Kanzlei Dr. Thomas Schwenke

Rechtsberatung für Datenschutz, Social Media, Marketing, E-Commerce & AGB & Verträge

Facebook-Pixel und Datenschutz – Anleitung für einen rechtssicheren Einsatz

thomas.schwenkeDatenschutz, facebook, social-media, , , , , , , , ,
Bevor Sie das Facebook-Pixel auf Ihrer Website einsetzen, sollten Sie die folgende Anleitung lesen, um möglichen Datenschutzverstößen vorzubeugen.
Bevor Sie das Facebook-Pixel auf Ihrer Website einsetzen, sollten Sie die folgende Anleitung lesen, um möglichen Datenschutzverstößen vorzubeugen.

Hinweis: Der Beitrag ist noch aus der Vor-DSGVO-Zeit und daher nicht mehr aktuell. Den aktuellen Stand zum Tracking und Cookies (womit auch das Facebook-Pixel umfasst ist) erfahren Sie im meinem Facebook-Beitrag zum Thema.

Dank dem Facebook-Pixel, lassen sich Facebook-Ads zielgenau auf gewünschte Zielgruppen (sog. „Custom Audiences“) zuschneiden oder deren Konversionen messen. Kein Wunder, dass dieses (Re)Marketing-Tool sehr beliebt ist.

Umgekehrt werden mit dem Facebook-Pixel sehr viele und genaue Daten der Websitebesucher geräteübergreifend erfasst. Aus diesem Grund ist es nicht verwunderlich, dass das Facebook-Pixel den Datenschutzbehörden und anderen Datenschützern ein Dorn im Auge ist. Aus diesem Grund werden u.a. Fragebögen an Unternehmen verschickt, in denen sie zum Einsatz des Facebook-Pixels befragt werden.

Positive Signale aus dem Süden

Entgegen der bisherigen Ablehnung scheint es zumindest im Süden Deutschlands eine Erleichterung zu geben.

Da ich im Rahmen meiner Arbeit häufiger einschätzen muss, ob der Einsatz des Facebook-Pixels in Frage kommt, hole ich auch Auskünfte hierzu bei den Datenschutzbehörden ein. Daher war ich erfreut, von dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) zu hören, dass der Einsatz des Facebook-Pixels zumindest nicht generell abgelehnt wird.

Allerdings gibt es auch hier Vorgaben und Einschränkungen, die Sie beachten sollten.

[sc name=“tshinweisboxBEGIN“]Hinweis zu Datenschutzbehörden: An dieser Stelle möchte ich kurz anmerken, dass Aufsischtsbehörden im Datenschutz häufig zu Unrecht einen negativen Ruf haben und ich generell nur auf postive Erfahrungen in der Zusammenarbeit blicken kann. Hier muss vor allem zwischen den öffentlichen Aussagen einzelner Behörden oder deren Leitern und der praktischen Zusammenarbeit unterschieden werden.[sc name=“tshinweisboxEND“]

Einwilligung beim „Erweiterten Abgleich“

Unabhängig davon, welche Version des Facebook-Pixels Sie einsetzen, Hinweise zu dessen Funktionen sind in der Datenschutzerklärung Pflicht (Auszug). Im Fall des "erweiteren Abgleichs" müssen Sie im Einwilligungstext auf die Datenschutzerklärung verweisen.
Unabhängig davon, welche Version des Facebook-Pixels Sie einsetzen, Hinweise zu dessen Funktionen sind in der Datenschutzerklärung Pflicht (Auszug). Im Fall des „erweiteren Abgleichs“ müssen Sie im Einwilligungstext auf die Datenschutzerklärung verweisen.

Facebook bietet die Möglichkeit einer Anreicherung der Daten (u. a. um Telefonnummern oder E-Mailadressen) von Kunden, z.B. aus CRM-Systemen oder aus Online-Shop-Transaktionen an. Dieser so genannte „Erweiterte Abgleich“ erlaubt eine noch genauere Bildung von Zielgruppen für Werbeanzeigen (sog. „Custom Audiences“ oder „Look-Alike-Audiences„).

Wenn Sie den „Erweiterten Abgleich“ einsetzen, dann ist dies auch laut BayLDA nur mit einer wirksamen Einwilligung (Opt-In) der Nutzer zulässig (§§ 4a BDSG, 13 Abs. 2 TMG). Diese Einwilligung ist nur wirksam, wenn die Nutzer über die Funktionsweise des Facebook-Pixels und Widerspruchsmöglichkeiten (sog. Opt-Out) informiert werden.

Die Vorgaben können wie folgt umgesetzt werden:

  1. Beim Aufruf Ihrer Website werden die Nutzer um die Einwilligung in den Einsatz des Facebook-Pixels gebeten (z.B. im Cookie Hinweis oder durch eine Einblendung auf der Website).
  2. Erst wenn die Nutzer eingewilligt haben (z.B. per Klick auf „Einverstanden“ oder „Ok“), darf das Facebook-Pixel in die Website eingebunden werden (z.B. indem die Website neu geladen wird oder per Javascript dynamisch im Hintergrund). Zusätzlich setzen Sie beim auf dem Browser des Nutzers ein eigenes „Facebook-Pixel-Opt-In“-Cookie.
  3. Wenn der Nutzer Ihre Website erneut besucht, prüfen Sie ob das „Facebook-Pixel-Opt-In“-Cookie gesetzt ist und falls ja, kann das Facebook-Pixel ohne eine erneute Rückfrage eingebunden werden.
  4. Wenn der Nutzer dem Einsatz des Facebook-Pixels widersprechen möchte, klickt er in Ihrer Datenschutzerklärung auf einen „Facebook-Pixel-Opt-Out“-Link. Dadurch wird das „Facebook-Pixel-Opt-In“-Cookie gelöscht und die Bitte zur Einwilligung in dessen Einsatz (s. Nummer 1 oben) erscheint erneut.

[sc name=“tshinweisboxBEGIN“]Hinweis zu „Custom Audiences“ und „Lookalike Audiences“ from File: Eine Einwilligung ist erst Recht notwendig, wenn Sie Daten z.B. von Kunden oder von Newsletterempfängern bei Facebook für Zwecke der Bestimmung einer Werbezielgruppe hochladen. Das gilt auch, wenn diese Daten (z.B. E-Mailadressen, Telefonnumern oder Facebook-IDs) von Facebook verschlüsselt hochgeladen und abgeglichen werden. Anders als man mancherorts hört, werden die Daten dabei nicht anonymisiert. Wären sie anonymisiert, dann würde Facebook nicht wissen, an wenn die Facebook-Ads ausgeliefert werden sollen.[sc name=“tshinweisboxEND“]

Ohne „erweiterten Abgleich“ ist ein Opt-Out ausreichend

Wenn Sie die Standard-Funktionen des Facebook-Pixels nutzen, also auf den „erweiterten Abgleich“ verzichten, ist eine Einwilligung nicht notwendig. Allerdings bleibt es dabei, dass Sie die Nutzer über die Funktionsweise des Facebook-Pixels rechtlich einwandfrei in der Datenschutzerklärung informieren und ihnen eine Opt-Out-Lösung anbieten müssen (§ 15 Abs. 3 TMG).

Verweis auf Facebook-Settings reicht für ein Opt-Out nicht aus

Facebooks eigene Einstellungen für Werbeanzeigen werden für nicht ausreichend gehalten, da das Facebook-Pixel auf Ihrer Website trotzdem aktiv bleibt.
Facebooks eigene Einstellungen für Werbeanzeigen werden für nicht ausreichend gehalten, da das Facebook-Pixel auf Ihrer Website trotzdem aktiv bleibt.

Facebook bietet zwar selbst Widerspruchsmöglichkeiten für Werbung an, die über die Facebook-Settings zu erreichen sind. Allerdings reicht diese Einstellungen laut der Datenschutzbehörde nicht aus, da damit nur das Ausspielen der Werbeanzeigen abgestellt wird. Dagegen wir Facebook nicht davon abgehalten, die Daten der Nutzer über die Website zu sammeln.

Aus diesem Grund reichen auch die Verweise auf allgemeine Sammel-Opt-Out-Seiten, wie Your Online Choices  oder About Ads nicht aus.

Vielmehr müssen Sie in diesem Fall eine eigene Opt-Out-Lösung erstellen. Die kann wie folgt umgesetzt werden:

  1. Nutzer klicken auf einen „Opt-Out-Link“, wodurch mittels Javascript ein „Opt-Out“-Cookie gesetzt wird.
  2. Beim Aufruf der Webseite wird geprüft, ob ein „Opt-Out“-Cookie gesetzt wird. Falls ja, wird das Facebook-Pixel nicht in die Website eingebunden.

Natürlich müssen Nutzer in der Datenschutzerklärung über die Funktionsweise des Opt-Outs und dessen Limitierung auf den verwendeten Browser und die Domain Ihrer Website unterrichtet werden.

Wird es nach der Datenschutzreform einfacher?

Die ab 25. Mai 2018 geltende Datenschutzgrundverodnung enthält eine Erlaubnisnorm, die vor allem den Einsatz von Marketing-Tools erleichtern wird. Art. 6 Abs. 1 lit. f DSGVO erlaubt deren Verarbeitung, wenn die berechtigten Interessen der Unternehmen (wozu auch Marketing gehört) die Interessen der Nutzer am Schutz derer Daten überwiegen.

Es ist noch nicht klar, ob das Facebook-Pixel darunter fallen wird, aber auch nicht ausgeschlossen. Zumindest ohne den „erweiterten Abgleich“, gehe ich davon aus.

Allerdings wird gerade die für 2019 geplante ePrivacy-Verordnung verhandelt, die ein Revival der in der Praxis gescheiterten Cookie-Richtlinie enthält. Wenn diese in Kraft tritt, dann wird das oben geschilderten Einwilligungsverfahren nicht nur für das Facebook-Pixel, sondern für alle Tracking und Tracking- und Remarketing-Tools Pflicht, z.B. auch für Google-Analytics.

Risikoüberlegungen

Es ist natürlich der sicherste Weg, wenn Sie sich an die Vorgaben der Datenschutzbehörde halten. Allerdings wird das Facebook-Pixel in der Praxis häufig mit erweiterten Abgleich ohne Opt-In und nur selten mit einem Opt-Out entsprechend der Vorgaben der Datenschutzbehörden verwendet.

Der Grund ist zum einen dass die Datenschutzbehörden zumindest derzeit noch keine Bußgelder verhängen, sondern dazu auffordern, das Facebook-Pixel in der Zukunft nicht einzusetzen.

Daneben sind zwar auch Abmahnungen möglich. Aber aufgrund derzeit laufender Musterverfahren vor dem Europäischen Gerichtshof (EuGH), bei denen es um die Mitverantwortung für etwaige Datenschutzverstöße Facebooks geht, ist die Lage nach meiner Erfahrung derzeit eher entspannt (EuGH – C-210/16EuGH – C-40/17).

Umgekehrt behält sich auch die bayerische Datenschutzbehörde aber vor, ihre Ansicht entsprechend den Entscheidungen des EuGHs zu revidieren. Ein Risiko lässt sich also nie in Gänze und zu jeder Zeit ausschließen. Halten Sie daher die Rechtlage immer im Auge.

[sc name=“tshinweisboxBEGIN“]Tipp für aktuelle rechtliche Entwicklungen: Mit meinem Newsletter zum Marketing-, Datenschutz- und Vertragsrecht halte ich Sie über rechtliche Entwicklungen im Onlinemarketing auf dem Laufenden. Ebenso freue ich mich, wenn Sie mir bei Twitter oder bei Facebook folgen.[sc name=“tshinweisboxEND“]

Checkliste zu Facebook-Pixel

Zusammenfassend gelten für das Facebook-Pixel die folgenden Vorgaben:

  • Vorgaben ohne „Erweiterten Abgleich“
    • Hinweis auf die Funktionsweise in der Datenschutzerklärung.
    • Opt-Out-Möglichkeit (selbst erstellt).
  • Vorgaben mit „Erweiterten Abgleich“ oder „Custom Audiences from File“
    • Einholung einer Einwilligung (Opt-In).
    • Hinweis auf die Funktionsweise in der Datenschutzerklärung.
    • Opt-Out-Möglichkeit (selbst erstellt).

Fazit und Praxisempfehlung für Unternehmen und Agenturen

Gegenwärtig spricht Vieles für den Einsatz des Facebook-Pixels. Dennoch empfehle ich hier eine individuelle Prüfung, ob und ab welchen Vorteilen durch den Einsatz des Facebook-Pixel zumindest wirtschaftlich in Frage kommt. Das gilt vor allem, wenn Sie die Opt-In und Opt-Out-Vorgaben nicht beachten.

Vorsichtig sollten vor allem Agenturen sein, die Kunden den Einsatz des Facebook-Pixels empfehlen. Sie sollten die Kunden zwar möglichst genau über die Vorteile und Risiken unterrichten, aber ihnen die Entscheidung überlassen und Haftung vertraglich absichern.

Generell gilt: Auch wenn Sie vielleicht keine 100%ige Rechtssicherheit erreichen (die es im Onlinemarketing selten gibt), sollten Sie sich bemühen so viele Vorgaben wie möglich zu erfüllen.

Update 05.10.2017 – Bestätigende Pressemitteilung des BayLDA

Die bayerische Datenschutzbehörde hat nun eine Pressemitteilung veröffentlicht, in der sie die in diesem Beitrag dargestellten Verfahren bestätigt. Zusätzlich weist sie noch explizit darauf hin, dass „Custom Audiences from File“ (aks. „von Kundenliste“), also das Hochladen von Kundendaten, nur mit Einwilligung der Kunden zulässig ist. Zur Pressemitteilung: „Facebook Custom Audience bei bayerischen Unternehmen.

[sc name=“tshinweisboxBEGIN“]Hinweis in eigener Sache: Falls Sie als Unternehmen eine Risiko-Einschätzung, eine Erweiterung für die  Datenschutzerklärung im Hinblick auf den Facebook-Pixel und eine Formulierung des Opt-Ins sowie Opt-Outs benötigen oder als Agentur die Haftung ausschließen möchten, unterstütze ich Sie gerne mit meiner Expertise.[sc name=“tshinweisboxEND“]

Facebook-Pixel und Datenschutz – Anleitung für einen rechtssicheren Einsatz

20 Gedanken zu „Facebook-Pixel und Datenschutz – Anleitung für einen rechtssicheren Einsatz

  1. Pingback: Socialmedia Umschau für Oktober 2017
  2. Pingback: Online Marketing News KW 39 | Online Marketing by digitalverliebt
  3. Pingback: Facebook Ads Guide: So profitiert der Sportverein ✓
  4. Pingback: Datenschutz und ePrivacy 2018 - Änderung für Onlinemarketing, Tracking und Cookies - Kanzlei Dr. Thomas Schwenke

  5. Sehr geehrter Dr. Schwenke,

    vielen Dank für den sehr aufschlussreichen Artikel.

    Ist für den Einsatz des Pixels ohne erweiterten Abgleich ein Cookie Hinweis pflicht? Meine Frage ist ob der Pixel Code zusätzlich zu dem hier beschriebenen wie ein Cookie handzuhaben ist, was darüber hinaus eine Cookie Einwilligung erfordern würde? Vielen Dank im Voraus.

    Antworten
  6. Pingback: 17 Facebook Website Custom Audiences, die du unbedingt kennen solltest - adsventure.de
  7. Pingback: Die 10 häufigsten Fehler bei Facebook-Anzeigen - und wie du sie vermeiden kannst - Claire Oberwinter
  8. Pingback: Facebooks Customer Chat Plugin und Datenschutz - Anleitung für rechtssichere Einbindung des Messengers auf Webseiten - allfacebook.de
  9. Pingback: Facebook Pixel und Datenschutz: So erstellst du eine Opt-Out-Möglichkeit für den Pixel - adsventure.de
  10. Pingback: DSGVO vs. Online Marketing - Konkrete Handlungsempfehlungen für Dich

  11. Sehr geehrter Herr Dr. Schwenke,

    gibt es neue Erkenntnisse zum Thema Pixel und der DSGVO? Ist die hier von Ihnen beschriebenen Vorgehensweise auch nach dem Stichtag rechtssicher und nach wie vor Ihre Empfehlung?

    Antworten
  12. Pingback: Was bedeutet die DSGVO für Marketing & Werbung | FOOCUS
  13. Pingback: Business Tipps für Selbstständige | DSGVO – was du ab Mai 2018 unbedingt beachten sollst! NEU – mit Checkliste
  14. Pingback: Die 7 wichtigen Aufgaben für eine DSGVO-konforme WordPress-Website
  15. Pingback: Wie du den Facebook Pixel richtig einsetzt und deine Kampagnen rockst - adsventure.de
  16. Pingback: Wenn Onlinemarketing zum Glücksspiel wird - DSGVO, Tracking und Opt-In-Pflicht für Cookies - Kanzlei Dr. Thomas Schwenke
  17. Pingback: 7 Hacks mit denen du deine Facebook Ads 2018 aufs nächste Level hebst - adsventure.de
  18. Pingback: Facebook Pixel DSGVO rechtssicher einsetzen? »
  19. Pingback: Nach dem Facebook Beben - ist Facebook Werbung noch sinnvoll für mich? | Social Media Talk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen