Foto: AlesiaKan - shutterstock.com
Seit Anfang 2017 hat Facebook die ehemals getrennten Funktionen "Conversion Tracking" und "Custom Audiences" in einem Werbetool namens Facebook-Pixel vereint. Der Facebook-Pixel ist eine kleine Grafik, die ein Werbetreibender auf seiner Website einbinden kann und welche die Nutzung der Website durch die Besucher nachverfolgt. Facebook wertet die gesammelten Daten statistisch aus und bietet dem Werbetreibenden mithilfe dieser Auswertung folgende Funktionen:
Conversion Tracking: Facebook bietet eine statistische Auswertung, welche Nutzer nach dem Klick auf eine Werbung bei Facebook am ehesten die gewünschte Handlung (Kauf, Eintragen in einen Newsletter, Registrierung) auf der beworbenen Website vornehmen.
Conversion Optimierung: Facebook hilft dem Werbenden dabei, seine Werbung vermehrt solchen Facebook-Nutzern anzuzeigen, die am wahrscheinlichsten die gewünschte Handlung auf der Website des Werbenden ausführen werden.
Retargeting: Benutzern, welche die gewünschte Handlung nicht ausführen, also zum Beispiel ein Produkt in den Warenkorb legen aber dann doch nicht kaufen, kann direkt auf Facebook oder anderen Websites wieder die Werbung des Werbenden, gegebenenfalls mit dem nicht gekauften Produkt, angezeigt werden.
Dynamic Ads: Facebook erstellt aufgrund der gesammelten Daten Zielgruppen von Nutzern, die sich am wahrscheinlichsten für das Produkt oder den Dienst des Werbenden interessieren.
Benutzerdefinierte Conversions: Wenn der Werbende auf seiner Website keine Standard Conversions (Kauf, Newsletter, Registrierung) anbietet, kann er Benutzerdefinierte Conversions erstellen. Damit ist es möglich zu messen, ob der Besuch eines Facebook-Nutzers "erfolgreich" war (Beispiel: der Besucher hat ein bestimmtes Foto angesehen oder die "About Me"-Seite aufgerufen).
Erweiterter Abgleich: Der Pixel kann auf der Website eingegebene personenbezogene Daten (Name, E-Mail-Adresse, Telefonnummer) verschlüsselt an Facebook hochladen. Damit kann er auch Website-Besucher identifizieren, die nicht über eine Facebook-Werbung auf die Website gekommen sind, um ähnlichen Facebook-Nutzern die Werbung des Werbetreibenden anzuzeigen.
Beim Einsatz des Facebook-Pixels erhält der Websitebetreiber lediglich eine statistische Auswertung der Daten. Der Websitebetreiber erfährt die personenbezogenen oder personenbeziehbaren Daten des Besuchers mithilfe des Pixels nicht, weil die Datenverarbeitung auf der Website pseudonymisiert erfolgt. Von Facebook gibt es keine eindeutige Aussage, ob die mithilfe des Pixels gesammelten Daten mit den Facebook-Nutzerprofilen zusammengeführt werden. Allerdings funktionieren zum Beispiel das Retargeting und der erweiterte Abgleich nur dann, wenn Facebook die Nutzer identifiziert.
Facebook-Nutzer können den Umgang von Facebook mit Werbung und das Werbe-Targeting inner- und außerhalb von Facebook in den Werbeeinstellungen verwalten.
Einwilligung erforderlich
Nach § 15 Abs. 3 des Telemediengesetzes (TMG) kann ein Diensteanbieter (Websitebetreiber) pseudonymisierte Nutzungsprofile für die Werbung, Marktforschung oder bedarfsgerechte Gestaltung seines Angebots erstellen. Allerdings dürfen diese pseudonymisierten Nutzungsprofile nicht mit personenbezogenen Daten des Nutzers zusammengeführt werden.
Der Websitebetreiber kann sich aber nicht sicher sein, ob Facebook die pseudonym erstellten Nutzungsprofile mit dem Benutzerprofil bei Facebook zusammenführt. Zumindest beim Einsatz des erweiterten Abgleichs werden jedenfalls die personenbezogenen Daten mit weiteren Nutzungsdaten verbunden. Denn es geht ja gerade darum, den Besucher zu identifizieren, um die Werbung auch vergleichbaren anderen Facebook-Nutzern (Lookalike Audiences) anzeigen zu können. Hierauf weist auch das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung vom 4. Oktober 2017 hin.
Wenn die Privilegierung des § 15 Abs. 3 TMG für die Erstellung von Nutzungsprofilen nicht eingreift, ist die Verarbeitung und insbesondere die Weitergabe der Nutzungsdaten an Facebook nur auf der Grundlage einer informierten Einwilligung vor Beginn des Einsatzes des Facebook-Pixels zulässig.
Darüber hinaus muss der Websitebetreiber nach § 13 Abs. 1 TMG über den Einsatz des Facebook-Pixels und über die Widerspruchsmöglichkeiten des Besuchers in seinen Datenschutzhinweisen aufklären.
Lesetipp: Datenschutz im Digitalisierungs-Zeitalter
Ausblick: Europäische Datenschutzgrundverordnung
Die am 25. Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO) kennt die Privilegierung pseudonymer Nutzungsprofile nicht, wie sie im deutschen Recht bisher in § 15 Abs. 3 TMG geregelt ist. Nach den Regelungen der DSGVO ist aber weiterhin die Erstellung von nicht pseudonymisierten Nutzungsprofilen grundsätzlich möglich.
Neben der auch unter der Geltung der DSGVO möglichen Einwilligung könnte die Datenverarbeitung auch auf die gesetzliche Grundlage des Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Danach ist die Datenverarbeitung auch ohne Einwilligung zulässig, wenn im Rahmen einer Interessenabwägung die Interessen des Websitebetreibers die Interessen seiner Besucher überwiegt.
Es ist allerdings höchst zweifelhaft, dass die Interessen des Websitebetreibers daran, seinen Besuchern und Dritten bessere und effektivere Werbung anzuzeigen, die Interessen des Besuchers auf Privatsphäre per se überwiegen. Jedenfalls sollte auf dieser unsicheren Rechtslage und unter dem Eindruck der nach der DSGVO drastisch gestiegenen Bußgelder der Facebook-Pixel nicht ohne vorherige und informierte Einwilligung des Besuchers eingesetzt werden. Dabei sind die gestiegenen Anforderungen an die Informationspflichten nach Art. 7 DSGVO zu beachten.