Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Facebook-Pixel rechtssicher einsetzen: Anleitung

0

Der Facebook Pixel ist das wahrscheinlich beliebteste Remarketing Instrument und zugleich datenschutzrechtlich hochbrisant. Der Beitrag zeigt, wie man den Facebook Pixel halbwegs rechtssicher einsetzt.

Facebook Pixel und Datenschutz

Bekanntermaßen sammelt die Firma Facebook (USA) sehr viele Daten seiner Nutzer. Die Plattform ist an sich kostenfrei, der Nutzer zahlt mit seinen Daten.
Was in der Vergangenheit schon halbwegs problematisch war, um es höflich auszudrücken, ist seit dem 25. Mai 2018 mit der Datenschutzgrundverordnung hochexplosiv.

Kern des Lösungsvorschlags ist eine selbst entwickelte Abwahlmöglichkeit für den Facebook Pixel, der in Kombination mit anderen Maßnahmen hilft, so gut wie möglich konform mit der Datenschutzgrundverordnung zu sein. Niemand weiß allerdings genau, welche Daten Facebook bzw. Meta zu welchen Zwecke verarbeitet. Jedenfalls gibt es ein Urteil zum Facebook Plugin (EuGH-Urteil vom 29.07.2019 – C‑40/17 – “Fashion ID”), wonach eine gemeinsame Verantwortlichkeit besteht. Bei Problemen sitzen also der Webseitenbetreiber, der den FB Pixel einbindet, und Meta in einem Boot. Allerdings sollte man davon ausgehen, dass Meta nicht mitrudert.

Voraussetzungen

Für Analysewerkzeuge auf Webseiten müssen eine Reihe von Voraussetzungen erfüllt sein, damit sie eine Chance auf Rechtssicherheit haben. Dzau gehören:

  • Einwilligungsabfrage: Der Pixel darf erst geladen werden, nachdem der Nutzer (=Besucher der Webseite) eingewilligt hat. Dies ergibt sich u.a. aus § 25 TTDSG, Art. 49 DS-GVO, dem Schrems II-Urteil des EuGH (Urteil vom 16.07.2020 – C-311/18) sowie aus Art. 5 Abs. 1 lit. c DS-GVO (“Datenminimierung”)
  • Ordentlicher Text für die Datenschutzerklärung: Nennung der Komponente, ihres Zwecks, der bereitstellenden Firma (Adresse), der Verlinkung auf die Datenschutzerklärung von der bereitstellenden Firma zur Komponente, der erhobenen personenbezogenen Daten, sonstigen Hinweisen (wie Verknüpfung mit Facebook-Konto wenn Nutzer gerade dort angemeldet ist)
  • Abwahlmöglichkeit von der Erhebung personenbezogener Daten durch das Analyse-Tool (Opt-Out)
  • IP-Adressenanonymisierung (siehe etwa Google Analytics)
  • Minimierung der zu sammelnden Daten auf ein zu rechtfertigenden Maß (ich wüsste nicht, warum man das genaue Alter seiner Webseitenbesucher kennen muss, das Recht steht niemandem ad hoc zu)
  • Vertrag zur Auftragsverarbeitung mit dem Anbieter des Analysetools
  • Garantie, dass der Anbieter des Analysetools sich an hierzulande geltende Datenschutzbestimmungen hält

Wer glaubt, dass dies für den Facebook Pixel möglich ist, kann weiterleiten. Einige Punkte betreffen diesen Pixel nicht unbedingt, weil er nicht zwangsläufig als Analysewerkzeug anzusehen ist.

Einwilligung abfragen

Schritt 1: Pixel nicht laden

Keinesfalls den Code für den FB Pixel aktiv ausspielen und darauf hoffen, dass ein Consent Tool diesen Code wirksam unterdrückt, bis der Nutzer eine Einwilligung erteilt hat. Siehe meine Untersuchung zu Cookie Tools.

Statt dessen eine der folgenden beiden Möglichkeiten nutzen:

  1. Code für den FB Pixel erst laden, nachdem der Nutzer eingewilligt hat.
  2. Code inaktiv ausspielen und erst aktivieren, nachdem der Nutzer eingewilligt hat.

Möglichkeit eins kann beispielsweise mit meinem kostenfreien Consent Tool realisiert werden.

Möglichkeit zwei nutzt die mittlerweile recht weit verbreitete Directive data-src (statt src) in Script-Anweisungen. Der Code für den FB Pixel sieht dann so aus:

<script data-src="/script/zum/pixel-code"></script>

Voraussetzung ist, dass der Code zum Laden des Facebook Pixels in einer Script-Datei liegt. Wer technische Anregungen hierfür sucht, findet welche im Beitrag zum eben verlinkten Consent Tool von mir. Vielleicht ist auch das folgende Code-Beispiel hilfreich.

Schritt 2: Datenschutzhinweise auf der Einwilligungsabfrage

In meiner Checkliste für Einwilligungsabfragen finden Sie die Angaben, die im oft als “Cookie Popup” bezeichneten Einwilligungs-Popup zu machen sind. Dies sind insbesondere:

  • Name des Dienstes, hier: Facebook Pixel (o.ä., je nach Art des geladenen FB Dienstes)
  • Kurze Zweckbeschreibung
  • Anbieter nennen: Meta mit Landangabe (die volle Adresse auch oder spätestens in der Datenschutzerklärung)
  • Erwähnen, dass Risike gemäß Art. 44 DS-GVO wegen des Datentranfers in die USA bestehen
  • Sämtliche Cookies benennen. Pro Cookie
    • Name
    • Zweckbeschreibung
    • Lebensdauer

Achten Sie darauf, dass die Zustimmen-Möglichkeit auf dem “Cookie Popup” gegenüber der Ablehnen-Möglichkeit nicht optisch hervorgehoben ist. Ablehnen muss mindestens so leicht möglich sein wie einwilligen.

Abwahlmöglichkeit (Opt-Out)

Der Facebook Pixel bietet von Hause aus keine Abwahlmöglichkeit an. Ich schlage folgende Lösung vor:

Schritt 1: Javascript-Code einfügen

Fügen Sie den folgenden Code auf jeder Seite Ihrer Webseite ein, passen Sie die Facebook-ID im Code an. Der Code kann im BODY-Bereich eingefügt werden, etwa ganz am Anfang:

<!-- Facebook Pixel Datenschutz (C) dr-dsgvo.de -->

<script>

var fpProperty = 'mde-service';

var fpdisableStr = 'fp-disable-' + fpProperty;

// Opt-out function

function fpOptout() {

document.cookie = fpdisableStr + '=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/';

window[fpdisableStr] = true;

alert("Der Facebook Pixel ist deaktiviert und wird nicht mehr geladen, bitte Seiten neu laden");

}

function activatePixelMDE() {

document.cookie = fpdisableStr+'=true; Max-Age=-99999999;path=/';

window[fpdisableStr] = false;

alert("Facebook Pixel wird beim nächsten Laden der Seite aktiviert");
window.location=window.location;//Neuladen der Seite

}

if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {

// FB-Pixel ist deaktiviert durch Nutzer, nichts tun

console.log(atob("RmFjZWJvb2sgUGl4ZWwgaXN0IGRlYWt0aXZpZXJ0LiBEYXRlbnNjaHV0ei1NZWNoYW5pc211cyB2b24gaHR0cDovL3d3dy5tZWluZS1kYXRlbnNjaHV0emVya2xhZXJ1bmcuZGU="));

}else {

!function(f,b,e,v,n,t,s)

{if(f.fbq)return;n=f.fbq=function(){n.callMethod?

n.callMethod.apply(n,arguments):n.queue.push(arguments)};

if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version='2.0';

n.queue=[];t=b.createElement(e);t.async=!0;

t.src=v;s=b.getElementsByTagName(e)[0];

s.parentNode.insertBefore(t,s)}(window, document,'script',

'https://connect.facebook.net/en_US/fbevents.js');

fbq('init', '2051522461760028');//Hier Ihre ID einsetzen

fbq('track', 'PageView');

console.log(atob("RGF0ZW5zY2h1dHotTWVjaGFuaXNtdXMgdm9uIGh0dHA6Ly93d3cubWVpbmUtZGF0ZW5zY2h1dHplcmtsYWVydW5nLmRl"));

}

</script>

Prüfen Sie, dass das Neuladen der Seite nach durchgeführten Widerruf funktioniert.

Schritt 2: Ergänzen Sie Ihre Datenschutzerklärung

Ihre Nutzer müssen eine Abwahlmöglichkeit (Opt-Out) für den Facebook Pixel erhalten. Diese kann mit Hilfe von JavaScript-Code realisiert werden.
Kopieren Sie den folgenden Code dorthin in Ihre Datenschutzerklärung, wo der Nutzer die Abwahlmöglichkeit für den Facebook Pixel haben soll.

<script>
if (document.cookie.indexOf(fpdisableStr + '=true') > -1) {
document.write('<div class="text-center" style="margin-top:24px"><a onclick="activatePixelMDE()">Pixel aktivieren</a></div>');
}else {
document.write('<div class="text-center" style="margin-top:24px;margin-bottom:96px"><a onclick="fpOptout()">Pixel deaktivieren</a></div>');
}
</script>

Am besten kopieren Sie diesen Code ans Ende des Datenschutztextes zum Facebook Pixel.

Erweiterter Abgleich

Facebook bietet die Möglichkeit, einen erweiterten Datenabgleich durchzuführen. Diese Option sollte dringend deaktiviert werden, um datenschutzrechtlich keine Probleme zu bekommen. Wenn Sie den erweiterten Abgleich dennoch nutzen möchten, sollten Sie unbedingt VOR Einsatz des Pixels eine Einwilligung Ihrer Nutzer einholen. Wie Sie das realisieren, bleibt Ihnen selbst überlassen – gängige geeignete Lösungen existieren meiner Kenntnis nach nicht.

Rechtliche Hinweise

Dieser Artikel stellt keine Rechtsberatung dar. Wenn Sie ganz sicher gehen wollen, ist folgendes Vorgehen zu empfehlen, was allerdings nicht besonders praxisfreundlich ist:

  1. Fragen Sie Ihren Nutzer um Zustimmung für den Facebook Pixel und der damit verbundenen Datenerhebung
  2. Erst nach Zustimmung laden Sie den Facebook Pixel Code
  3. Widerruft der Nutzer seien Zustimmung – etwa über einen Opt-Out Mechanismus wie oben vorgestellt – verhindern Sie wiederum das Laden des Facebook Codes

Das Abfragen der unter Punkt 1 genannten Zustimmung kann mit einem Cookie Popup kombiniert werden, in dem um Zustimmung für den Einsatz von Cookies gefragt wird. Klingt kompliziert und nutzerunfreundlich, ist es auch. Die Datenschutzgrundverordnung beschäftigt sich mit Datenschutz und nicht mit Benutzerfreundlichkeit oder Praxisnähe. Viel Spaß!

Datenschutz-Check für Webseiten

Einen umfangreichen Datenschutztext zum Facebook Pixel sowie Unterstützung für viele Analysewerkzeuge, Scripte und Komponenten bietet der Datenschutz-Check. Was kein Mensch schafft, leistet meine Software: Eine automatisierte Datenschutzanalyse einer Website samt Lösungsvorschlägen für gefundene Probleme.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/facebook-pixel-rechtssicher-howto
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Artikel 69 DSGVO: Unabhängigkeit