Wie große Unternehmen aus allen Branchen – darunter auch der Spiegel und die Zeit – Kundendaten rechtswidrig an Facebook geben und dort unkontrolliert Schattendaten entstehen, für die keiner zuständig sein will

Vor einigen Tagen habe ich Datenschutzbeschwerde und Strafantrag gegen Booking.com eingereicht. Das Unternehmen hatte meine vertraulichen Buchungsdaten, darunter meine E-Mail und die Buchungsorte Wien und Bern an Facebook weitergereicht. Das ist nicht gerade das, was man an Diskretion im alten Hotelgewerbe gewohnt war. Allerdings ist Booking.com bei weitem nicht das einzige Unternehmen, das Kundendaten an Facebook ohne Einwilligung der Nutzer weitergibt.

Eigentlich machen das alle Unternehmen, die eine pfiffige Marketingabteilung und wenig ethische Bedenken haben. Im Journalismus leider auch Spiegel Online und Zeit Online.

In meiner Recherche habe ich diese drei Unternehmen exemplarisch untersucht – und bin auf ziemlich absurde Sachen gestoßen.

Kernproblem: Das Custom-Audiences-Programm

Bei diesem Tool von Facebook werden Unternehmen beim Sammeln von Kundendaten unterstützt und können anschließend personalisierte Werbung ausspielen. Dabei werden die Unternehmen unter anderem angeregt, große Mengen gehashter Kundendaten hochzuladen. Die Identifier (z.B. E-Mail, Telefonnummer) sind durch das Hashen nicht mehr direkt lesbar, können aber mit den bei Facebook gespeicherten Nutzerangaben abgeglichen und bei Übereinstimmung erkannt werden. Alternativ geschieht die Nutzerverknüpfung mit eingebetteten „Pixeln“ (diese auch „Retargeting Tags“ genannten Tracker sind meist nicht Pixel, sondern Javascriptcodes von Facebook, die auf anderen Websites eingebettet sind, so dass Facebook Informationen über deren Besucher erhält).

Die größere Datenweitergabe erfolgt aber nicht durch diesen Nutzerabgleich: Mit dem Tool werden die Kunden/Facebook-User auch mehr oder weniger automatisiert Zielgruppen zugeordnet, die auf deren Aktivitäten aufbauen. Meist sind das Website-Aktivitäten, z. B. wenn sie etwas gekauft haben (so wie ich meine Hotelübernachtungen in Wien und Bern). Aber auch App-Nutzung oder Reallife-Aktivitäten wie der Aufenthalt an bestimmten Orten können als Parameter dienen. Auch hierzu werden Tracker von Facebook in die Websites der Unternehmen eingebunden: So kann Facebook diese Informationen selbst sammeln und hilft bei der Erstellung dieser Zielgruppen mit seiner Datenerfahrung mit.

Anschließend werden für die Zielgruppen zugeschnittene Anzeigen geschaltet. Spiegel und Zeit haben die Tracker beispielsweise in ihren Aboseiten integriert, vermutlich um Bestellabbrecher neu bewerben zu können.

UPDATE: Zeit Online trackt ALLE Artikel auf seiner Website mit dem Facebook-Pixel, nicht nur spezielle Seiten wie das Abo. Das ist ein Wahnsinn, was da an Interessen personenbezogen bei einem Dritten gespeichert wird. Das sollte sofort gestoppt werden.

Das Custom-Audiences-Programm von Facebook ist erheblich problematischer als klassische Werbecookies, weil die gesammelten Daten noch eindeutiger einer realen Person zugeordnet werden können. Beim Tracking über Kundenliste kommen drei weitere Probleme hinzu:

es funktioniert über Browser- und Gerätegrenzen hinweg es funktioniert auch, wenn der Nutzer nicht bei Facebook eingeloggt ist, sondern nur bei dem Unternehmen – z.B. Booking.com die Betroffenen haben keine Möglichkeiten, den versteckten Kundenabgleich zu bemerken oder zu kontrollieren

Das Tracking über Kundenliste fand ich immerhin nur bei booking.com, nicht bei den zwei Verlagen.

Facebooks Märchen von der Auftragsverarbeitung

Facebook stellt das Programm gegenüber den Unternehmen so dar, dass es sich dabei um eine Auftragsverarbeitung handelt, also außerhalb der eigenständigen datenschutzrechtlichen Verantwortung Facebooks liegt.

Anders hat Anfang 2018 das Verwaltungsgericht in Bayreuth geurteilt: Facebook hat bei dem Marketingtool so viel eigenen Entscheidungsspielraum, dass es eigenständig verantwortlich ist. Daher gelten die normalen, strengen DSGVO-Regeln für eine Datenweitergabe an Dritte. Darunter ein volles Auskunftsrecht der Betroffenen über diese Daten.

Die Unternehmen schieben die Verantwortung auf Facebook

Viele Unternehmen stellen es dagegen in den Datenschutzinformationen andersherum dar: als sei allein Facebook für das Tracking und die Datensätze verantwortlich (von mir fett hervorgehobene Passagen):

Spiegel Online:

Facebook Remarketing/Retargeting: Wir haben in unseren Angeboten, wo passend, Remarketing-Tags des sozialen Netzwerks integriert. Wenn Sie auf Facebook angemeldet sind, erhält die Plattform die Information, dass Sie unsere Seite besucht haben, wodurch wir Sie mit Werbung auf Facebook ansprechen können. Die Übermittlung Ihrer Daten als Facebook-Nutzer wird in der Datenschutzerklärung des Netzwerks selbst geregelt. (…)

Zeit Online:

Auf unseren Seiten ist das Custom Audiences Retargeting-Pixel (Javascript-Code) des sozialen Netzwerks Facebook (…) integriert. (…) Das Verfahren dient dazu, dass wir auf Facebook an ein definiertes Publikum Werbeanzeigen ausspielen können. Wir weisen darauf hin, dass wir als Anbieter der Seite keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Facebook erhalten.

Technisch ist das leider korrekt: Beim Einsatz von Pixeln, aber vor allem bei Javascripteinbettungen, wissen die Unternehmen nicht, was Facebook alles sammelt. In einer normalen Welt würde ein Unternehmen die Datenerfassung der eigenen Kunden durch andere Unternehmen natürlich vertraglich eng begrenzen. Da das nicht möglich ist, sollte man das Tool einfach nicht einsetzen.

Rechtlich ist die Haltung von Spiegel und Zeit aber falsch. Das Bayerische Landesamt für Datenschutzaufsicht hat das in einem Leitfaden zusammengefasst: Das Unternehmen trägt beim Custom-Audiences-Tool die Verantwortung für die Rechtmäßigkeit der Sammlung und Übertragung, nicht Facebook. Außerdem sei das Programm nur dann zulässig, wenn eine informierte Einwilligung vorliegt (egal ob mit „Pixel“ oder mit Kundenliste gearbeitet wird). Eine Erwähnung in den Datenschutzbestimmungen reicht also nicht aus, die Datenweitergabe von allen drei hier untersuchten Unternehmen ist nach dieser Auffassung rechtswidrig. Diese müssen nach DSGVO den Kunden detailliert informieren, welche Daten sie warum an Facebook geben und ihn explizit um freiwillige Zustimmung fragen. Das VG Bayreuth erklärt auch warum: Die Einwilligung sei leicht beim Kunden geholt, der Schutz seiner Persönlichkeitsrechte überwiege. Das gilt nach meinen Ermessen umso mehr, als der betroffene Nutzer gerade bei dem Custom-Audiences-Programm die Daten danach nicht mehr kontrollieren kann und auch nichts von der Weitergabe erfährt, wie ich noch zeigen werde. Die Unternehmen wissen schließlich, an welche Problemfirma sie ihre Kunden hier ausliefern. Unverständlich ist aber in jedem Fall, dass die Unternehmen nicht wenigstens darüber aufklären, auf welchen Seiten die Tracker zu welchem Zweck eingebunden sind und welche Zielgruppen und Anzeigen daraus generiert werden sollen. Denn immerhin in dieser Sache wissen sie Bescheid.

Konsumverhalten wird außerhalb von Facebook gesammelt

Von einer „Zuordnung zu Zielgruppen“ zu sprechen, ist dabei eine etwas beschönigende Perspektive. Aus Sicht der Nutzer wird ganz einfach Konsumverhalten außerhalb der Plattform gesammelt und dann dauerhaft personenbezogen gespeichert. Facebook erfährt, dass ich Hotels in Wien und Bern buche und dass ich mich für ein Abo beim Spiegel oder der Zeit interessiert habe – ohne dass ich das jemals auf Facebook kundgetan habe. Jede Targeting-Maßnahme eines Unternehmens legt bei Facebook ein paar neue Daten oben drauf. Es ist allein unternehmerisch ein Irrsinn, freiwillig so viele Details an Facebook zu liefern, wo die Daten zentral zusammengeführt werden und auch die Konkurrenz erfreuen (siehe unten). Aber das liegt wohl am kurzfristigen Erfolg der Custom-Audience-Kampagnen.

Darum sind es Schattendaten

Durchweg unerfreulich ist zudem das völlige Fehlen einer Kontrolle über die Daten. Die Zuordnungen zu Zielgruppen sind zumindest in meinem Fall Schattendaten bei Facebook, die weder in meiner Datenkopie noch im dafür gedachten Abschnitt „Einstellungen/Werbeanzeigen“ auftauchen. Facebook stellt selbst fest, dass die Zielgruppendaten nicht bei den Profildaten gespeichert werden. Diese Schattendaten werden schon lange kritisch diskutiert. Die Journalisten-NGO Propublica hat 29.000 Parameter errechnet, die bei der Zielgruppenbildung verwendet werden und daher personenbezogen sind. Die Behörden müssen Facebook endlich dazu zwingen, den kompletten personenbezogenen Datensatz an jeden interessierten Nutzer herauszugeben. Denn das ist seit Mai 2018 Gesetz.

Wichtig wäre aber auch, dass man das ganze Custom-Audiences-Programm mit den Datenschutzbehörden noch großflächiger beaufsichtigt. Deshalb braucht es jetzt auch möglichst viele Meldungen an die Behörden, wenn Unternehmen die Daten von Kunden ohne eine solche Einwilligung an Facebook weitergeben. Zum anderen müssen abschreckende Strafen durchgesetzt werden, damit die Unternehmen, die sich an die Gesetze halten, nicht als die Doofen dastehen. Keine Hinweise auf das Custom-Audiences-Tool fand ich z.B. in den Datenschutzbestimmungen von der TAZ oder der SZ und bei öffentlich-rechtlichen Sendern wie BR, Deutschlandradio, ARD und ZDF. In wie weit dort andere Tracker mit ähnlichen Problemen im Einsatz sind, habe ich mir allerdings nicht angeschaut.

Generelle Debatte nötig

Darüber hinaus ist es allerhöchste Zeit, eine breite Debatte im Journalismus zu beginnen, ob Facebook als Partner überhaupt noch tragbar ist – ich glaube das nicht mehr. Die Doppelmoral, Facebook in Artikeln zu kritisieren während das Medienhaus selbst gesetzwidrig Kundendaten an Facebook weitergibt, passt nicht zum Selbstverständnis der Institutionen. Sie verstehen sich als gesellschaftliche Akteure mit ethischen Werten. Schuld trifft aber auch die einzelnen Journalisten, die trotz dieses Wissens Facebook-Dienste nutzen, weil es ihnen einen Vorteil verschafft.

Also raus aus Facebook. Und was alle anderen Tracker betrifft: Spannend sind Experimente wie bei derStandard.at, wo man die Website im PUR-Abo gegen Bezahlung auch ohne Tracker und ohne Werbung lesen kann.

Bei dem vergleichsweise kleinen Bereich der Buchungsportale bleibt dem Kunden außer einer vollständigen Abmeldung bei Facebook leider nur ein Ausweg, bis die Behörden den Datenmissbrauch unterbunden haben: Die Direktbuchung im guten alten inhabergeführten Hotel, wo man wie früher wert auf Diskretion legt. Denn auch alle anderen Buchungsportale und die großen Hotels geben in ihren Datenschutzbestimmungen Hinweise auf das Custom-Audiences-Programm.

Kampagne zu Ende – Facebook trackt trotzdem und die Konkurrenz freut sich

Wenn das Budget für eine Kampagne aufgebraucht ist, bleibt der Trackingcode bei vielen Unternehmen, z.B. auch bei der Zeit, aus Bequemlichkeit integriert und trackt sinnlos weiter. Diesmal sind aber nicht nur die Kunden die Dummen: Facebook nutzt Trackingdaten gerne auch für die Konkurrenz, bei einem neueren Anzeigentyp nennt man das Broad Audience. Und tatsächlich: Mein Versuch, auf den Aboseiten von der Zeit eine Anzeige in meinem Facebook zu triggern, brachte für mehrere Stunden Anzeigen für ein NZZ-Abo und den Tagesspiegel in meinen Stream. Dann war wieder für zwei Tage Ruhe mit Aboanzeigen. Danach ein zweiter Versuch: Kurz auf den Aboseiten der Zeit herumgeklickt – eine halbe Stunde später bekam ich Abowerbung von „der Freitag“ und t3n.de. Welche Targeting-Einstellungen von den Konkurrenten für diese klassischen Anzeigen verwendet wurden, konnte ich allerdings nicht genau herausfinden.

Die Zeit schickt mich also zur Konkurrenz, weil das Budget alle ist, wie nett! Wenn die Branche sonst so schön zusammenarbeiten würde! Aber im Ernst: Wie beim Roulette sind bei Facebook alle Mitspieler die Verlierer. Auch die anderen Unternehmen können nicht einschätzen, was Facebook mit ihren Daten macht. Das nächste Mal generieren sie mit ihrem Tracker eine Zielgruppe für die Konkurrenz. Das Zusammenführen von Trackingdaten verschiedener Unternehmen und die Verwendung für das Targeting der Konkurrenz hat sich Facebook übrigens mit einer minimalen Einschränkung (fett gedruckt) in den AGBs erlaubt:

„Wir verwenden deine Event-Daten nur dann zur Auslieferungsoptimierung, nachdem wir sie mit anderen Daten, die von anderen Werbekunden oder auf andere Weise auf Facebook-Produkten gesammelt wurden, aggregiert haben; außerdem (ii) gestatten wir anderen Werbekunden oder Dritten nicht, Werbung ausschließlich auf der Grundlage deiner Event-Daten auszurichten.“

Opt-Out-Irrsinn

Und noch ein Nachsatz zu Opt-Out-Lösungen: Die sind in ihrer aktuellen Funktion sinnlos, da Facebooks Custom-Audiences wie beschrieben eine informierte Einwilligung braucht. Dazu kommt:

Sie sind fast nicht anwendbar, wie dieser Nutzer treffend dargestellt hat.

Sie sind rechtlich nur dann wirksam, wenn sie beim Unternehmen direkt implementiert sind, wie auch das Bayerische Landesamt meint: „Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen.“

Sie sind offensichtlich auch technisch wirkungslos: In meinem Fall war bei Facebook die Werbung mit externen Aktivitäten deaktiviert, die Anzeigen kamen trotzdem. Das deckt sich doch mit allen Erfahrungen, die man mit Facebook seit zehn Jahren machen muss.

Die Zeit hat noch einen ganz speziellen Opt-Out-Hinweis für ihre Leser:

„Sie können der Erfassung und Weiterleitung personenbezogenen Daten widersprechen oder die Verarbeitung dieser Daten verhindern, indem sie die Ausführung von Java-Script in Ihrem Browser deaktivieren.“

Website funktioniert nicht mehr einwandfrei, aber Facebook trackt trotzdem über den Pixel. Prima! Ganz ehrlich – drei Monate nach der DSGVO sollte man eine bessere Idee haben, wie man ein Opt-Out wirksam umsetzt.

Stellungnahme von der Zeit

Die Zeit hält ihre Facebook-Tracker auf Rückfrage entgegen der Ansicht vom Bayerischen Landesamt für rechtskonform. Das sei auch die Ansicht von vielen Datenschutzanwälten und die Praxis auf den meisten Internetangeboten. Man verlasse sich auf den Art. 6(1f) DSGVO, der bei einem „berechtigten Interesse“ die Datenverarbeitung auch ohne Einwilligung zulasse. Zudem würde das Custom-Audiences-Tool auch nicht immer aktiv genutzt werden.

Wenn ich das kurz kommentierend zusammenfassen darf: Der Tracker wird also zeitweise nicht fürs Marketing genutzt (naja, nur von der Konkurrenz, siehe oben), sendet aber trotzdem Nutzerdaten an Facebook. Und ein Gericht soll dann entgegen den Datenschutzbehörden ein „berechtigtes Interesse“ erkennen. Ok, viel Glück!

Stellungnahme vom Spiegel

Der Spiegel hat leider nicht auf meine Anfrage geantwortet.