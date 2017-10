Das Bayerische Landesamt für Datenschutzaufsicht stellt fest, dass der "Facebook Custom Audience" von Unternehmen oftmals rechtswidrig eingesetzt wird. Dies ergab eine Prüfung von 40 bayerischen Unternehmen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat den Einsatz von zwei Varianten des zielgruppenorientierten Werbetools "Facebook Custom Audience" bei 40 bayerischen Unternehmen geprüft. BayLDA-Präsident Thomas Kranig resümiert: "Es findet eine systematische Durchleuchtung der Nutzer durch die Algorithmen von Facebooks Künstlicher Intelligenz statt." Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozialen Netzwerken sind, würden verfolgt. Adressat einer Anordnung oder eines Bußgeldbescheides ist nicht Facebook, sondern das jeweilige Unternehmen, das dies Werbemittel unzulässig einsetzt.

Verhängnisvolles Pixel

Facebook bietet an, sein Werbetool über ein Kundenlisten- und ein Pixel-Verfahren zu nutzen. Beim Pixel-Verfahren bindet das Unternehmen ein Facebook-Pixel auf seiner Website ein, um das Online-Verhalten des Nutzers über Facebook nachvollziehen zu können. Über das Pixel werden Kundendaten wie Name und Mail-Adresse an Facebook übermittelt und mit Tracking-Daten angereichert. Das Unternehmen erfährt so beispielsweise, welches Produkt ein Nutzer in den Warenkorb gelegt hat, bevor er die Bestellung abgebrochen hat. Das Unternehmen kann dann über Facebook den Nutzer mit dem in den Warenkorb gelegten Produkt bewerben und zum Webshop zurückführen, damit er die Bestellung doch noch abschließt.

Die Prüfung des BayLDA ergab, dass die Nutzer beim Pixel-Verfahren "oftmals" nicht oder nicht vollständig informiert werden und kein Opt-Out-Verfahren nutzen können. Mitunter wurde ein Opt-Out auch nicht technisch korrekt umgesetzt, sodass weiterhin Online-Daten an Facebook übertragen wurden. Damit verstießen die Unternehmen jeweils gegen geltendes Datenschutzrecht. Überdies weist das BayLDA daraufhin, dass mit dem Pixel auch Daten von Nicht-Facebook-Nutzern erhoben oder Nutzer erfasst werden, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind. Damit würden auch Webseiten-Besucher über Facebook verfolgt, die bewusst die Speicherung von Third-Party-Cookies unterbinden. Daher müssten die Unternehmen "vorab" eine informierte Einwilligungserklärung von allen Webseiten-Besuchern einholen.

Kundenliste im Upload

Ein Unternehmen kann Facebooks Werbetool auch über eine Kundenliste nutzen, die es über sein Facebook-Konto hochlädt. Zuvor werden die Kundendaten mit einem Hash-Verfahren in eine feste Zeichenkette umgewandelt. Facebook gleicht diese Liste dann mit allen Facebook-Nutzern ab. Das Unternehmen startet daraufhin seine Werbekampagne für die Kunden, die auf Facebook sind, und wählt hierfür eine Zielgruppe mit bestimmten Merkmalen wie Alter oder Interessen aus.

Das BayLDA hält das verwendete Hashverfahren für nicht geeignet, anonyme Zeichenfolgen zu generieren. Die Hash-Werte konnten mit geringem Aufwand zurückgerechnet werden. Das BayLDA meint daher, dass die Unternehmen personenbezogene Daten ohne Einwilligung der Betroffenen übermittelt haben, was einen Rechtsverstoß darstellt.

Ahnungslose Unternehmen

Kranig stellt fest, dass den geprüften Unternehmen der Rechtsrahmen häufig "völlig unklar" war. Überdies könnten Unternehmen, die nicht wissen, wie solche Werbetools funktionieren, ihre Nutzer auch nicht richtig über deren Einsatz informieren. Kranig: "Wer das nicht kann, darf eben solche Tools nicht einsetzen." Vorerst hat Kranig keine Sanktionen verhängt. Er stellt jedoch den Unternehmen "allgemeine Hinweise und Anforderungen" zum Einsatz von Facebook Custom Audience zur Verfügung, die sie zu beachten haben und kündigte an die Prüfung "zu gegebener Zeit" fortzusetzen. (Christiane Schulzki-Haddouti) / (anw)