VG Bayreuth: „Facebook Custom Audiences“ (über Kundenliste) ohne Einwilligung des Betroffenen ist datenschutzwidrig
Das VG Bayreuth hat mit seinem Beschluss vom 08.05.2018 (Az.: B 1 S 18.105) die Nutzung des beliebten Dienstes „Facebook Custom Audience“ zu beurteilen gehabt. Durch das Hochladen einer Kundenlisten im Rahmen des "Custom Audience" werden personenbezogene Daten an Facebook übermittelt. Diese Übermittlung setze eine vorherige informierte Einwilligung des Betroffenen voraus. Fehlt eine solche Einwilligung, liegt nach Ansicht des Gerichts ein Datenschutzverstoß vor. Lesen Sie mehr zur Entscheidung des VG Bayreuth:
Inhaltsverzeichnis
Sachverhalt
Die Klägerin, welche einen Online-Shop betrieb, ging gegen einen Untersagungsbescheid des Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) vor. Dieser Untersagungsbescheid stützte das BayLDA auf die aus seiner Sicht durch die Beklagte begangenen datenschutzrechtlichen Verstöße im Zusammenhang mit dem Dienst Facebook Custom Audiences.
Die Definition einer „Custom Audience“ liefert Facebook selbst:
"Eine Custom Audience aus einer Kundenliste ist eine Zielgruppenart, die du aus deinen existierenden Kunden erstellen kannst. Du kannst Werbeanzeigen an die Zielgruppe richten, die du auf Facebook, Instagram und im Audience Network erstellt hast. Du lädst deine verschlüsselte Kundenliste hoch, kopierst und fügst sie ein oder importierst sie. Anschließend verwenden wir die verschlüsselten Daten aus der Liste, um die Personen auf deiner Liste auf Facebook zu identifizieren."
Ziel des Einsatzes von Facebook Custom Audiences sei die Bereitstellung personalisierter - also auf die entsprechende Zielgruppe zugeschnittene - Werbung auf Facebook. Das Problem, was das BayLDA in diesem Zusammenhang im sog. „Kundenlisten-Verfahren“ sah, war die Tatsache, dass Kundendaten - in diesem Fall ohne rechtliche Legitimierung - an Facebook weitergegeben wurden. Konkret ging es um eine Liste von Kunden der Klägerin, welche unter anderem Kontaktdaten und die E-Mail-Adresse enthielt und durch die kryptographische Hashfunktion SHA-256 in einen sogenannten „Hashwert“ umgewandelt und an Facebook übertragen wurde.
Interessant zu wissen:
Das BayLDA hatte sich bereits mit einer Pressemitteilung vom 04.10.2017 zu den rechtlichen Voraussetzungen beim Einsatz von Facebook Custom Audience im Rahmen der Online-Werbung geäußert gehabt.
Im Nachgang wertete Facebook diese Daten dergestalt aus, dass überprüft wurde, ob sich Übereinstimmungen hinsichtlich der Hashwerte ergaben, sodass bestimmt werden konnte, ob es sich bei der abgeglichenen E-Mail-Adresse bei der dahinterstehenden Person auch um ein Facebook-Mitglied handelte. Alle dadurch ermittelten Facebook-Nutzer bildeten eine Custom Audience, welche infolge dessen mit personalisierten Anzeigen beworben werden konnten.
Urteil des VG Bayreuth
Das VG Bayreuth folgte der Anordnung des BayLDA und wies die Klage mit Beschluss vom 08.05.2018 (Az.: B 1 S 18.105) ab. Bei der Übermittlung der gehashten E-Mail-Adressen handele es sich um einen datenschutzrechtlich unzulässigen Vorgang, da diese als personenbezogene Daten zu qualifizieren seien. Durch das Hashen würden die Daten auch nicht im Sinne des § 3 Abs. 6 BDSG (a.F.) anonymisiert, da ein Personenbezug nach wie vor - unter nicht unerheblichem Aufwand - hergestellt werden könne.
Weiter stelle die streitgegenständliche Übermittlung der gehashten E-Mail-Adressen an Facebook eine Verarbeitung nach § 3 Abs. 4 Satz 1 BDSG (a.F.) dar. Die Übermittlung sei auch nicht durch § 3 Abs. 8 Satz 3 BDSG (a.F.) legitimiert, da Facebook nicht als Auftragsdatenverarbeiter im Anwendungsbereich des § 11 BDSG (a.F.) tätig werde, sondern als „Dritter“. Somit finde eine Übermittlung der Daten im Rahmen einer Datenverarbeitung im Sinne des § 3 Abs. 4 Satz 1 BDSG (a.F.) statt, so das Gericht.
Die Beurteilung, ob eine Auftragsdatenverarbeitung einschlägig sei, ergebe sich nicht lediglich aus der konkreten Rechtsnatur der Beauftragung durch den Auftraggeber. Vielmehr sei zu prüfen, ob dem Auftragnehmer ein eigener Wertungs- und Entscheidungsspielraum eingeräumt werde, bei dessen Verneinung keine Auftragsdatenverarbeitung gegeben sei. Hier sei nicht von einer Auftragsdatenverarbeitung, sondern von einer „Funktionsübertragung“ auszugehen, da die Entscheidung, wem (und wem nicht) Facebook Werbung zeige, ausschließlich bei Facebook liege und somit ein autonomes Tätigwerden einschlägig sei.
Da es sich bei der Übermittlung der gehashten E-Mail-Adressen nicht um eine Auftragsdatenverarbeitung nach § 11 BDSG sondern um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG a.F.) handele, sei eine konkrete und rechtlich nicht zu beanstandende Einwilligung der Betroffenen einzuholen gewesen. Weder eine Einwilligung noch andere, die Übermittlung an Facebook legitimierende Ausnahmetatbestände, lägen vor, so das Gericht. Insbesondere könne sich nicht auf das sog. „Listenprivileg“ nach § 28 Abs. 3 Satz 2 BDSG (a.F.) berufen werden, da es sich bei E-Mail-Adressen mangels Aufzählung in § 28 Abs. 3 Satz 2 BDSG (a.F.) nicht um sog. „Listendaten“ handele.
Fazit
Facebook hält die Gerichte aktuell auf Trab. Das VG Bayreuth geht davon aus, dass die Nutzung des Dienstes „Facebook Custom Audience“ über die sog. Kundenliste ohne vorherige informierte Einwilligung des Betroffenen datenschutzrechtlich unzulässig ist. Die gerichtliche Entscheidung muss zudem richtig einsortiert werden. Es handelt sich beim Beschluss des VG Bayreuth um ein Verfahren aus dem einstweiligen Rechtsschutz,. In diesem Verfahren werden nicht alle Aspekte ausführlich untersucht, es erfolgt vielmehr "nur" eine kursorische Prüfung der Sachlage. Es bleibt abzuwarten, wie sich andere Gerichte in dieser Frage positionieren werden.
Zwar ist der Beschluss des VG Bayreuth noch auf Basis der nicht mehr geltenden alten Fassung des BDSG ergangen. Jedoch dürfte sich am Ergebnis auf Grund der jetzt geltenden DSGVO nichts ändern, denn: Es existiert keine dem sog. „Listenprivileg“ entsprechende Regelung mehr unter der DSGVO. Darüber hinaus wären im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO die gleichen Aspekte zu berücksichtigen, welche dem Beschlussentscheidung des VG Bayreuth zugrunde lagen.
Hinweis: Nutzern von Facebook Custom Audience ist zu raten, diesen Dienst nicht ohne weiteres über die sog. Kundenlisten-Funktion zu verwenden. Zu bevorzugen ist die Nutzung über das Facebook-Pixel-Verfahren. Auch in diesem Fall müssen Sie allerdings eine informierte Einwilligung der Betroffenen eingeholen und zusätzlich eine entsprechende Datenschutzklausel in der Datenschutzerklärung verwendet werden.
Die IT-Recht Kanzlei stellt Ihren Mandanten im Rahmen der Rechtstexte-Schutzpakete eine Datenschutzerklärung mit einer speziellen Klausel für den Einsatz von Facebook Custom Audience über das Pixel-Verfahren (mehr zum Thema Facebook Custom Audience über das Pixel-Verfahren können Sie hier erfahren) zur Verfügung!
Weitere Informationen zu Facebook Custom Audiences finden Sie hier.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
© nanomanpro - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare