von RA Jan Lennart Müller und RA Phil Salewski

Anleitung für Händler: Facebook-Pixel nach DSGVO und Cookie-Richtlinie rechtskonform nutzen

News vom 21.02.2020, 09:37 Uhr | Keine Kommentare

Facebook Pixel, das hauseigene Analysetool des weltweit größten sozialen Netzwerks, ist in den letzten Jahren einem steten technischen Wandel unterlegen, um Werbetreibenden ein noch detaillierteres, und ergebnisgenaueres Auswerten der Nutzerströme und so das optimale Ansprechen von Interessengruppen zu ermöglichen. Nachdem zunächst mit dem „erweiterten Datenabgleich“ ein zweiter, umfangreicherer Tracking-Modus geschaffen wurde, stellte Facebook zuletzt im Oktober 2018 die Funktionsweise des Pixel-Trackings grundsätzlich um. Diese Änderungen bleiben für die korrekte datenschutzrechtliche Handhabung des Facebook Pixels allerdings nicht folgenlos und machen unter Geltung von DSGVO und Cookie-Richtlinie Anpassungen sowohl in der Datenschutzerklärung als auch bei der technischen Einbindung des Tools erforderlich. Wie Händler das Facebook-Pixel-Tracking möglichst rechtssicher betreiben können, soll in diesem Beitrag erläutert werden.

A. Funktionsweise und First-Party-Umstellung

I. Einleitung

Mit dem Facebook-Pixel wird Händlern, die Anzeigen auf Facebook schalten, ermöglicht, das Nutzerverhalten nach Klick auf eine plattforminterne Werbeanzeige und nach anschließender Weiterleitung auf die Zielseite zu analysieren und auszuwerten.

Durch eine kontinuierliche Analyse können so einerseits genaue Statistiken über den Erfolg einer Werbeanzeige und andererseits Interessentengruppen gemäß der auf der Zielseite durchgeführten Nutzungshandlungen kategorisiert werden. Durch einen steten Datenaustausch zwischen Zielseite und Facebook wird der Werbetreibende schließlich befähigt, die Interessentengruppen auf Facebook mit zugeschnittener Werbung gezielt anzusprechen.

So lässt sich mithilfe des Facebook Pixels etwa eine Interessengruppe all derer bilden, die nach Klick auf eine Anzeige zwar ein Produkt in den Warenkorb gelegt, den Kauf aber letztlich nicht vollzogen haben. Dieser Gruppe kann die ursprüngliche Werbung auf Facebook dann mit gesteigerter Häufigkeit angezeigt werden, um sie zum Abschluss des Kaufs zu motivieren. Ebenso können als Interessengruppe Personen definiert werden, die den Kauf eines auf Facebook beworbenen Produkts getätigt haben. Diesen Personen können dann auf der Plattform beispielsweise weitere Produkte des Werbetreibenden angezeigt werden. Die erhofften Vorteile eines langfristigen Trackings per Facebook-Pixel sind demgemäß Umsatzsteigerungen, die auf dem zielgerichteten Einsatz von Werbeanzeigen basieren.

II. Bisher: Third-Party-Lösung

Bisher bediente sich Facebook für das Tracking einer sogenannten „Third -Party-“-Lösung. Nach Klick eines Nutzers auf eine Facebook-Werbeanzeige setzte die Zielseite ein Pixel im Browser des Nutzers, welches das Verhalten aufzeichnete und an Facebook übermittelte.

Als allerdings verschiedene Browser-Entwickler (allen voran Apple und Mozilla) begannen, ihre Browser mit Third-Party-Filtern auszustatten, um die Datenhoheit ihrer Nutzer zu schützen, musste Facebook umrüsten. Derartige Filter führen beim Aufruf einer Webseite einen automatischen Abgleich der Herkunft aller von der Seite gesetzten Trackingdateien durch und bewirken die automatische Blockade oder fristbemessene Löschung all solcher Dateien, die ihren Ursprung nicht in der aufgerufenen Seite selbst haben, sondern von einer Drittpartei stammen.

Weil Zielseiten über das Facebook Pixel ein von Facebook stammendes Pixel setzten, wurde dieses von den Filtern mit der Folge erfasst, dass ein zuverlässiges und umfängliches Tracking nicht mehr gewährleistet werden konnte.

Premiumpaket

III. Nun: First-Party-Lösungs

Zum 24.10.2018 passte Facebook als Reaktion hierauf die Funktionsweise des Pixels an und ersetzte das Third-Party-Tracking durch eine First-Party-Lösung, bei welcher die Zielseite ein eigenständiges Pixel setzt, welches die Filter nicht erfassen.

Nunmehr wird beim Klick eines Users auf eine Ad, die bei Facebook ausgespielt wird, der URL der verknüpften Zielseite ein Zusatz angefügt. Sofern die Seite über Pixel das Teilen von First-Party-Daten mit Facebook erlaubt, wird dieser URL-Zusatz in den Browser des Nutzers eingeschrieben, und zwar als First-Party Cookie der verknüpften Seite. Dann nehmen die Pixel die First-Party Pixel mitsamt aller Daten auf und geben diese an Facebook weiter. Weil Browser in diesem Fall die URL-Parameter als Pixel der verknüpften Seite selbst und nicht als Pixel der Drittseite „Facebook“ erkennen, wird deren Funktionalität von den Browsern nicht beeinträchtigt.

Diese Umstellung hat entscheidende Auswirkungen auf den Inhalt der Datenschutzerklärung, weil sie mit den Informationspflichten des Art. 13 DSGVO korreliert, nach denen Betroffene über die Datenverarbeitung detailgenau zu belehren sind.

Hinweis: Mandanten der IT-Recht Kanzlei finden im Mandantenportal passende Datenschutzklauseln für den Einsatz des Facebook Pixels!

B. Standardmodus und erweiterter Datenabgleich

Neben dem Standardmodell des Pixel-Trackings, welches nur das Nutzungsverhalten des jeweiligen Werbeadressaten auswertet und diesbezügliche Nutzungsdaten verarbeitet, existiert seit längerem ein erweitertes Modell des Facebook Pixels, das als „erweiterter Datenabgleich“ betitelt ist.

Anders als die Standardversion interagiert Facebook Pixel im erweiterten Datenabgleich mit Datenverarbeitungsvorgängen auf der Zielseite selbst und ermöglicht so auch das Erfassen direkter personenbezogener Kundendaten wie der Mailadresse des Nutzers, indem es sich in Prozesse wie Kontenregistrierungen, Kontenanmeldungen und Kaufabschlüsse einklinkt. Zusammen mit den Daten über das Nutzungsverhalten werden im erweiterten Datenabgleich auch diese Kundendaten an Facebook übertragen und dort ausgewertet, was es dem Werbetreibenden ermöglichen soll, seine Zielgruppen noch genauer zu definieren.

Der erweiterte Datenabgleich ist auf Facebook nicht voreingestellt, sondern muss im „Eventmanager“ von Facebook gesondert aktiviert werden.

Facebook Custom Audience Pixel-Verfahren

C. Datenschutzrechtliche Würdigung und Implementierungshinweise

Um die vom Händler für den datenschutzrechtskonformen Einsatz des Facebook Pixels umzusetzenden Maßnahmen zu definieren, muss zwingend zwischen dem Standardmodus und dem erweiterten Datenabgleich differenziert werden.

I. Standardversion

1.) DSGVO: Opt-Out genügt

Weil im Standardmodus über die nunmehr vorherrschende First-Party-Lösung allein das Klick- und Aktivitätsverhalten von Nutzern ausgewertet wird, kann das Pixel-Tracking im Standardmodus nach derzeitig vorherrschender Auffassung datenschutzrechtlich über die überwiegenden berechtigten Interessen des Händlers an der Optimierung seiner Werbeanzeigen und der interessenorientierten Ausgestaltung seines Onlineangebots gemäß Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt werden.

Insofern ist es für die Standard-Version datenschutzrechtlich nicht erforderlich , dass vor Einsatz des Pixel-Trackings die Einwilligung eines jeden Seitenbesuchers eingeholt wird.

2.) Cookie-Richtlinie: Einwilligungspflicht

Eine eigenständige Einwilligungspflicht kann sich aber aus der Cookie-Richtlinie 2002/58/EG in der Fassung der Richtlinie 2009/136/EG ergeben, deren Art. 5 Abs. 3 jegliches Auslesen von Informationen auf Nutzerendgeräten von der Einwilligung der Nutzer abhängig macht. Das Hauptaugenmerk auf Cookies legend, findet die Richtlinie aller Voraussicht nach auch auf das Pixel-Tracking Anwendung.

Seitenbetreiber, die ein Cookie-Consent-Tool verwenden, sollten dieses auch für den Facebook Pixel konfigurieren und sicherstellen, dass der Pixel erst bei entsprechender Einwilligung zum Einsatz kommt. Wird der Pixel in ein Cookie-Consent-Tool korrekt eingebunden, kann der Nutzer bereits über das Tool seine Einwilligung widerrufen und das Pixel-Tracking deaktivieren. In diesem Falle ist die Lösung über ein Opt-Out-Script (s.u.) nicht mehr zwingend; dieses kann aber freiwillig bereitgestellt werden.

3.) Information in der Datenschutzerklärung

Gemäß Art. 13 DSGVO muss zusätzlich in einer entsprechenden Klausel innerhalb der Datenschutzerklärung nicht nur über die Funktionsweise des Pixel-Trackings unter Berücksichtigung der Umstellung auf die First-Party-Cookie-Lösung unterrichtet, sondern auch über die Rechtsgrundlagen des Pixel-Trackings über geeignete Maßnahmen zur Deaktivierung des Trackings belehrt werden.

Hinweis: Mandanten der IT-Recht Kanzlei finden im Mandantenportal passende Datenschutzklauseln für den Einsatz des Facebook Pixels!

a) Datenschutzerklärung bei Verwendung von Cookie-Consent-Tool mit Pixel-Integration

Verwendet der Seitenbetreiber ein Cookie-Consent-Tool, in welches das Pixel-Tracking ordnungsgemäß integriert ist, genügt in der Datenschutzerklärung benen Informationen zur Art und Weise des Trackings ein Hinweis auf die Widerruflichkeit der Einwilligung über das Tool selbst.

Ein Opt-Out-Script (s.u.) muss nicht zwingend, kann aber optional eingebunden werden.

Die IT-Recht Kanzlei empfiehlt aus Gründen der Rechtssicherheit den Einsatz eines Consent-Tools für den Facebook Pixel und stellt Mandanten hierfür viele kostenlose oder rabattierte Lösungen vor.

b) Kein Cookie-Consent-Tool mit Pixel-Integration: Eigenes Opt-Out-Script in Quellcode und Opt-Out-Cookie-Link in Datenschutzerklärung erforderlich

Verwendet der Seitenbetreiber kein Cookie-Consent-Tool, das auch das Pixel-Tracking erfasst, muss er sich über eine Opt-Out-Lösung behelfen, welche in der Datenschutzerklärung anzuführen ist. Nach derzeitigem Stand ist noch offen, ob die Rechtsprechung für den Facebook Pixel tendenziell zum Opt-In oder zum reinen Opt-Out schwenkt. Aus Gründen der Rechtssicherheit wird eine reine Opt-Out-Lösung aber nicht empfohlen.

Wird ein Pixel-taugliches Consent-Tool nicht verwendet, muss dem Nutzer eine generelle Möglichkeit aufgezeigt werden, das Pixel-Tracking per Opt-Out abzustellen.

Die Umstellung auf die First-Party-Cookie-Funktionsweise macht es nun erforderlich, dass Verwender des Facebook Pixels auf jeder Unterseite ihrer Webpräsenz einen Opt-Out-Code per JavaScript in den Quellcode einfügen und zusätzlich eine Datenschutzklausel mit einem klickbaren Deaktivierungslink in die Datenschutzerklärung aufnehmen.

Quellcode für jede Unterseite

Hierfür ist auf jeder Unterseite im Body-Bereich ein bestimmter Javascript-Code einzufügen. Mandanten der IT-Recht Kanzlei können diesen hier abrufen!

Quellcode für Deaktivierungslink in der Datenschutzerklärung
Mit dem Quell-Code-Skript interagierend muss nun innerhalb der Pixel-Klausel in der Datenschutzerklärung ein klickbarer Opt-Out-Link erzeugt werden, der auf den Quellcode zurückgreift und ein entsprechendes Opt-Out-Cookie setzt. Auch dieser Link wird durch einen Code erzeugt. Mandanten der IT-Recht Kanzlei können die Datenschutzklausel im Mandantenportal abrufen!

I.) Erweiterter Datenabgleich

Einem deutlich höheren Umstellungsaufwand sowie einem nicht auszuschließenden rechtlichen Risiko unterliegt demgegenüber der Einsatz von Facebook Pixel im erweiterten Datenabgleichsmodus.

1.) DSGVO und Cookie-Richtlinie: ausdrückliche Nutzereinwilligung erforderlich

Weil hier neben bloßen Nutzungsinformationen auch konkret personenbezogene Kundendaten erhoben und mit Facebook ausgetauscht werden, setzt die Verwendung das vorherige Einholen einer ausdrücklichen Nutzereinwilligung in die Verarbeitung auf Basis des Art. 6 Abs. 1 lit. a DSGVO voraus. Nach zutreffender Ansicht des Bayerischen Landesamtes für Datenschutz (BayLDA) können hier berechtigte Interessen des Händlers aufgrund des Umfangs der Datenverarbeitung und des engen Persönlichkeitsbezugs die Nutzerinteressen an der Geheimhaltung ihrer Daten nicht überwiegen.

Die Einwilligungspflicht nach der DSGVO läuft im erweiterten Datenschutzmodus also gleich mit der Einwilligungspflicht für das Pixel-Tracking im Allgemeinen gemäß der Cookie-Richtlinie 2002/58/EG. Daher kann das Einwilligungserfordernis universell über ein Consent-Tool umgesetzt werden. Voraussetzung ist dabei, dass der Nutzer bei Aktivierung des Pixels auch über die erweiterten Datenverarbeitungen informiert wird.

Im erweiterten Datenschutzmodus muss daher zwingend technisch sichergestellt werden, dass dem Tracking stets die Einwilligungseinholung des Nutzers vorausgeht. Hierfür empfiehlt sich die Implementierung eines hinreichenden Cookie-Consent-Tools, welches für das Pixel-Tracking im erweiterten Datenabgleich optimiert ist.

Darüber hinaus bedarf es einer auf das erweiterte Tracking zugeschnittenen Klausel in seiner Datenschutzerklärung, welche über den Umfang und die Funktionsweise des erweiterten Datenabgleichs belehrt.

Hierbei ist neben der neuartigen First-Party-Cookie-Lösung insbesondere darauf hinzuweisen, dass auch Kundendaten an Facebook übermittelt werden.

Hinweis: Die IT-Recht Kanzlei stellt Ihren Mandanten im Mandantenportal eine Datenschutzklausel für den Einsatz des Facebook Pixels im erweiterten Datenabgleichsmodus bereit.

2.) Implementierungshinweise

Sollten Händler den erweiterten Modus nutzen wollen, empfiehlt die IT-Recht-Kanzlei dringend die Einbindung eines Cookie-Consent-Tools mit Pixel-Integration, welches im Einwilligungsfeld über die personenbezogenen Datenverarbeitungen entweder direkt aufklärt oder auf die entsprechende Klausel in der Datenschutzerklärung verweist.

Nach Meinung der IT-Recht-Kanzlei erscheint der Verweis auf die Datenschutzerklärung vorzugswürdig, da eine vollständige Belehrung die Dimensionen des Tools sprengen könnte und zudem geeignet ist, den Nutzer durch einen Überschuss an Text und Informationen zu verwirren.

IV. Fazit

Die von Facebook für das Plattformanalysetool „Pixel“ vollzogene Änderung der Cookie-basierten Funktionsweise sowie die Aufrechterhaltung eines „erweiterten Datenabgleichsmodus“ zwingen Händler nach dem geltenden Datenschutzrecht nunmehr zur Anpassung ihrer Datenschutzkonzepte.

Viel spricht dafür, dass das Pixel-Tracking aufgrund seiner Nähe zum Cookie-Tracking dem Einwilligungserfordernis der Cookie-Richtlinie ausnahmslos unterfällt. Daher sei Seitenbetreibern aus Gründen der Rechtssicherheit geraten, ein Pixel-integratives Cookie-Consent-Tool zu verwenden. Nur, wenn dies nicht möglich oder gewollt, ist sollte für den Standardmodus auf die oben dargestellte Opt-Out-Lösung zurückgegriffen werden.

Wird das Facebook-Pixel aber im erweiterten Datenabgleichsmodus betrieben, führt an der Notwendigkeit vorheriger Nutzereinwilligungen kein Weg vorbei. Hier auf eine Opt-Out-Lösung umzuschwenken, wäre grob datenschutzwidrig, sodass für den erweiterten Pixel-Standard die Einbindung eines funktionsfähigen Cookie-Consent-Tools zwingend empfohlen wird. Im erweiterten Modus ist zudem erforderlich, dass der Nutzer über die Übermittlung seiner personenbezogenen Daten (idealerweise über eine Inbezugnahme der Datenschutzerklärung) ausführlich im Zuge seiner Einwilligung informiert wird.

Die IT-Recht Kanzlei wird aktuelle Entwicklungen der Thematik verfolgen und frühzeitig über diese berichten.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Jan Lennart Müller
Rechtsanwalt
Unter Mitwirkung von:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5