Home / Aktuelles & Termine / it.sec blog

In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).

Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.

Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).

Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Über das Tracking der Internetaktivitäten der Webseitennutzer mit diversen Tools werden Daten und Werte des Webseitennutzers erhoben, wie Online-Kennungen (z.B. statische und dynamische IP-Adresse, Cookie-Kennung), Standortdaten (z.B. Länderkennung) sowie sonstige Verhaltens-, Bewegungs- und Nutzungsdaten (z.B. Anzahl der Klicks), um Aspekte bezüglich persönlicher Vorlieben, Interessen, Verhalten oder Aufenthaltsort dieser natürlichen Person zu analysieren oder vorherzusagen (Profiling).

 

Dabei endet das Profiling regelmäßig mit einer automatisierten Einzelentscheidung, d.h. in personalisierter Werbung (z.B. Einkaufsvorschläge, die dem Nutzer eingeblendet werden und die sich aufgrund der Analyse der über ihn erfassten Daten und Werte bei seinen Internetaktivitäten ergeben).

 

Auch wenn über solche Tracking Tools die Betreiber von Webseiten und mobilen Applikationen (= Verantwortliche) umfangreiche Daten und Werte erheben und sehr detailliert auswerten, so dass man nicht mehr von willentlich und bewusst von den betroffenen Personen angegebenen Informationen reden kann, soll eine solche personalisierte Werbung und eine sonstige vergleichbare Individualisierung nicht das Gefährdungspotential haben, um die betroffene Person i.S.v. Art. 22 Abs. 1 DSGVO erheblich zu beeinträchtigen.

 

Die Beurteilung der Zulässigkeit des Profilings zu Werbezwecken bestimmt sich somit nicht nach Art. 22 DSGVO, sondern nach Art. 6 Abs. 1 DSGVO.

 

Das Profiling zum Zwecke der Direktwerbung kann als eine dem berechtigten Interesse des Verantwortlichen dienende automatisierte Verarbeitung personenbezogener Daten betrachtet werden gemäß Art. 6 Abs. 1 lit. f) DSGVO, jedoch dürfen die Grundrechte und Grundfreiheiten der betroffenen Personen oder ihre schutzwürdigen Interessen am Ausschluss des Profilings zu Werbezwecken nicht überwiegen.

 

Hierbei müssen die Bewertungen aus dem Telemediengesetz (TMG) bzw. der E-Privacy-Richtlinie herangezogen werden:

 

Der Verantwortliche (= Diensteanbieter) darf gemäß § 15 Abs. 1 TMG Nutzungsdaten nur erheben und verarbeiten, soweit dies erforderlich ist, um die Inanspruchnahme der Telemedien (z.B. Webseite) zu ermöglichen. Darüber hinaus (z.B. zum Zwecke der Werbung) dürfen Nutzungsdaten gemäß § 15 Abs. 3 TMG nur in pseudonymisierter Form erhoben bzw. weiterverarbeitet werden (z.B. durch Kürzung der IP-Adresse auf Länderkennung) werden.

 

Allerdings müssen die Verantwortlichen die betroffenen Personen über die von ihnen verwendeten Tracking Tools sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informieren, über ihre Rechte in Kenntnis setzen und insbesondere eine Widerspruchslösung zu jedem Tracking-Tool implementieren, damit die betroffenen Personen dem Profiling zu Werbezwecken widersprechen können gemäß Art. 21 Abs. 2, 2. HS DSGVO i.V.m. § 15 Abs. 3 S. 2, § 13 Abs. 1 TMG.

 

Sofern die Nutzungsdaten nicht pseudonymisiert werden, bedarf das Profiling zu Werbezwecken der Einwilligung der betroffenen Personen gemäß Art. 6 Abs. 1 lit. a) DSGVO.

 

S. Kieselmann

 

Beraterin für Datenschutz

ADCERT Angemessenheitsbeschluss Anwendbarkeit Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Audit Aufsichtsbehörde Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch BAG BDSG-Neu Begrifflichkeiten Beherbergungsstätten Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betrieblicher E-Mail-Account betrieblicher Internetzugang Betroffenenrechte BfDI BGH biometrische Daten Biometrische und genetische Daten Bitkom Bonitätsprüfung Brexit Bundesarbeitsgericht Bußgeld BVG Cloud CNIL Compliance Cookie Datenlöschung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutzerklärung Datenschutzgrundverordnung Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau DSAnpUG-EU DSGVO DSK dynamische IP-Adresse eCall-Technologie EES Einwilligung Einwilligungserklärung Entsorgung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU-Datenschutz-Grundverordnung EuGH Facebook Fahrzeugdaten Fahrzeuge Fernmeldegeheimnis FlugDaG Fluggastdaten Gemeinsam Verantwortliche Home Office Informationspflichten Informationssicherheit IP-Adresse Irland IT-Forensik IT-forensische Untersuchung IT-Sicherheit Joint Control Kanada Konzern konzerninterner Datentransfer Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Marktortprinzip Meldepflicht Meldescheine Microsoft NIST One Stop Shop Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Personalausweiskopien personenbezogene Daten PNR-Daten PNR-Instrumente Privacy by Default Privacy by Design Privacy Shield Privatnutzung Privatnutzungsverbot Profiling Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte der betroffenen Person Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Siegel Skype Sony PSN Standardvertragsklauseln Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telemediendienst Telemediengesetz TKG TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe USA Vereinbarung Vernichtung von Datenträgern Verordnung (EU) 2015/758 Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Vorteile Webseite Webseiten Webtracking Webtrecking Werbung Widerrufsrecht Widerspruchsrecht Zertifikat Zertifizierung Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 42a BDSG § 42b BDSG § 88 TKG

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Tags

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30