12. Dezember 2017
Das sogenannte Kopplungsverbot für datenschutzrechtliche Einwilligungen von Betroffenen ist grundsätzlich keine Neuheit der Datenschutz-Grundverordnung (DSGVO). Auch nach dem bisherigen Recht des Bundesdatenschutzgesetzes war Voraussetzung für eine wirksame Einwilligung, dass diese freiwillig erteilt und der Zugang zu einer Leistung somit nicht an eine solche Einwilligung gebunden wird.
Das Kopplungsverbot stellt sich jedoch nicht als ein allzu scharfes Schwert dar. Immer wieder gibt es im Internet Angebote, die auf den ersten Blick zwar kostenlos sind, sich aber über die Verarbeitung von Daten und die Platzierung von Werbung refinanzieren. Beispielsweise sind Online-Gewinnspiele, für deren Teilnahme der Nutzer in den Erhalt eines Newsletters einzuwilligen hat, keine Seltenheit. Streng genommen läge hier schon eine Kopplung vor. Das angesprochene Verbot präsentiert sich an dieser Stelle offen für Situationen, in denen der Nutzer sich über die “Bezahlung mit seinen Daten” im Klaren und mit diesen Bedingungen schlicht einverstanden ist.
Womöglich wird durch die ab Mai 2018 anzuwendende DSGVO hier eine spürbare Verschärfung eintreten. Maßgeblich ist Art. 7 Abs. 4 mit dem dazugehörigen Erwägungsgrund 43 zur DSGVO. Insbesondere der Erwägungsgrund fordert der beispielhaften Gewinnspiel-Situation eine getrennte (und eben nicht gekoppelte) Erteilung von Einwilligungen des Nutzers ab. Genauer gesagt müsste sich der User bedingungslos zu einem Gewinnspiel anmelden dürfen und könnte erst im Nachgang gefragt werden, ob er zusätzlich dem Erhalt von Werbung in Form eines Newsletters zustimmen möchte. Dies hätte natürlich eine drastisch niedrigere Quote von Newsletter-Teilnehmern zur Folge.
Stellt sich die Anwendung der DSGVO an dieser Stelle in der gelebten Praxis so streng heraus, wie es der Wortlaut der gesetzlichen Grundlage verspricht, entspricht dies einer deutlichen Verschärfung gegenüber der bisherigen Rechtslage. Viele etablierte Prozesse werden dann zu überdenken sein.
6. Oktober 2017
Anders als bei einem klassischen Flyer im Briefkasten ist es im Bereich der Online-Werbung möglich, Bedürfnisse und Interessen von potentiellen Kunden gezielt zu adressieren und somit das Verkaufspotential erheblich zu steigern. Ein solches Werkzeug für personalisiertes Marketing bietet auch der Internetriese Facebook in Form seiner “Custom Audience” an.
Das Bayerische Landesamt für Datenschutzaufsicht nahm nun diverse Anfragen von Unternehmen zum rechtskonformen Einsatz des Tools zum Anlass, den Service und die entsprechende Umsetzung unter rechtlichen Gesichtspunkten zu überprüfen. In ihrer Pressemitteilung legt die Behörde anschaulich dar, welche beiden Varianten es von der “Facebook Custom Audience” gibt:
- Custom Audience über die Kundenliste:
Ein Unternehmen erstellt eine Liste mit Name, Wohnort, E-Mail-Adresse u. Telefonnummer seiner Kunden und/oder Interessenten. Nach Umwandlung der Kundendaten mittels Hash-Verfahren gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab. Es erfolgt eine präzise Auswahl der Personen, deren Interessen sich mit dem Angebot des Unternehmens decken und die Werbung von dem Unternehmen erhalten sollen. - Custom Audience über das Pixel-Verfahren:
Auf der Webseite des Unternehmens wird ein unsichtbares Facebook-Pixel eingebunden, durch welches das komplette Nutzungsverhalten einer Person nachvollzogen werden kann. Das BayLDA skizziert beispielhaft folgendes Szenario: “Ein Nutzer besucht einen Webshop und interessiert sich für das neuste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet.” Auf Basis dieser Informationen kann das Unternehmen den Kunden nun mit passender Werbung zu dem betreffenden Smartphone versorgen und kann auf die Rückkehr des Kunden auf den zuvor besuchten Webshop hoffen.
Die Prüfung der Unternehmen, die “Facebook Customer Audience” für sich nutzen, ergab in vielen Fällen einen datenschutzrechtlich unzulässigen Umgang mit dem Service. Oftmals wurde der Nutzer nicht oder nicht vollständig über den Einsatz des Pixel-Verfahrens informiert. Zudem fehlte die Möglichkeit des Users, dem Einsatz von “Customer Audience” zu widersprechen (Opt-Out). Dies stellt einen Verstoß gegen geltendes Datenschutzrecht dar und kann zu Bußgeldern führen, die sich mit Anwendung der Datenschutz-Grundverordnung ab Mai 2018 drastisch erhöhen.