Behörden rügen Facebook-Tool

Facebooks Werbe- und Marketing-Tool Custom Audience ist ein beliebtes Werkzeug um – vereinfacht ausgedrückt – bestimmte Zielgruppen zu erreichen. Hierzu übermittelt ein Unternehmen seine verschlüsselte Kundenliste an Facebook, die das soziale Netzwerk dann mit allen Facebook-Nutzern abgleicht, um festzustellen, welcher Kunde des Unternehmens auch Nutzer bei Facebook ist. Bei diesem Verfahren werden personenbezogene Daten des Kunden bei Facebook verarbeitet.

Aufgrund zahlreicher datenschutzrechtlicher Beratungsanfragen hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nun rund 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Tool Custom Audience eingesetzt wird.

In seinem Prüfbericht stellt das BayLDA fest, dass die Unternehmen das Tool häufig entgegen den datenschutzrecht­lichen Vorschriften nutzen. So werden zum einen die Nutzer nicht oder nicht vollständig über den Einsatz des Tools informiert, zum Beispiel in einer Datenschutzerklärung. Ferner stellen die Unternehmen keine oder keine technisch korrekten Widerspruchsverfahren, sogenannte Opt-outs, zur Ver­fügung. Dies stelle, so die bayerische Behörde, jeweils einen Verstoß gegen geltendes Datenschutzrecht dar und es drohten Bußgelder von derzeit bis zu 300.000 Euro.

Zudem sei das eingesetzte Hash-Verfahren zur Verschlüsselung nicht geeignet, um anonyme Zeichenfolgen zu generieren, mit der Folge, dass die Hash-Werte zum Teil mit geringem Aufwand wieder in die ursprünglichen Telefonnummern und E-Mail-Adressen zurückgerechnet werden können. Unternehmen, die eine derartige Kundenliste an Facebook übermitteln, übergeben somit personenbezogene Daten und keine anonymisierten Daten. Für die Übermittlung an Facebook bedürfe es allerdings, so das BayLDA, der Einwilligung des Kunden, da keine anderweitige Rechtsgrundlage ersichtlich sei.

Unternehmen, die Custom Audience nutzen, sollten den Bericht des BayLDA gründlich studieren, um die datenschutzrechtlichen Rahmenbedingungen zu kennen. Hierzu gehören unter anderem die informierte Einwilligung des Kunden sowie datenschutzrechtliche Hinweise vor der Datenerhebung.