Die Entscheidung der österreichischen Datenschutzbehörde vom 16.03.2023, dass die Verwendung von Meta Pixel illegal ist, hat Schockwellen durch die Werbebranche geschickt. Das Meta Pixel (ehemals „Facebook Pixel“) und der Like Button verstoßen gegen die Datenschutz Grundverordnung. Es ist nicht das erste Mal, dass die DSB gegen Ad-/MarTech Unternehmen vorgeht, die gegen die Datenschutz-Grundverordnung verstoßen. Letztes Jahr erließ die DSB eine ähnliche Entscheidung gegen Analytics, woraufhin mehrere EU-Länder nachzogen (z.B. die französische CNIL). Daraufhin gab es Abmahn-Briefe und Gerichtsverhandlungen – gleiches wird nun bei Nutzern des Meta Pixel erwartet.
Folgen für Meta-Pixel Nutzer
Das neue Urteil gegen Meta-Pixel hat weitreichende Folgen für alle Werbetreibende, die über Instagram und Facebook Werbung schalten. Um den Erfolg der Werbung zu messen, wird das Meta Pixel auf der Webseite eingebaut, um den Besucher zu verfolgen und damit die Ergebnisse des Besuches einer spezifischen Werbekampagne zuzuschreiben. Beliebte Skripte sind auch Google Ads, TikTok Pixel und Hotjar, die ebenso Daten sammeln und an die USA schicken. Dies verstößt grundsätzlich gegen die DSGVO, allerdings gibt es für das Meta Pixel nun die offizielle konkrete Entscheidung der DSB.
Haftbarkeit von Agenturen
Agenturen, die diese Skripte bei Kunden einbauen, sind ebenfalls für Verstöße gegen die DSGVO mit verantwortlich. Klauseln im Agentur-Kunden-Vertrag, die Agenturen vor solchen Verstößen schützt, sind ungültig. Die Höchststrafe für Verstöße gegen die DSGVO beträgt 4 % des Umsatzes oder 20 Millionen Euro (je nach dem was höher ist), einschließlich der privaten Haftung des Eigentümers. Auch wenn es unwahrscheinlich ist, dass Unternehmen mit der Höchststrafe belegt werden, könnten sie dennoch mit einer erheblichen öffentlichen Gegenreaktion rechnen.
Der Meta-Pixel Ausweg
Die Frage ist nun, wann das nächste Urteil gegen ein US-Tool oder besser noch gegen alle US-Skripte im Allgemeinen ergeht und wie abhängig die Branche von solchen Skripten ist. Serverseitiges Tracking ist derzeit der einzige Ausweg, abgesehen von gar keinem Tracking. Allerdings ist Server-Side Tracking wesentlich komplexer, teurer und fehleranfälliger, im Vergleich mit dem Skript-Pixel. Heißt wenig Agenturen oder Unternehmens-interne Abteilungen sind dafür aktuell gewappnet.
Die Datenqualität des Trackings leidet bereits unter iOS, AdBlock und anderen Faktoren, und im Jahr 2024 werden Chrome-Nutzer auch nicht mehr trackbar sein. Das bedeutet, dass diejenigen, die sich heute ausschließlich auf Tracking-Skripte verlassen, jetzt und in Zukunft nicht nur DSGVO Probleme haben. Auch wenn der geplante Privacy Shield-Nachfolger „Trans-Atlantic Data Privacy Framework“ eine gewisse Erleichterung bringen könnte, sieht der aktuelle Status doch eher schwer aus: Das ganze basiert auf einer Executive Order von Joe Biden, welche von einem folgenden Präsidenten wieder zurückgezogen werden kann. Auch Max Schrems (der das Privacy Shield zerschlagen hat „Schrems II“) ist bereit, auch gegen den Nachfolger vor Gericht zu ziehen, sollte es doch zu einem Abkommen kommen.
Wie sollten Unternehme handeln?
Tracking Skripte funktionieren technisch gesehen weiterhin, auch mit der DSB Entscheidung (zumindest mit schlechter Datenqualität und noch bis 2024). Mit der jüngsten Entscheidung könnten sich Unternehmen aber mit Abmahner (Unternehmen, die sich auf Klagen gegen DSGVO Verstöße spezialisiert haben) und verärgerten Website-Besuchern konfrontiert sehen, die sich nun auf die Entscheidung der DSB berufen können. Server-Side Tracking ist dabei ein Ausweg, bei welchem Daten wieder DSGVO konform an Meta geschickt werden können.
Dass das Meta Pixel nun auch konkret illegal ist, ist ein klares weiteres Indiz dafür, dass Unternehmen die Datenschutzgrundverordnung ernst nehmen müssen. Sie müssen proaktiv sicherstellen, dass ihre Skripte und Tracking-Praktiken mit der DSGVO übereinstimmen. Das bedeutet, dass sie serverseitige Tracking Konzepte korrekt implementieren und bei der Verwendung von Skripten die Datenschutzbestimmungen beachten müssen. Unternehmen, die dies nicht tun, riskieren in Zukunft erhebliche rechtliche und rufschädigende Schäden.