Das von der Firma Facebook zur Verfügung gestellte Marketing-Tool „Facebook-Pixel“ ist insbesondere in Unternehmen ein beliebtes Marketing-Tool zur Analyse von Werbekonzepten auf Facebook und zur Auslieferung von personalisierter Werbung an Facebook-Nutzer. Unserer Einschätzung nach ist der Einsatz des Facebook-Pixels (und gegebenenfalls auch anderen Tracking-Tools von Drittanbietern) derzeit aus folgenden Gründen nicht ohne rechtliche Risiken möglich:
1. Risiko der „gemeinsamen Verantwortlichkeit“ nach Artikel 26 DSGVO:
Beim Einsatz des Facebook-Pixels besteht unserer Einschätzung nach eine sogenannte „gemeinsame Verantwortlichkeit“ des Betreibers einer Webseite zusammen mit Facebook nach Artikel 26 DSGVO.
Der Gerichtshof der Europäischen Union hat bereits mit Urteil vom 05.06.2018 entschieden, dass der Betreiber einer „Facebook-Fanpage“ zusammen mit Facebook für die Verarbeitung von personenbezogenen Daten über eine Facebook-Fanpage „gemeinsame Verantwortliche“ nach Artikel 26 DSGVO sind (vgl. Urteil des EuGH vom 05.06.2018, Az.: C-210/16). Folge hiervon ist, dass eine Vereinbarung mit Facebook zur gemeinsamen Verantwortlichkeit geschlossen werden muss. Ohne eine solche Vereinbarung ist das Betreiben einer Facebook-Fanpage daher datenschutzkonform schlicht nicht möglich. Seit der Entscheidung des EuGH bietet Facebook für Insights-Daten von Facebook-Fanpages eine Vereinbarung über eine gemeinsame Verantwortlichkeit an (welche unserer Ansicht nach allerdings ebenfalls nicht in allen Punkten rechtskonform ist).
Auch bei dem Einsatz von Facebook-Pixel (und gegebenenfalls auch beim Einsatz weiterer Tracking-Tools von Drittanbietern) besteht daher das Risiko, dass diesbezüglich eine „gemeinsame Verantwortlichkeit“ zwischen dem Betreiber einer Webseite sowie Facebook nach Artikel 26 DSGVO besteht. Ähnlich wie der Betreiber einer Facebook-Fanpage trägt der den Facebook-Pixel einsetzende Webseitenbetreiber nämlich zur Verarbeitung der personenbezogenen Daten der Nutzer seiner Website durch Facebook bei. Folge einer gemeinsamen Verantwortlichkeit ist, dass auch bezüglich des Einsatzes des Facebook-Pixel eine Vereinbarung mit Facebook zur gemeinsamen Verantwortlichkeit geschlossen werden müsste.
Bisher bietet Facebook eine Vereinbarung über eine gemeinsame Verantwortlichkeit für den Einsatz des Facebook-Pixels jedoch nicht an, so dass unserer Einschätzung nach ein risikoloser Einsatz des Facebook-Pixels bereits aus diesem Grunde schlicht nicht möglich ist.
2. Facebook-Pixel ist keine Auftragsverarbeitung:
Über die Nutzungsbedingungen für Facebook Custom Audiences wird für das Facebook-Pixel eine Vereinbarung zur Auftragsverarbeitung mit Facebook abgeschlossen. Unserer Einschätzung nach genügt diese Vereinbarung allerdings in einigen Punkten nicht den Vorgaben der DSGVO, so dass bereits aus diesem Grund keine DSGVO-konforme Vereinbarung zur Auftragsverarbeitung mit Facebook geschlossen wird.
Darüber hinaus hat das Verwaltungsgericht Bayreuth mit Urteil vom 08.05.2018, Az.: B 1 S 18.105, bereits entschieden, dass es sich bei Facebooks Custom Audiences nicht um eine Verarbeitung im Auftrag handelt, da Facebook „nicht ohne eigenen Wertungs- und Entscheidungsspielraum handelt“. Die Entscheidung des VG Bayreuth ist zwar zu Datenübermittlungen von Kundenlisten in Facebooks Custom Audiences ergangen, allerdings werden – jedenfalls nach Ansicht der Aufsichtsbehörden – auch beim Facebook-Pixel personenbezogene Daten an Facebook für Werbezwecke übertragen, so dass sich auch beim Facebook-Pixel keine abweichende Rechtslage ergibt.
Damit ist auch die Datenverarbeitung über das Facebook-Pixel keine Auftragsverarbeitung, sondern eine Datenübermittlung von personenbezogenen Daten der Webseitennutzer an Dritte (Facebook), wofür eine Rechtsgrundlage nach Artikel 6 DSGVO bestehen muss.
3. Rechtsgrundlage für den Einsatz des Facebook-Pixels:
Als Rechtsgrundlage für den Einsatz des Facebook-Pixels kommt damit entweder eine aktive Einwilligung nach Artikel 6 Abs.1 lit. a) DSGVO oder eine Verarbeitung der personenbezogenen Daten der Nutzer auf der Grundlage einer Interessenabwägung nach Artikel 6 Abs. 1 lit. f) DSGVO in Betracht.
Die Verarbeitung von personenbezogenen Daten auf der Rechtsgrundlage einer Interessenabwägung ist dabei risikoreicher. Die Datenschutzbehörden sind der Ansicht, dass Tracking-Maßnahmen unter der DSGVO nur auf der Rechtsgrundlage einer aktiven Einwilligung nach Artikel 6 Abs.1 lit. a) DSGVO und nicht auf der Rechtsgrundlage einer Interessenabwägung nach Artikel 6 Abs. 1 lit. f) DSGVO gestützt werden können (siehe insbesondere Positionspapier der Datenschutzkonferenz (DSK) vom 26.04.2018).
Um das Risiko eines Bußgeldverfahrens oder einer Abmahnung zu minimieren, sollte daher für den Einsatz des Facebook-Pixel möglichst eine vorherige aktive Einwilligung der Nutzer einer Webseite über einen sogenannten echten „Opt-In-Einwilligungsbanner“ eingeholt werden.
4. Möglichst rechtskonformer Einsatz des Facebook-Pixels nur mittels „Opt-In-Einwilligungsbanner:
Für einen möglichst rechtskonformen Einsatz des Facebook-Pixels sollte demnach folgendes umgesetzt werden:
- der Nutzer willigt aktiv in die Nutzung des Facebook-Pixels ein, bevor dieser aktiviert wird;
- der Nutzer wird über den Einsatz des Facebook-Pixel in der Datenschutzerklärung aufgeklärt;
- der Nutzer wird darauf hingewiesen, dass er seine Einwilligung jederzeit widerrufen kann;
- es muss eine echte Widerrufsmöglichkeit eingeräumt werden, so dass bei einer Aktivierung des Widerspruchs jeglicher Datentransfer zu Facebook unterbunden wird.
Bei dem Einsatz eines Opt-In-Einwilligungsbanners muss demnach streng darauf geachtet werden, dass keine Tracking-Maßnahmen gestartet werden, bevor der Nutzer nicht seine Einwilligung aktiv durch Anhaken einer entsprechenden Checkbox oder einen Klick auf einen Button bestätigt hat. Nach erteilter Einwilligung durch den Nutzer kann die Webseite dann neu geladen und so der Facebook Pixel aktiviert werden. Zudem muss dem Nutzer eine echte Widerspruchsmöglichkeit (Opt-Out-Möglichkeit) in der Datenschutzerklärung angeboten werden, so dass bei einer Aktivierung des Widerspruchs jeglicher Datentransfer zu Facebook unterbunden wird.
Nach den Vorgaben des Bayerischen Landesamtes für Datenschutzaufsicht muss ein geeignetes Opt-Out-Verfahren folgende Voraussetzungen erfüllen (vgl. Hinweise des LDA Bayern zum rechtskonformen Einsatz von Facebook Custom Audience vom 04.10.2017):
- Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln. Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.
- Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Werden dennoch personenbezogene Daten an Facebook übertragen, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen.
- Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar.
Selbst bei dem Einsatz eines Opt-In-Einwilligungsbanners samt einem zulässigen Opt-Out-Verfahren für den Widerspruch des betroffenen Nutzers, besteht das Risiko, dass der Einsatz des Facebook-Pixels dennoch datenschutzwiedrig ist. Zum einen kann der Nutzer im Rahmen der Datenschutzerklärung gegebenenfalls nicht im erforderlichen Umfang darüber aufgeklärt werden kann, was Facebook mit den Daten des Nutzers im Einzelnen macht (da dies nicht in allen Einzelheiten bekannt ist). Zum anderen besteht das Risiko der gemeinsamen Verantwortlichkeit (siehe oben Ziffer 1).
Dennoch ist die vorgenannte Variante die derzeit risikoärmste Möglichkeit für den Einsatz des Facebook-Pixels.
5. Einsatz des Facebook-Pixels mittels Opt-Out-Banner:
Eine risikoreichere Variante ist der Einsatz des Facebook-Pixels mittels Opt-Out-Verfahren auf der Rechtsgrundlage einer Interessenabwägung nach Artikel 6 Abs. 1 lit. f) DSGVO.
Bei dieser Variante wird der Nutzer lediglich auf den Einsatz des Facebook-Pixels hingewiesen und es wird ihm im Rahmen des Cookie-Banners (sowie in der Datenschutzerklärung) ein geeignetes Opt-Out-Verfahren zum Widerspruch angeboten. Da es sich insoweit nicht um eine aktive Einwilligung handelt, sondern der Facebook-Pixel auch ohne ausdrückliche Einwilligung des Nutzers aktiviert wird und eine Datenübertragung an Facebook erfolgt, kommt für den Einsatz der Opt-Out-Variante lediglich die Rechtsgrundlage der Interessenabwägung nach Artikel 6 Abs. 1 lit. f) DSGVO in Betracht.
Nach Ansicht der Aufsichtsbehörden ist der Einsatz des Facebook-Pixels mittels Opt-Out-Verfahren allerdings unter der DSGVO nicht mehr zulässig, weshalb auf diese Variante unserer Ansicht nach nicht mehr zurückgegriffen werden kann. Sofern dies dennoch geschieht, sollte möglichst ein echtes Opt-Out-Verfahren gemäß obigen Vorgaben des LDA Bayern eingesetzt werden, so dass jedenfalls bei einer Aktivierung des Widerspruchs jeglicher Datentransfer zu Facebook unterbunden wird.
6. Ergebnis:
Der Einsatz des Facebook-Pixels sollte möglichst nur mit echtem Opt-In-Einwilligungsbanner, erläuternden Hinweisen in der Datenschutzerklärung mitsamt einer echten Opt-Out-Möglichkeit eingesetzt werden.
Selbst bei Einhaltung der obigen Vorgaben können Restrisiken jedoch nicht ausgeschlossen werden, da Facebook derzeit keine Vereinbarung zur gemeinsamen Verantwortlichkeit für den Einsatz des Facebook-Pixels anbietet. Zudem legt Facebook nicht mit der notwendigen Transparenz offen, auf welche Art und Weise die Nutzerdaten ausgewertet und von Facebook genutzt werden. Es besteht daher das Risiko, dass die Einholung einer informierten Einwilligung schlicht nicht möglich ist.
Mittels Opt-Out-Banner ist der Einsatz des Facebook-Pixels lediglich auf der Rechtsgrundlage einer Interessenabwägung nach Artikel 6 Abs. 1 lit. f) DSGVO möglich. Jedenfalls nach Ansicht der Aufsichtsbehörden ist dies keine zulässige Methode mehr den Facebook-Pixel einzusetzen.
UPDATE (01.10.2019):
Der Europäische Gerichtshof (EuGH) hat diese Rechtsansicht der Aufsichtsbehörden mit Urteil vom 01.10.2019 bestätigt, vgl. Beitrag des Kollegen RA Robbel vom 01.10.2019: