Facebook rüstet bei Werbetechnologie auf

Website-Cookies und der Datenschutz

28.01.2019
Von    und Adrian Hoppe
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Schon im Vorfeld zur ePrivacy-Verordnung und noch bevor datenschutzfreundliche Voreinstellungen in Internet-Browsern Pflicht sein werden, reagiert Facebook mit First-Party Cookies für Werbetreibende. Vor dem Einsatz sollte jedoch geprüft werden, ob dies datenschutzrechtlich zulässig ist.
  • Die Umstellung von Facebook auf First-Party Cookies stellt für Werbetreibende ein datenschutzrechtliches Risiko dar.
  • Die ausdrückliche Einwilligung des Nutzers ist erforderlich (Opt-In).

Um die Wirksamkeit der Werbemaßnahmen auf der eigenen Website und auf Facebook zu verbessern, bietet Facebook verschiedene Technologien an, um Internetnutzer auch außerhalb von Facebook nachverfolgen zu können. Neben dem Facebook-Pixel setzt Facebook auch Cookies zum Werbetracking ein.

Seitdem im Jahr 2018 die DSGVO in Kraft getreten ist, sind Cookies für viele Internetnutzer hinter dem Vorhang hervor ins Rampenlicht getreten.
Seitdem im Jahr 2018 die DSGVO in Kraft getreten ist, sind Cookies für viele Internetnutzer hinter dem Vorhang hervor ins Rampenlicht getreten.
Foto: iri.art - shutterstock.com

Beim Pixel handelt es sich um eine kleine Grafik, die ein Werbetreibender auf seiner Website einbinden kann und welche die Nutzung der Website durch die Besucher nachverfolgt. Um Pixel und das Tracking zu unterbinden, ist die Installation von zusätzlicher Software im Internetbrowser (Adblocker oder Anonymisierungstool) notwendig. Im Gegensatz dazu können alle gängigen Browser Cookies "mit Bordmitteln" blockieren, müssen also grundsätzlich keine zusätzliche Software installieren. Das liegt an der unterschiedlichen technischen Funktionsweise der Cookies.

Bei Cookies handelt es sich um Textdateien, die von einer Website über den Browser des Nutzers auf seinem Endgerät gespeichert werden. Sie enthalten entweder eine Identifizierungsnummer oder andere Informationen. Damit kann der der Betreiber der Website die Nutzer zwischen einzelnen Seitenaufrufen oder während des Surfens auf der Website wieder erkennen oder eine Information über den Nutzer speichern (z.B. Login, Inhalt des Warenkorbs).

Was sind First-Party und Third-Party Cookies?

Grundsätzlich unterscheidet man bei Cookies zwischen First-Party und Third-Party Cookies. First-Party Cookies werden vom Betreiber der besuchten Website selbst auf dem Endgerät des Nutzers gespeichert. Oftmals sind First-Party Cookies für die reibungslose Nutzung einer Website erforderlich, damit zum Beispiel der Inhalt eines Warenkorbs beim Surfen auf der Website gespeichert werden kann. Zumindest in den Standardeinstellungen unterbindet deshalb fast kein Browser diese Art von Cookies.

Third-Party Cookies hingegen werden von Unternehmen gesetzt, auf deren Website sich der Nutzer gerade nicht aufhält, also zum Beispiel von Facebook. Besucht der Nutzer eine Seite mit Werbung, kann der Werbetreibende einen (Third-Party) Cookie setzen, um den Nutzer nachzuverfolgen. Besucht der Nutzer eine andere Seite mit Werbung des gleichen Werbetreibenden, wird er anhand des Cookies wiedererkannt (sog. Cross-Site-Tracking).

Lesetipp: So surfen Sie absolut anonym im Internet

Auf diesem Weg lassen sich die Wege von Nutzern im Internet verfolgen. Der Werbetreibende kann bei einem erneuten Besuch des Nutzers auf dessen bisherigen Verlauf zugreifen. Mithilfe des Facebook-Pixels kann ein solcher Verlauf sogar genau ausgewertet und die Werbung im Anschluss optimiert werden.

Umstellung bei Facebook von Third-Party auf First-Party Cookies

In datenschutzrechtlicher Hinsicht ist die Nutzung von Tracking- und Analyse-Cookies umstritten. Dabei ist noch nicht abschließend geklärt, ob für das Tracking zwingend eine Einwilligung erforderlich ist oder ob der Websitebetreiber das Tracking auch in seinem berechtigten Interesse durchführen darf. Seit dem 24. Oktober 2018 gibt Facebook - ähnlich wie zuvor schon Microsoft und Google - seinen Werbetreibenden die Möglichkeit, auch First-Party Cookies zu verwenden. Der Einsatz von First-Party Cookies ist nun die Standardeinstellung. Allerdings kann der Websitebetreiber diese Einstellung wieder zu ändern. So kann er selbst auswählen, ob er nur Third-Party oder auch First-Party Cookies nutzen möchte.

Auslöser für die Umstellung bei Facebook war, dass immer mehr Browser per Voreinstellung ein Cross-Site-Tracking unterbinden. So erschweren beispielsweise Safari und Firefox das Cross-Site-Tracking über die Standardeinstellungen, indem Third-Party Cookies standardmäßig geblockt werden. Dann kann der Nutzer anhand von Third-Party Cookies nicht mehr zwischen verschiedenen Websites nachverfolgt werden. Dies führt dazu, dass die Werbetreibenden den Erfolg ihrer Werbeanzeigen nicht mehr auswerten und optimieren können.

Die Nutzung von Third-Party Cookies ist datenschutzrechtlich problematisch

Diese Umstellung ist aus datenschutzrechtlicher Sicht kritisch zu betrachten. Die Umstellung von Facebook dient dazu, die erhobenen Daten noch weiter auswerten zu können. Über die First-Party Cookies werden erhobenen Daten zusammen mit den personalisierten Nutzerinformationen nicht nur an den Werbetreibenden weitergegeben, sondern auch von Facebook umfassend ausgewertet. Werbetreibende Unternehmen sollten First-Party Cookies von Facebook mit Vorsicht einsetzen, weil die Rechtmäßigkeit der Datenerhebung noch nicht abschließend geklärt ist:

Oftmals wird die Rechtmäßigkeit der Datenverarbeitung auf Art. 6 Abs. 1 lit. f DSGVO gestützt. Erlaubt ist danach eine Verarbeitung von personenbezogenen Daten, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist. Beim Einsatz von First-Party Cookies von Facebook kommt das wirtschaftliche Interesse des Werbetreibenden an einer möglichst guten Auswertung seiner Werbemaßnahmen in Betracht. Dieses durchaus legitime Interesse des Werbetreibenden muss mit den gegenläufigen Interessen der Internetnutzer abgewogen werden.

Lesetipp: Onlinewerbung - Das ändert sich mit der DSGVO

Weil die Nutzung der First-Party Cookies durch Facebook nur dazu dient, die Browserbeschränkungen und Werbeblocker zu umgehen, dürfte sich im Rahmen der Interessenabwägung schwerlich begründen lassen, dass die Interessen des Werbetreibenden überwiegen.
Dies gilt erst recht, wenn dem Nutzer keine tatsächliche Möglichkeit gegeben wird, der Erhebung und Nutzung seiner Daten zu wiedersprechen. Die Umstellung von Facebook auf First-Party Cookies stellt für die Werbetreibenden ein erhebliches datenschutzrechtliches Risiko dar. Das gilt insbesondere dann, wenn der Werbetreibende die Datenerhebung auf Art. 6 Abs. 1 lit. f DSGVO stützt, anstatt eine Einwilligung der Nutzer einzuholen.

Die Rechtmäßigkeit der Datenverarbeitung kann daher nur erreicht werden, indem der Werbetreibende die ausdrückliche Einwilligung des Nutzers einholt. Dazu ist insbesondere ein wirksamer Opt-In Mechanismus erforderlich. Beim erstmaligen Betreten der Website dürfen keine First-Party Cookies von Facebook gesetzt werden. Diese dürfen erst gesetzt werden, wenn der Nutzer ihnen ausdrücklich zugestimmt hat, beispielsweise im Rahmen eines Cookie-Banners. Damit würde der Websitebetreiber im Einklang mit dem Positionspapier der Datenschutzkonferenz handeln.

Sofern in der Datenschutzerklärung schon zuvor auf die Nutzung des Facebook Pixels unter dem Vorbehalt einer Einwilligung hingewiesen wurde, bedarf es in den meisten Fällen keiner Anpassung.

Lesetipp: Emotion Tracking - Was er Online-Kunde bewusst preisgibt

Empfehlenswert daneben ist ein Hinweis an den Nutzer auf die Einstellmöglichkeiten im Browser und darüber hinaus auch auf die Einstellungen innerhalb seines jeweiligen Facebook-Nutzerkontos, um gegebenenfalls das Setzen von Cookies zu unterbinden oder das Tracking bei Facebook selbst zu deaktivieren.