13.12.2022 Facebook

Meta: Mein Tracking ist 100 % DSGVO-konform. Wirklich?

Häufig verwendete Argumentationslinien auf dem Prüfstand – was sagen aktuelle rechtskräftige Bescheide der Datenschutzbehörden und höchstgerichtliche Urteile dazu?

Thomas Thaler
13 Min. Lesezeit
1 Kommentar

Seit 2018 begleitet die Datenschutzgrundverordnung als einheitliches Unionsrecht die tägliche Arbeit so gut wie jeder Person, die im Onlinemarketing tätig ist. Ein kritisches Hinterfragen der Sinnhaftigkeit dieses Gesetzes ist vollkommen in Ordnung, allerdings schützt Unwissenheit bekanntlich nicht vor Strafe – egal, ob man die DSGVO nun persönlich gut oder schlecht findet.
In diesem Artikel habe ich als Ergänzung zur grundlegenden Problematik des Conversiontracking einige Mythen und Ausreden zusammengefasst, mit der selbst grosse Agenturen und Werbetreibende häufig versuchen, juristische Stolpersteine zu ignorieren.

Der Instanzenweg eines Datenschutzverfahrens

Die Feststellung von jeglichen Rechtsverstössen in Datenschutzangelegenheiten fällt ausschliesslich in die Zuständigkeit der entsprechenden Aufsichtsbehörden und in weiterer Folge der Gerichte. Keinesfalls können Unternehmen, Privatpersonen oder motivierte Rechtsanwälte diesbezügliche Ermahnungen, Urteile oder ähnliches vornehmen oder gar ein Bussgeld verhängen.

  1. Das ganze Prozedere beginnt mit einer Meldung – oder auch Beschwerde genannt – des Beschwerdeführers an die zuständige Aufsichtsbehörde. In Österreich ist das immer die DSB, in Deutschland ist es etwas komplizierter. Grundsätzlich kann sich der Beschwerdeführer aber aussuchen, ob er für sein Vorbringen den Mitgliedstaat seines Aufenthaltsorts, des Arbeitsplatzes oder den Ort des mutmasslichen Verstosses auswählt. (siehe auch Punkt 2) In so einer Beschwerde sind neben den Kontaktdaten der Beschwerdegegnerin und einer möglichst ausführlichen Sachverhaltsdarstellung in der Regel auch ein oder mehrere Feststellungs- und Leistungsbegehren enthalten, manchmal auch die Anregung genereller Abhilfemassnahmen oder die Anregung der Verhängung einer Geldbusse. Achtung: Eine solche Datenschutzbeschwerde kann nur von einer natürlichen Person eingebracht werden, nicht von juristischen Personen wie z. B. einer GmbH (vgl. Bescheid D123.089/0002-DSB/2018 der DSB vom 19.07.2018) und sollte innerhalb von drei Tagen erfolgen, nachdem einem der Sachverhalt aufgefallen ist. Die Einbringung einer Datenschutzbeschwerde ist grundsätzlich kostenfrei – es besteht kein Anwaltszwang. Auch die Formvorschriften sind sehr locker: ein digital signiertes PDF in einer E-Mail reicht völlig aus.
  2. Danach wird von Amtes wegen die sogenannte federführende Aufsichtsbehörde ermittelt: die federführende Zuständigkeit obliegt jener Aufsichtsbehörde, in deren Sprengel die Beschwerdegegnerin ihre Hauptniederlassung hat. Allein diese Feststellung kann schon mal über ein halbes Jahr dauern.
  3. Die Aufsichtsbehörde führt das Beschwerdeverfahren dann mit allen ihrer Ansicht nach notwendigen Massnahmen, inklusive Parteiengehör. Sie ist gemäss dem Grundsatz der Erforschung der materiellen Wahrheit verpflichtet, den in der Beschwerde behaupteten Sachverhalt in angemessenem Umfang objektiv und sorgfältig zu erheben, respektive zu überprüfen.
  4. Der Beschwerde wird schliesslich durch die Aufsichtsbehörde in Form eines Bescheids (auch Spruch genannt) stattgegeben oder sie wird als unbegründet abgewiesen.
  5. Als Berufungs- und Beschwerdeinstanz gegen sämtliche Entscheidungen der Aufsichtsbehörde ist in Österreich das Bundesverwaltungsgericht (BVwG) zuständig. Es entscheidet durch Senat über Beschwerden gegen Bescheide der DSB. Das Einbringen einer solchen Bescheidbeschwerde ist mit 30 Euro gebührenpflichtig. Es besteht wiederum kein Anwaltszwang.
  6. In bestimmten Fällen (vor allem bei Rechtsfragen von erheblicher Bedeutung) kann man auch gegen ein Urteil zweiter Instanz noch Einspruch einlegen. Diese sogenannte Revision muss allerdings von einem Rechtsanwalt verfasst werden.

Für ein abgeschlossenes Verfahren braucht man als Beschwerdeführer vor allem eines: viel Geduld und gute Nerven. Es kann auch schon mal drei oder mehr Jahre bis zu einem rechtskräftigen Urteil dauern.

Die Innsbrucker Rechtsanwälte Gamsjäger und Wiesflecker bringen es in ihrem Erfahrungsbericht auf den Punkt: «Es konnte bedauerlicherweise im Verfahren nicht wahrgenommen werden, dass die Datenschutzbehörde tatsächlich ein ausreichendes Interesse daran hat, die nunmehr streng verschärften Bestimmungen gemäss DSGVO ausreichend zu sanktionieren. Vielmehr wird der rechtlich wohl meistens unbedarfte Beschwerdeführer, der sich hoffnungsvoll an die Datenschutzbehörde wendet, kaum Möglichkeiten haben, mit den zum Teil nicht korrekten Rechtsbelehrungen und Zurückweisungen umzugehen.»

Wie stellt man als Beschwerdeführer den Sachverhalt richtig dar?

Folgende Fragen sollten in einer aussichtsreichen Meldung vom Beschwerdeführer beantwortet, respektive dokumentiert werden:

  1. Werden beim Besuch der Webseite der Beschwerdegegnerin Daten an Meta gesendet?
  2. Wenn ja – sind diese Daten personenbezogen?
  3. Wenn ja – gibt es eine juristische Legitimierung, sprich fand diese Verarbeitung rechtmässig statt?

Der Quellcode moderner Webseiten ist für technische Laien nur schwer, respektive gar nicht mehr sinnerfassend lesbar. Die Browser-Funktion «Quellcode anzeigen» liefert oft nur ein unvollständiges Abbild – wenn man sämtliche Codebestandteile sehen möchte, muss man die Browser-Funktion «speichern unter…» einsetzen und danach als Dateityp «Webseite vollständig» auswählen.

Zum Zwecke der Beweissicherung ist es sinnvoll, sämtliche nachgeladenen Dateien der Webseite lokal zu speichern und den reinen Quellcode als PDF zu generieren. In diesem Quellcode sucht man sich nun die Stelle im HTML-Header, wo der Pixel eingebaut ist. Am schnellsten findet man das, indem man nach «connect.facebook» sucht und davon einen Screenshot anfertigt.

Quellcode Facebook Pixel

Quellcode Facebook Pixel

Nachdem nicht jeder Jurist und Beamte problemlos HTML und Javascript versteht, gibt es am Markt eine Reihe von Browser-Erweiterungen, die solche Trackingcodes automatisch im Quellcode aufspüren und visuell darstellen. Die gängigste am Markt ist der Facebook Pixel Helper für Chrome.
Als Ergebnis bekommt man rechts oben im Browser eine optische Markierung in grün, gelb oder rot – die jeweils ein aktives, mangelbehaftetes oder funktionsunfähiges Pixel signalisiert. Das ist schon mal ein rascher und einfacher Indikator – daher sollte man davon ebenfalls gleich einen Screenshot anfertigen.
Eine technisch noch fundiertere Aussage kann getroffen werden, sobald man sich das HTTP-Archiv (abgekürzt mit HAR) der gegenständlichen Webseite ansieht. In diesem JSON-Objekt werden sämtliche Datenübertragungen von und zum Browser dokumentiert. Aufrufbar ist das HAR in Google Chrome mit F12 unter «Netzwerk» – es kann dort auch exportiert werden.

HTTP-Archiv in Google Chrome

HTTP-Archiv in Google Chrome

Wenn man jetzt wirklich Spass haben will, versucht man, für das Ganze eine Beurkundung durch einen öffentlichen Notar zu bekommen. Das Standes-Leitbild «Qualität mit Brief und Siegel – nur bei dem Notar Ihres Vertrauens» funktioniert tadellos beim Kauf von Liegenschaften oder ähnlichen rechtserheblichen Tatsachen – erfahrungsgemäss weniger gut bei der Beglaubigung eines HAR.

Weniger masochistisch angehauchte Personen wählen daher vermutlich eher den Weg zu einem gerichtlich beeideten Sachverständigen ihres Vertrauens und lassen sich dort eine forensische Beweissicherung machen.

Achtung: Wenn man nicht vorhat, bis in die letzte Instanz zu gehen, reichen sicherlich auch die eigenen Sicherheitskopien. Spätestens vor Gericht gilt immer der Grundsatz der freien Beweiswürdigung: es gibt im Gesetz keine exakten Vorschriften, wie so eine technische Dokumentation eines Sachverhalts genau auszusehen hat.

Ich halte mich penibel an die offiziellen Empfehlungen von Meta. Die werden schon wissen, was sie tun.

Meta bietet Werbetreibenden eine Reihe von Informationen bezüglich Conversiontracking. Rechtlich allerdings allesamt unverbindlich – sie verweisen ebenfalls auf den zwingenden Consent: «Du musst die Einwilligung des jeweiligen Nutzers einholen, bevor du Cookies oder andere Tracker für irgendwelche anderen Zwecke setzt/ausliest, die nicht unbedingt erforderlich oder auf sonstige Weise ausgenommen sind. Letztlich musst du allerdings selbst gemeinsam mit deinem Rechtsberater eine Compliance-Strategie für das Teilen von Daten erarbeiten.»

Die Conversions API (CAPI) ist ein Meta-Business-Tool, das die Marketing-Daten von Unternehmen direkt mit Meta verbindet. Der Konzern hebt bei den wichtigsten Vorteilen vor allem die bessere Messung im Vergleich zum Pixel hervor: «Du erhältst genauere Werte darüber, wie viele Conversions deine Meta-Anzeigen generieren». Die in den Raum gestellten Verbesserungen klingen verführerisch: «20 % höhere Conversionrate vom Lead zum Kauf bei Verwendung der Conversions API mit Lead Ads im Vergleich zur herkömmlichen Optimierung.»

Viele Agenturen und Werbetreibenden setzen auf das CAPI Gateway von Amazon Web Services verbunden mit dem Feature Auto Advanced Matching, das noch zusätzliche Identifikatoren wie E-Mail-Adressen oder Telefonnummern verwendet. Laut Meta werden diese Daten zwar verschlüsselt und somit pseudo-anonym behandelt, doch geschieht dies rechtlich gesehen nur in der Übertragung selbst. Am Ende werden diese Daten schliesslich genutzt, um die User eindeutig zu
re-identifizieren.

Auch hier leugnet Meta im Kleingedruckten gar nicht, dass es sich in jedem Fall um personenbezogene Daten handelt: «Der automatische erweiterte Abgleich weist dein Pixel an, nach erkennbaren Formularfeldern und anderen Quellen auf deiner Website zu suchen, die Informationen wie Vorname, Nachname und E-Mail-Adresse enthalten. Das Pixel empfängt diese Informationen zusammen mit dem Event oder der Handlung, das bzw. die stattgefunden hat. Diese Informationen werden im Browser des Besuchers gehasht. Wir können dann anhand der gehashten Informationen genauer bestimmen, welche Nutzer Handlungen als Reaktion auf deine Anzeige
durchgeführt haben.»

Zusammenfassend sammelt die CAPI also offenbar noch mehr personenbezogene Informationen als das Pixel alleine. Das wird in der Aussenkommunikation von Meta gerne mit Fremdwörtern wie Signalresilienz oder Performance-Marketing-Playbooks getarnt – ein rechtssicherer Einsatz der CAPI ist aus obigen Gründen allerdings mehr als fraglich. Schon alleine, weil in den wenigsten Consent-Bannern explizit darauf Bezug genommen wird und das Thema Datentransfer in die USA zurzeit ein
mehr als heikles ist.

Auch wenn Meta in den letzten Jahren einige Milliarden Dollar Strafe wegen diverser Datenschutzverstösse bezahlen musste, ist eine Abwälzung der juristischen Verantwortung auf den Technologieanbieter in diesem Fall nicht möglich.

Wo kein Kläger, da kein Richter.

Ein sogenannter Honeypot war bis 2018 eine oft und gerne eingesetzte Taktik, um spezifische Zielgruppen zu generieren. Dazu wird eine Webseite mit für die gewünschte Zielgruppe brauchbarem Content ins Netz gestellt und sämtliche qualifizierten Besucher in einer Custom Audience «gefangen», die dann später als Basis für zielgerichtete Werbung dient.

Selbst im Jahr 2022 machen das immer noch sehr viele Content-Marketer. Ganz leicht zu erkennen an dem Umstand, dass das Pixel bereits feuert, bevor vom User irgendein Consent-Banner betätigt wurde.

Hier ein Beispiel einer namhaften SoMe-Agentur mit neunstelligem AdBudget pro Jahr. Um niemanden öffentlich an den Pranger zu stellen, wurde der Inhalt der Webseite im Screenshot entfernt.

Abfeuern des Pixels bevor Consent-Einwilligung

Abfeuern des Pixels bevor Consent-Einwilligung

Der Geschäftsführer erklärte dem Autor auf telefonische Nachfrage zu dem klaren Rechtsverstoss: «Wir haben einfach Chancen und Risiken abgewogen – und der Wert der so generierten Daten überstieg bisher immer das potenzielle Risiko, von einer Behörde erwischt zu werden. Aber danke für den Hinweis, wir werden das sofort korrigieren.»

In diesem Fall ist das gut ausgegangen – die Webseite war am nächsten Tag bereinigt und nichts ist passiert. Nicht immer geht das allerdings so glimpflich aus. Es gibt eine Reihe von NGO, die sich den Kampf gegen die DSGVO-Sünder auf die Fahnen geschrieben haben und bereits massenhaft Beschwerden gegen Unternehmen in ganz Europa eingebracht haben.

Die zweiten Gruppen von aktiven Beschwerdeführern sind Mitbewerber, die in rechtswidrigen Aktionen einen unlauteren Wettbewerb sehen. Da ist ein rechtskräftiger Bescheid der Aufsichtsbehörde oft erst der erste Schritt in einem Prozess um Schadenersatz.

Achtung: Der österreichische OGH hat am 27.11.2019 in seinem rechtskräftigen Urteil 6Ob217/19h richtungsweisend festgestellt, dass aus dem Artikel 82 DSGVO keine Beweislastumkehr hinsichtlich der Kausalität abzuleiten ist. Die haftungsbegründenden Tatsachen sind nach wie vor vom Anspruchsteller (also dem Beschwerdeführer) zu beweisen:

  • Normverstoss, sprich die objektive Rechtswidrigkeit durch den Schädiger
  • Eintritt eines materiellen oder immateriellen Schadens
  • (Mit-)Ursächlichkeit des Verhaltens des Schädigers am eingetretenen Schaden im Sinne einer adäquaten Kausalität

Und last, but not least sind da als dritte Gruppe einige Privatpersonen mit sehr viel Freizeit und sehr hohem Gerechtigkeitsempfinden.

Wenn der Consent nicht hält, haben wir immer noch das berechtigte Interesse.

Derartige Rückgriffe auf berechtigte Interessen für den Fall der Unwirksamkeit einer für denselben Verarbeitungszweck eingeholten Einwilligung, deren Nichterteilung oder deren Widerruf sind unzulässig und bilden eine Verletzung des DSGVO Grundsatzes der Verarbeitung nach Treu und Glauben.

Das hat das BVwG erst unlängst am 29.06.2022 in seinem Urteil W245 2232755-1 festgehalten. Das gesamte Dokument geht über 37 A4-Seiten, besonders spannend ist Punkt II 3.3.3.2.2.

«Stützt der Verantwortliche die Verarbeitung der Daten gegenüber dem Betroffenen zunächst nur auf eine Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO, so hat dies zur Folge, dass bei Problemen mit der Gültigkeit der vorliegenden Einwilligung rückwirkend ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) als Grundlage für die Rechtfertigung der Verarbeitung nicht herangezogen werden kann. Es wäre gegenüber der betroffenen Person ein in höchstem Mass missbräuchliches Verhalten, ihr zu
sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird (siehe dazu Leitlinien 05/2020 zur Einwilligung gemäss Verordnung 2016/679, Version 1.1., angenommen am 04.05.2020, Rn 121 ff). Es widerspricht dem Grundsatz von Treu und Glauben, wenn der Verantwortliche bei Verweigerung der Einwilligung oder deren Widerruf auf eine andere Rechtsgrundlage zurückgreift.»

Mein Tool-Anbieter hat seine Lösung juristisch prüfen lassen.

Die meisten Anbieter von externen Trackinglösungen am Markt wähnen ihre Kunden rechtsicher, da sie davon ausgehen, dass gar keine personenbezogenen Daten verarbeitet werden.

Blöderweise sehen das die Aufsichtsbehörden diametral anders: auch statistisch hochgerechnete Daten oder reine Einschätzungen von Wahrscheinlichkeiten, Vermutungen und Werturteilen mit Bezug zu einer Person sind bereits als personenbezogene Daten im Sinne der DSGVO zu werten. Der absolute Wahrheitsgehalt ist dabei für die Betrachtung unerheblich. Der diesbezügliche Bescheid D205.163/0003-DSB/2019 der DSB vom 28.08.2019 wurde nach drei Jahren Verfahrensdauer bis vor
das BVwG nun rechtskräftig.

Sprich selbst wenn auch nur ein Algorithmus, eine künstliche Intelligenz oder was auch immer eine Verbindung zwischen einem UTM-Parameter oder einer Klick-ID mit einer realen Transaktion einer natürlichen Person errechnet, respektive herstellt, wird dies wohl als personenbezogenes Datum behandelt und unterliegt somit den bekannten Legitimationserfordernissen des Artikel 6 DSGVO.

Es genügt für die juristische Tatbestandsverwirklichung nämlich vollkommen, wenn auch nur die technische Möglichkeit der Wiedererkennung, respektive exakte Identifikation, eines Users besteht. Auch die mittlerweile übliche Verlagerung des Ortes der Verarbeitung vom Client (also Cookie) zum Server (also CAPI oder externem Tool) ändert an dieser Problematik genau gar nichts.

Der Begriff personenbezogene Daten ist aus Sicht der Höchstrichter besonders weit auszulegen: «In der Verwendung des Ausdrucks ,alle Informationen‘ im Zusammenhang mit der Bestimmung des Begriffs ,personenbezogene Daten‘ in Art. 2 Buchst. a der Richtlinie 95/46 kommt nämlich das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von
Informationen, sowohl objektiver, als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen ,über‘ die in Rede stehende Person handelt.» (Beantwortung der Vorlagefragen 34 im rechtskräftigen EuGH-Urteil C-434/16 vom 20.12.2017)

Der auf Datenschutzrecht spezialisierte deutsche Rechtsanwalt Niklas Plutte meint dazu: «Der EuGH hat mittlerweile in mehreren Urteilen festgehalten, dass der Begriff ,personenbezogene Daten‘ weit auszulegen ist. Sämtliche User-Identifikatoren (wie Unique Click-ID oder ähnliches) sind in diesem Licht personenbezogene Daten – ihre Verarbeitung erfordert die vorhergehende Einwilligung des Users. Dagegen hat die Berufung auf ein berechtigtes Interesse aktuell kaum Chancen auf Gehör.»

Trotz wochenlanger Bemühungen war es dem Autor bisher nicht möglich, die von manchen Toolanbieter avisierten juristischen Gutachten tatsächlich einzusehen. Um es daher mit einem Euphemismus zu beschreiben: suboptimale Vorrausetzungen, um beim Einsatz solcher Tools auch weiterhin ruhig und entspannt zu schlafen.

Fazit

Aber alle anderen machen das doch auch so oder «Der Praktikant ist schuld». Diese Verteidigungslinie hat noch nie funktioniert. Nirgendwo. Niemals.

Als Agentur ist man grundsätzlich zur Erbringung einer rechtsmängelfreien Dienstleistung verpflichtet. Um da nicht in eine oft sehr kostspielige Regress-Falle zu tappen, sollten solch juristische Chancen/Risiko-Abschätzungen vorab offen mit dem Kunden diskutiert und vor allem dokumentiert werden.

Wenn erst mal ein Bussgeldbescheid rechtskräftig ist, sind solche Gespräche meist wenig erfolgversprechend.

In diesem Sinne: Möge der ROAS immer mit euch sein und frohe Weihnachten! Dieser Artikel stellt naturgemäss keine Rechtsberatung dar.

 

Weitere Artikel dazu:

Facebook: Ist Conversiontracking eigentlich legal?

Meta: Überblick über die Meta Conversions API

Facebook: Vereinfachte Integration der CAPI über das Conversions API Gateway

Facebook Instagram Twitter Xing TikTok

Kommentar via Facebook

Bitte akzeptieren Sie die Cookies um die Facebook Kommentare zu nutzen.

Schreib uns einen Kommentar

  1. rainer.karutz@oegk.at' Rainer Karutz sagt:

    Vielen Dank für diesen wirklich sehr guten Artikel zu dem Thema!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Möchtest Du immer auf dem neusten Stand mit unseren Newsletter sein?

Social Media News   LinkedIn