Datenschutz

Online-Werbung: Warum Bayern Facebooks „Custom Audience“-Funktion einschränkt

Jeden Tag laden Webshops und andere Unternehmen Kontaktdaten ihrer Kunden ungefragt bei Facebook hoch, um diese dort zielgenau mit Werbung zu erreichen. Warum die bayerische Datenschutzaufsicht dem nun einen Riegel vorschiebt, erklärt die Juristin Kristin Benedikt im Interview.

Gemeinfrei-ähnlich freigegeben durch unsplash.com Kai Pilger

Facebooks Werbegeschäft ist so erfolgreich wie umstritten. Und doch füttern Unternehmen den Datenriesen jeden Tag weiter mit Daten über ihre Kunden und Abonnenten. Mit dem Werkzeug „Custom Audience“ können sie auf Facebook und Instagram gezielt jene Menschen mit Werbung erreichen, deren Nummern oder E-Mail-Adressen sie bereits in ihren Datenbanken gespeichert haben. Dazu müssen sie nur eine Liste mit den Kontaktdaten ihrer Zielgruppe bei Facebook hochladen – alles weitere übernimmt der Werbekonzern. Was in der Marketing-Branche Gang und Gäbe ist, hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) inzwischen untersagt: Ohne die ausdrückliche Einwilligung der Betroffenen darf Facebooks „Custom Audience“-Werkzeug nicht mehr genutzt werden.

Weil ein Webshop sich weigerte auf Anordnung der Datenschützer die Listen zu löschen, landete der Fall vor Gericht. Dieses gab der Aufsichtsbehörde kürzlich Recht: Wer Listen mit Kunden- oder Abonnentendaten bei Facebook hochlädt, um Menschen aus der eigenen Datenbank mit Werbung zu erreichen, braucht deren Einwilligung. Wir sprachen mit Kristin Benedikt, Referatsleiterin beim BayLDA, über die Hintergründe der Entscheidung, mögliche Folgen und die Sackgasse der intransparenten Onlinewerbung.

>>>Hier haben wir eine Anleitung veröffentlicht, wie Facebook-Nutzer:innen herausfinden können, welche Firmen die eigenen Kontaktdaten bei Facebook in eine „Custom Audience“ geladen haben.< <<

In keinem geprüften Fall waren Betroffene informiert

netzpolitik.org: Facebooks “Custom Audience”-Funktion ist im Online-Marketing weit verbreitet. Die bayerische Datenschutzaufsicht hat die Nutzung des Werkzeugs ohne Einwilligung der Betroffenen untersagt. Warum?

Kristin Benedikt: Wir bewerten das Teilen der Kundenliste mit Facebook als Datenübermittlung an einen Dritten. Damit das Produkt „Custom Audience“ funktioniert, muss Facebook die Daten als eigene Stelle weiterverarbeiten. Facebook nutzt diese Daten, um sein Werbenetzwerk betreiben zu können und fügt seinen Nutzern auf diesem Weg permanent neue Merkmale hinzu, um sie dann bei der Werbeansprache besser adressieren zu können.

netzpolitik.org: Wie funktioniert das?

Benedikt: Ein Onlineshop oder ein anderes Unternehmen hat möglicherweise bereits eine recht große Stammdatenliste. Beispielsweise von Bestandskunden, die schon einmal in dem Onlineshop bestellt haben oder über Newsletter-Anmeldungen. Das können sehr umfangreiche Listen sein, bis hin zu mehreren Millionen E-Mail-Adressen. Bei der „Custom Audience“-Variante über die Kundenliste kann ein Unternehmen eine Excel-Datei mit genau diesen Informationen über Kunden oder Newsletter-Abonnenten bei Facebook hochladen. Der Datensatz besteht mindestens aus der E-Mail-Adresse, meistens noch aus der Telefonnummer und weiteren Stammdaten wie Name und Vorname, Anschrift, Postleitzahl. Facebook kann dann anhand der E-Mail-Adresse abgleichen, welcher Kunde dieses Unternehmens auch einen Facebook-Account hat. Dort wo es eine Übereinstimmung gibt, kann der Kunde dann gezielt mit einer Kampagne auf Facebook beworben werden. Mit der „Lookalike Audience“-Funktion können zudem Zielgruppen erstellt und beworben werden, die ein ähnliches Profil wie die Menschen auf der Kundenliste haben.

netzpolitik.org: Warum ist diese „Custom Audience“-Funktion problematisch?

Benedikt: In keinem der Fälle, die wir geprüft haben, wurden die Nutzer, Abonnenten und Kunden von den Unternehmen darüber informiert, dass ihre Kontaktdaten mit Facebook geteilt wurden. Für uns steht fest, dass Facebook eine Zusatzinformation erlangt, wenn die E-Mail-Adresse abgeglichen wird – unabhängig davon, ob es sich um einen Nutzer handelt, der eh schon auf Facebook unterwegs ist: Nämlich die Information, dass dieser Facebook-Nutzer auch Kunde bei einem bestimmten Unternehmen oder Onlineshop ist.

Kristin Benedikt vom Bayerischen Landesamt für Datenschutzaufsicht. Alle Rechte vorbehalten BayLDA

Das mag in vielen Fällen harmlos sein. Wir haben aber festgestellt, dass auch Versicherer E-Mail-Adressen hochgeladen haben oder Onlineshops für sehr spezifische Artikel. Es ist nicht auszuschließen, dass in der Summe oder bei einem bestimmten Onlineshop Rückschlüsse auf besonders sensible Daten möglich sind. Beispielsweise wenn jemand häufig bei einer Apotheke oder einem Sexshop bestellt. Oder wenn jemand häufig im Onlineshop einer Partei bestellt und sich dort auf die Newsletter-Liste hat setzen lassen. Das ermöglicht weitgehende Rückschlüsse. Diese Informationen fügt Facebook den schon bestehenden Profilen hinzu und verwendet sie weiter – ohne dass der Nutzer informiert wird und die Chance hat, zu widersprechen.

netzpolitik.org: Facebook betont, dass die Daten nicht im Klartext ausgetauscht, sondern durch ein Hash-Verfahren „verschlüsselt“ werden. Die E-Mail-Adressen werden auf beiden Seiten nach dem gleichen Verfahren in Zahlenwerte umgewandelt und dann auf Übereinstimmung geprüft. Das verleiht dem ganzen einen Anschein von Sicherheit und Anonymität.

Benedikt: Für uns macht das im Ergebnis keinen Unterschied – diese Funktion führt nicht zu einer Anonymisierung. Das hat zwei Gründe: Zum einen ist es heute relativ schnell möglich, gehashte E-Mail-Adressen zurückzurechnen. Eigentlich soll das Verfahren dies verhindern, aber es gibt viele Tools, etwa Googles Hash-Generator, die in Kombination mit den großen Mengen Mail-Adressen, die man inzwischen auf dem Schwarzmarkt erwerben kann, die Berechnung vorausgefüllter Hashwerte ermöglicht. Zum anderen hat Facebook ja selbst die E-Mail-Adressen der Nutzer und wandelt sie in Hashwerte um. Wenn eine Partei den Hashwert selbst übersetzen kann, kann das Verfahren nicht anonym sein. Das Ziel der „Custom Audience“ ist ja eben, ausgewählte Nutzer zu finden und anzusprechen. Das Verwaltungsgericht Bayreuth und der Verwaltungsgerichtshof Bayern haben unsere Lesart im Herbst 2018 bestätigt.

“Ob personalisierte Werbung dann noch lukrativ ist, kann man in Frage stellen“

netzpolitik.org: Ihre Behörde hat die Nutzung der „Custom Audience“-Funktion grundsätzlich verboten – es sei denn, es gibt eine Einwilligung der Betroffenen. Eine andere Rechtsgrundlage kommt nicht in Frage?

Benedikt: Nein. Da wäre höchstens die sogenannte Interessenabwägung und in diesem intransparenten Verfahren steht das Interesse der Betroffenen am Schutz ihrer Daten klar über dem Interesse der Unternehmen an Werbung und Umsatz.

netzpolitik.org: Wie würde so eine Einwilligung in der Praxis aussehen?

Benedikt: Die Einwilligung kann beispielsweise beim Abschließen einer Bestellung in einem Onlineshop oder bei der Anmeldung zu einem Newsletter eingeholt werden.

netzpolitik.org: Das wäre dann ein weiteres Häkchen à la „Ich bin damit einverstanden, dass meine Daten an Facebook übermittelt werden, damit ich dort wiedergefunden und mit zugeschnittener Werbung erreicht werden kann“?

Benedikt: Richtig, dieser Zweck muss ganz klar benannt werden. Es dürfte dann natürlich keine vorausgefüllten Check-Boxen geben oder eine Voraussetzung für die Anmeldung bei einem Newsletter sein. Es gibt allerdings einen technischen Haken: Jedes Mal, wenn ich eine Einwilligung erteile, habe ich als Betroffener das Recht, sie zu widerrufen. Ich kann also jederzeit dem Onlineshop mitteilen, dass ich den Newsletter nicht mehr erhalte möchte und auch meine E-Mail-Adresse nicht mehr für Werbung auf Facebook verwendet werden darf. Das hätte zur Folge, dass das Unternehmen meine E-Mail-Adresse unverzüglich aus der Kundenliste entfernen und die bei Facebook hochgeladene Liste aktualisieren müsste. Das führt allerdings dazu, dass die gesamte Facebook-Kampagne abgebrochen und dann neu gestartet werden muss. Das kann zu einem großen finanziellen Verlust führen, denn auch wenn ich die Kampagne gerade erst begonnen habe, gibt es kein Geld zurück.

netzpolitik.org: Facebook könnte sein System ja so anpassen, dass die Kampagnenlisten flexibler sind, aber schauen wir mal auf den größeren Kontext: Ist es überhaupt realistisch, dass dieses System der personalisierten Werbung über abgeglichene Kontaktliste, das Google ja in gleicher Form anbietet, jemals so gestaltet wird, dass Nutzer:innen tatsächlich informiert und selbstbestimmt entscheiden?

Benedikt: Theoretisch funktioniert das sehr gut. Ich brauche dafür einen leicht verständlichen Text, der mir erklärt, wozu ich gerade einwillige – kein Juristendeutsch, sondern verständlich für den Normalverbraucher. Ich vermute allerdings, dass nicht viele zustimmen würden, wenn transparent gemacht wird, dass die Daten an Facebook weitergegeben werden und zu welchem Zweck. Das hätte dann zur Folge, dass die Unternehmen deutlich weniger Kunden auf ihrer Liste haben. Ob personalisierte Werbung dann noch lukrativ ist, kann man in Frage stellen.

netzpolitik.org: Wenn es rechtssicher und fair gestaltet wäre, würde das System der personalisierten Werbung nicht mehr funktionieren?

Benedikt: Genau.

“Eine sehr eindeutige Angelegenheit“

netzpolitik.org: In Deutschland ist der Datenschutz ja föderal organisiert. Was sagen die anderen Landesbehörden zu Ihrem Vorgehen?

Benedikt: Wir haben das innerhalb Deutschlands natürlich abgestimmt. Die Kollegen in den anderen Ländern sind darüber informiert, wie wir vorgehen. Sie kennen unsere Anordnung und teilen unsere Auffassung. Gleichwohl bleibt es natürlich jeder Aufsichtsbehörde selbst überlassen, ob dann Prüfaktionen folgen oder nicht. Aber ich denke das ist insgesamt für Deutschland eine wichtige Entscheidung.

netzpolitik.org: Gilt das auch für den europäischen Kontext? Die DSGVO soll den Datenschutz ja europaweit vereinheitlichen.

Benedikt: Das gesamte Verfahren handelte zu einer Zeit, in der noch das alte Bundesdatenschutzgesetz galt. Gleichwohl sind wir der Meinung, dass die Grundsätze auch nach der DSGVO gelten. Die europäischen Kollegen haben sich sehr für die Entscheidung des Verwaltungsgerichtshofes interessiert und haben uns gefragt, auf welcher Grundlage wir den Einsatz verboten haben. Bisher haben wir nur Zuspruch erhalten. Es ist aus unserer Perspektive aber auch eine sehr eindeutige Angelegenheit.

netzpolitik.org: Es gibt neben der „Custom Audience“-Variante über die Kundenliste auch die Möglichkeit, ausgewählte Besucher:innen von Webseiten auf Facebook mit Werbung anzusprechen. Dazu wird beim Besuch einer Webseite ein Facebook-Pixel im Browser gespeichert, ähnlich einem Cookie. Auch hier wird Facebook mit neuen Informationen über seine Nutzer:innen gefüttert, beispielsweise über Webseitenbesuche und Einkäufe in Webshops. Gilt die Vorschrift auch für diese Variante der „Custom Audience“?

Benedikt: Wir sind der Meinung, dass auch das Pixel-Verfahren nur mit einer Einwilligung des Nutzers zulässig ist. Die Datenverarbeitung beim Pixel-Verfahren ist besonders umfangreich, da der Nutzer website- und geräteübergreifend verfolgt wird. Das gilt auch für Nutzer, die gar kein Facebook-Mitglied sind. Für Nutzer, die eine Website besuchen, ist das Tracking weder zu erwarten, noch erkennbar. Nur der, der über IT-Knowhow verfügt, kann die Datenverarbeitung im Hintergrund aufspüren. Das ist weder transparent noch hat der Nutzer hier eine echte Wahl.

“Facebook schiebt die Verantwortung ab“

netzpolitik.org: Zum „Custom Audience“-System gehören mindestens zwei Seiten. Wieso haben Sie sich entschieden, gegen die Webshop-Betreiber vorzugehen und nicht direkt gegen Facebook?

Benedikt: Das ist eine rechtliche Frage, die derzeit stark diskutiert wird. Es gibt eine recht junge Entscheidung des Europäischen Gerichtshofes zur gemeinsamen Verantwortlichkeit für den Betrieb von Facebook-Fanpages. Wir sehen auch die Verantwortung für die „Custom Audience“-Funktion auf beiden Seiten. Aus diesem Grund haben wir im Vorfeld Gespräche mit Facebook geführt. Allerdings geht die erste entscheidende Aktion von dem Webshop-Betreiber aus, denn der übermittelt aktiv eine Liste. Erst dann kann Facebook mit diesen Informationen die weitere Datenverarbeitung vornehmen. Wir sahen es daher als notwendig an, diesen ersten Schritt zu unterbinden, weil das die schnellstmögliche Lösung ist, die rechtswidrige Verarbeitung gar nicht erst entstehen zu lassen. Gleichwohl bezweifeln wir stark, dass Facebook selbst eine Rechtsgrundlage hat, mit diesen Daten weiter umzugehen und diese zu verarbeiten.

netzpolitik.org: Das Jahr 2018 war für Facebook von Skandalen geprägt, ein öffentlicher Aufschrei folgte auf den nächsten. Haben Sie den Eindruck, dass es beim Konzern eine Bereitschaft gibt, etwas zu ändern?

Benedikt: Das ist schwierig. Wir haben uns in der Vergangenheit immer wieder bemüht, mit Facebook direkt zu kommunizieren, statt über Bande spielen zu müssen. Dazu war man dort aber lange Zeit nicht bereit. Erst als wir unsere Prüfaktionen gestartet haben, hat Facebook mit uns geredet. Im Ergebnis hat das allerdings nicht dazu geführt, dass etwas geändert wurde. Stattdessen teilte man uns mit, dass es nicht Facebooks Angelegenheit sei. Diejenigen, die ihre Tools nutzen, müssten selber schauen, dass sie dafür eine Rechtsgrundlage haben. Damit schiebt Facebook die Verantwortung auf die Webshops und sonstigen Unternehmen ab.

netzpolitik.org: Was hätte der Werbekonzern hier konkret tun sollen?

Benedikt: Aus meiner Sicht ist es so: Facebook betreibt diese Produkte und verdient damit Geld. Ich würde schon erwarten, dass es zu einer Service-Leistung gehört, dass man dieses Produkt rechtskonform einsetzen kann. Das hieße beispielsweise, dass ich als Werbetreibender ein Muster für eine Datenschutzbestimmung zur Verfügung gestellt bekomme, mit dem ich meine Nutzer aufklären kann. Das ist nicht unüblich, viele andere große Dienstleister machen das. Natürlich kommt hier aber hinzu, dass die Transparenz bei Facebook insgesamt sehr mangelhaft ist. Die DSGVO schreibt viele Pflichten für Verantwortliche vor. Sie müssen den Aufsichtsbehörden jederzeit darlegen können, wie eine Datenverarbeitung funktioniert: Welche Daten werden erhoben? Was wird wie lang gespeichert? Was wird gelöscht? Kann ein Kunde einfach Auskunft verlangen, für welche Kampagne eine E-Mail-Adresse verwendet wird? All diese Informationen kann ein Webshop gar nicht geben, weil er es selber nicht weiß. Wie diese Werbetools im Detail funktionieren, ist eine große Blackbox. Auch aus diesem Grund sind wir der Meinung, dass ein rechtskonformer Einsatz schwer möglich ist.

netzpolitik.org: Vielen Dank für das Gespräch!

>>>Hier haben wir eine Anleitung veröffentlicht, wie Facebook-Nutzer:innen herausfinden können, welche Firmen die eigenen Kontaktdaten bei Facebook in eine „Custom Audience“ geladen haben.< <<

4 Ergänzungen
  1. Ist doch alles kein Problem.

    Einfach auf Seite 258 der AGB oder Lizenzvereinbarung die Einwilligung festschreiben. Wer die nicht liest, hat halt Pech gehabt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.