Webanalytics

Facebook-Pixel

header-monitoring
Facebook Logo

Faceboox-Pixel

Facebook-Pixel ist ein Trackingtool zur Analyse von Reichweite und Nutzerverhalten.

Sitz: Menlo Park, Kalifornien, Vereinigte Staaten
Kategorie:
Webanalytics
Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

    Was ist Facebook-Pixel?

    Faceboox-Pixel ist ein Webanalyse Tool, welches das Verhalten von Webseiten-Besuchern in Form von Daten sammelt und auswertet.

    Warum wird Facebook-Pixel verwendet?

    Unternehmen sind daran interessiert Ihren Internetauftritt und Marketingmaßnahmen meßbar zu machen. Da die Performance einer Website ohne Hilfsmittel nur schwer meßbar ist, setzen viele auf Analysetools wie Facebook-Pixel um Daten zu gewinnen, mit denen Veränderungen der Interaktion von Usern sichtbar gemacht werden können. Hieraus können dann Handlungsempfehlungen abgeleitet werden.

    Dabei sind die Analysemöglichkeiten vielfältig und die Grenze liegt nur bei dir selbst und den gesetzlichen Rahmenbedingungen. Und genau hier wird es spannend. Denn aus Sicht von Datenschützern ist der Einsatz von Webanalyse Tools umstritten. Was du beachten musst, wenn du Facebook-Pixel datenschutzkonform einsetzen willst, erkläre ich dir hier.

    Wir brauchen unbedingt YouTube-Videos auf unserer Website! Aber...

    Welche Varianten gibt es, um ein YouTube-Video innerhalb meiner Website einzubinden?

    Muss ich rechtliche Grundlagen berücksichtigen?

    youtube datenschutzkonform einbinden

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist Facebook-Pixel Einwilligungspflichtig?

    • Es wird nur schwer möglich sein, ein berechtigtes Interesse für ein Marketingtool wie Facebook-Pixel zu begründen.
    • Die IP-Adresse der Nutzer ist ein personenbezogenes Datum. Zwar wird die IP-Adresse in Facebook-Pixel standardmäßig anonymisiert, aber selbst dann kann davon ausgegangen werden, dass die Serverzugriffe geloggt werden und die IP-Adresse so an den Serviceprovider gelangt.
    • Weiterhin besteht das Problem, dass Facebook-Pixel ein US-Amerikanisches Unternehmen ist und die USA seit der Beendigung des Privacy Shields als unsicherer Drittstaat gelten. Dadurch gibt es aktuell keine Rechtsgrundlage für die Übermittlung der Daten in die USA.

    Damit liegen Verstöße gegen die oben genannten Punkte 2, 3, 4, 7 und 9 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    Die Kombination mit Server-side Tagging kann aber, bei der richtigen Konfiguration dazu führen, dass Facebook-Pixel ohne Einwilligung eingesetzt werden kann.

    Fazit zur datenschutzkonformen Nutzung von Facebook-Pixel

    In Sachen Datenschutz hat sich Facebook mühe gegeben, den Europäischen Anforderungen gerecht zu werden. Es hat nicht ganz gereicht, aber es ist definitiv ein Schritt in die richtige Richtung.

    Zusammenfassend können wir noch folgende Probleme identifizieren:

    • Es muss sichergestellt werden, dass keine personenbezogenen Daten an Facebook weitergeleitet werden
    • Facebook darf die Daten nicht für eigene Zwecke nutzen und mit bestehenden Daten verknüpfen
    • Facebook darf nicht durch Logging an die IP-Adresse des Nutzers kommen
    • Wenn Cookieless Tracking verwendet wird, muss darauf geachtet werden, dass der Nutzer dennoch nicht identifiziert werden kann und vor allem, dass Facebook den Nutzer nicht identifizieren kann

    Das ist natürlich schade, denn es wäre ein großer Vorteil, die Nutzer ohne Einwilligung tracken zu können. Es gibt aber eine "Notlösung" für das Problem. Wenn man das ganze als Server-Side Tagging betreibt, besteht die Möglichkeit, durch den erhöhten Datenschutz und die verbesserte Datenhoheit, auch ohne Einwilligung zu tracken. Dies geht zwar deutlich zu lasten der Datenqualität, aber immerhin gibt es eine Möglichkeit.

    Facebook Logo

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an