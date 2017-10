Seit Anfang 2017 hat Facebook die ehemals getrennten Funktionen "Conversion Tracking" und "Custom Audiences" in einem Werbetool namens Facebook-Pixel vereint. Der Facebook-Pixel ist eine kleine Grafik, die ein Werbetreibender auf seiner Website einbinden kann und welche die Nutzung der Website durch die Besucher nachverfolgt. Facebook wertet die gesammelten Daten statistisch aus und bietet dem Werbetreibenden mithilfe dieser Auswertung folgende Funktionen:

Conversion Tracking : Facebook bietet eine statistische Auswertung, welche Nutzer nach dem Klick auf eine Werbung bei Facebook am ehesten die gewünschte Handlung (Kauf, Eintragen in einen Newsletter, Registrierung) auf der beworbenen Website vornehmen.

Conversion Optimierung : Facebook hilft dem Werbenden dabei, seine Werbung vermehrt solchen Facebook-Nutzern anzuzeigen, die am wahrscheinlichsten die gewünschte Handlung auf der Website des Werbenden ausführen werden.

Retargeting : Benutzern, welche die gewünschte Handlung nicht ausführen, also zum Beispiel ein Produkt in den Warenkorb legen aber dann doch nicht kaufen, kann direkt auf Facebook oder anderen Websites wieder die Werbung des Werbenden, gegebenenfalls mit dem nicht gekauften Produkt, angezeigt werden.

Dynamic Ads : Facebook erstellt aufgrund der gesammelten Daten Zielgruppen von Nutzern, die sich am wahrscheinlichsten für das Produkt oder den Dienst des Werbenden interessieren.

Benutzerdefinierte Conversions : Wenn der Werbende auf seiner Website keine Standard Conversions (Kauf, Newsletter, Registrierung) anbietet, kann er Benutzerdefinierte Conversions erstellen. Damit ist es möglich zu messen, ob der Besuch eines Facebook-Nutzers "erfolgreich" war (Beispiel: der Besucher hat ein bestimmtes Foto angesehen oder die "About Me"-Seite aufgerufen).

Erweiterter Abgleich: Der Pixel kann auf der Website eingegebene personenbezogene Daten (Name, E-Mail-Adresse, Telefonnummer) verschlüsselt an Facebook hochladen. Damit kann er auch Website-Besucher identifizieren, die nicht über eine Facebook-Werbung auf die Website gekommen sind, um ähnlichen Facebook-Nutzern die Werbung des Werbetreibenden anzuzeigen.

Ein Gesetz für alle

EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. "Recht auf Vergessen"

Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. "Opt-in" statt "Opt-out"

Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). Recht auf Transparenz

Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. Zugang und Portabilität

Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. Schnellere Meldung

Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. Weniger Behördenchaos

Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. Grenzübergreifend

Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. Erweiterter Geltungsbereich

Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. Höhere Bußgelder

Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. Bürokratieabbau

Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. Erst ab 16

Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. Stärkung der nationalen Aufsichtsbehörden

Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Beim Einsatz des Facebook-Pixels erhält der Websitebetreiber lediglich eine statistische Auswertung der Daten. Der Websitebetreiber erfährt die personenbezogenen oder personenbeziehbaren Daten des Besuchers mithilfe des Pixels nicht, weil die Datenverarbeitung auf der Website pseudonymisiert erfolgt. Von Facebook gibt es keine eindeutige Aussage, ob die mithilfe des Pixels gesammelten Daten mit den Facebook-Nutzerprofilen zusammengeführt werden. Allerdings funktionieren zum Beispiel das Retargeting und der erweiterte Abgleich nur dann, wenn Facebook die Nutzer identifiziert.

Facebook-Nutzer können den Umgang von Facebook mit Werbung und das Werbe-Targeting inner- und außerhalb von Facebook in den Werbeeinstellungen verwalten.

Einwilligung erforderlich

Nach § 15 Abs. 3 des Telemediengesetzes (TMG) kann ein Diensteanbieter (Websitebetreiber) pseudonymisierte Nutzungsprofile für die Werbung, Marktforschung oder bedarfsgerechte Gestaltung seines Angebots erstellen. Allerdings dürfen diese pseudonymisierten Nutzungsprofile nicht mit personenbezogenen Daten des Nutzers zusammengeführt werden.

Der Websitebetreiber kann sich aber nicht sicher sein, ob Facebook die pseudonym erstellten Nutzungsprofile mit dem Benutzerprofil bei Facebook zusammenführt. Zumindest beim Einsatz des erweiterten Abgleichs werden jedenfalls die personenbezogenen Daten mit weiteren Nutzungsdaten verbunden. Denn es geht ja gerade darum, den Besucher zu identifizieren, um die Werbung auch vergleichbaren anderen Facebook-Nutzern (Lookalike Audiences) anzeigen zu können. Hierauf weist auch das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung vom 4. Oktober 2017 hin.

Wenn die Privilegierung des § 15 Abs. 3 TMG für die Erstellung von Nutzungsprofilen nicht eingreift, ist die Verarbeitung und insbesondere die Weitergabe der Nutzungsdaten an Facebook nur auf der Grundlage einer informierten Einwilligung vor Beginn des Einsatzes des Facebook-Pixels zulässig.

Darüber hinaus muss der Websitebetreiber nach § 13 Abs. 1 TMG über den Einsatz des Facebook-Pixels und über die Widerspruchsmöglichkeiten des Besuchers in seinen Datenschutzhinweisen aufklären.

Ausblick: Europäische Datenschutzgrundverordnung

Die am 25. Mai 2018 in Kraft tretende EU-Datenschutzgrundverordnung (DSGVO) kennt die Privilegierung pseudonymer Nutzungsprofile nicht, wie sie im deutschen Recht bisher in § 15 Abs. 3 TMG geregelt ist. Nach den Regelungen der DSGVO ist aber weiterhin die Erstellung von nicht pseudonymisierten Nutzungsprofilen grundsätzlich möglich.

Neben der auch unter der Geltung der DSGVO möglichen Einwilligung könnte die Datenverarbeitung auch auf die gesetzliche Grundlage des Art. 6 Abs. 1 lit. f) DSGVO gestützt werden. Danach ist die Datenverarbeitung auch ohne Einwilligung zulässig, wenn im Rahmen einer Interessenabwägung die Interessen des Websitebetreibers die Interessen seiner Besucher überwiegt.

Es ist allerdings höchst zweifelhaft, dass die Interessen des Websitebetreibers daran, seinen Besuchern und Dritten bessere und effektivere Werbung anzuzeigen, die Interessen des Besuchers auf Privatsphäre per se überwiegen. Jedenfalls sollte auf dieser unsicheren Rechtslage und unter dem Eindruck der nach der DSGVO drastisch gestiegenen Bußgelder der Facebook-Pixel nicht ohne vorherige und informierte Einwilligung des Besuchers eingesetzt werden. Dabei sind die gestiegenen Anforderungen an die Informationspflichten nach Art. 7 DSGVO zu beachten.