Was macht Facebook Pixel?
Facebook Pixel – offiziell als Besucheraktions-Pixel bezeichnet – ist ein Tracking-Plugin, das Unternehmen auf ihrer Webseite einbinden können, um Userverhalten nachzuvollziehen. Auf diese Weise können sie einsehen, welche Kunden über Facebook auf ihre Seite kommen und welche Aktionen (z. B. Newsletter-Abo oder Produktkauf) sie dort vornehmen. Das Resultat: Werbetreibende können bewerten, ob eine Kampagne auf Facebook den gewünschten Erfolg erzielt.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellenWarum ist Facebook Pixel datenschutzrechtlich relevant?
Facebook Pixel erhebt keine anonymen oder pseudonymisierten, sondern personenbezogene Daten. Klicken User auf eine Werbeanzeige und landen auf der Webseite des Unternehmens, zeichnet Facebook Pixel ein genaues Bild des Verhaltens des Users. Dabei sammelt ein Cookie die Daten und verknüpft sie mit dem Nutzerprofil. Auf diese Weise erhalten sowohl Facebook als auch das Unternehmen die Daten. Und: Facebook speichert diese Daten auf seinen Servern in den USA.
Bei den Daten handelt es sich um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) besonders geschützt. Seitenbetreiber müssen daher verschiedene datenschutzrechtliche Pflichten beachten.
Facebook Pixel datenschutzkonform verwenden
Damit Seitenbetreiber Facebook Pixel datenschutzkonform verwenden, müssen sie diese Vorgaben beachten:
Einwilligung für Datenerhebung einholen
Wollen Unternehmen personenbezogene Daten – zum Beispiel über Cookies – erheben, müssen sie dafür in der Regel vorher die Einwilligung der User einholen. Sie können das über den Einsatz eines Cookie-Banners vornehmen. Dabei darf das Kästchen für die Einwilligung nicht vorangekreuzt sein. Nur wenn Nutzer das Häkchen für die Einwilligung selbst setzen, geben sie eine ausdrückliche Erlaubnis in die Datenerhebung. Das gibt das TTDSG vor.
Datenschutzerklärung aktualisieren
Seitenbetreiber müssen in ihrer Datenschutzerklärung angeben,
- welche Nutzerdaten sie über Facebook Pixel erheben,
- warum sie Userdaten sammeln und an Facebook Pixel weitergeben,
- wie sie die Daten verarbeiten und
- welche Nutzerdaten sie an Facebook weitergeben.
Standardvertragsklauseln prüfen
Unternehmens sammeln über Facebook Pixel personenbezogene Daten und geben diese an Facebook in den USA weiter. Facebook verwendet für die Datenweitergabe von der EU-Kommission herausgegebene Standardvertragsklauseln. Diese enthalten umfassende Haftungsregeln und Dokumentationspflichten für beide Parteien.
Unternehmen müssen die Standardvertragsklauseln prüfen und mit Facebook abschließen. Haben Unternehmen bereits vorher mit Facebook (veraltete) Standardvertragsklauseln geschlossen, müssen sie diese durch die neuen ersetzen. Dafür haben sie noch bis zum 27. Dezember 2022 Zeit. Darüber hinaus müssen sie eine Risikoschätzung durchführen. Mit dieser prüfen Seitenbetreiber,
- welche Art von Daten durch den Datentransfer in die USA zu Facebook betroffen sind,
- welche Rechtsvorschriften in den USA gelten und
- ob sie weitere Schutzmaßnahmen wie eine SSL-Verschlüsselung anwenden können.
Wie genau Seitenbetreiber die neuen Standardvertragsklauseln verwenden müssen, haben wir in unserem Beitrag „Neue Standardvertragsklauseln: Das müssen Sie jetzt tun“ erklärt.
Rechtsprechung zu Facebook Pixel
Der Facebook Pixel ist Teil von Facebooks Werbesystem. Dabei stand vor den Gerichten vor allem immer wieder Facebook Custom Audiences im Mittelpunkt. Mit Custom Audiences können Unternehmen bei Facebook zielgruppenorientiert gegenüber schon existierenden Kunden werben. Die Rechtsprechung zu Facebook Pixel bzw. Custom Audiences kam zu diesen Ergebnissen:
Verwaltungsgericht Bayreuth
Das Verwaltungsgericht (VG) Bayreuth entschied am 08.05.2018: Unternehmen können Facebook Custom Audiences nicht ohne Einwilligung der User verwenden (Az. B 1 S 18.105). Dabei ist vor allem das verwendete Hashverfahren SHA-256 nicht geeignet, um die personenbezogenen Daten zu anonymisieren. Die Daten werden nach dem Hash für personalisierte Werbung verwendet. Dabei ist ein Rückschluss auf einen konkreten Facebook-User möglich.
Verwaltungsgerichtshof München
Der Verwaltungsgerichtshof München bestätigte die Entscheidung des VG Bayreuth (Beschluss vom 26.09.2018, Az. 5 CS 18.1157). Unternehmen können personenbezogene Daten nicht an Facebook weitergeben, ohne vorher die Erlaubnis der User einzuholen.