Social Media Marketing im Konflikt mit dem Datenschutz

„Die Leute wissen nicht, was Sie wollen, bis man es ihnen anbietet.“ – Terence Conran

Wer als Gewerbetreibender seine Top Line verbessern möchte und ein profitables Wachstum anstrebt, wird an einer Sache nicht vorbei kommen: Marketing.

Dabei wird jeder Marketer bereits festgestellt haben, dass „old school“-Marketing in der heutigen, schnelllebigen und vor allem digitalisierten Zeit des 21. Jahrhunderts Gift für die eigenen ambitionierten Absatzziele ist.

Auf dem Weg zum eigenen Absatzziel stellt das Internet dabei Fluch und Segen zugleich dar:

Segen deswegen, weil es noch nie so einfach und kostengünstig war, seine Zielgruppe zu erreichen und die eigenen Produkte oder Dienstleistungen zu vermarkten; Fluch deswegen, weil es gleichzeitig noch nie so schwer war, die Aufmerksamkeit seiner Zielgruppe zu bekommen und diese gewinnbringend auf das eigene Produkt oder die eigene Dienstleistung zu lenken.

Social-Media-Marketing erfreut sich deswegen wachsender Beliebtheit.

Als hochfrequentierte Plattform bietet vor allem Facebook Gewerbetreibenden die Möglichkeit, ihre Zielgruppe durch Werbeanzeigen („Facebook-Ads“) zu erreichen und die eigenen Produkte oder Dienstleistungen gewinnbringend zu vermarkten.

Zudem ermöglicht es Facebook, durch spezielle Features und Tools personalisiertes Marketing mit dem Ziel zu betreiben, das verfügbare Werbebudget noch effektiver einsetzen zu können.

Aber Achtung! Hierbei gilt jedoch:

Wer Social-Media-Marketing als Teil seiner Vertriebsoffensive nutzt, sollte Gewähr dafür bieten, vertrauensvoll mit personenbezogenen Informationen umzugehen und etwaige datenschutzrechtliche Vorgaben zu beachten. Denn Verstöße hiergehen können mitunter teure Abmahnungen und hohe Bußgelder sowie den Wegfall eines profitablen Vertriebskanals nach sich ziehen.

Facebook Custom Audience: Unvereinbar mit datenschutzrechtlichen Vorgaben?

Was ist Facebook Custom Audience?

In der Praxis bietet Facebook das Marketing-Tool „Custom Audience“ an, wodurch personalisiertes Marketing betrieben werden kann und der Gewerbetreibende gezielte diejenigen Facebook-Nutzer bewerben kann, bei denen ein Interesse an der entsprechenden Werbung vermutet wird.

Möglich wird dies, indem der Gewerbetreibende bestimmte Datenätze auf Facebook hoch lädt und Facebook diesem im Anschluss hieran eine zu bewerbende Nutzerliste für den Gewerbetreibenden zur Verfügung stellt.

Beispiel des Custom Audience über die Kundenliste:

1. Ein Gewerbetreibender lädt zu Facebook eine Liste mit Daten seiner Online-Shop-Kunden (wie beispielswiese Name, Vorname, Anschrift, E-Mail-Adresse) hoch.
2. Diese Daten werden sodann im Browser mittels SHA256-Verfahren (Secure Hash Algorithm 256) gehasht und im Anschluss (verschlüsselt) an Facebook gesendet.
3. Facebook führt sodann ein sog. Matching-Verfahren durch, wonach es die gehasten Daten mit den Hashwerten der bereits gespeicherten Nutzerdaten (Facebook-Profile) abgleicht.
4. Stimmen die Ausgangsdaten mit dem bereits vorhandenen Daten überein („Match“) führt Facebook diese zu einer Custom Audience zusammen und stellt diese Nutzerliste dem Gewerbetreibenden in seinem Kundenkonto als „Custom Audience“ zur Verfügung.
5. Der Gewerbetreibende kann hiervon ausgehend personalisiertes Marketing betreiben und gezielt die targetierte Gruppe mit Facebook-Ads bewerben.

Was ist das datenschutzrechtliche Problem mit Facebook Custom Audience?

Möchte man als Gewerbetreibender personenbezogene Daten verarbeiten, statuiert die seit dem 25. Mai 2018 geltende Datenschutz-Grundverordnung (DS-GVO) ein klares Prinzip: Das sog. Verbot mit Erlaubnisvorbehalt.

Heißt, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, sofern die entsprechende Person keine Einwilligung hierzu erteilt hat (Art. 6 Abs. 1 S. 1 lit. a DS-GVO).

Was sind „personenbezogene Daten“ und wann werden diese „verarbeitet“?

Ob der Gewerbetreibenden gegen die DS-GVO verstößt und damit rechtswidrig handelt, wenn er die Daten seiner Online-Shop-Kunden auf Facebook hoch lädt, setzt die Beantwortung von zwei Fragen voraus:

1. Handelt es sich bei den an Facebook weitergeleiteten Daten um „personenbezogene Daten“ i.S. der DS-GVO?
2. Handelt es sich bei der Weiterleitung zu Facebook um eine „Verarbeitung“ ebene jener Daten i.S. der DS-GVO?

Beantworten wir zunächst die zweite Frage:

Eine „Verarbeitung“ ist nach der Definition in der DS-GVO selbst (Art. 4 Nr. 2 DS-GVO):

„[…] das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Damit lässt sich eine Sache anmerken: Aufgrund dieser sehr weit gefassten Begriffsdefinition dürfte es eher schwierig werden, Fälle zu finden, in der der Gewerbetreibender Daten seiner Kunden nicht „verarbeitet“.

Dahingehend hat das VG Bayreuth in seinem Beschluss vom 08.05.2018 – Az. B 1 S 18.105[1] das Hochladen der personenbezogenen Daten der Online-Shop-Kunden zu Facebook als „Verarbeiten“ i.S. des § 3 Abs. 4 S. 1 BDSG (in seiner alten Fassung) bejaht.

Ergebnis:

Durch das Hochladen der Daten seiner Online-Shop-Kunden zu Facebook „verarbeitet“ der Gewerbetreibende diese Daten, da er sie hierdurch zumindest „verwendet“.

Durchaus komplizierter stellt sich allerdings die Beantwortung der ersten Frage dar:

Der Begriff der „personenbezogenen Daten“ wird ebenfalls in der DS-GVO selbst definiert (Art. 4 Nr. 1 DS-GVO), als:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen;

als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Damit lässt sich eine Sache anmerken: Name, Vorname, Anschrift, E-Mail-Adresse sowie Telefonnummer der privaten Online-Shop-Kunden stellen „personenbezogene Daten“ i.S. der DS-GVO dar, weil sich diese auf eine „identifizierbare natürliche Person“ beziehen.

Fehlende Identifizierbarkeit der Daten aufgrund der vorgenommenen Anonymisierung?

Wie wirkt es sich aber aus, dass der Gewerbetreibend die an sich personenbezogenen Daten seiner Online-Shop-Kunden nicht im Klartext zu Facebook hoch lädt, sondern davor eine Verschlüsselung dieser Daten mittels SHA-265-Verfahren stattfindet?

Müsste durch diese Verschlüsselung nicht eine hinreichende Anonymisierung der Daten erfolgt sein, die eine „Identifizierung“ ausschließt?

Dass die datenschutzrechtlichen Vorgaben der DS-GVO auf anonymisierte Daten keine Anwendung finden, bestätigt der Erwägungsgrund Nr. 26 der DS-GVO:

„Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten,

d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.“

Bereits das Bayerische Landesamt für Datenschutz (BayLDA)[2] verneinte diese Frage jedoch und kam zu folgendem Ergebnis:

„Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.“

Begründet wurde dieses Ergebnis damit, dass „das eingesetzte Hashverfahren nicht geeignet [ist], um anonyme Zeichenfolgen zu generieren“, weil die „Hash-Werte zum Teil mit geringem, Aufwand […] wieder in die ursprüngliche Telefonnummern und E-Mail-Adressen zurückgerechnet werden [können]“.

Diese Rechtsauffassung bestätigte auch das VG Bayreuth in seinem Beschluss vom 08.05.2018 – Az. B 1 S 18.105:

„Durch den Vorgang des „Hashens“ werden die Daten auch nicht i.S.v. § 3 Abs. 6 BDSG  [a.F. – der Verfasser] anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen, zumal andernfalls auch ein sich an die Übermittlung anschließender Datenabgleich seitens F. nicht möglich wäre.“

Zwischenergebnis:

Damit bleibt festzuhalten, dass der Gewerbetreibende i.S. der DS-GVO personenbezogene Daten verarbeitet, wenn er die Kundenliste aus seinem Online-Shop auf Facebook hoch lädt.

Daraus folgt, dass der Gewerbetreibende grundsätzlich nur dann datenschutzkonform und rechtmäßig handelt, wenn er zuvor eine wirksame Einwilligungserklärung diesbezüglich von seinen Kunden erhalten hat (Verbot mit Erlaubnisvorbehalt).

Lädt der Gewerbetreibende nun auf Facebook personenbezogenen Daten seiner Kunden aus seinem Online-Shop (etwa Name, Vorname, Anschrift, E-Mail-Adresse, Telefonnummer) hoch, so fehlt ihm aber gerade regelmäßig die jeweilige Einwilligungserklärung seitens seiner Online-Shop-Kunden.

Die Folge: Der Gewerbetreibende Verstößt gegen geltende datenschutzrechtliche Vorgaben und handelt im Ergebnis rechtswidrig.

Die Folge: Teure Abmahnungen und hohe Bußgelder!

Lässt sich Facebook Custom Audience in der Praxis datenschutzkonform nutzen?

Hiervon ausgehend stellt sich nun die Frage, wie ein Gewerbetreibender datenschutzkonform und damit im Ergebnis auf rechtmäßige Facebook Custom Audience in der Praxis nutzen kann.

Erlaubnis aufgrund vertraglicher Grundlage mit Facebook?

Ein Weg könnte sein, dass der Gewerbetreibende mit Facebook einen sog. Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO in Bezug auf Facebook Custom Audience schließt.

Dadurch wäre Facebook „im Lager“ des Gewerbetreibenden und würde lediglich als dessen „verlängerter Arm“ tätig werden.

Der Vorteil hierbei wäre, dass der Gewerbetreibende lediglich mit Facebook in Bezug auf  Facebook Custom Audience einen sog. Auftragsverarbeitungsvertrag schließen müsste und die Weitergabe der personenbezogenen Daten der Online-Shop-Kunden dadurch grundsätzlich rechtmäßig wäre.

Das VG Bayreuth hat allerdings in seinem bereits angeführten Beschluss vom 08.05.2018 – Az. B 1 S 18.105 ausgeführt, dass Facebook im Rahmen des Facebook Custom Audience-Verfahrens gerade nicht als Auftragsverarbeiter tätig wird, sondern es sich bei der Weitergabe der Daten vom Gewerbetreibenden an Facebook um eine sog. Funktionsübertragung handelt, die eine Auftragsverarbeitung ausschließt.

Diese Rechtsauffassung wurde sodann dar VGH München in seinem Beschluss vom 26.09.2018 – Az. 5 C S 18.1157[3] bestätigt.

Ergebnis: Dem Gewerbetreibenden ist damit die Möglichkeit entzogen, die Weitergabe der Daten seiner Online-Shop-Kunden an Facebook durch einen Auftragsverarbeitungsvertrag zu legitimieren.

Erlaubnis aufgrund gesetzlicher Vorschriften?

Ein weiterer Weg könnte sein, dass die Nutzung von Facebook Custom Audience durch eine Rechtgrundlage in der DS-GVO gestattet wird.

Nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO ist eine Verarbeitung von personenbezogenen Daten rechtmäßig, wenn

„die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen […] erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, […]“

Hiernach wäre also die Verarbeitung des Gewerbetreibenden rechtmäßig, sofern eine umfassende Abwägung zwischen den Interessen des Gewerbetreibenden und denen seiner Online-Shop-Kunden zu seinen Gunsten ausfallen würde.

Konkret müsste also das Interesse des Gewerbetreibenden an der Weitergabe der Daten an Facebook zu Werbezwecken das Interesse seiner Online-Shop-Kunden auf Nichtweitergabe dieser Daten und auf Erkennbarkeit der möglichen Nutzung der weitergegebenen Daten durch Facebook (Recht auf informationelle Selbstbestimmung) überwiegen.

Bereits das Bayerische Landesamt für Datenschutz (BayLDA) kam zu dem Ergebnis, dass das Hochladen der Kundenliste auf keine Rechtsgrundlage gestützt werden kann.

Dieses Ergebnis überrascht nicht!

Kaum ein Online-Shop-Kunde wird damit rechnen, dass seine bei einem Online-Shop eingetragenen Daten auf einmal bei einem Weltkonzern namens Facebook landen und mit den im Privatleben genutzten Facebook-Profil abgeglichen werden, um auf der einen Seite etwaigen Gewerbetreibenden personalisiertes Marketing und auf der anderen Seite Facebook eine weitere Einnahmequelle zu ermöglichen.

Zudem ist es für den Kunden völlig intransparent, was mit seinen personenbezogenen Daten bei Facebook geschieht. Dies ist häufig selbst den Gewerbetreibenden völlig unklar. Ob Facebook diese Kunden-Daten für weitere (eigene) Zwecke nutzt, ist für den Kunden weder erkennbar noch auszuschließen.

In diesem Sinne kam das VG Bayreuth in seinem bereits angeführten Beschluss vom 08.05.2018 – Az. B 1 S 18.105 ebenfalls zu dem Ergebnis, dass im Rahmen einer vorzunehmenden Interessenabwägung – allerdings nach dem alten BDSG – den Rechten und Interessen der Online-Shop-Kunden der Vorrang einzuräumen sei.

Diese Rechtsauffassung wurde ebenfalls vom VGH München in seinem Beschluss vom 26.09.2018 – 5 C S 18.1157 bestätigt.

Ergebnis: Die Weitergabe der Kundenliste durch den Gewerbetreibenden an Facebook kann nicht auf eine gesetzliche Erlaubnisnorm gestützt werden und ist insofern rechtswidrig.

Erlaubnis aufgrund erteilter Einwilligung?

Erlaubt keine gesetzliche Vorschrift die Nutzung von Facebook Custom Audience, lässt sich die rechtskonforme Nutzung nur durch eine Sache in der Praxis gewährleisten: Durch eine rechtswirksame Einwilligung!

Zu diesem Ergebnis kommt auch das Bayerische Landesamt für Datenschutz (BayLDA):

„Der Einsatz ist nur aufgrund einer informierten Einwilligung des Kunden zulässig.“

Nach Art. 6 Abs. 1 S. 1 lit. a DS-GVO ist eine Verarbeitung nämlich auch dann rechtmäßig, wenn

„die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben [hat].“

Wann ist eine Einwilligung wirksam?

Doch wann ist eine erteilte Einwilligung rechtskonform und damit wirksam?

Erste Anhaltspunkte gibt die in der DS-GVO enthaltene Definition selbst (Art. 4 Nr. 11 DS-GVO). Hiernach ist eine Einwilligung

„jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung […], mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Maßgeblich ist für die Wirksamkeit einer erteilten Einwilligung zudem der Zeitpunkt der Erteilung selbst. Wirksam ist eine Einwilligung nämlich nur dann, wenn sie bereits vor Beginn der Datenverarbeitung erteilt wurde.

Damit sind Voraussetzungen einer wirksamen Einwilligung:

• Einwilligungsfähigkeit: Mind. 16 Jahre
• Freiwilligkeit: Kein Zwang oder Täuschung
• Zeitpunkt: Erteilung der Einwilligung vor Beginn der Datenverarbeitung
• Art und Weise:

1. Kein Schriftformerfordernis; aufgrund der den Gewerbetreibenden treffenden Nachweispflicht, dass die Person ihre Einwilligung auch tatsächlich erteilt hat, empfiehlt es sich aber für die Praxis, diese in schriftlicher Form auszugestalten
2. Unmissverständlichkeit: Es muss klar und eindeutig durch ein aktives Verhalten der Person hervorgehen, dass sie ihre Einwilligung erteilt hat
3. Informiertheit und Bestimmtheit: Die Person muss in einer klaren und verständlichen Art darüber informiert werden, (1) dass und (2) in welchem Umfang sowie (3) zu welchem Zweck sie ihre Einwilligung erteilt; zudem muss sie vor Abgabe ihrer Einwilligungserklärung über ihr bestehendes Widerrufsrecht (mit Wirkung für die Zukunft) informiert werden und wie lange ihre personenbezogenen Daten gespeichert werden

Ziel der durch die DS-GVO an die Einwilligung gestellten Anforderungen ist, dass die betroffene Person erkennen kann, welche personenbezogenen Daten sie für welche Zwecke, in welchem Umfang und für welche Personen offen legt und zugänglich macht, um hiervon ausgehend eine selbstbestimmte Entscheidung über die jetzige und zukünftige Nutzung der eigenen Daten zu treffen (informationelle Selbstbestimmung).

Konkrete Umsetzung der Vorgaben aus der DS-GVO zur rechtmäßigen Nutzung von Facebook Custom Audience

Wie lässt sich nun Facebook Custom Audience rechtskonform in der Praxis nutzen?

Das A und O einer rechtskonformen Einbindung dieses Marketingtools ist eine die Erteilung einer rechtskonformen Einwilligungserklärung seitens der Online-Shop-Kunden.

Hierfür sollte eine entsprechende Einwilligungserklärung (zur inhaltlichen Ausgestaltung s.o.) zum richtigen Zeitpunkt (s.o.) in der richtigen Art und Weise vom Gewerbetreibenden eingeholt werden.

Transparenz, Klarheit und Dokumentation bilden hierbei für den Gewerbetreibenden die obersten Gebote.

Double-Opt-In-Verfahren und Nachweispflicht

Bezüglich der Art und Weise der Einholung der Einwilligungserklärung empfiehlt sich für die Praxis ein Double-Opt-In-Verfahren.

Opt-In-Verfahren bedeutet – im Gegensatz zum Opt-Out-Verfahren – dass der Kunde eine aktive Handlung vornehmen muss, um seine Einwilligung zu erklären.

Dies kann etwa in einem aktiven Setzen eines Häkchens im Rahmen einer „Check-Box“ mit Bezugnahme auf eine vorformulierte Einwilligungserklärung, die in der Praxis etwa in den Bestellprozess implementiert werden kann, erfolgen.

In der Praxis empfiehlt es sich allerdings zum Zwecke der den Gewerbetreibenden treffenden Nachweispflicht ein sog. Double-Opt-In-Verfahren (auch „Closed-Loop-Opt-In“ genannt) zu implementieren.

Double-Opt-In bedeutet, dass der Kunde ein zweites Mal eine aktive Handlung vornehmen muss, bevor er seine Anmeldung/Erstbestellung abschließen kann.

Der Vorteil bei diesem Double-Opt-In-Verfahren besteht darin, dass sich der Gewerbetreibende durch die zweite bestätigende Handlung Gewissheit darüber verschaffen kann, dass der entsprechende Kunde auch seine eigenen Daten angegeben hat und nicht die eines Dritten.

Zudem kann der Gewerbetreibende dokumentieren, dass der entsprechende Nutzer ein zweites Mal eine aktive Handlung in Bezug auf seine erteilte Einwilligungserklärung vorgenommen hat.

In der Praxis empfiehlt es sich, eine automatisiertes E-Mail-System zu nutzen, das an den entsprechenden Kunde an die entsprechende E-Mail-Adresse eine Nachricht mit der Bitte sendet, die eingetragenen personenbezogenen Daten sowie die Erteilung der konkret zu benennende Einwilligungserklärung zu bestätigen.

Um der Nachweispflicht in Bezug auf die erteilte Einwilligungserklärung im Streitfall hinreichend nachkommen zu können, empfiehlt es sich, folgende Daten – in ausdruckbarer Form – zu speichern:

• IP-Adresse des Kunden
• Timestamps der Vorgänge in Bezug auf die Erteilung der Einwilligungserklärung
• Vorformulierte Einwilligungserklärung
• E-Mail in Bezug auf das Double-Opt-In-Verfahren

Abschließendes

Facebook Custom Audience bietet dem Gewerbetreibenden in der digitalisierten Welt des 21. Jahrhunderts eine Möglichkeit, personalisiertes Marketing mittels Facebook-Ads bei den Personen zu betreiben, bei denen eine Nachfrage des beworbenen Produkts oder der beworbenen Dienstleistung vermutet wird.

Solange die Nutzung von Facebook Custom Audience in Übereinstimmung mit den geltenden datenschutzrechtlichen Anforderungen steht, ist dieser Marketing-Strategie nichts entgegenzusetzen.

Wir der gesetzliche Rahmen jedoch überschritten, muss der Gewerbetreibende sich klar sein, dass er Verantwortung für einen rechtskonformen Umgang der ihm anvertrauten sensiblen Datensätze seiner Kunden trägt und ihm deswegen in einem solchen Fall hohe Bußgeldstrafen drohen können.

Um dies zu vermeiden, ist dringend anzuraten, das eigene Verhalten an die geltenden datenschutzrechtlichen Anforderungen anzupassen und gegebenenfalls entsprechende technische Vorkehrungen vorzunehmen.

[1] Abrufbar unter: https://www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-9586 (zuletzt geprüft am 08.11.2018).

[2] Abrufbar unter: https://www.lda.bayern.de/media/pm2017_07.pdf (zuletzt geprüft am 08.11.2018).

[3] Abrufbar unter: https://gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2018-N-25018?AspxAutoDetectCookieSupport=1 (zuletzt geprüft am 08.11.2018).