch zwischen Zielseite und Facebook wird der Werbetreibende schließlich befähigt, die Interessentengruppen auf Facebook mit zugeschnittener Werbung gezielt anzusprechen.

So lässt sich mithilfe des Facebook Pixels etwa eine Interessengruppe all derer bilden, die nach Klick auf eine Anzeige zwar ein Produkt in den Warenkorb gelegt, den Kauf aber letztlich nicht vollzogen haben. Dieser Gruppe kann die ursprüngliche Werbung auf Facebook dann mit gesteigerter Häufigkeit angezeigt werden, um sie zum Abschluss des Kaufs zu motivieren. Ebenso können als Interessengruppe Personen definiert werden, die den Kauf eines auf Facebook beworbenen Produkts getätigt haben. Diesen Personen können dann auf der Plattform beispielsweise weitere Produkte des Werbetreibenden angezeigt werden. Die erhofften Vorteile eines langfristigen Trackings per Facebook-Pixel sind demgemäß Umsatzsteigerungen, die auf dem zielgerichteten Einsatz von Werbeanzeigen basieren.

2. Bisher: Third-Party-Cookies

Bisher bediente sich Facebook für das Tracking einer sogenannten „Third -Party-Cookie“-Lösung. Nach Klick eines Nutzers auf eine Facebook-Werbeanzeige setzte die Zielseite ein Facebook-Pixel-Cookie im Browser des Nutzers, welches das Verhalten aufzeichnete und an Facebook übermittelte.

Als allerdings verschiedene Browser-Entwickler (allen voran Apple und Mozilla) begannen, ihre Browser mit Third-Party-Cookie-Filtern auszustatten, um die Datenhoheit ihrer Nutzer zu schützen, musste Facebook umrüsten. Derartige Filter führen beim Aufruf einer Webseite einen automatischen Abgleich der Herkunft aller von der Seite gesetzten Cookies durch und bewirken die automatische Blockade oder fristbemessene Löschung all solcher Cookies, die ihren Ursprung nicht in der aufgerufenen Seite selbst haben, sondern von einer Drittpartei stammen.

Weil Zielseiten über das Facebook Pixel ein von Facebook stammendes Cookie setzten, wurde dieses von den Filtern mit der Folge erfasst, dass ein zuverlässiges und umfängliches Tracking nicht mehr gewährleistet werden konnte.

3. Nun: First-Party-Cookies

Zum 24.10.2018 passte Facebook als Reaktion hierauf die Funktionsweise des Pixels an und ersetzte das Third-Party-Tracking durch eine First-Party-Cookie-Lösung, bei welcher die Zielseite ein eigenständiges Cookie setzt, welches die Filter nicht erfassen.

Nunmehr wird beim Klick eines Users auf eine Ad, die bei Facebook ausgespielt wird, der URL der verknüpften Zielseite ein Zusatz angefügt. Sofern die Seite über Pixel das Teilen von First-Party-Daten mit Facebook erlaubt, wird dieser URL-Zusatz in den Browser des Nutzers eingeschrieben, und zwar als First-Party Cookie der verknüpften Seite. Dann nehmen die Pixel die First-Party Cookies mitsamt aller Daten auf und geben diese an Facebook weiter. Weil Browser in diesem Fall die URL-Parameter als Cookies der verknüpften Seite selbst und nicht als Cookies der Drittseite „Facebook“ erkennen, wird deren Funktionalität von den Browsern nicht beeinträchtigt.

Diese Umstellung hat entscheidende Auswirkungen auf den Inhalt der Datenschutzerklärung, weil sie mit den Informationspflichten des Art. 13 DSGVO korreliert, nach denen Betroffene über die Datenverarbeitung detailgenau zu belehren sind.

Hinweis: Mandanten der IT-Recht Kanzlei finden im Mandantenportal passende Datenschutzklauseln für den Einsatz des Facebook Pixels!

1

II. Standardmodus und erweiterter Datenabgleich

Neben dem Standardmodell des Pixel-Trackings, welches nur das Nutzungsverhalten des jeweiligen Werbeadressaten auswertet und diesbezügliche Nutzungsdaten verarbeitet, existiert seit längerem ein erweitertes Modell des Facebook Pixels, das als „erweiterter Datenabgleich“ betitelt ist.

Anders als die Standardversion interagiert Facebook Pixel im erweiterten Datenabgleich mit Datenverarbeitungsvorgängen auf der Zielseite selbst und ermöglicht so auch das Erfassen direkter personenbezogener Kundendaten wie der Mailadresse des Nutzers, indem es sich in Prozesse wie Kontenregistrierungen, Kontenanmeldungen und Kaufabschlüsse einklinkt. Zusammen mit den Daten über das Nutzungsverhalten werden im erweiterten Datenabgleich auch diese Kundendaten an Facebook übertragen und dort ausgewertet, was es dem Werbetreibenden ermöglichen soll, seine Zielgruppen noch genauer zu definieren.

Der erweiterte Datenabgleich ist auf Facebook nicht voreingestellt, sondern muss im „Eventmanager“ von Facebook gesondert aktiviert werden.

Facebook Custom Audience Pixel-Verfahren

III. Datenschutzrechtliche Würdigung und Implementierungshinweise

Um die vom Händler für den datenschutzrechtskonformen Einsatz des Facebook Pixels umzusetzenden Maßnahmen zu definieren, muss zwingend zwischen dem Standardmodus und dem erweiterten Datenabgleich differenziert werden.

1. Standardversion

Weil im Standardmodus über die nunmehr vorherrschende First-Party-Cookie-Lösung allein das Klick- und Aktivitätsverhalten von Nutzern ausgewertet wird, kann das Pixel-Tracking im Standardmodus nach derzeitig vorherrschender Auffassung zulässigerweise über die überwiegenden berechtigten Interessen des Händlers an der Optimierung seiner Werbeanzeigen und der interessenorientierten Ausgestaltung seines Onlineangebots gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.

Insofern ist es für die Standard-Version nicht erforderlich, dass vor Einsatz des Pixel-Trackings die Einwilligung eines jeden Seitenbesuchers eingeholt wird.

Freilich aber muss gemäß Art. 13 DSGVO in einer entsprechenden Klausel innerhalb der Datenschutzerklärung nicht nur über die Funktionsweise des Pixel-Trackings unter Berücksichtigung der Umstellung auf die First-Party-Cookie-Lösung unterrichtet, sondern auch über geeignete Maßnahmen zur Deaktivierung des Trackings belehrt werden.

Hinweis: Mandanten der IT-Recht Kanzlei finden im Mandantenportal passende Datenschutzklauseln für den Einsatz des Facebook Pixels!

a) Verweis auf Facebook-interne Einstellungen oder Cookie-Control-Seiten nicht ausreichend

Für eine geeignete Belehrung über Deaktivierungsmaßnahmen reicht es nach aktuellem Stand nicht aus, bloß auf die Facebook-internen Einstellungen zur Anzeige von nutzungsbasierter Werbung zu verweisen, mit denen Nutzer selbst bestimmen können, wie und bezüglich welcher Kategorien sie beworben werden möchten.

Vielmehr muss dem Nutzer eine generelle Möglichkeit aufgezeigt werden, das Tracking durch Ausschalten der eingesetzten Cookies abzustellen. Hierfür genügte unter Geltung der alten Pixel-Version die Angabe der URLs von anerkannten Cookie-Control-Seiten wie der europäischen Seite http://www.youronlinechoices.com/uk/your-ad-choices oder der us-amerikanischen Seite http://optout.aboutads.info/?c=2&lang=EN, mit denen Nutzer Third-Party-Cookies in ihrem Browser einzeln an- oder abstellen können.

Durch die Umstellung hin zu einem First-Party-Cookie-Standard können die Cookie-Control-Seiten das Pixel allerdings nicht mehr zuverlässig erfassen, weil es als Cookie die Urheberschaft der Zielseite aufweist. Selbst aber, wenn das Cookie von den Control-Seiten aufgefunden wird, wird es dem einzelnen Nutzer kaum möglich sein, dieses im Katalog herauszufiltern und eindeutig zu identifizieren.

b) Eigenes Opt-Out-Script in Quellcode und Opt-Out-Cookie-Link in Datenschutzerklärung erforderlich

Die Umstellung auf die First-Party-Cookie-Funktionsweise macht es nun vielmehr erforderlich, dass Verwender des Facebook Pixels auf jeder Unterseite ihrer Webpräsenz einen Opt-Out-Code per JavaScript in den Quellcode einfügen und zusätzlich eine Datenschutzklausel mit einem klickbaren Deaktivierungslink in die Datenschutzerklärung aufnehmen.

Quellcode für jede Unterseite

Hierfür ist auf jeder Unterseite im Body-Bereich ein bestimmter Javascript-Code einzufügen. Mandanten der IT-Recht Kanzlei können diesen hier abrufen!

Quellcode für Deaktivierungslink in der Datenschutzerklärung
Mit dem Quell-Code-Skript interagierend muss nun innerhalb der Pixel-Klausel in der Datenschutzerklärung ein klickbarer Opt-Out-Link erzeugt werden, der auf den Quellcode zurückgreift und ein entsprechendes Opt-Out-Cookie setzt. Auch dieser Link wird durch einen Code erzeugt. Mandanten der IT-Recht Kanzlei können die Datenschutzklausel im Mandantenportal abrufen!

2.) Erweiterter Datenabgleich

Einem deutlich höheren Umstellungsaufwand sowie einem nicht auszuschließenden rechtlichen Risiko unterliegt demgegenüber der Einsatz von Facebook Pixel im erweiterten Datenabgleichsmodus.

a) Ausdrückliche Nutzereinwilligung erforderlich

Weil hier neben bloßen Nutzungsinformationen auch konkret personenbezogene Kundendaten erhoben und mit Facebook ausgetauscht werden, setzt die Verwendung das vorherige Einholen einer ausdrücklichen Nutzereinwilligung in die Verarbeitung auf Basis des Art. 6 Abs. 1 lit. a DSGVO voraus. Nach zutreffender Ansicht des Bayerischen Landesamtes für Datenschutz (BayLDA) können hier berechtigte Interessen des Händlers aufgrund des Umfangs der Datenverarbeitung und des engen Persönlichkeitsbezugs die Nutzerinteressen an der Geheimhaltung ihrer Daten nicht überwiegen.

Den Händler trifft also ein doppelter Implementierungsaufwand:

Zum einen muss muss technisch sichergestellt werden, dass dem Tracking im erweiterten Modus stets die Einwilligungseinholung des Nutzers vorausgeht. Zum anderen bedarf es einer auf das erweiterte Tracking zugeschnittenen Klausel in seiner Datenschutzerklärung, welche über den Umfang und die Funktionsweise des erweiterten Datenabgleichs belehrt.

Hierbei ist neben der neuartigen First-Party-Cookie-Lösung insbesondere darauf hinzuweisen, dass auch Kundendaten an Facebook übermittelt werden.

b) Rechtsunsicherheiten bezüglich Widerspruchsmöglichkeit

Unbedingt anzumerken ist – den Implementierungshinweisen vorangestellt –,dass der Einsatz des Facebook Pixels im erweiterten Modus nach Ansicht der IT-Recht Kanzlei derzeit noch mit erheblichen Rechtsunsicherheiten behaftet ist.

Diese ergeben sich primär im Hinblick darauf, dass eine hinreichende einwilligungsbedingte Rechtfertigung von Datenverarbeitungen zwingend die Bereitstellung einer „Widerrufsmöglichkeit“ gemäß Art. 7 Abs. 3 DSGVO voraussetzt. Weil auch das Tracking im erweiterten Modus Cookie-basiert ist, stellt sich hier vor allem die Frage, wie eine rechtssichere Widerrufsmöglichkeit auszusehen hat.

Zumindest wird diesbezüglich nicht abgestritten, dass der Händler eine auf einem JavaScript basierende Opt-Out-Möglichkeit schaffen muss. Diskutiert wird aber darüber, ob die Opt-Out-Möglichkeit mit derjenigen für die Standardversion (s. unter III. 1.) b)) identisch sein darf, oder aber funktionell über diese hinausgehen und so beispielsweise eine von jeder Unterseite (nicht nur aus der Datenschutzerklärung hinaus) aufrufbare Deaktivierungsoption vorsehen muss.

Die Meinungen hierzu gehen derzeit noch auseinander. Sollte sich allerdings nur der Widerspruch per „speziellem“ Opt-Out-Cookie als hinreichend abzeichnen, wäre der Einsatz von Facebook Pixel mit erweitertem Datenabgleich mit einem hohen Programmier- und dadurch bedingt hohen Kostenaufwand verbunden.

c) Implementierungshinweise

Sollten Händler den erweiterten Modus trotz der rechtlichen Risiken dennoch nutzen wollen, empfiehlt die IT-Recht-Kanzlei, die Belehrung und Einwilligungsanfrage durch ein entsprechendes Pop-Up oder Banner auf der Anbieterseite zu integrieren, das nach erfolgter Zustimmung des Nutzers dynamisch nachgeladen wird oder einen Seiten-Reload initiiert und den Cookie erst dann ausführt.

Dem Ausdrücklichkeitserfordernis der Einwilligung kann über einen „Einwilligungsbutton“ im Rahmen des Pop-Ups bzw. Banners Rechnung getragen werden.

Wichtig ist, dass der Nutzer im Rahmen seiner Einwilligungserklärung über das konkrete Verfahren des Trackings informiert wird. Dabei ist es möglich, die Belehrung entweder in das Pop-Up bzw. Banner zu integrieren oder aber innerhalb des Banners per Link auf die Datenschutzerklärung zu verweisen.

Nach Meinung der IT-Recht-Kanzlei erscheint der Verweis auf die Datenschutzerklärung vorzugswürdig, da eine vollständige Belehrung die Dimensionen des Pop-Up-Fensters bzw. Banners unnötig ausdehnen würde und zudem geeignet ist, den Nutzer durch einen Überschuss an Text und Informationen zu verwirren.

Wir empfehlen, das Pop-Up bzw. den Banner wie folgt zu gestalten:

"Auf dieser Website wird das Facebook-Pixel von Facebook für statistische Zwecke verwendet. Mit Hilfe eines Cookies kann so nachvollzogen werden, wie unsere Marketingmaßnahmen auf Facebook aufgenommen und verbessert werden können. Zu diesem Zweck werden von diesem Cookie auch spezifische Kundendaten wie beispielsweise die Mailadresse, die bei Vorgängen wie Kaufabschlüssen, Kontoanmeldungen oder Registrierungen erhoben werden, erfasst und an Facebook übertragen (erweiterter Datenabgleich).
Über Ihr Einverständnis hiermit würden wir uns sehr freuen.
Informationen zum „Facebook-Pixel“ im erweiterten Datenabgleichsmodus, zu Cookies und dem Ihnen zustehenden Widerspruchsrecht erhalten Sie in unserer Datenschutzerklärung [-> Link auf die eigene Datenschutzerklärung]."

Innerhalb des Pop-Ups bzw. Banners ist unterhalb des vorgenannten Textes dann zusätzlich die Schaltfläche

"Ich bin mit der Verwendung des Facebook-Pixels einverstanden"

einzufügen.

Hinweis: Die IT-Recht Kanzlei stellt Ihren Mandanten im Mandantenportal eine Datenschutzklausel für den Einsatz des Facebook Pixels im erweiterten Datenabgleichsmodus bereit. Allerdings birgt die Verwendung bislang ein rechtliches Risiko, weil nicht mit Sicherheit feststeht, wie die Widerspruchsmöglichkeit für die Einwilligung ausgestaltet sein muss. Hier stehen sich Befürworter einer mit der Standardversion identischen Javascript-Opt-Out-Code Methode mit Deaktivierungslink nur in der Datenschutzerklärung und Vertreter der Meinung gegenüber, dass der Händler eine Javascript-basierte erweiterte Opt-Out-Möglichkeit schaffen muss, die von jeder Unterseite aus aktiviert werden kann.

IV. Fazit

Die von Facebook für das Plattformanalysetool „Pixel“ vollzogene Änderung der Cookie-basierten Funktionsweise sowie die Aufrechterhaltung eines „erweiterten Datenabgleichsmodus“ zwingen Händler unter der DSGVO nunmehr zur Anpassung ihrer Datenschutzkonzepte.

Während der Umstellungsaufwand sich beim Einsatz der Standardversion des Pixel-Trackings in einer Anpassung der Datenschutzerklärung und der Implementierung eines Opt-Out-Codes per Javascript äußert, sehen sich Verwender des Pixel im erweiterten Modus nicht nur weitreichenderen Implementierungsmaßnahmen, sondern auch nicht unerheblichen Rechtsunsicherheiten ausgesetzt.

So setzt das Betreiben des erweiterten Datenabgleichsmodus zwar unstreitig eine Einwilligung der Nutzer voraus, die optimalerweise per Pop-Up-Banner einzuholen ist. Nicht abschließend geklärt ist aber, wie die mit der Einwilligung zwingend einhergehende Widerspruchsmöglichkeit umzusetzen ist.

Die IT-Recht Kanzlei wird aktuelle Entwicklungen der Thematik verfolgen und frühzeitig über diese berichten.

Tipp: Über diesen Beitrag können Sie gerne in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook diskutieren.

Autor:
Jan Lennart Müller
Rechtsanwalt
Unter Mitwirkung von:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller