Einsatz von Facebook Custom Audiences – rechtswidrig?

Unternehmen, die Facebook Custom Audiences einsetzen, riskieren nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht die Eröffnung eines Bußgeldverfahrens.

Das Bayerische Landesamt hat in seinem kürzlich veröffentlichen Tätigkeitsbericht 2013/2014 die Ansicht vertreten, dass der Einsatz von „Facebook Custom Audiences“ rechtswidrig sei. Bei „Facebook Custom Audiences“  werden personenbezogene Datensätze, die als Identifier eine E-Mail-Adresse oder eine Telefonnummer besitzen, von Unternehmen anonymisiert (verhasht) und an Facebook übertragen. Facebook vergleicht diese Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Hierdurch kann Facebook eigene Facebook-Nutzer mit denen der Kunden abgleichen und diese identifizieren.

Beim Einsatz dieser Technologie wird für die Verschlüsselung das bekannte MD5-Verfahren verwendet. Nach Auffassung reicht dieses Verfahren für die Verschlüsselungszwecke nicht aus. Nach Ansicht des Bayerischen Landesamtes könne tatsächlich eine sog. „Brute-Force-Attacke“ dadurch deutlich beschleunigt werden, wenn ursprüngliche Klartexteigenschaften der MD5-gehashten Werte berücksichtigt werden. Wörtlich heißt es in dem Tätigkeitsbericht:

„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachnamen, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zugrunde gelegt, gehen wir bei einer – sehr vorsichtigen – Schätzung davon aus, dass mindestens 70 – 80 %  aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand „zurückgerechnet“ werden können“.

Facebook könne deshalb nach Ansicht des Bayerischen Landesamtes ohne wesentlichen Aufwand einen Hashwert bei der überwiegenden Zahl der Fälle zurückrechnen, wodurch auch nicht-Facebook-Nutzer betroffen sein können. Es komme deshalb trotz der vermeintlichen Anonymisierung zu einer Verarbeitung von personenbezogenen Daten die somit eine Einwilligung der betroffenen Personen bedürfe, deren Daten im Rahmen der „Custom Audiences“ an Facebook übermittelt werden. Da diese im Allgemeinen nicht vorliegen dürfte, sei von der Nutzung von „Facebook Custom Audiences“ abzuraten. Tatsächlich könne der Einsatz der „Custom Audiences“ ohne Einwilligung der Nutzer sogar eine Ordnungswidrigkeit darstellen, die mit Bußgeldern sanktioniert werden kann.

Twitter und Geotargeting

Twitter ermöglicht nun auch Geotargeting. Hierbei handelt es sich um eine Option für Werbetreibende, die auf Twitter geschaltete Werbung nun auch ortsgebunden anzeigen zu können. In Deutschland ermöglicht Twitter bisher die Auswahl aus 16 Städten, in den USA hingegen ist schon eine Auswahl bis auf die Postleitzahl möglich.

Datenschutzrechtlich bietet der neue Service von Twitter für sich genommen keine Bedenken. Zwar arbeitet Twitter mit personenbezogenen Daten, um die Zielgruppe auszuwählen, diese Daten werden laut Twitter nur akkumuliert und damit anonymisiert oder mit Erlaubnis weitergegeben. Für weitere Fragen zu dieser Thematik empfehlen wir auch unseren Beitrag zum location based advertising.

BVDW Whitepaper „Browser-Cookies und alternative Tracking-Technologien“ veröffentlicht.

Der BVDW hat  unter Mitwirkung von Dr. Frank Eickmeier ein sehr interessantes Whitepaper „Browser-Cookies und alternative Tracking-Technologien veröffentlicht.“ Das Whitepaper beschäftigt sich mit den technischen und den datenschutzrechtlichen Aspekten der alternativen Trackingtechnologien. Neben einer ausführlichen und praxisorientierten Darstellung des Browser-Cookie-Trackings, erläutert das Whitepaper daher alternative browser-basierte Trackingtechnologien wie Fingerprinting, Common-IDs, eTag, Local Storage, Flash-Cookies und Authentication Cache sowie app-basiertes Tracking mittels endgeräteabhängiger IDs. Das Whitepaper ist hier abrufbar: http://www.bvdw.org/medien/browsercookies-und-alternative-tracking-technologien-technische-und-datenschutzrechtliche-aspekte?media=7007.

 

„tools“ 2015: Teilnahme am Panel zum Mobile und Location Based Advertising

Dr. Frank Eickmeier wird am 17.06.2015 auf der Messe “tools” an einem Panel zum Thema Mobile und Location Based Advertising teilnehmen, bei dem es um das Thema der passgenauen Kundenansprache durch den Einsatz von Mobile sowie Location Based Advertising geht.

Die Mehrheit der Smartphone-Nutzer in Deutschland nutzt ortsbezogene Dienste. Dadurch erschließt Location Based Advertising für werbetreibende Unternehmen eine Vielzahl neuer Möglichkeiten, ihre Zielgruppe in einem für die Werbebotschaft relevanten örtlichen Kontext zu erreichen und damit das Potenzial des Kanals Mobile für Vertrieb, Marketing und Kommunikation effizienter auszunutzen. Der Verkauf eigener Produkte und Dienstleistungen über mobile Endgeräte ist eine der Zukunftsherausforderungen für Unternehmen. Wo liegen die konkreten Anwendungsgebiete und welche Technologien sind heute bereits im Einsatz? Was die verschiedenen Formen des standortbezogenen Targetings auszeichnet und wie diese optimal angewendet werden, erläutern u.a. Experten der Fokusgruppen Mobile und Targeting des Bundesverbands Digitale Wirtschaft (BVDW) e.V. Weitere Informationen finden sich unter dem folgenden Link: http://www.tools-berlin.de/

FTC erzielt Einwilligung mit Nomi zur Nutzung von Beacons

Die US-amerikanische Federal Trade Commission (FTC) hat vor kurzem bekannt gegeben, dass sie mit der Firma Nomi Technologies eine Einigung erzielt hat, nachdem die FTC dem Unternehmen vorgeworfen hatte, dass es seine Kunden hinsichtlich der von ihm erhobenen Daten in die Irre geführt habe.

Nomi Technologies ist ein US-Unternehmen, das sich auf den Einsatz von Beacons spezialisiert hat. Unter Beacons versteht man eine Funktechnologie, die häufig im Retail-Bereich eingesetzt werden, um Kunden innerhalb eines Ladengeschäfts zu lokalisieren und ihnen z.B. ortsabhängige Angebote auf ihr Smartphone zu senden oder sie durch Geschäfte zu navigieren.

Die FTC hatte beanstandet, dass die Datenschutzerklärung von Nomi vorsah, dass in den Läden, die die Technologie von Nomi nutzten, ein Opt Out-Mechanismus bereitgestellt würde und die Verbraucher zudem in diesen Shops über den Einsatz der Beacons informiert werden würden. Dies sei jedoch nicht umgesetzt worden, da in den Läden weder ein Opt Out-Mechanismus verfügbar gewesen sei und zudem auch die Besucher nicht darüber informiert wurden, dass ein Tracking stattfand. Der FTC zufolge soll Nomi über die in den Läden installierten Sensoren in den ersten neun Monaten des Jahres 2013 Daten von ungefähr neun Millionen Smartphones erhoben haben, und zwar u.a. deren MAC-Adressen. Obwohl Nomi die MAC-Adressen vor der Speicherung verhasht hat, stellen nach Auffassung der FTC auch die verhashten Daten einen Identifier dar, der ein Smartphone eindeutig kennzeichne und der über einen längeren Zeitraum getrackt werden könne. (mehr …)