Häufig verwendete Argumentationslinien auf dem Prüfstand – was sagen aktuelle rechtskräftige Bescheide der Datenschutzbehörden und höchstgerichtliche Urteile dazu?
Seit 2018 begleitet die Datenschutzgrundverordnung als einheitliches Unionsrecht die tägliche Arbeit so gut wie jeder Person, die im Onlinemarketing tätig ist. Ein kritisches Hinterfragen der Sinnhaftigkeit dieses Gesetzes ist vollkommen in Ordnung, allerdings schützt Unwissenheit bekanntlich nicht vor Strafe – egal, ob man die DSGVO nun persönlich gut oder schlecht findet.
In diesem Artikel habe ich als Ergänzung zur grundlegenden Problematik des Conversiontracking einige Mythen und Ausreden zusammengefasst, mit der selbst grosse Agenturen und Werbetreibende häufig versuchen, juristische Stolpersteine zu ignorieren.
Die Feststellung von jeglichen Rechtsverstössen in Datenschutzangelegenheiten fällt ausschliesslich in die Zuständigkeit der entsprechenden Aufsichtsbehörden und in weiterer Folge der Gerichte. Keinesfalls können Unternehmen, Privatpersonen oder motivierte Rechtsanwälte diesbezügliche Ermahnungen, Urteile oder ähnliches vornehmen oder gar ein Bussgeld verhängen.
Für ein abgeschlossenes Verfahren braucht man als Beschwerdeführer vor allem eines: viel Geduld und gute Nerven. Es kann auch schon mal drei oder mehr Jahre bis zu einem rechtskräftigen Urteil dauern.
Die Innsbrucker Rechtsanwälte Gamsjäger und Wiesflecker bringen es in ihrem Erfahrungsbericht auf den Punkt: «Es konnte bedauerlicherweise im Verfahren nicht wahrgenommen werden, dass die Datenschutzbehörde tatsächlich ein ausreichendes Interesse daran hat, die nunmehr streng verschärften Bestimmungen gemäss DSGVO ausreichend zu sanktionieren. Vielmehr wird der rechtlich wohl meistens unbedarfte Beschwerdeführer, der sich hoffnungsvoll an die Datenschutzbehörde wendet, kaum Möglichkeiten haben, mit den zum Teil nicht korrekten Rechtsbelehrungen und Zurückweisungen umzugehen.»
Folgende Fragen sollten in einer aussichtsreichen Meldung vom Beschwerdeführer beantwortet, respektive dokumentiert werden:
Der Quellcode moderner Webseiten ist für technische Laien nur schwer, respektive gar nicht mehr sinnerfassend lesbar. Die Browser-Funktion «Quellcode anzeigen» liefert oft nur ein unvollständiges Abbild – wenn man sämtliche Codebestandteile sehen möchte, muss man die Browser-Funktion «speichern unter…» einsetzen und danach als Dateityp «Webseite vollständig» auswählen.
Zum Zwecke der Beweissicherung ist es sinnvoll, sämtliche nachgeladenen Dateien der Webseite lokal zu speichern und den reinen Quellcode als PDF zu generieren. In diesem Quellcode sucht man sich nun die Stelle im HTML-Header, wo der Pixel eingebaut ist. Am schnellsten findet man das, indem man nach «connect.facebook» sucht und davon einen Screenshot anfertigt.
Quellcode Facebook Pixel
Nachdem nicht jeder Jurist und Beamte problemlos HTML und Javascript versteht, gibt es am Markt eine Reihe von Browser-Erweiterungen, die solche Trackingcodes automatisch im Quellcode aufspüren und visuell darstellen. Die gängigste am Markt ist der Facebook Pixel Helper für Chrome.
Als Ergebnis bekommt man rechts oben im Browser eine optische Markierung in grün, gelb oder rot – die jeweils ein aktives, mangelbehaftetes oder funktionsunfähiges Pixel signalisiert. Das ist schon mal ein rascher und einfacher Indikator – daher sollte man davon ebenfalls gleich einen Screenshot anfertigen.
Eine technisch noch fundiertere Aussage kann getroffen werden, sobald man sich das HTTP-Archiv (abgekürzt mit HAR) der gegenständlichen Webseite ansieht. In diesem JSON-Objekt werden sämtliche Datenübertragungen von und zum Browser dokumentiert. Aufrufbar ist das HAR in Google Chrome mit F12 unter «Netzwerk» – es kann dort auch exportiert werden.
HTTP-Archiv in Google Chrome
Wenn man jetzt wirklich Spass haben will, versucht man, für das Ganze eine Beurkundung durch einen öffentlichen Notar zu bekommen. Das Standes-Leitbild «Qualität mit Brief und Siegel – nur bei dem Notar Ihres Vertrauens» funktioniert tadellos beim Kauf von Liegenschaften oder ähnlichen rechtserheblichen Tatsachen – erfahrungsgemäss weniger gut bei der Beglaubigung eines HAR.
Weniger masochistisch angehauchte Personen wählen daher vermutlich eher den Weg zu einem gerichtlich beeideten Sachverständigen ihres Vertrauens und lassen sich dort eine forensische Beweissicherung machen.
Achtung: Wenn man nicht vorhat, bis in die letzte Instanz zu gehen, reichen sicherlich auch die eigenen Sicherheitskopien. Spätestens vor Gericht gilt immer der Grundsatz der freien Beweiswürdigung: es gibt im Gesetz keine exakten Vorschriften, wie so eine technische Dokumentation eines Sachverhalts genau auszusehen hat.
Meta bietet Werbetreibenden eine Reihe von Informationen bezüglich Conversiontracking. Rechtlich allerdings allesamt unverbindlich – sie verweisen ebenfalls auf den zwingenden Consent: «Du musst die Einwilligung des jeweiligen Nutzers einholen, bevor du Cookies oder andere Tracker für irgendwelche anderen Zwecke setzt/ausliest, die nicht unbedingt erforderlich oder auf sonstige Weise ausgenommen sind. Letztlich musst du allerdings selbst gemeinsam mit deinem Rechtsberater eine Compliance-Strategie für das Teilen von Daten erarbeiten.»
Die Conversions API (CAPI) ist ein Meta-Business-Tool, das die Marketing-Daten von Unternehmen direkt mit Meta verbindet. Der Konzern hebt bei den wichtigsten Vorteilen vor allem die bessere Messung im Vergleich zum Pixel hervor: «Du erhältst genauere Werte darüber, wie viele Conversions deine Meta-Anzeigen generieren». Die in den Raum gestellten Verbesserungen klingen verführerisch: «20 % höhere Conversionrate vom Lead zum Kauf bei Verwendung der Conversions API mit Lead Ads im Vergleich zur herkömmlichen Optimierung.»
Viele Agenturen und Werbetreibenden setzen auf das CAPI Gateway von Amazon Web Services verbunden mit dem Feature Auto Advanced Matching, das noch zusätzliche Identifikatoren wie E-Mail-Adressen oder Telefonnummern verwendet. Laut Meta werden diese Daten zwar verschlüsselt und somit pseudo-anonym behandelt, doch geschieht dies rechtlich gesehen nur in der Übertragung selbst. Am Ende werden diese Daten schliesslich genutzt, um die User eindeutig zu
re-identifizieren.
Auch hier leugnet Meta im Kleingedruckten gar nicht, dass es sich in jedem Fall um personenbezogene Daten handelt: «Der automatische erweiterte Abgleich weist dein Pixel an, nach erkennbaren Formularfeldern und anderen Quellen auf deiner Website zu suchen, die Informationen wie Vorname, Nachname und E-Mail-Adresse enthalten. Das Pixel empfängt diese Informationen zusammen mit dem Event oder der Handlung, das bzw. die stattgefunden hat. Diese Informationen werden im Browser des Besuchers gehasht. Wir können dann anhand der gehashten Informationen genauer bestimmen, welche Nutzer Handlungen als Reaktion auf deine Anzeige
durchgeführt haben.»
Zusammenfassend sammelt die CAPI also offenbar noch mehr personenbezogene Informationen als das Pixel alleine. Das wird in der Aussenkommunikation von Meta gerne mit Fremdwörtern wie Signalresilienz oder Performance-Marketing-Playbooks getarnt – ein rechtssicherer Einsatz der CAPI ist aus obigen Gründen allerdings mehr als fraglich. Schon alleine, weil in den wenigsten Consent-Bannern explizit darauf Bezug genommen wird und das Thema Datentransfer in die USA zurzeit ein
mehr als heikles ist.
Auch wenn Meta in den letzten Jahren einige Milliarden Dollar Strafe wegen diverser Datenschutzverstösse bezahlen musste, ist eine Abwälzung der juristischen Verantwortung auf den Technologieanbieter in diesem Fall nicht möglich.
Ein sogenannter Honeypot war bis 2018 eine oft und gerne eingesetzte Taktik, um spezifische Zielgruppen zu generieren. Dazu wird eine Webseite mit für die gewünschte Zielgruppe brauchbarem Content ins Netz gestellt und sämtliche qualifizierten Besucher in einer Custom Audience «gefangen», die dann später als Basis für zielgerichtete Werbung dient.
Selbst im Jahr 2022 machen das immer noch sehr viele Content-Marketer. Ganz leicht zu erkennen an dem Umstand, dass das Pixel bereits feuert, bevor vom User irgendein Consent-Banner betätigt wurde.
Hier ein Beispiel einer namhaften SoMe-Agentur mit neunstelligem AdBudget pro Jahr. Um niemanden öffentlich an den Pranger zu stellen, wurde der Inhalt der Webseite im Screenshot entfernt.
Abfeuern des Pixels bevor Consent-Einwilligung
Der Geschäftsführer erklärte dem Autor auf telefonische Nachfrage zu dem klaren Rechtsverstoss: «Wir haben einfach Chancen und Risiken abgewogen – und der Wert der so generierten Daten überstieg bisher immer das potenzielle Risiko, von einer Behörde erwischt zu werden. Aber danke für den Hinweis, wir werden das sofort korrigieren.»
In diesem Fall ist das gut ausgegangen – die Webseite war am nächsten Tag bereinigt und nichts ist passiert. Nicht immer geht das allerdings so glimpflich aus. Es gibt eine Reihe von NGO, die sich den Kampf gegen die DSGVO-Sünder auf die Fahnen geschrieben haben und bereits massenhaft Beschwerden gegen Unternehmen in ganz Europa eingebracht haben.
Die zweiten Gruppen von aktiven Beschwerdeführern sind Mitbewerber, die in rechtswidrigen Aktionen einen unlauteren Wettbewerb sehen. Da ist ein rechtskräftiger Bescheid der Aufsichtsbehörde oft erst der erste Schritt in einem Prozess um Schadenersatz.
Achtung: Der österreichische OGH hat am 27.11.2019 in seinem rechtskräftigen Urteil 6Ob217/19h richtungsweisend festgestellt, dass aus dem Artikel 82 DSGVO keine Beweislastumkehr hinsichtlich der Kausalität abzuleiten ist. Die haftungsbegründenden Tatsachen sind nach wie vor vom Anspruchsteller (also dem Beschwerdeführer) zu beweisen:
Und last, but not least sind da als dritte Gruppe einige Privatpersonen mit sehr viel Freizeit und sehr hohem Gerechtigkeitsempfinden.
Derartige Rückgriffe auf berechtigte Interessen für den Fall der Unwirksamkeit einer für denselben Verarbeitungszweck eingeholten Einwilligung, deren Nichterteilung oder deren Widerruf sind unzulässig und bilden eine Verletzung des DSGVO Grundsatzes der Verarbeitung nach Treu und Glauben.
Das hat das BVwG erst unlängst am 29.06.2022 in seinem Urteil W245 2232755-1 festgehalten. Das gesamte Dokument geht über 37 A4-Seiten, besonders spannend ist Punkt II 3.3.3.2.2.
«Stützt der Verantwortliche die Verarbeitung der Daten gegenüber dem Betroffenen zunächst nur auf eine Einwilligung gemäss Art. 6 Abs. 1 lit. a DSGVO, so hat dies zur Folge, dass bei Problemen mit der Gültigkeit der vorliegenden Einwilligung rückwirkend ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) als Grundlage für die Rechtfertigung der Verarbeitung nicht herangezogen werden kann. Es wäre gegenüber der betroffenen Person ein in höchstem Mass missbräuchliches Verhalten, ihr zu
sagen, dass die Daten auf der Grundlage der Einwilligung verarbeitet werden, wenn tatsächlich eine andere Rechtsgrundlage zugrunde gelegt wird (siehe dazu Leitlinien 05/2020 zur Einwilligung gemäss Verordnung 2016/679, Version 1.1., angenommen am 04.05.2020, Rn 121 ff). Es widerspricht dem Grundsatz von Treu und Glauben, wenn der Verantwortliche bei Verweigerung der Einwilligung oder deren Widerruf auf eine andere Rechtsgrundlage zurückgreift.»
Die meisten Anbieter von externen Trackinglösungen am Markt wähnen ihre Kunden rechtsicher, da sie davon ausgehen, dass gar keine personenbezogenen Daten verarbeitet werden.
Blöderweise sehen das die Aufsichtsbehörden diametral anders: auch statistisch hochgerechnete Daten oder reine Einschätzungen von Wahrscheinlichkeiten, Vermutungen und Werturteilen mit Bezug zu einer Person sind bereits als personenbezogene Daten im Sinne der DSGVO zu werten. Der absolute Wahrheitsgehalt ist dabei für die Betrachtung unerheblich. Der diesbezügliche Bescheid D205.163/0003-DSB/2019 der DSB vom 28.08.2019 wurde nach drei Jahren Verfahrensdauer bis vor
das BVwG nun rechtskräftig.
Sprich selbst wenn auch nur ein Algorithmus, eine künstliche Intelligenz oder was auch immer eine Verbindung zwischen einem UTM-Parameter oder einer Klick-ID mit einer realen Transaktion einer natürlichen Person errechnet, respektive herstellt, wird dies wohl als personenbezogenes Datum behandelt und unterliegt somit den bekannten Legitimationserfordernissen des Artikel 6 DSGVO.
Es genügt für die juristische Tatbestandsverwirklichung nämlich vollkommen, wenn auch nur die technische Möglichkeit der Wiedererkennung, respektive exakte Identifikation, eines Users besteht. Auch die mittlerweile übliche Verlagerung des Ortes der Verarbeitung vom Client (also Cookie) zum Server (also CAPI oder externem Tool) ändert an dieser Problematik genau gar nichts.
Der Begriff personenbezogene Daten ist aus Sicht der Höchstrichter besonders weit auszulegen: «In der Verwendung des Ausdrucks ,alle Informationen‘ im Zusammenhang mit der Bestimmung des Begriffs ,personenbezogene Daten‘ in Art. 2 Buchst. a der Richtlinie 95/46 kommt nämlich das Ziel des Unionsgesetzgebers zum Ausdruck, diesem Begriff eine weite Bedeutung beizumessen. Er ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von
Informationen, sowohl objektiver, als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen ,über‘ die in Rede stehende Person handelt.» (Beantwortung der Vorlagefragen 34 im rechtskräftigen EuGH-Urteil C-434/16 vom 20.12.2017)
Der auf Datenschutzrecht spezialisierte deutsche Rechtsanwalt Niklas Plutte meint dazu: «Der EuGH hat mittlerweile in mehreren Urteilen festgehalten, dass der Begriff ,personenbezogene Daten‘ weit auszulegen ist. Sämtliche User-Identifikatoren (wie Unique Click-ID oder ähnliches) sind in diesem Licht personenbezogene Daten – ihre Verarbeitung erfordert die vorhergehende Einwilligung des Users. Dagegen hat die Berufung auf ein berechtigtes Interesse aktuell kaum Chancen auf Gehör.»
Trotz wochenlanger Bemühungen war es dem Autor bisher nicht möglich, die von manchen Toolanbieter avisierten juristischen Gutachten tatsächlich einzusehen. Um es daher mit einem Euphemismus zu beschreiben: suboptimale Vorrausetzungen, um beim Einsatz solcher Tools auch weiterhin ruhig und entspannt zu schlafen.
Aber alle anderen machen das doch auch so oder «Der Praktikant ist schuld». Diese Verteidigungslinie hat noch nie funktioniert. Nirgendwo. Niemals.
Als Agentur ist man grundsätzlich zur Erbringung einer rechtsmängelfreien Dienstleistung verpflichtet. Um da nicht in eine oft sehr kostspielige Regress-Falle zu tappen, sollten solch juristische Chancen/Risiko-Abschätzungen vorab offen mit dem Kunden diskutiert und vor allem dokumentiert werden.
Wenn erst mal ein Bussgeldbescheid rechtskräftig ist, sind solche Gespräche meist wenig erfolgversprechend.
In diesem Sinne: Möge der ROAS immer mit euch sein und frohe Weihnachten! Dieser Artikel stellt naturgemäss keine Rechtsberatung dar.
Facebook: Ist Conversiontracking eigentlich legal?
Meta: Überblick über die Meta Conversions API
Facebook: Vereinfachte Integration der CAPI über das Conversions API Gateway
Autor: Thomas Thaler | 10 Posts
Thomas Thaler ist ausgebildeter Informatiker, Unternehmensberater und Bilanzexperte – irgendwann (hoffentlich) auch mal Rechtsanwalt. Der Touristiker aus Leidenschaft und Überzeugung arbeitet seit 1993 selbstständig und beschäftigt sich mit seiner Wachauer Werbeagentur primär mit Facebook Performance Kampagnen.
Comments are closed.
Vielen Dank für diesen wirklich sehr guten Artikel zu dem Thema!
Hi Thomas,
zunächst Danke für den klasse Beitrag..
Auch wenn alles richtig ist, was Du sagst/schreibst, stellt sich eben die Frage, welche Empfehlung man den Unternehmen im Hinblick auf die unsichere Rechtslage geben soll.
Ich bin bei Dir, dass man den Toolanbietern, Agenturen oder eben Meta nicht einfach blind vertrauen sollte, wenn diese sagen, dass schon alles “DSGVO-konform” ist. Spätestens wenn man eine schriftliche Zusicherung verlangt, wird diese nämlich verweigert.
Damit bleiben Unternehmen eben nur zwei Alternativen.
1. Kein Tracking einsetzen (und sich damit einen erheblichen Wettbewerbsnachteil einhandeln)
oder
2. Tracking unter Abwägung der Risiken einsetzen. Abwägung der Risiken sollte dabei heißen, zumindest die wichtigsten Vorgaben der DSGVO und des TTDSG (in Deutschland) einzuhalten. Das bedeutet zumindest ein wirksames Opt-In (in der Regel in der Cookie-Bar) einzusetzen und die Datenverarbeitung der eingesetzten Tools Art. 13 DSGVO entsprechend nachvollziehbar und richtig in der Datenschutzerklärung der Webseite zu beschreiben.
Wer (zu Unrecht) meint, das Tracking über berechtigte Interessen (Art. 6 Abs.1 lit.f DSGVO) legitimieren zu können, sollte die hierfür notwendige Interessenabwägung zumindest in einem Legitimate-Interest-Test intern ordentlich zu dokumentieren.
Wer es noch besser machen will, prüft darüber hinaus noch die Vereinbarungen (Auftragsverarbeitungsvertrag oder Joint Controllership Agreement), die der jeweilige Toolanbieter (z.B. Meta) im Zusammenhang mit dem jeweiligen Tracking anbietet und begründet in der eigenen Dokumentation, warum das jeweilige Tracking als DSGVO-konform angesehen wird bzw. werden kann.
Mit entsprechender Absicherung und Dokumentation lässt sich tatsächlich begründen, dass die Vorteile des jeweiligen Tracking die verbleibenden Restrisiken tatsächlich deutlich überwiegen. Die Praxiserfahrung zeigt nämlich, dass die Datenschutzbehörden in Ihren Arbeitspapieren zwar immer wieder (sehr strenge) Interpretationen veröffentlichen, diese bisher aber eben nicht durchsetzen. DAs zeigt sich deutlich am Beispiel von Google Analytics, welches ja nach Auffassung mehrerer Datenschutzbehörden nicht DSGVO-konform eingesetzt werden kann. Gleichwohl wird Google Analytics bis heute auf tausenden von Webseiten eingesetzt, ohne dass es Bussgelder oder andere gravierende Aufsichtsmaßnahmen gegeben hat.
Deshalb bleibt Unternehmen gar keine andere Wahl, als Tracking zu unterlassen oder eben unter Inkaufnahme (möglichst minimierter) Restrisiken einzusetzen….