Meta Custom Audiences und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Meta Custom Audiences ein, verarbeitet er Klickpfade, Conversion-Ereignisse, Endgeräte-Daten und – je nach Variante – kontaktbezogene Identifikatoren wie gehashte E-Mail-Adressen zum Zweck der zielgruppengenauen Werbeauslieferung im Werbenetzwerk von Meta, regelmäßig auf Basis einer Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Diese Seite zeigt, welche Daten Meta Custom Audiences verarbeitet, wofür Webseitenbetreiber sie nutzen und welche Pflichtangaben für Meta Custom Audiences in die Datenschutzerklärung der Webseite gehören – einschließlich der Besonderheiten der gemeinsamen Verantwortlichkeit mit Meta.

A. Zweck und Funktionsweise von Meta Custom Audiences

Meta Custom Audiences ist eine Funktion innerhalb der Meta-Business-Tools (Facebook, Instagram, Messenger), mit der Werbetreibende eigene Zielgruppen für Werbeanzeigen im Meta-Werbenetzwerk bilden können. Grundlage sind Datenpunkte, die der Werbetreibende selbst beisteuert: Webseiten-Interaktionen über das Meta-Pixel bzw. die Conversions API (CAPI), App-Aktivitäten, Kundenlisten (z. B. gehashte E-Mail-Adressen oder Telefonnummern) oder Engagement-Daten aus den Meta-Plattformen selbst.

Custom Audiences erlaubt nach Anbieterangaben die Bildung von Zielgruppen – etwa Besucher einer bestimmten Produktseite, Personen mit Warenkorb-Abbruch oder bestehende Kunden – sowie deren Erweiterung zu Lookalike Audiences (statistisch ähnliche Profile). Diese Seite konzentriert sich auf die Integrations-Funktion, also die Erfassung von Webseiten-Ereignissen über das Meta-Pixel und die CAPI mit anschließender Zielgruppenbildung im Meta Business Manager. Zielgruppen aus reinen Kunden-Upload-Listen ohne Webseiten-Tracking werden hier nicht vertieft.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Meta Custom Audiences

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Verantwortlichen, zu Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf Tools wie Meta Custom Audiences eine Reihe spezifischer Pflichtangaben: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO) und – bei Stützung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO).

Hinzu kommen Angaben zu Empfängern oder Empfänger-Kategorien (Art. 13 Abs. 1 lit. e DSGVO), zu Drittlandübermittlungen und ihrer Rechtsgrundlage (Art. 13 Abs. 1 lit. f DSGVO), zur Speicherdauer bzw. zu deren Festlegungskriterien (Art. 13 Abs. 2 lit. a DSGVO) und – soweit Daten nicht direkt beim Betroffenen erhoben werden – zu den Datenkategorien (Art. 14 Abs. 1 lit. d DSGVO). Bei Meta Custom Audiences besonders relevant ist die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO, deren wesentlicher Inhalt nach Art. 26 Abs. 2 DSGVO ebenfalls zur Verfügung zu stellen ist.

Es ist nicht erforderlich, jedes Tool – auch nicht Meta Custom Audiences – mit eigenem Textbaustein und namentlicher Nennung in der Datenschutzerklärung zu führen. Der „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er erzeugt lange, von Kanzleien vorformulierte Texte, die sich wiederholen und die Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar machen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Marketing …) beschreibt und nur konkret eingesetzte Empfänger – darunter Meta – im Anhang auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Meta Custom Audiences

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Meta Platforms Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Irland. Die Muttergesellschaft Meta Platforms, Inc. hat ihren Sitz in den USA. Der Anbieter weist auf konzerninterne Datenflüsse zur Meta Platforms, Inc. hin. Nach den öffentlichen Angaben ist Meta Platforms, Inc. unter dem EU-US Data Privacy Framework zertifiziert; der Status kann unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden.

Die Datenschutzhinweise von Meta sind unter https://www.facebook.com/privacy/policy abrufbar; die Nutzungsbedingungen für Meta-Business-Tools finden sich unter https://www.facebook.com/legal/terms/businesstools. Die Vereinbarung über die gemeinsame Verantwortlichkeit (Controller Addendum) ist unter https://www.facebook.com/legal/controller_addendum veröffentlicht.

D. Datenverarbeitung durch Meta Custom Audiences – Ablauf in Schritten

1. Erhebung: Beim Aufruf einer Webseite mit eingebundenem Meta-Pixel werden im Browser des Besuchers Pixel-Skript und ggf. Cookies (z. B. _fbp, _fbc) geladen; das Pixel sendet Standard- und Custom-Events (z. B. PageView, ViewContent, AddToCart, Purchase) an Meta. Ergänzend kann der Webseitenbetreiber Ereignisse serverseitig über die Conversions API an Meta übermitteln. Beim Customer-List-Upload werden gehashte Identifikatoren (E-Mail, Telefon) direkt aus dem Backend des Werbetreibenden an Meta übergeben.
2. Speicherung: Die übermittelten Ereignisse werden in der Meta-Werbeinfrastruktur gespeichert. Nach Anbieterangaben erfolgt die primäre Verarbeitung durch die Meta Platforms Ireland Limited; konzerninterne Übermittlungen an die Meta Platforms, Inc. in den USA sind möglich.
3. Nutzung: Meta nutzt die Ereignisse, um Custom Audiences zu bilden, Lookalike Audiences zu berechnen, Anzeigen-Auslieferung zu optimieren und Conversion-Berichte zu erstellen.
4. Weitergabe: Innerhalb des Meta-Konzerns (Facebook, Instagram, Messenger-Plattformen) werden die Daten zur Anzeigen-Auslieferung weitergeleitet. Meta setzt eigene Sub-Auftragsverarbeiter und Infrastruktur-Dienstleister ein.
5. Löschung: Custom Audiences werden gemäß den Richtlinien des Anbieters und der Konfiguration durch den Werbetreibenden gespeichert; nicht aktualisierte Custom Audiences laufen nach den Anbieterangaben automatisch aus. Webseitenbesucher können in den Werbe-Einstellungen bei Meta dem Einsatz für personalisierte Werbung widersprechen.

E. Erhobene Daten bei Meta Custom Audiences

Bei der Integrations-Funktion über Meta-Pixel und CAPI werden insbesondere IP-Adresse, User-Agent, Cookie-IDs (_fbp, _fbc), Klickpfade, aufgerufene URLs, Conversion-Ereignisse (z. B. Kauf, Lead) sowie – bei aktiviertem Advanced Matching oder CAPI – gehashte Identifikatoren (z. B. SHA-256 von E-Mail-Adresse, Telefonnummer, Name) verarbeitet.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, User-Agent, Referrer beim Pixel-Request.
• Klickpfade: aufgerufene Seiten, Klicks auf Schaltflächen und Produkte, Reihenfolge der Seitenaufrufe.
• Conversion-Ereignisse: Registrierung, Warenkorberstellung, Produktkauf, Lead-Formular, Aufruf einer Danke-Seite – die Kern-Datenart von Custom Audiences.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung.
• Browserinformationen: Browsername, Browserversion, Spracheinstellungen.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene.
• Nutzerprofile: bei Verknüpfung mit dem Meta-Konto werden auf Meta-Seite Interessen-, Präferenz- und Segmentzuordnungen ergänzt.

Bei Customer-List-Custom-Audiences werden zusätzlich gehashte Kontaktdaten (E-Mail, Telefonnummer) übermittelt; diese sind, auch wenn sie clientseitig gehasht werden, weiterhin als personenbezogene Daten anzusehen.

F. Nutzungszwecke beim Einsatz von Meta Custom Audiences

Webseitenbetreiber setzen Meta Custom Audiences typischerweise ein, um Webseiten-Besucher im Werbenetzwerk von Meta gezielt mit passenden Anzeigen zu erreichen, Warenkorb-Abbrecher zu reaktivieren, ähnliche Profile (Lookalike Audiences) für Neukundengewinnung zu adressieren und den Erfolg von Werbekampagnen messbar zu machen.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Allgemeines Marketing: Ausrichtung und Anpassung von Werbekampagnen insgesamt, Erfolgsmessung von Werbekampagnen, Bewertung von Kommunikationskanälen.
• Nutzerprofil-Erstellung: Zuordnung zu Segmenten oder Zielgruppen, Ermittlung demographischer Merkmale.
• Nutzerindividuelles Marketing: Ausrichtung von Werbung im Werbenetzwerk von Meta auf Basis individueller Interessen und bisherigen Nutzungsverhaltens (Remarketing).
• Nutzerindividuelle Produktverbesserung: Anzeige interessenbezogener Inhalte auf der eigenen Webseite, soweit Custom-Audience-Daten zurückfließen.

G. Rechtsgrundlagen für den Einsatz von Meta Custom Audiences

Meta Custom Audiences fällt nach den öffentlich zugänglichen Funktionsbeschreibungen primär in die Tool-Kategorie Tracking (Marketing) / Remarketing.

In Betracht kommt regelmäßig eine Marketing-Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG, da Meta-Pixel und CAPI typischerweise auf Cookies bzw. äquivalente Identifikatoren zugreifen und Verhaltensdaten zu Werbezwecken verarbeitet werden. Die deutschen Aufsichtsbehörden und der EuGH (insbesondere Urteil vom 5. Juni 2018, C-210/16 – Wirtschaftsakademie Schleswig-Holstein) gehen für vergleichbare Konstellationen von einer Einwilligungspflicht aus.

Zwischen dem Webseitenbetreiber und Meta Platforms Ireland Limited besteht für bestimmte Verarbeitungen rund um die Meta-Business-Tools nach den Anbieter-Bedingungen eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO; das einschlägige Controller Addendum ist unter https://www.facebook.com/legal/controller_addendum veröffentlicht.

Eine Stützung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO ist bei werbe- und profilbildenden Tracking-Verfahren wegen § 25 TDDDG und der Tiefe der Verarbeitung regelmäßig nicht tragfähig. Die Wahl der Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Meta Custom Audiences

• Joint Controller Agreement: Für die Erfassung und Übermittlung von Ereignisdaten über die Meta-Business-Tools besteht eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO. Das Controller Addendum von Meta unter https://www.facebook.com/legal/controller_addendum regelt die Pflichten zwischen den Parteien; der wesentliche Inhalt ist Betroffenen nach Art. 26 Abs. 2 DSGVO zur Verfügung zu stellen. Meta übernimmt darin u. a. die Erfüllung bestimmter Betroffenenrechte sowie die Information nach Art. 13/14 DSGVO für die gemeinsam verantwortete Phase.
• Pixel und CAPI: Webseitenbetreiber sollten prüfen, welche Ereignisse über das clientseitige Pixel und welche serverseitig über die Conversions API übermittelt werden; CAPI-Übertragungen erfolgen ohne Cookie-Setzen, ersetzen die Einwilligungspflicht aber nicht, soweit Verhaltensdaten zu Werbezwecken erhoben werden.
• EU-Hosting / Schrems II: Meta verarbeitet nach eigenen Angaben Daten in der EU sowie konzernintern in den USA. Nach öffentlichen Angaben ist Meta Platforms, Inc. unter dem EU-US Data Privacy Framework zertifiziert; bei DPF-Wegfall greifen die Standardvertragsklauseln (SCC). Die Schrems-II-Risiken (insb. Zugriff durch US-Behörden) sind auch unter dem DPF Gegenstand kritischer Diskussionen.
• Drittlandtransfer: Eine Übermittlung an die Meta Platforms, Inc. in den USA ist regelmäßig anzunehmen.
• Opt-Out: Werbeeinstellungen bei Meta sind unter https://www.facebook.com/help/109378269482053/ verfügbar; betroffene Nutzer können dort dem Einsatz für personalisierte Werbung widersprechen.
• AVV und Joint-Controller-Vereinbarung: Für die Bestandteile, in denen Meta als Auftragsverarbeiter agiert (z. B. Custom-File-Upload-Komponenten), wird ein Data Processing Agreement geschlossen; für die gemeinsam verantwortete Phase greift das Controller Addendum.
• Einstellungen für den Webseitenbetreiber: Aktivierung des Pixels nur nach Einwilligung, Aktivierung der Limited-Data-Use-Optionen, Reduktion der Event-Parameter, Hash-Verfahren beim Customer-List-Upload, regelmäßige Überprüfung der konfigurierten Custom Audiences.

I. FAQ zu Meta Custom Audiences und Datenschutz

J. Fazit und Call-to-Action zu Meta Custom Audiences

Meta Custom Audiences ist ein leistungsfähiges Werbe-Zielgruppen-Werkzeug, das in einer komplexen Konstellation aus Auftragsverarbeitung und gemeinsamer Verantwortlichkeit operiert. Webseitenbetreiber sollten beim Einsatz auf eine wirksame Marketing-Einwilligung über ein Consent-Banner, die Bereitstellung des wesentlichen Inhalts des Controller Addendums, eine saubere Pixel-/CAPI-Konfiguration und eine kritische Bewertung der Drittland-Übermittlung achten.

Es ist für Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – auch nicht für Meta Custom Audiences – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Marketing-Tracking übergreifend erklärt und Meta als Empfänger im Anhang aufführt. Genau diese Methodik unterstützt der matterius-Generator.

K. Kurator