Jetzt Mitglied werden!
eRecht24.de

Facebook Pixel: Ist das Tracking per Interaktions Pixel eigentlich erlaubt?

(37 Bewertungen, 3.73 von 5)

Worum geht's?

Viele Unternehmer posten nicht nur auf Facebook, sondern schalten auch Werbeanzeigen. Aber wie kann man den Erfolg solcher Kampagnen eigentlich messen? Facebook bietet dafür einen "Facebook-Pixel" für das Tracking auf Webseiten. Wie so oft bei Facebook ist die Umsetzung zwar technisch einfach, datenschutzrechtlich aber leider nicht. Wir erklären, was erlaubt ist.

Bitte wählen Sie:

Inhaltsverzeichnis

  1. Update: Erste Urteile zu Facebook Custom Audiences
  2. Was ist Conversion Tracking überhaupt?
  3. Was macht der Facebook Pixel?
  4. Was ist das Problem mit dem Datenschutz?
  5. Reicht nicht ein Hinweis in der Datenschutzerklärung?
  6. Opt-In bei erweitertem Abgleich, Custom Audiences und Look-Alike-Audiences?
  7. So binden Sie Facebook Pixel auf Ihrer Webseite ein

1. Update: Erste Urteile zu Facebook Custom Audiences

Mittlerweile haben sich zwei bayerische Gerichte mit der Frage beschäftigt, wie Sie Facebook Custom Audiences rechtskonform einsetzen. In der zweiten Instanz entschied der Verwaltungsgerichtshof München, dass die Nutzung von Facebook Custom Audiences nur nach einer Einwilligung durch den Nutzer zulässig ist.

Was sind Facebook Custom Audiences?

Machen Sie auf Facebook Werbung, können Sie „Custom Audiences“, also eine „benutzerdefinierte Zielgruppe“ anlegen. Sie nehmen hier eine Liste mit existierenden Kunden, die Sie bereits auf anderen Plattformen wie Instagram und im Audience Network bewerben. Facebook gleicht nun die Datenbanken ab und prüft, ob die Kunden der anderen Plattformen auch Facebook benutzen. Sollte dies der Fall sein, schaltet Facebook gezielt Anzeigen.

Beispiel: Ein Kunde kaufte bereits ein Produkt bei Ihnen. Nun können Sie diesem bei Facebook ähnliche Produkte anzeigen.

Beispiel: Brach der Kunde den Kaufvorgang ab, zeigen Sie ihm bei Facebook einen Gutschein an. Nun setzt der Kunde den Kaufvorgang vielleicht fort.

Die oben genannten Beispiele verdeutlichen, dass Custom Audiences ein gewinnbringendes Werkzeug ist.

Wie urteilten die Gerichte?

Ob die Nutzung von Facebook Custom Audiences einer Einwilligung bedarf, war in den letzten Monaten umstritten.

  • Die bayerische Datenschutzbehörde vertrat in ihrem Tätigkeitsbericht vom März 2017 die Auffassung, dass Custom Audiences immer einer Einwilligung bedarf.
  • In einer weiteren Veröffentlichung revidierten die Datenschützer ihre Ansicht. Bei der Pixel-Variante sei Custom Audiences auch ohne Einwilligung zulässig.
  • Die unabhängigen Datenschutzbehörden des Bundes und der Länder führten hingegen an, dass für jeden Tracking-Mechanismus eine Einwilligung erforderlich sei.
  • Das Verwaltungsgericht Bayreuth und der Verwaltungsgerichtshof München schlossen sich dieser Ansicht nun übereinstimmend an. Eine Einwilligung ist immer erforderlich. Es reicht nicht aus, dass Webseitenbetreiber einen vorformulierten Passus in die Datenschutzerklärung oder die AGB aufnehmen. Sie müssen vielmehr einen separaten Einwilligungstext erstellen und zusätzlich ein Ankreuzkästchen bereitstellen.

So begründeten die Gerichte ihre Urteile

Die beiden Urteile behandelten die Klage eines Onlineshops. Dieser wendete sich gegen einen Untersagungsbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA). Das BayLDA untersagte dem Onlineshop die Nutzung von Custom Audiences. Der Grund dafür war der folgende: Die Nutzung ohne Einwilligung sei rechtswidrig.

Das Gericht erkannte zwar an, dass Unternehmen ein berechtigtes Interesse an Werbung haben. Allerdings seien Facebook-Nutzer viel schutzwürdiger. Diese rechnen nicht mit der Übermittlung ihrer E-Mail-Adresse an Facebook. Deshalb sei eine Einwilligung immer erforderlich. Insbesondere sei Facebook hier kein Auftragsverarbeiter, sondern ein sogenannter „Dritter“. Die Pflicht zur Einholung einer Einwilligung liege demnach bei dem Werbenden. Das Hashverfahren SHA-25 sei auch nicht für die Anonymisierung personenbezogener Daten geeignet. Denn es sind auch dann Rückschlüsse auf den Facebook-Nutzer möglich.

Tipp: Der Beschluss des VG Bayreuth berücksichtigte noch das alte BDSG-Recht. Bei der DSGVO ändert sich hier aber nichts. Bei einer Interessenabwägung nach Art. 6 I f) DSGVO müssen die Gerichte wohl die gleichen Aspekte berücksichtigen.

Drohen jetzt Geldbußen?

Das Urteil des Verwaltungsgerichtshof München ist die letzte Warnung an alle Werbetreibenden, die Custom Audiences bei Facebook nutzen. Thomas Kranig, der Präsident des BayLDA stellte klar, dass seine Behörde schon vor dem Urteil mehrfach auf die Einwilligung hinwies. Die Datenschutzbehörde werde nun zukünftig verstärkt kontrollieren und auch Bußgelder verhängen. Onlineshops sollten deshalb schnell handeln:

  • Sollten Sie Facebook Custom Audiences nutzen, überprüfen Sie schnellstmöglich, ob eine Einwilligung der Nutzer vorliegt.
  • Sollte dies nicht der Fall sein, sollten Sie die Zielgruppe umgehend löschen. Ansonsten drohen hohe Bußgelder.

Wie holen Sie eine Einwilligung ein?

Eine Einwilligung für Facebook Custom Audience holen Sie ein, indem Sie diese bei einer Bestellung im Onlineshop oder bei einer Anmeldung für einen Newsletter erfragen. In der Praxis muss der Nutzer einen weiteren Haken setzen. Das dazugehörige Feld könnte Aussagen beinhalten wie: „Ich bin damit einverstanden, dass Sie meine Daten an Facebook übermitteln, damit Sie mich dort wiederfinden und mir zugeschnittene Werbung anzeigen“. Auch hier müssen Sie einiges beachten:

  • Es darf keine vorausgefüllten Check-Boxen (Opt-out) geben, nutzen Sie die Opt-in-Methode.
  • Sie dürfen den Erhalt des Newsletters nicht von der Einwilligung abhängig machen.
  • Der Nutzer muss seine Einwilligung jederzeit widerrufen können. Das ruft das Problem hervor, dass Sie die E-Mail-Adresse aus der Kundenliste entfernen und die Liste bei Facebook aktualisieren müssen. Im Endeffekt müssen Sie die gesamte Facebook-Kampagne abbrechen und neu starten. Dies kann zu wirtschaftlichen Einbußen führen, da Facebook hier kein Geld zurückerstattet.

Warum sind eigentlich Onlineshops verantwortlich und nicht Facebook?

Die Urteile zu Facebook Custom Audiences nehmen nur die Onlineshops in die Verantwortung. Das ist auf den ersten Blick ungerecht, weil der Europäische Gerichtshof beim Betrieb von Facebook-Fanpages beide Seiten, also den Betreiber des Onlineshops und Facebook, in der Pflicht sieht. Bei Custom Audience geht der erste Schritt aber vom Webshop-Betreiber aus: Dieser übermittelt aktiv eine Liste mit personenbezogenen Daten. Facebook schaltet sich erst in einem nächsten Schritt ein. Deshalb liegt die Verantwortung bei den Onlineshops. Nur so lässt sich vermeiden, dass schon im Vorhinein erst gar keine Rechtsverletzungen entstehen.

2. Was ist Conversion Tracking überhaupt?

Wenn Sie Anzeigen bei Facebook schalten können Sie zwar herausfinden, was die Nutzer bei Facebook geklickt haben. Wenn das Ziel der Kampagne aber beispielsweise der Kauf auf einer  Webseite ist, geht das mit Facebook-Bordmitteln nicht mehr, da der Nutzer die Plattform ja verlässt.

Da das Geschäftsmodell von Facebook im Wesentlichen auf dem Verkauf von Werbung basiert hat Facebook hier im Februar 2017 Abhilfe geschaffen und den neuen „Tracking Pixel“ eingeführt.

Der "Besucheraktions-Pixel" erlaubt genau das: Den Erfolg einer Facebook Werbekampagne außerhalb der Plattform auf Webseiten zu messen. Dabei handelt es sich nicht um ein einfaches Klick-Tracking (wie viele Nutzer haben auf meinen Link geklickt). Der Facebook Pixel, der auf der Webseite des Werbetreibenden eingebunden wird, erlaubt es, den Weg des Nutzers bis hin zum Kaufabschluss nachzuvollziehen. Das nennt man Conversion Tracking.

3. Was macht der Facebook Pixel?

Der Facebook Pixel (offiziell Besucheraktions-Pixel, bis 2016: Conversion Tracking Pixel) kann auf Webseiten außerhalb der Plattform eingebunden werden. Dazu wird ein spezifischer Tracking Code erzeugt. Dabei können verschiedene Zielseiten definiert werden: Von der Anmeldung für einen Newsletter über den Download kostenloser Inhalte bis hin zum Kauf eines bestimmten Produkts kann nachvollzogen werden, was der potenzielle Kunde getan hat. Nur so können Werbetreibende nachvollziehen, ob ihre Kampagne den gewünschten Erfolg erzielt.

Das Tracking selbst erfolgt per Cookie, also nicht über den Facebook-Pixel selbst.

4. Was ist das Problem mit dem Datenschutz?

abmahnung facebook2016

Beim Conversion Tracking werden keine anonymen oder pseudonymisierten Daten erhoben. Der Werbetreibende kann nach einer Bestellung genau nachvollziehen welchen Weg Kunde XYZ von der Facebook Anzeige über den Klick bis hin zum Kauf genommen hat.

Dabei werden personenbezogene Daten des Kunden erfasst, an Facebook in die USA übertragen und (wahrscheinlich) mit Profildaten des Nutzers bei Facebook verknüpft. Facebook stellt dann bestimmte Informationen dem Werbekunden zur Verfügung.

Davon erfährt der Nutzer, der bei Facebook auf eine Anzeige klickt, aber nichts. Genau diese Datenübertragung und Auswertung ohne Wissen des Facebook Nutzers führt dazu, dass es datenschutzrechtlich heikel wird.

Es gibt je nach Art der Nutzung der Kundendaten über Facebook Pixel 3 denkbare legale Wege:

  1. Eine gesetzliche Vorschrift, die dies erlauben würde. Diese gibt für Facebook Tracking nach aktuellem Recht aber nicht.
  2. Das Opt-Out der Nutzer bei der "normalen" Nutzung des Facebook Pixel.
  3. Eine Einwilligung (Opt-In) der Nutzer, wenn Sie Facebook Custom Audiences und Facebook Look-Alike-Audiences nutzen.

Wichtig:

Um das korrekte Opt-Out bzw. Opt-In auf der eigenen Seite muss sich der jeweilige Seitenbetreiber kümmern, der die Anzeigen schaltet, Facebook Pixel für sein Tracking nutzt und die Daten per "erweiterter Abgleich" hochlädt.

Leider gibt es dafür momentan keine Plug-Ins oder "out of the box"-Lösungen, die dies technisch umsetzen können.

5. Aber reicht denn nicht ein Hinweis in der Datenschutzerklärung?

Nein. Sie müssen entweder ein Opt-Out (Austragelink) auf Ihrer Seite umsetzen. Oder für die Custom Audiences eine Einwilligung (Opt-In) umsetzen. Das Opt-In setzt voraus, dass Sie als Seitenbetreiber:

  1. dem Nutzer sagen: „Dies oder jenes speichern wir von dir, schicken die Daten in die USA und teilen die Informationen dann mit den unternehmen A, B C usw.“,
  2. der Nutzer sagt „Ja, ok, ich bin einverstanden“ und
  3. das alles, bevor die Daten des Nutzers gespeichert werden.

Eine bloße Info in einer Datenschutzerklärung ist aber keine Einwilligung und reicht deshalb nicht aus.

6. Opt-In bei erweitertem Abgleich, Custom Audiences und Look-Alike-Audiences?

Wenn Sie die Datenbasis bei Facebook durch eigene Kundendaten anreichern (Hochladen für die Funktionen "Custom Audiences oder "Look-Alike-Audiences") benötigen Sie eine Einwilligung (Opt-In).

Facebook geht davon aus, dass sich die Werbekunden bei der Verwendung des Tracking Pixel und dem erweiterten Abgleich selbst um eine Einwilligung kümmern müssen. Seitenbetreiber müssen, um den Facebook Pixel also abmahnsicher zu verwenden

  1. Einen Einwilligungstext erstellen und den Besuchern der Webseite anzeigen.
  2. Eine Einwilligung der Webseitenbesucher einholen.
  3. Einen Passus zum Facebook Pixel /Facebook Conversion Tracking in die Datenschutzerklärung der eigenen Webseite erstellen und einbinden.

Praxis-Tipp: Den Text für die Einwilligung sowie den Passus für Ihre Datenschutzerklärung stellen wir Ihnen in der Profi-Version des Datenschutz-Generators bei eRecht24 Premium zur Verfügung.

Sören Siebert
Sören SiebertRechtsanwalt

6. Wie binde ich Facebook Pixel auf meiner Webseite ein

Der Tracking Pixel wird nicht auf Facebook, sondern auf Ihrer Webseite eingebunden. So installieren Sie den Pixel-Code:

  1. Gehen Sie auf die „Pixel“-Seite im Werbeanzeigenmanager auf Facebook.
  2. Klicken Sie in Ihrem Facebook Account auf „Handlungen“ > „Code anzeigen“.
  3. Kopieren Sie den Code und fügen ihn zwischen den Tags einer einzelnen Webseite oder in eine Webseitenvorlage ein, um ihn auf allen Unterseiten einer Webseite zu installieren.

Sie können hier verschiedene „Events“ anlegen und die Event-Codes entsprechend einbinden, etwa das Starten eines Kaufvorgangs, eine Anmeldung oder einen Lead.

Um bestimmte Ziele der Kampagne zu definieren, bietet Facebook zahlreiche verschiedene benutzerdefinierte Anwendungsfälle an. Mehr Infos dazu bei Facebook im „Leitfaden zur Implementierung des Facebook-Pixels“ unter:
https://de-de.facebook.com/business/help/952192354843755?helpref=related

Hier können dann auch die Funktionen von Facebook Audience (Zielgruppen-Insights) mit dem Tracking Pixel verbunden werden.

Anzeige
Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Nico H
Wie sieht das ganze mit einem Opt-In Button aus, der alle Kästchen ausfüllt (so etwas wie "alle bestätigen")?
6
Devi
Hallo :) Ich dachte, das Wordpress Plugin >>Borlabs Cookie
0
Sascha Liem
[quote name="Guest"]Wie erkenne ich, ob ein Hacker einen Facebook-Pixel in seine Mail eingebaut hat um nachverfolgen zu können, ob bzw dass ich seine Mail gelesen habe? Erkennen würde z.B. über entsprechende Zusatzprogramme auf dem Rechner des Mail-Programms oder dem lokalen Netzwerk gehen, ist aber etwas aufwendig. Die bessere Lösung wäre, die "Bilder-Vorschau" in jedem Mail-Program und Webmail standardmäßig zu deaktivieren. Diese Funktion heisst in jedem Programm anders, manchmal auch "HTML Bilder laden" oder ähnlich.Ist diese aktiviert, würden mit der Darstellung die in der Mail extern eingebetteten Bilder und andere externe Inhalte direkt geladen, was vom Server, von dem diese Inhalte geladen werden, über diesen Ladevorgang informiert, so dass dieser entsprechende sehen kann, wann und wo seine Mail von Ihnen geöffnet wurde. Der Tracking-Pixel wäre so ein extern eingebettetes Element.Bei deaktivierter Bilder-Vorschau würden entsprechende Verbindungen zu diesem Server erst nach explizitert Einwilligung pro Nachricht erlaubt werden, nicht mehr generell.
6
Guest
Wie erkenne ich, ob ein Hacker einen Facebook-Pixel in seine Mail eingebaut hat um nachverfolgen zu können, ob bzw dass ich seine Mail gelesen habe? Zitat aus einer gestern erhaltenen Mail:"Siе​ ha​be​n 48 Stundеn Zeit, um diе​ Zа​hlung vo​rzunе​hmеn. (Ich hа​be​ еin Fa​сebo​оk-Pixе​l in diеser E-Mа​il, und in diesе​m Mo​ment wе​iß ich, da​ss Sie​ diеse E-Ma​il-Nachricht gelе​se​n habe​n.)Um dаs Lesen еine​r Nachricht und diе​ dа​rin e​nthaltеnе​n Aktionеn zu vеrfоlge​n, ve​rwe​nde iсh dа​s Fa​cе​bo​о​k-Piхe​l."
4
Taisa
Ich denke dass auch. Hier sagen "Diese rechnen nicht mit der Übermittlun g ihrer E-Mail-Adresse an Facebook. "So der Problem, als ich sehe, ist nur wenn du die Daten von deine Nutzern mit Facebook teilst.
5
Jonas
Guter Bericht, jedoch an einer Stelle für mich zu ungenau. Ich gehe davon aus, in diesem Artikel geht es nur um Custom Audiences welche durch Nutzerdaten (aktives Hochladen) ergänzt werden. Facebook bietet jedoch 5 Kategorien von Custom Audiences an, die anderen 4 Kategorien und das Facebook Pixel im Allgemeinen, sind so wie ich das lese nicht betroffen!? Korrigieren Sie mich gerne!? Danke.
10
Mary
Es ist unabhängig davon wo der Geschäftspartner ist, es kommt auf den Sitz des Verantwortliche n an (vgl. Art. 3 Abs. 1 DSGVO).
2
Ben
Wie sieht es mit dem Facebook Pixel aus wenn ich als deutsche Firma in die USA verkaufe (ausschließlich), also den deutschen und europäischen Markt als Lieferland ausschließe. Muss ich mich dann wirklich an deutsches/europäisches Recht halten oder ans amerikanische?
1
Felix
Würden zwei entsprechend beschriftete Links auf Facebook einer mit Tracking, einer ohne den Gesetzen entsprechen?Dann hat der Nutzer doch aktiv zugestimmt?
-1
TUANPOKER
Wird sich ab Mai 2018 mit der neuen E-Privacy-Verordnung eh erledigen. Ab dann muss auch für alle anderen Cookies eine ausdrückliche Einwilligung eingeholt werden – mittels Opt-in und Kästchen zum Anhaken. Die Einführung soll zeitgleich mit der DSGVO erfolgen. Das wird ein Spaß. TUANDOMINO
-3
Weitere Kommentare anzeigen
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Abmahnfalle Facebook: Was Sie tun können, um nicht wegen geteilter Vorschaubilder abgemahnt zu werden
Weiterlesen...
Auch bei Facebook ist ein Impressum Pflicht: Kostenloser Generator für Ihr Impressum auf Facebook
Weiterlesen...
So nutzen Sie Social Media Netzwerke rechtssicher im Jahr 2023
Weiterlesen...
Kinderfotos bei Facebook & Co: Darf ich Bilder meiner Kinder in sozialen Netzwerken posten?
Weiterlesen...
Social Media Guidelines: Wie kommunizieren Ihre Mitarbeiter bei Facebook & Co?
Weiterlesen...
Dürfen Datenschutzbehörden Facebook Fanpages verbieten?
Weiterlesen...
Achtung Seitenbetreiber: Facebooks Like-Button auf Webseiten kann abgemahnt werden
Weiterlesen...
Wie Sie Facebook-Fanpages DSGVO-konform einbinden
Weiterlesen...
Facebook-Ratgeber für Eltern: Wissen Sie, was Ihr Kind bei Facebook macht?
Weiterlesen...
Soziale Netzwerke: So nutzen Sie Facebook, Twitter und Co. sicher in Ihrem Unternehmen
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details