Knowledge Hub

DSGVO: Retargeting nur noch mit Einwilligung der Nutzer möglich?

Knowledge Hub Knowledge DSGVO: Retargeting nur noch mit Einwilligung der Nutzer möglich?

Was ist Retargeting?

Beim Retargeting wird der Browserverlauf eines Nutzers ausgewertet, um ihn mit Produkten anzusprechen, für die er zuvor Interesse gezeigt hat.

Durch die personalisierte Ansprache sind Retargeting-Kampagnen besonders effektiv, um ehemalige Webseitenbesucher zurückzubringen und zu wiederkehrenden Kunden zu machen.

Allerdings funktioniert Retargeting nur auf Basis von Nutzungs- und Verhaltensdaten, welche wiederum durch Tracking-Cookies erhoben werden.

Die DSGVO und Retargeting

Beim Retargeting werden durch Cookies personenbezogene Daten im Sinne der DSGVO erhoben und verarbeitet.

Hierunter fällt regelmäßig die IP-Adresse, die auch schon vor der DSGVO von deutschen Gerichten als personenbezogenes Datum klassifiziert wurde.

Außerdem wird das Nutzungsverhalten des Webseiten Besuchers, etwa welche Produkte er anschaut, welche Unterseiten er besucht und wo er klickt, erfasst.

Zusätzlich wird unter Umständen auch das Onlineverhalten außerhalb der Seite mit diesen Daten angereichert, sodass ein umfassendes Profil des Nutzers gebildet werden kann.

Für die Erhebung sowie Verarbeitung dieser Daten ist unter der DSGVO eine rechtliche Grundlage gemäß Art. 6 DSGVO wie z.B. die Einwilligung erforderlich.

Berechtigtes Interesse oder Einwilligung für Retargeting?

Die Frage, ob man Retargeting auf Berechtigtes Interesse gemäß Art. 6 Abs. 6 DSGVO oder auf die Einwilligung gemäß Art. 6 Abs. 1 DSGVO stützen kann, ist noch umstritten.

Um ein legitimes Interesse gem. Art. 6 Abs. 6 DSGVO nachzuweisen, muss das Unternehmen in der Lage sein, eine entsprechende Interessenabwägung zugunsten der eigenen wirtschaftlichen Interessen gegenüber den datenschutzrechtlichen Interessen der Nutzer nachzuweisen.

Dies ist aufgrund der umfassenden Profilbildung und dem wortwörtlichen “Verfolgen” des Nutzers mit Produkten, die er auf anderen Seiten angeschaut hat, schwierig zu verargumentieren.

Als Maßstab nimmt die DSGVO, was der durchschnittliche Nutzer erwarten konnte.

Die Mehrheit der Datenschützer, insbesondere Datenschutzbehörden, sehen daher eindeutig die Einwilligung als Voraussetzung für Retargeting mit Tracking-Cookies.

Große Anbieter von Retargeting Technologien wie z.B. Google und Facebook sprechen sich für eine eindeutige Einwilligung als Grundlage von Retargeting aus und setzen dies auch in ihren AGB vertraglich voraus.

Bei der Einwilligung muss sichergestellt werden, dass alle Kriterien an eine gültige Einwilligung gemäß DSGVO erfüllt sind.

Das bedeutet, alle Google Ads Kunden sind verpflichtet, die ausdrückliche und freiwillige Zustimmung ihrer Webseitenbesucher einzuholen, bevor mit Google Ads Cookies Daten für personalisierte Retargeting Anzeigen gesammelt werden dürfen.

Werbetreibende haben langfristig keine andere Wahl, als den Anforderungen zu entsprechen, wenn sie weiterhin Google Tools nutzen wollen.

Zukünftig wird Google also die von den Werbetreibenden einzuholende Einwilligung nicht nur rechtlich, sondern auch programmatisch einfordern: Google hat zum wiederholten Male bestätigt, dem IAB Transparency & Consent Framework beizutreten.

 

Einwilligung für Retargeting auf Sozialen Netzwerken wie Facebook, LinkedIn, Twitter, etc.

Ein besonderer Fall liegt vor, wenn der Werbetreibende ein spezielles Pixel oder Cookie sozialer Netzwerke wie z.B. den Facebook Pixel einbaut und seine Webseitenbesucher auf sozialen Netzwerken mit personalisierten Anzeigen bespielt.

Datenschutzrechtlich gibt es hier einige Probleme.

Für Retargeting und Personalisierung ist, basierend auf einer derart umfassenden Profilbildung, eindeutig die Einwilligung gemäß Art. 6 Abs. 1 DSGVO nötig.

Diese muss der Werbetreibende freiwillig, informiert und explizit für Facebook, etc. einholen.

Der Nutzer hat zwar eventuell dem Sozialen Netzwerk – in den Tiefen der AGB vergraben – seine Einwilligung gegeben, sein Profil durch die Daten die von Pixeln auf externen Seiten gesammelt werden, anzureichern, diese Art der Einwilligung geht jedoch nicht mit der DSGVO konform.

Allerdings erfassen diese Cookies und Pixel Daten von sämtlichen Besuchern. Auch solche, welche keinen Account bei einem Sozialen Netzwerk besitzen.

Im Übrigen lässt sich diese Einwilligung nicht auf sämtliche Werbetreibende, die möglicherweise auf Sozialen Netzwerken wie Facebook Werbung schalten, ausweiten.

Besonders der Fall Facebook Custom Audiences wird von Behörden und Gerichten streng verurteilt und ist nur noch mit einer Einwilligung des Nutzers möglich.

Facebook schreibt die Einwilligung vor

Ähnlich wie Google, schreibt Facebook in seiner „Richtlinie zur Einwilligung für Entwickler” vor, dass Werbetreibende, die den Facebook Pixel auf ihrer Webseite oder in ihrer App eingebaut haben, die Einwilligung ihrer Nutzer einholen und nachweisen können müssen.

Einwilligung für Retargeting mit AdTech Technologien wie Criteo

Criteo selbst schreibt in seinen AGB nicht vor, dass man die Einwilligung einholen oder nachweisen können muss.

Somit obliegt es dem Werbetreibenden, zu entscheiden, ob er die Voraussetzungen für Berechtigtes Interesse gegeben sieht.

Wie oben aufgeführt, ist die Argumentationsgrundlage unter DSGVO hierfür dünn. Die Interessen des Betroffenen überwiegen regelmäßig.

Ergebnis: Retargeting ist nur mit einer vorliegenden Einwilligung möglich

Quellen und weiterführende Links:

 

 

In unserem YouTube Video besprechen Lisa Gradow und Dr. Andreas Splittgerber (Partner bei Reed Smith LLP) die Frage „Benötige ich für Retargeting nach DSGVO eine Nutzer-Einwilligung?“

 

Weitere interessante Artikel:

 

 

Disclaimer

Usercentrics GmbH bietet keine Rechtsberatung an. Der Inhalt dieses Artikels ist nicht rechtsverbindlich. Der Artikel stellt die Meinung von Usercentrics dar.