Werbeanzeigen mit Hilfe von Facebook Custom Audience
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einer Prüfaktion 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird und ob dabei der Datenschutz gewährleistet ist.
Online-Werbung kann heutzutage gezielt auf die Bedürfnisse und Interessen eines Nutzers zugeschnitten werden. Dies ist nur möglich, indem das Online-Verhalten des Einzelnen präzise erfasst wird. Durch die vielen persönlichen Daten, die die Nutzer im Internet hinterlassen, ist es Werbenetzwerken möglich, sich ein detailliertes Bild der Interessen und Vorlieben des jeweiligen Nutzers zu machen. So wird über jeden Nutzer ein persönliches Profil erstellt, das fast so eindeutig ist wie ein Fingerabdruck. Anhand der Nutzerprofile werden Zielgruppen ausgewählt, die auf sie zugeschnittene Werbung erhalten.
Besonders Werbeflächen in sozialen Netzwerken gewinnen für Unternehmen immer weiter an Beliebtheit, da es dort möglich ist, Personen noch präziser anhand ihrer Interessen auszuwählen und gezielt anzusprechen. Dabei können nicht nur potentielle Neukunden beworben werden, sondern auch Nutzer, die bereits Kunden sind und sich womöglich für neue Angebote des Unternehmens interessieren könnten. Ein solches Produkt, mit dem eine zielgruppenorientierte Werbung möglich ist, wird von Facebook angeboten und nennt sich „Facebook Custom Audience“. Das BayLDA hat zwei Varianten des Werbetools näher geprüft, die im Prinzip so funktionieren:
1. Facebook Custom Audience über die Kundenliste
Ein Unternehmen erstellt eine Liste, die Name, Wohnort, EMail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält. Diese Kundenliste wird dann im Facebook-Konto des Unternehmens hochgeladen, nachdem die Kundendaten unter Einsatz eines sogenannten Hash-Verfahrens in feste Zeichenketten umgewandelt wurden. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist. Das Unternehmen startet dann eine Werbekampagne für seine Kunden auf Facebook und wählt eine Zielgruppe aus, die die Werbung erhalten soll. Es erhalten in diesem Fall nur die Facebook-Nutzer Werbung, auf die bestimmte Merkmale oder Interessen der Zielgruppe zutreffen.
2. Facebook Custom Audience über das Pixel-Verfahren
Ist auf einer Webseite eines Unternehmens ein unsichtbares Facebook-Pixel eingebunden, kann das komplette Online-Verhalten des Nutzers durch Facebook nachvollzogen werden. Ein typisches Szenario sieht so aus: Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten, damit der Kauf doch noch abgeschlossen werden kann. Über den Facebook-Pixel ist es aber auch möglich, gezielt Neukunden zu gewinnen und neue Personen anzusprechen, die Webseitenbesuchern ähneln.
Überprüfung durch das BayLDA
Zahlreiche Unternehmen in Bayern wollen Facebook Custom Audience zur gezielten Werbeschaltung auf Facebook nutzen. Hierbei kam es jedoch vermehrt zu Nachfragen gegenüber dem BayLDA, was den korrekten Einsatz des Tools anbelangt. Aufgrund dieser zahlreichen Beratungsanfragen hat das BayLD das Produkt nun näher geprüft.
Die Prüfung ergab, dass die Unternehmen, die das Pixel-Verfahren einsetzen, oftmals den Nutzer nicht oder nicht vollständig über den Einsatz von Facebook Custom Audience informierten und kein sogenanntes „Widerspruchsverfahren“ (Opt-Out) zur Verfügung stellen. Teilweise wurde die Möglichkeit zum Opt-Out eines Nutzers technisch nicht korrekt umgesetzt, sodass trotz Aktionen datenschutzaffiner Nutzer weiterhin Online-Daten an Facebook flossen. Diese Ergebnisse stellen jeweils einen Verstoß gegen geltendes Datenschutzrecht dar. Außerdem brachte die Prüfung zahlreiche Erkenntnisse darüber, wie Werbenetzwerke funktionieren und welche Techniken sie einsetzen, um den Nutzer zu verfolgen.
Soweit beim Einsatz von Facebook Custom Audience über die Kundenliste Kundendaten direkt an Facebook übermittelt werden, ist das eingesetzte Hashverfahren nicht geeignet, um anonyme Zeichenfolgen zu generieren. Die Hash-Werte können zum Teil mit geringem Aufwand (z. B. wenige Sekunden mit einem handelsüblichen Gaming-PC) wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurückgerechnet werden. Unternehmen, die eine derartige Liste ihrer Kunden an Facebook übermitteln, übermitteln somit personenbezogene Daten an Facebook.
Um die weit verbreitete Unwissenheit über die rechtlichen Rahmenbedingungen für den Einsatz von Facebook Custom Audience abzubauen, hat das BayLDA die wesentlichen Informationen zusammengefasst. Diese Bedingungen können unter https://www.lda.bayern.de/media/pm2017_07.pdf nachgelesen und heruntergeladen werden.