INTERNET WORLD Logo Abo
Facebook Website durch die Lupe

Marketing auf Facebook Diskussion um Facebook Custom Audience

shutterstock.com/Gil C
shutterstock.com/Gil C

Facebook Custom Audience ist ein effizientes Werkzeug für Werbekunden. Allerdings wird dabei der Datenschutz öfter nicht berücksichtigt. Das kann Folgen haben.

Gedruckte Flyer im Briefkasten - es gibt sie noch. Sie wirken allerdings wie Grüße aus der Vergangenheit. Unternehmen, die ihre Kunden möglichst direkt ­ansprechen wollen, nutzen verstärkt digitale Medien. Vor allem Facebook ist hier ein gefragter Kanal. Die Social-Media-Plattform offeriert diverse Tools, die den Weg zu einer direkten Ansprache ebnen. 

Ein beliebtes Instrument ist "Facebook Custom Audience". Das Produkt bietet den Werbekunden im Wesentlichen zwei Varianten: Facebook Custom Audience aus einer Kundenliste und Facebook Custom Audience  über das Pixel-Verfahren. 

Im ersten Fall können Unternehmen ­eine Liste ihrer Kunden - mit Namen, Wohnort, E-Mail-Adresse und Telefonnummer - in ihrem Facebook-Konto hochladen. Diese werden verschlüsselt. Anschließend prüft Facebook, welcher der Adressaten auf seinem Netzwerk aktiv ist. Das Unternehmen kann daraus Zielgruppen auswählen und diese dann mit Werbebotschaften ansprechen. 

Im zweiten Fall wird auf der Website oder der App des Unternehmens ein Pixel von Facebook eingebunden. Dadurch kann Facebook das Online-Verhalten des Seitenbesuchers verfolgen und ihm gezielt Werbung zuspielen. Hat beispielsweise ein Online-Shop das Pixel, kann er einen User auf Facebook kontaktieren, der zuvor ­einen Bestellvorgang abgebrochen hat. 

Verschlüsselung kann leicht geknackt werden

Beide Produkte helfen also, bestehende Kunden unter den Facebook-Nutzern ­herauszufiltern und diese gezielt zu kontaktieren. Über die Ansprache von ähnlichen Zielgruppen (Personas) lassen sich zudem potenzielle Neukunden ansprechen. 

Eine Prüfung des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) ergab jetzt allerdings, dass zahlreiche Werbekunden bei der Nutzung des Marketinginstruments nicht sorgfältig vorgehen. Bereits 2015 hatte die Behörde den Umgang mit Facebook Custom Audience stichprobenartig geprüft. Im August 2017 folgte ­eine Großprüfung unter 40 Unternehmen. Die Datenschützer wollten wissen, ob das Instrument eingesetzt wird, ob Kundenlisten hochgeladen werden und ob dafür die Einwilligung der Nutzer eingeholt wurde. 

Das Ergebnis war ernüchternd. "Die meisten Unternehmen haben nicht einmal versucht, sich dafür die Einwilligung zu holen, und wenn doch, war die Einwilligung häufig unwirksam", sagt Kristin Benedikt, zuständige Referatsleiterin beim BayLDA. Im Falle der Facebook-Pixel war die Sachlage noch gravierender. Grundsätzlich aber gelte, so Benedikt: "Der Nutzer muss sagen können, ich will das nicht. Das kann er aber nur, wenn er informiert wird und weiß, was mit seinen Daten passiert."

Ein weiterer Kritikpunkt der Aufsichtsbehörde ist das eingesetzte Hash-Verfahren, mit dem die Kundendaten der Unternehmen verschlüsselt werden. Diese ­Werte, so das BayLDA, könnten teils mit nur ­geringem Aufwand - beispielsweise innerhalb weniger Sekunden mit einem handelsüblichen Gaming-PC - wieder in die ursprünglichen Telefonnummern und ­E-Mail-Adressen zurückgerechnet werden.

Facebook sieht sich nicht in der Verantwortung

Unter den Werbungtreibenden macht sich jetzt Unsicherheit breit. Einerseits wollen sie nicht auf dieses effiziente Marketingwerkzeug verzichten, andererseits aber wollen sie kein Bußgeld riskieren. Das kann bis zu 100.000 Euro betragen. Denn - das war vielen Unternehmen nicht klar - die Verantwortung liegt bei ihnen, nicht bei Facebook. "Verpflichtet ist auch der, der es einsetzt", unterstreicht Benedikt.

"Die entsprechenden Nutzungsbedingungen von Facebook verpflichten Werbungtreibende, alle Anforderungen des für sie jeweils geltenden Rechts einzuhalten", sagt ein Sprecher von Facebook. Insbesondere hätten Werbungtreibende ­ihre Kunden über die Nutzung von Facebook-Produkten zu informieren. Ebenso müssten sie Widerrufe und ­Widersprüche bei der Datenverarbeitung respektieren.

Weil sich Facebook damit geschickt der Verantwortung entzieht, sollten Werbungtreibende künftig größtmögliche Sorgfalt an den Tag legen. Das BayLDA hat deshalb Hinweise und Anforderungen zum Einsatz von Facebook Custom Audience formuliert (siehe nächste Seite). Theoretisch sind diese nur für Bayern maßgebend. Praktisch aber stimmen sich sämtliche Datenschutzaufsichtsbehörden der Länder untereinander ab. Im Zweifel, so auch der Facebook-Sprecher, soll man sich mit spezialisierten Juristen beraten.

Reduzierung von Streuverlusten hat zentrale Bedeutung

Der Baur Versand gehört zu jenen Unternehmen, die mit Custom Audience sorgfältig umgehen und damit sehr effizient arbeiten. Das Tool steuere zwar operativ nur einen "kleinen, einstelligen Prozentbetrag" zum Gesamtumsatz des Online-Shops bei, sei aber als Werbeform aus strategischer Sicht wichtig, so Christian Martin, Leiter Online Marketing bei Baur. Der Umgang damit aber sei kein Selbstläufer. "Neben der internen juristischen Expertise ist es wichtig, das entsprechende Werbe- und Audience-Knowhow zu haben." Baur arbeitet mit der Agentur Tectumedia zusammen.  

Trotz der Diskussionen glaubt Martin, dass sich profilbasierte Ansprachen durchsetzen werden. "Der Markt ist hart umkämpft und der Reduzierung von Streuverlusten kommt deshalb zentrale Bedeutung zu. Die Kunst ist, dies datenschutzkonform und ROI-optimal zu gestalten."

Tipps zum Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht hat Hinweise und Anforderungen für Verantwortliche verfasst:

Facebook Custom Audience kann u. a. über eine Kundenliste und auch über ein Pixel-Verfahren eingesetzt werden. Bei beiden angebotenen Verfahren werden personenbezogene Daten verarbeitet. Daher kann Facebook Custom Audience nur dann datenschutzrechtlich zulässig eingesetzt werden, wenn folgende Anforderungen erfüllt werden: 

1. Facebook Custom Audience über die Kundenliste

a. Rechtmäßiger Einsatz

Der Einsatz ist nur aufgrund einer ­informierten Einwilligung der Kunden zulässig. Das Hochladen der Kundenliste kann weder auf eine Rechtsgrundlage des BDSG noch des TMG gestützt werden. Diese Rechtsauffassung beruht auf einer europarechtskonformen Auslegung der geltenden deutschen Datenschutzbestimmungen und berücksichtigt die jüngsten Entscheidungen des EuGH zum ­Datenschutz. Im Übrigen wird das Übermitteln dieser Liste an Facebook auch auf der Basis des ab Mai 2018 geltenden Rechts, d. h. nach der Datenschutz-Grundverordnung (DSGVO), weiterhin nicht ohne Einwilligung zulässig sein.

b. Widerruf der Einwilligung

Widerruft der Betroffene seine Einwilligung, so muss er von der Kundenliste entfernt werden. Da der Webseiten-Betreiber keine Kenntnis davon hat, welche Kunden auch Nutzer auf Facebook sind und beworben werden, ist die vollständige Custom-Audience-Liste unverzüglich zu ­aktualisieren.

2. Facebook Custom Audience über das Pixel-Verfahren

Bindet der Webseiten-Betreiber den Facebook-Pixel auf seiner Webseite ein, so ist er im datenschutzrechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverar­beitung durch Facebook veranlasst. Die Einbindung des Facebook-Pixels ist daher nur zulässig, wenn folgende Anforderungen berücksichtigt werden:

a. Funktion "Erweiterter Abgleich"

Das Facebook-Pixel ermöglicht es, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse usw. an Facebook zu übermitteln und mit ­bestehenden Tracking-Daten anzureichern. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind. Dadurch werden Webseiten-Besucher über Facebook verfolgt, die ­bewusst die Speicherung von Third-Party-Cookies unterbinden.

Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-­Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funk­tion des Facebook-Pixels datenschutzrechtlich unzulässig.

b. Hinweispflicht

Der Verantwortliche ist verpflichtet, den Nutzer/Betroffenen im Rahmen der Datenerhebung darauf hinzu­weisen,

- wer für die Erhebung und Verarbeitung zuständig ist (Webseiten-Betreiber und Facebook),

- welches Verfahren zum Einsatz kommt (Produktname),

- welche Arten von personenbezogenen Daten erhoben bzw. übertragen werden,

- für welchen Zweck die Datenverarbeitung erfolgt,

- dass Tracking-Verfahren die Identifizierung des Nutzers über zahlreiche Webseiten ermöglichen

und

- dass dem Nutzer/Betroffenen ein Opt-Out-Verfahren zur Verfügung steht.

c. Opt-Out-Verfahren

Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

- Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes ­HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.

- Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.

- Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Programmieren von ­wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.

- Ein Verweis auf Webseiten von ­Drittanbietern (wie z. B. Your­onlinechoices.eu) reicht für ein Opt-Out nicht aus. Nach dem Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist Javascript-Funktionen, die wiede­rum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook-Custom-Audience-Pixel-Verfahren auf den Dienst eines Dritten ver­wiesen zu werden, der wiederum ­Daten des Nutzers für eigene Zwecke verarbeitet.

- Auch ein Verweis auf die URL 

www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur Facebook-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzer­konto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.

Wir weisen darauf hin, dass die oben genannten Anforderungen lediglich Hinweise in Bezug auf die Hinweispflichten und Widerspruchsmöglichkeiten darstellen.

Achtung: Verantwortliche, d. h. diejenigen, die Facebook Custom ­Audience einsetzen, müssen sicherstellen, dass sie den Einsatz von Facebook Custom Audience auf eine geeignete Rechtsgrundlage stellen können. Wenn der Einsatz von Facebook Custom Audience nicht datenschutzrechtlich zulässig erfolgt, ist der ­Adressat einer Anordnung oder eines Bußgeldbescheids nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.

Ihr wollt ein wöchentliches Update zu News aus der Social-Media-Welt?
Social Media Marketing und Social Commerce stehen im Fokus des wöchentlichen Social Media Newsletters, der in Co-Creation mit unserem Schwesterportal Werben und Verkaufen entsteht. Von Facebook über Instagram bis zu Pinterest und TikTok: Social Media Marketer erhalten News zu allen relevanten Kanälen. Jetzt Newsletter kostenlos abonnieren!

Und wer mehr als nur Theorie möchte: Am 19. und 20. Oktober findet in Hamburg die Social Media Conference statt: >> Mehr Infos und Tickets
Das könnte Sie auch interessieren