Ist das Facebook-Pixel mit dem Datenschutz in Deutschland vereinbar?

Achtung: Dieser Artikel stellt keine Rechtsberatung dar. Er ist vielmehr die Zusammenfassung verschiedener Expertenmeinungen zu diesem Thema. Alle verwendeten Quellen findest Du am Ende dieses Artikels. Ich empfehle Dir, einen Fachanwalt zu konsultieren, bevor Du das Facebook Pixel oder ähnliche Tools einsetzt.

Seit ein paar Jahren kann man das so genannte Facebook Custom Audience Pixel einsetzen, um die eigenen Werbemaßnahmen in den Facebook Ads zu optimieren. Mit dem Facebook Pixel lassen sich Daten von Website-Besuchern sammeln und mit echten Facebook-Nutzerprofilen verknüpfen. Daher ist das Pixel ein sehr mächtiges Tool für das Conversion Tracking.

Was genau ist das Facebook Pixel?

Das Facebook Custom Audience Pixel kann jeder Website-Betreiber, der ein Facebook-Business-Konto verwendet, mittels Javascript-Snippet in die eigene Website einbinden. Mit dem Pixel können verschiedene Aktionen der Website-Besucher verfolgt werden, beispielsweise eine Registrierung als Benutzer auf der Website (“CompleteRegistration”), ein abgeschlossener Kauf in einem Online-Shop (“Purchase”) oder auch nur das einfach Aufrufen einer einzelnen Webseite (“PageView”).

Funktionsweise des Facebook Pixels / Hashing-Verfahren

Die mit dem Pixel gesammelten Daten können grundsätzlich erst einmal nicht einzelnen, konkreten Benutzern zugeordnet werden. Die Daten werden jeweils für eine Gruppe von mindestens 20 Besuchern erhoben, die ein ähnliches Verhalten aufweisen. 1

Dabei werden diese Daten mit einem so genannten Hashing-Verfahren so verschlüsselt, dass Facebook sie nicht mit einzelnen Personen in Verbindung bringen kann. Eigentlich. Denn das Bayerische Landesamt für Datenschutzaufsicht hat das Hashing-Verfahren genauer unter die Lupe genommen und ist zu einem interessanten Ergebnis gekommen. Dazu weiter unten mehr.

Welche Vorteile bietet das Facebook Pixel Website-Betreibern und Werbetreibenden?

Anhand der gesammelten Daten kann man erkennen, welche Personengruppen mit welchen Merkmalen bestimmte Aktionen auf der Website ausgeführt haben. Beispielsweise könnte man erfahren, welches Geschlecht oder welche Altersgruppe die meisten Einkäufe in einem Online-Shop abgeschlossen hat.

Optimierung der Werbemaßnahmen

Dass man die Werbung auf Facebook (mittels Facebook Ads) anhand dieser Erkenntnisse und Daten deutlich spezifischer und zielgenauer schalten kann, liegt auf der Hand. Wenn ich als Shop-Betreiber weiß, dass die meisten Käufe von Frauen zwischen 25 und 30 Jahren durchgeführt werden, kann ich meine Facebook Ads genau auf diese definierte Zielgruppe ausrichten und die Conversion-Rate deutlich erhöhen.

Die gesammelten Daten beziehen sich natürlich nicht nur auf Alter und Geschlecht, sondern sind deutlich vielschichtiger.

Datenschutz: Opt-In- und Opt-Out-Verfahren

Wenn es im Datenschutz darum geht, Nutzerdaten zu sammeln und zu speichern, wird in der Regel zwischen zwei Verfahren unterschieden. Dem Opt-Out-Verfahren und dem etwas umständlicher umzusetzenden Opt-In-Verfahren.

Beim Opt-Out-Verfahren können Daten ab der ersten Minute gesammelt werden. Es genügt, wenn der Benutzer der Datenerhebung (später) widersprechen kann.

Das Opt-In-Verfahren ist dagegen etwas komplizierter. Hier ist erforderlich, dass der Benutzer der Datenerhebung aktiv zustimmt. Bei Newslettern hat sich in Deutschland mittlerweile das Double-Opt-In-Verfahren durchgesetzt. Der Benutzer muss der Eintragung aktiv zustimmen (Opt-In) und diese Zustimmung anschließend mit Klick auf einen Link in einer Bestätigungsmail nochmals bestätigen (Double-Opt-In).

Rechtliche Grundlagen in Deutschland

Facebook Pixel: Opt-In oder Opt-Out?

Nun ist die spannende Frage: Genügt beim Facebook Pixel das Opt-Out-Verfahren oder muss man die aktive Zustimmung des Nutzers einholen? Schauen wir uns die entsprechenden Gesetze und Rechtsprechungen an, insbesondere das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG).

Telemediengesetz (TMG)

Grundsätzlich haben sich Website-Betreiber an das Telemediengesetz zu halten. Wenn es um die Erfassung von Nutzerdaten geht, findet der § 15 TMG Anwendung. 2 Dort steht in Abs. 3:

"Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht."

Das bedeutet, wenn die Erhebung der Daten unter “Verwendung von Pseudonymen”, also anonymisiert, stattfindet, genügt das Opt-Out-Verfahren.

Bundesdatenschutzgesetz (BDSG)

Im § 4 BDSG geht es um die Erfassung personenspezifischer Daten. Im § 4 Abs. 1 steht:

"Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat."

Werden also Daten erhoben, die eindeutig einer Person zugeordnet werden können, gibt es also nur zwei Möglichkeiten:

  1. Entweder gibt es ein Gesetz, das die Erfassung dieser Daten erlaubt.
  2. Oder die betroffene Person muss der Erfassung ausdrücklich zustimmen.

Es gibt aktuell kein Gesetz, das Tracking-Pixeln eine ausdrückliche Erlaubnis erteilt. Also greift in diesem Fall Punkt zwei: Der Benutzer muss ausdrücklich zugestimmt haben. Und zwar BEVOR die Erhebung der Daten beginnt. 3

Facebook Pixel: Anonyme Datenerhebung oder personenbezogen?

Anfangs hatte ich geschrieben, dass Facebook die Daten nicht einzelnen Personen zuordnen kann, sondern Daten für Gruppen von mindestens 20 Personen gesammelt und mittels Hashing-Verfahren verschlüsselt übertragen werden.

Die berechtigte Frage also: Ist die Datenerhebung des Facebook Pixels dann nicht eher anonymisiert, sodass § 15 Abs. 3 TMG anzuwenden ist und das Opt-Out-Verfahren entsprechend ausreicht?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich das Hashing-Verfahren etwas genauer angesehen

Die Bayerische Landesdatenschutzbehörde hat sich sehr intensiv mit der Funktionsweise des Hashing-Verfahrens auseinandergesetzt und kommt in einem Tätigkeitsbericht zu dem Schluss, dass die übertragenden Hashwerte technisch relativ einfach und schnell zurückgerechnet werden können: 4

"E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können. Bei Telefonnummern muss aufgrund des kleinen Nummernraumes sogar davon ausgegangen werden, dass weit über 90% solcher Hashwerte in sehr kurzer Zeit zurückgerechnet werden können."

Allein die Überschrift des entsprechenden Abschnitts im Tätigkeitsbericht der BayLDA (S. 172) heißt schon "Unwirksame Anonymisierung der „Custom Audiences“ von Facebook”. Desweiteren steht dort geschrieben:

"Es bedarf somit einer Einwilligung der Personen, deren Daten im Rahmen der "Custom Audiences" an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, ist von der Nutzung dieses Dienstes abzuraten. Der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer stellt eine Ordnungswidrigkeit dar, die entsprechend mit Bußgeldern sanktioniert werden kann."

Auch Facebook selbst fordert die Zustimmung der Benutzer

Selbst Facebook selbst fordert vom Website-Betreiber, dass dieser die Zustimmung seiner Besucher erhalten hat. Möchte man ein Facebook-Pixel auf der eigenen Website einbinden, kann man den entsprechenden Code im Facebook Business Manager abrufen. Beim erstmaligen Anlegen muss man den Pixel-Nutzungsbedingungen zustimmen, in denen die Zustimmung der Website-Besucher seitens Facebook gefordert wird.

Wie man das Facebook Custom Audience Pixel rechtskonform nutzen kann

Es ist also relativ offensichtlich, dass man sich auf sehr dünnes Eis bewegt, wenn man das Facebook Pixel ohne ausdrückliche Zustimmung der Website-Besucher verwendet. Eindeutige Rechtsprechungen scheint es dazu noch nicht zu geben, aber das ist vermutlich nur eine Frage der Zeit.

Voraussetzungen, um das Facebook Pixel rechtskonform nutzen zu können

In diesem Artikel der IT-Rechts-Kanzlei München wird recht genau darauf eingegangen, wie man das Pixel doch rechtskonform nutzen kann. Hier die Zusammenfassung:

1. Vollständige Belehrung

Die Besucher müssen vollständig über die Datenerhebung informiert und belehrt werden. Dazu sollte die Datenschutzerklärung auf der Website entsprechend angepasst werden.

2. Ausdrückliche Zustimmung des Besuchers

Zusätzlich muss die ausdrückliche Zustimmung vom Website-Besucher eingeholt werden, und zwar, bevor das Facebook-Pixel eingebunden wird und die Datenerhebung beginnt.

Guter Kompromiss: Zustimmung per PopUp

Die IT-Recht-Kanzlei München sowie Florian Decker von RESMEDIA Mainz empfehlen, den Besucher via PopUp um die entsprechende Zustimmung zu bitten. Das PopUp sollte entweder die vollständige Belehrung über das Tracking-Pixel-Verfahren beinhalten oder zumindest eine abgespeckte und dennoch eindeutige Information mitsamt Link zur entsprechenden Belehrung in der Datenschutzerklärung.

Ausdrückliche Zustimmung mittels Button

Man könnte nun auf die Idee kommen, einen Hinweis am Bildschirmrand einblenden zu lassen, wie man es aktuell von den Cookie-Bannern kennt. Allerdings hat man diesem Falle noch keine ausdrückliche Zustimmung des Besuchers erhalten.

Deshalb sollte das PopUp einen eindeutig beschriebenen Button enthalten, mit dem der Besucher der Datenerhebung aktiv zustimmt. Erst nach Klick auf diese Schaltfläche sollte der Facebook-Pixel-Code eingebunden und aktiviert werden.

Anpassung der Datenschutzerklärung notwendig

Gleichzeitig sollte wie oben bereits erwähnt die Datenschutzerklärung entsprechend angepasst werden. Die IT-Rechts-Kanzlei gibt in diesem Artikel Hilfestellung zur richtigen Formulierung. Außerdem sollte ein Opt-Out-Link enthalten sein, mit dem der Besucher die einmal erteilten Erlaubnis widerrufen kann.

Fazit

Im Grunde gibt es drei Möglichkeiten, wie man als Website-Betreiber verfahren kann:

1. Facebook-Pixel ohne Zustimmung verwenden

Die einfachste, aber zugleich riskanteste Variante. Man kann das Facebook-Pixel einfach (weiter)verwenden, ohne die Zustimmung der Nutzer einzuholen. So kommt man zwar in den Genuss der vielsagenden Daten, um die Werbemaßnahmen bei Facebook zu optimieren, man macht sich allerdings auch angreifbar.

Es ist nicht auszuschließen, dass dieses Verhalten Abmahnungen nach sich ziehen kann. Darüber sind zumindest aktuell in Bayern laut der dort zuständigen Landesdatenschutzbehörde Bußgeldverfahren möglich. 5

2. Auf das Facebook-Pixel verzichten

Definitiv die sicherste Variante. Wenn man auf den Einsatz des Pixels verzichtet, verzichtet man natürlich auch auf die Nutzerdaten, braucht sich aber zumindest in dieser Sache nicht rechtliche Konsequenzen sorgen.

3. PopUp verwenden, um die Zustimmung des Besuchers zu erhalten

Als dritte Möglichkeit bietet sich das o.g. PopUp an, mit dem man die Zustimmung des Besuchers erhalten kann.

Allerdings fürchte ich, dass die wenigsten Menschen dieser Datenerhebung zustimmen werden, wenn sie gleichfalls die Möglichkeit haben, dieser Datenerhebung zu widersprechen. Im geschäftlichen Bereich könnte es sogar sein, dass so ein PopUp eher abschreckt und den Besucher zum Verlassen der Website veranlasst.

Quellen

1 https://www.spiritlegal.com/de/aktuelles/details/der-facebook-pixel-und-seine-funktionsweise.html
2 http://www.it-recht-kanzlei.de/Facebook-Besucheraktions-Pixel.html
3 http://blog-it-recht.de/2016/02/02/koennen-tracking-pixel-rechtskonform-eingesetzt-werden/
4 https://www.spiritlegal.com/de/aktuelles/details/ist-facebook-custom-audiences-mit-dem-datenschutz-vereinbar.html
5 https://www.lda.bayern.de/media/baylda_report_06.pdf
6 https://dejure.org/gesetze/TMG/15.html
7 https://dejure.org/gesetze/BDSG/4.html