Facebook Pixel & Datenschutz
Facebook Pixel ist ein Analysetool, mit dem die Effektivität von Werbekampagnen gemessen werden kann. Mit Hilfe der Conversion-Rate können sie für Zielgruppen (Custom Audiences) optimiert, gemessen und aufgebaut werden. Der Einsatz von Facebook Pixel erfreut sich bei vielen Unternehmen großer Beliebtheit. Aus datenschutzrechtlicher Sicht sind allerdings einige Faktoren zu beachten.
Die Datenschutzkonferenz (DSK) führt in ihrer aktuellen Orientierungshilfe ein Beispiel zum Einsatz eines Trackingpixels eines Social-Media-Anbieters auf der Webseite eines Unternehmens an. Das beschriebene Beispiel ähnelt sehr dem Facebook Pixel. Im Ergebnis stellt die DSK fest, dass das berechtigte Interesse gemäß Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage für den Einsatz des Facebook Pixels nicht ausreicht. Also ist eine datenschutzkonforme und informierte Einwilligung der betroffenen Personen erforderlich. Aktuell existieren keine Gerichtsurteile bezüglich des Einsatzes von Facebook Pixel, weshalb nur Positionierungen wie die der DSK oder Stellungnahmen von deutschen Datenschutzbehörden für die datenschutzrechtliche Beurteilung des Facebook Pixels berücksichtigt werden können. Die bayerische Datenschutzbehörde hat in einer eigenen Stellungnahme erklärt, dass der Einsatz des Facebook Pixels mit erweitertem Abgleich einer informierten Einwilligung bedarf. Betont wird in diesem Zusammenhang auch, dass der Webseiten-Betreiber, der den Facebook Pixel auf seiner Webseite einbindet, im datenschutzrechtlichen Sinne auch Verantwortlicher ist. Begründet wird dies
damit, dass der Webseiten-Betreiber auf diese Weise gezielt die
weitere Datenverarbeitung durch Facebook herbeiführt. Im erweiterten Abgleich werden Kundendaten wie Vorname, Nachname oder auch die E-Mail-Adresse an Facebook übermittelt. Diese werden dann mit Tracking-Daten verknüpft, sodass Daten auch von Nutzern gesammelt werden können, die nicht bei Facebook registriert oder zumindest eingeloggt sind. Selbst Webseiten-Besucher, die bewusst die Speicherung von Third-Party-Cookies unterbunden haben, werden ebenfalls verfolgt. Diese erweiterte Funktion des Facebook Pixels darf nur eingesetzt werden, wenn vorab eine informierte Einwilligungserklärung der betroffenen Person eingeholt wurde.
Für die Einholung und das Management von datenschutzkonformen Einwilligungen in Tracker dieser Art können Webseitenbetreiber Cookie-Consent-Manager wie zum Beispiel hellotrust.de einsetzen
Facebook Pixel ist ein Analysetool für digitale Werbemaßnahmen
Nach DSGVO ist dafür die informierte Einwilligung erforderlich Für dessen Einholung und Management gibt es entsprechende Tools
Mannus Weiß

DSGVO: Unternehmen passen ihre Arbeitsabläufe an die Digitalisierung an
Die Datenschutz-Grundverordnung (DSGVO) verlangt, dass Mitarbeiter regelmäßig zum Datenschutz am Arbeitsplatz geschult werden. Das gilt für alle Mitarbeiter, die personenbezogene Daten verarbeiten – und das trifft schon zu, wenn man eine E-Mail versendet. Es drohen weitere zivilrechtliche oder strafrechtliche Sanktionen, wenn es wegen fehlender Schulung zu schweren Datenschutzverstößen kommt.
Was verlangt die DSGVO
Die DSGVO bestimmt, wie personenbezogene Daten erhoben und verarbeitet werden dürfen (Abs. 1, Art. 5 DSGVO). Der Verantwortliche für den Datenschutz muss für die Einhaltung der Regeln sorgen. Die Einhaltung der grundlegenden datenschutzrechtlichen Vorgaben ist ohne ein datenschutzkonformes Verhalten der Mitarbeiter nicht zu erreichen. Damit zählt das aktive und nachweisbare Bemühen der Geschäftsführung um das datenschutzkonforme Verhalten der Mitarbeiter unmittelbar zu den Nachweispflichten des Verantwortlichen (Abs. 2, Art. 5 DSGVO).
Was droht bei einem Verstoß?
Wenn es zu einem Datenschutzverstoß kommen sollte und eine angemessene Schulung der Mitarbeiter nicht erfolgte oder nicht nachweisbar ist, besteht unmittelbar die Gefahr eines Bußgeldes. Nach Art. 83, Abs. 5 DSGVO drohen bei einem solchen Verstoß gegen die Grundsätze der Verarbeitung Geldbußen von bis zu 20 Mio. € beziehungsweise bis zu 4% des Jahresumsatzes.
Geschäftsführer können im Falle einer nicht nachweisbaren Mitarbeiterschulung bei einem Datenschutz-Bußgeld auch persönlich haftbar gemacht werden. Dieses Risiko wird oft unterschätzt. Hierzu zählen nicht nur das Risiko, für Bußgelder in Regress genommen zu werden, sondern auch die Gefahr, einen großen Teil der Kosten für Rechtsvertretung in einem eventuellen zivilrechtlichen oder strafrechtlichen Verfahren oder einem Bußgeldverfahren selber tragen zu müssen. Wenn Verstöße gegen das Datenschutzrecht dazu führen, dass das IT-System einer Firma als nicht mehr State-Of-The-Art oder Up-To-Date einzuschätzen ist, kann das im Extremfall sogar zu einem Wegfall des Versicherungsschutzes führen.
Im Interesse des Unternehmens und zur Vermeidung einer persönlichen Haftung ist es also dringend geboten, eine aktuelle, auf die neue Rechtslage angepasste Datenschutzschulung für alle Mitarbeiter durchzuführen und sie auch auf Ebene des einzelnen Teilnehmers zu dokumentieren.
Auswirkungen der Datenschutz-Kenntnisse auf die IT-Sicherheit
Die Schulung von Mitarbeitern im Datenschutz dient nicht allein der Einhaltung der DSGVO-Vorgaben. Wenn Mitarbeiter im Datenschutz geschult sind, verbessert das auch die IT-Sicherheit. Der Datenschutzbeauftragte allein kann kaum für datenschutzkonforme Prozesse sorgen. Ob aus Unwissen oder Bequemlichkeit: Wenn Mitarbeiter mit personenbezogenen Daten zu tun haben, können sich leicht Prozesse einstellen, die zu Datenschutzpannen führen. Der externe oder betriebliche Datenschutzbeauftragte wird zwar entgegensteuern, hat aber nicht die praktische Endverantwortung für alle Prozesse im Betrieb, die datenschutzrechtlich relevant sind. Der Datenschutzbeauftragte kennt die rechtlichen Vorgaben, weiß aber nicht, wie die Prozesse von den Mitarbeitern in der Praxis gestaltet werden.
Was sollten die Mitarbeiter wissen?
In einer Mitarbeiterschulung sollten folgende Kernthemen vermittelt werden:
Grundlagen zu personenbezogenen Daten und dem Schutzniveau;
die wichtigsten Neuerungen der DSGVO im direkten Vergleich zur vorherigen Gesetzgebung;
ein Bewusstsein für Arbeitssituationen, in denen Datenschutz relevant ist;
Sensibilisierung für Datenschutz im Berufsalltag;
Arbeitsvertragliche Pflichten, berufsrechtliche Pflichten, Strafvorschriften;
Datenschutzkonformes Verhalten auch außerhalb der Dienstzeiten;
Grundregeln zum Datenschutz am Arbeitsplatz und bei der IT-Nutzung.
Auch der tägliche Umgang mit den IT-Systemen sollte datenschutzfreundlich gestaltet werden. Alle zuständigen Mitarbeiter sollten mit Fokus auf Datenschutz eingewiesen werden, aber auch die übrigen Mitarbeiter sollten explizit geschult werden. Schließlich muss für den Fall vorgesorgt sein, dass Mitarbeiter fehlen, zum Beispiel wegen Erkrankung, Urlaub oder Fortbildung.
Die Mitarbeiter sollten nicht nur einmalig geschult werden. Der Kenntnisstand der Mitarbeiter muss laufend an aktuelle gesetzliche Entwicklungen angepasst werden. Dabei sollte die Schulung die Auswirkungen im konkreten Arbeitsalltag der Mitarbeiter ansprechen. Nur die laufende Schulung der Mitarbeiter sichert den Wissensstand im Unternehmen und gibt dem Unternehmen den größtmöglichen Schutz vor Datenpannen.
Die Datenschutz-Sensibilisierung kann auch von externen Dienstleistern durch Präsenz- oder Onlineschulungen erreicht werden. Das erleichtert nicht nur die Umsetzung der DSGVO sondern auch die Dokumentation dieser Maßnahme für den Nachweis gegenüber den Behörden. Der Lerneffekt ist natürlich höher, wenn die Teilnehmer dabei ihre persönlichen Fragen beantwortet bekommen.