Warum ich das Trackingtool “Facebook Pixel” nicht auf Kundenwebseiten einbaue (auch wenn der Kunde dies möchte)

Das ist ein Brief an einen meiner Kunden, in dem ich ihm (sehr) ausführlich erkläre, warum ich den Facebook Pixel nicht einbauen werde.

Bild Credits: www.thoughtcatalog.com

Ich veröffentliche diesen Brief um über die Invasität des Trackings durch Facebook aufzuklären. Facebook ist mit seinem Geschäft mit personalisierter Werbung ein zentraler Player im Surveillance Capitalism.

Als Webentwicklerin will ich mich nicht für den Überwachungskapitalismus einspannen lassen.

Durch die Auseinandersetzung mit dem Kunden habe ich noch etwas interessantes über die Verantwortung als Software und Webentwicklerin gelernt: Als Webentwicklerin baut man nicht nur ein Produkt für den Kunden, sondern auch für die zukünftigen Benutzerinnen. Manchmal kommt es zwischen diesen beiden Interessen zu einem Interessenskonflikt:

Seite 1: Der Kunde will Werbung schalten um seinen Umsatz zu vergrößern. Im Falle von Facebook Ads wird einem das Trackingtool Facebook Pixel förmlich aufgezwungen.

Seite 2: Die Benutzer*innen der zukünftigen Website sollten ein Grundrecht haben, die Website des Unternehmens zu besuchen ohne unwissentlich getrackt zu werden. Als Webentwicklerin trage ich die Verantwortung die Privatsphäre der Besucher*innen zu achten.

Auf welcher Seite stehe ich als Webentwicklerin? Auf der Seite des Kunden oder auf Seite der Benutzer*innen?

Man kann in diesem Interessenkonflikt sowohl von einer wirtschaftlichen Perspektive her argumentieren (Rechtskonformität, DSGVO, Bußgelder), als auch von einer ethischen Seite her (Transparenz, Surveillance Capitalism, etc.). Ich habe beide Perspektiven einbezogen.

tldr;

• Der Facebook Pixel ist nichts, was man “einfach mal so” schnell einbaut
• Man *könnte* den Pixel tatsächlich datenschutzkonform einbinden (Mit einem sauber implementierten Opt-in und Opt-out), jedoch ist diese Art der Einbindung für eure Kampagne eher kontraproduktiv (Datenverzerrung) und schwer komplett realisierbar (besonders das Opt-out).
• Einer weniger strengen Haltung in Sachen Datenschutz kann ich (auch bei Risikoübernahme durch den Kunden) aus ethischen Gründen nicht zustimmen
• Daher kann ich den Facebook Pixel nicht auf der Website einbinden (sorry!)
• Ich biete euch aber alternative Lösungsoptionen um die Effizienz der Werbecampagne zu messen UND um Analytics der Website-besucher*innen zu sammeln

Lange Version:

Ich verstehe den Nutzen als ein Unternehmen Werbung zu schalten um eure Sales zu vergrößern. Gleichzeitig ist es meine Verantwortung als Webentwicklerin, die Rechtskonformität und Funktionalität eurer Website zu wahren. Dazu gehört, dass ich potentielle Risiken im Bereich Datenschutz und Internet aufspüre und so möglichen finanziellen Schaden auf eurer Seite durch Abmahnungen und Bußgelder ausschließen kann. Ich sehe es als meine Aufgabe, euch zu diesem doch recht komplexen und unübersichtlichen Themen und Risiken zu informieren.

Darüber hinaus — und das ist nicht weniger wichtig — vertrete ich als Webentwicklerin auch die Interessen der Besucher*innen eurer Website. Dazu gehört, dass ich keine Maßnahmen implementiere, die die Privatsphäre der Besucherinnen ohne deren Wissen komprimitiert. Ich baue meine Webseiten auf der Basis von ethischen Prinzipien, Ehrlichkeit und Transparenz. Meine bisherige professionelle Tätigkeit, sei es für die Vereinten Nationen in New York, für die Mozilla Stiftung oder für die NGO “Privacy International” basierte auf diesem ethischen Antrieb. Ich hoffe, dass diese Werte auch bei meinen aktuellen und zukünftigen Kunden Berücksichtigung finden.

Facebook Pixel eröffnet zwar tolle Möglichkeiten für das Marketing und Retargeting, es ist aber auch ein umstrittenes Trackingtool und datenschutzrechtlich mehr als heikel. Die (falsche) Verwendung kann zu einer Abmahnung führen und saftige 5–7 stellige Bußgelder nach sich ziehen (Quelle, Quelle).

Auch aus ethischer und benutzer*innenorientierter Perspektive rate ich von Facebook Pixel ab. Es handelt sich um ein invasives Tracking Tool, was selbst Daten von Nicht-Facebook Nutzer*innen sammelt. Dazu unten mehr.

Was ist der Facebook Pixel?

Hier der offizielle, positive Teil der Erklärung:

“Mit dem Facebook-Pixel wird Händlern, die Anzeigen auf Facebook schalten, ermöglicht, das Nutzerverhalten nach Klick auf eine plattforminterne Werbeanzeige und nach anschließender Weiterleitung auf die Zielseite zu analysieren und auszuwerten. Durch eine kontinuierliche Analyse können so einerseits genaue Statistiken über den Erfolg einer Werbeanzeige und andererseits Interessentengruppen gemäß der auf der Zielseite durchgeführten Nutzungshandlungen kategorisiert werden. Durch einen steten Datenaustausch zwischen Zielseite und Facebook wird der Werbetreibende schließlich befähigt, die Interessentengruppen auf Facebook mit zugeschnittener Werbung gezielt anzusprechen.“ (Quelle)

Und hier noch etwas zur technischen Funktionsweise und den Schattenseiten des Tools:

Der Facebook Pixel wird auch “Besucheraktionspixel” genannt und gehört zu der Familie der Trackingpixel. Andere Namen sind: web beacons, web bugs, tracking bugs, web tags, page tags, pixel tags, 1 x 1 GIFs, and clear GIFs.

Der Name “Pixel” ist irreführend, da die Grafikdatei (der “Pixel”) lediglich ein kleiner Teil des Trackingmechanismus’ ist. Der Großteil geschieht über den Javascript-Code der im selben Zug auf der Website eingebaut wird. Einmal eingebaut, erhält dieser Javascript-Code weitgefasste Berechtigungen: Er kann mitschneiden, wann wer auf einen Button geklickt wurde, welche Seiten besucht wurden und noch vieles mehr. Gleichzeitig erhält Facebook über den Trackingpixel Informationen über die Besucher*innen selbst (Gerät, IP-Adresse, etc.). Schlussendlich kann Facebook all diese Daten mit den konkreten Facebook Nutzer*innenprofilen verknüpfen und detaillierte Werbeprofile erstellen, die wiederum an andere Werbetreibende verkauft werden können.

Beim Facebook Pixel gibt es eine Funktion namens Custom Audiences, die man aktivieren oder deaktivieren kann. Mit Custom Audiences wird die Invasivität noch einmal erheblich gesteigert: Hiermit kann Facebook selbst Daten wie Email-Adressen, die von Besucher*innen auf eurer Website in Kontaktformularen eingegeben werden, abschöpfen und mit Facebook-Profildaten verknüpfen. Dass dies nicht im Interesse eurer Besucher*innen ist, liegt auf der Hand.

In einem Artikel von heise.de lautet es:

“Es findet eine systematische Durchleuchtung der Nutzer durch die Algorithmen von Facebooks Künstlicher Intelligenz statt. Selbst Nutzer, die regelmäßig Cookies löschen, Datenschutzeinstellungen nutzen oder sogar kein Mitglied in sozialen Netzwerken sind, würden verfolgt. Adressat einer Anordnung oder eines Bußgeldbescheides ist nicht Facebook, sondern das jeweilige Unternehmen, das dies Werbemittel unzulässig einsetzt.”

Aufgrund der Invasivität des Facebook Pixels haben bereits mehrere Browser (z.B. Firefox) und auch das Betriebssystem von Apple einen Blockingmechanismus implementiert, d.h. dass der Browser automatisch verhindert, dass der Javascriptcode ausgeführt wird. Dies ist ein deutliches Signal, dass Facebooks Trackingtechnologie nicht im Sinne der Nutzer*innen agiert und daher immer mehr Browserentwickler aktiv dagegen vorgehen.

Mythos 1: “Aber es benutzen doch alle!”

Im Fall von Facebook Pixel hört man oft: “Ich weiß schon, Datenschutz und so… aber es machen doch alle!” Dies ist in meinen Augen kein Argument. Viele Webseitenbetreiber haben den Facebook Pixel aktiviert ohne sich über das Ausmaß der Datenaufzeichnung im Klaren zu sein. Sie wissen dadurch gar nicht in welchem Risiko sie sich bewegen. Facebook informiert dazu auch zu wenig und wälzt die Verantwortung auf die Webseite- und Werbebetreiber ab. Seit 2018 ist die Datenschutzgrundverordnung (DSGVO) aktiv. Dies bedeutet eine größere Verantwortung von Website- und Werbetreibenden im Umgang mit Nutzerdaten. Ab 2022 kommt die ePrivacy Verordnung, bei der sich die datenschutzrechtlichen Bestimmungen noch einmal erneut verschärfen werden. Im Hinblick auf diese Entwicklung ist von der Nutzung des Facebook Pixels abzuraten.

Mythos 2: “Ein einfacher Cookie-Banner genügt um den Facebook Pixel DSGVO-konform einzubauen”

Mit einem “einfachen Cookiebanner” sei hier ein Pop-up am unteren Bildschirmrand gemeint, was die Websitebesucher*innen lediglich darüber informiert, dass hier bestimmte Cookies gesetzt werden. Eine bewusste Einwilligung ist bei diesem Typ von Banner nicht erforderlich, sie geschieht automatisch mit Benutzung der Seite.

Diese Lösung ist nicht ausreichend wenn der Facebook Pixel eingebunden wurde, besonders wenn die Funktion “Custom Audiences” aktiviert ist! Die E-Rechtsanwälte in Deutschland sind sich einig, dass hier statt einem regulären Cookie-Banner eine aufwendige Opt-in/Opt-out Lösung implementiert werden muss (siehe: hier, hier, hier und hier). Diese potentielle Lösungsvariante möchte ich im folgenden erläutern:

Lösungsvariante: Opt-in & Opt-out (und Kosten-Nutzen-Einschätzung)

Ein Opt-In bedeutet, dass der Benutzer aktiv seine Zustimmung geben muss. Dem Tracking durch dem Facebook Pixel muss immer die Einwilligungseinholung des Nutzers vorausgehen. Konkret bedeutet das:

1. Man muss dem Nutzer erklären: „Dies oder jenes speichern wir von dir, schicken die Daten in die USA und teilen die Informationen dann mit den unternehmen A, B C usw.“ (Quelle), oder „Ich bin damit einverstanden, dass Sie meine Daten an Facebook übermitteln, damit Sie mich dort wiederfinden und mir zugeschnittene Werbung anzeigen“ (Quelle)
2. Danach muss der Nutzer durch das aktive Anhaken einer Checkbox signalisieren: „Ich bin informiert und damit einverstanden“
3. Das beides muss geschehen, bevor der Facebook Pixel Code ausgeführt und die Daten des Nutzers gespeichert werden

Es reicht nicht aus, lediglich in der Datenschutzerklärung einen Passus zum Facebook Pixel zuzufügen!

Wie man schon ahnt, ist so ein aktives Opt-in durch die Besucher*innen ziemlich umständlich und nicht besonders nutzerfreundlich. Fast niemand der Besucher*innen wird den aktiven Schritt tun, dem Facebook Tracking zu zustimmen. Die Mehrheit wird einfach nur versuchen, den Banner so schnell wie möglich loszukriegen und irgendwie zu schließen. Das führt wieder dazu, dass die Ergebnisse der Konversionsmessung verzerrt werden. Einer Studie zufolge stimmen weniger als 1% der Benutzer*innen von Websites aktiv einem opt-in zu. (Quelle).

Um die Zahl der Zustimmungen zum Tracking zu vergrößern (und damit das Facebook Pixel effektiv zu machen) hat sich leider inzwischen die unethische Praxis eingebürgert, Opt-In Pop-ups so zu designen, dass die Benutzer*innen ausgetrickst werden und unwissentlich einem Opt-in zustimmen. Siehe Screenshot unten. In Fachkreisen nennt sich so eine Taktik “dark UX pattern”.

Cookie Consent Pop-ups wie diese haben zwar eine Opt-in Möglichkeit, jedoch sind sie oft so designt, dass Benutzer*innen ausgetrickst werden. In diesem Beispiel würde der Klick auf den grünen Button die Checkbox-präferenzen komplett negieren.

Weiterhin muss ein sogenanntes Opt-out implementiert werden. Das bedeutet, dass der Benutzer seine Einwilligung zum Tracking durch Facebook jederzeit widerrufen kann. Um ein Opt-out zu implementieren, baut man ein zusätzliche Checkbox in die Datenschutzerklärung ein. Wenn die Benutzer*innen diese Checkbox aktivieren, sollte ein Opt-out Cookie gesetzt werden. Dann muss man eine Programmlogik schreiben, die verhindert, dass der Facebook Pixel Code ausgeführt wird wenn das Cookie gesetzt ist. Opt-out bedeutet aber auch: “dass Sie die E-Mail-Adresse aus der Kundenliste entfernen und die Liste bei Facebook aktualisieren müssen. Im Endeffekt müssen Sie die gesamte Facebook-Kampagne abbrechen und neu starten. Dies kann zu wirtschaftlichen Einbußen führen, da Facebook hier kein Geld zurückerstattet.” (Quelle)

Fazit und Aufwand-Nutzen Einschätzung der Opt-In & Opt-out Lösung: Der Aufwand der korrekten Implementierung eines Opt-in und Opt-outs lohnt sich nicht angesichts des minimalen Nutzens: Nur ein klitzekleiner Bruchteil der Benutzer*innen wird aktiv dem Tracking zustimmen.

Alternative Handlungsmöglichkeiten

1. Alternative für Website-Analytics: Matomo

Matomo ist eine datenschutzfreundliche Alternative zu den Analytics-Services von Facebook Pixel und Google Analytics.

2. Lösung um die Performance der geschalteten Facebook-Werbung zu messen

Man kann die Facebook-Werbeanzeigen auf leicht abgeänderte URLs verweisen lassen. Beispielsweiste könnte man an die URL https://meine-website.de noch einen sogenannten Queryparameter anhängen, z.b ?source=fb

Dadurch könnte man dann in Matomo (oder einem anderen Analytics Service) gezielt die Analytics jener Seite anschauen, und dadurch Informationen erhalten, wer über Facebook Werbeanzeigen auf eurer Website gelandet ist. Natürlich anonoymisiert und datenschutzrechtlich unbedenklich.

Hilfreiche Artikel mit aktuellen Entscheidungen zum Thema FB Pixel + Datenschutz

• IT-Recht Kanzlei München(02/2020): Anleitung für Händler: Facebook-Pixel nach DSGVO und Cookie-Richtlinie rechtskonform nutzen
• eRecht24 (03/2020): Facebook Pixel: Ist das Tracking per Interaktions Pixel eigentlich erlaubt?
• Dr. DSGVO (11/2020) Facebook-Pixel rechtssicher einsetzen: Anleitung
• Onlinejournalismus.de (10/2019) Die ZEIT entfernt Facebook „Pixel“
• Netzpolitik.org (04/2019) Facebook Custom Audience illegal without explicit user consent, Bavarian Data Protection Authority rules
• Heise.de (10/2017) “Datenschützer: Unternehmen setzen gezielte Werbung von Facebook oft rechtswidrig ein”
• Heise.de (05/2019) DSGVO: Rechtsgrundlagen und Funktionsweisen von Cookie-Hinweisen
• Tweet über die dark UX pattern von Cookie Consent Bannern