Zentrale Normen: § 3 § 4, § 4a, § 11, § 28 III BDSG (alte Fassung)
Der Einsatz des Werbetools „Facebook Custom Audiences“ verstößt gegen das Datenschutzrecht – jedenfalls in einer Variante. Das hat das Verwaltungsgericht Bayreuth mit Beschluss am 08.05.2018 (AZ: B 1 S 18.105) in einem von einem Onlineshop-Betreiber geführten Eilverfahren gegen das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) entschieden.
Wie funktioniert Facebook Custom Audiences?
Facebook Custom Audiences ist in zwei Varianten anwendbar.
Ein Unternehmen kann einerseits eine Liste mit seinen eigenen Kunden innerhalb seines Facebook-Kontos hochladen oder eine Kundenliste kopieren und sie in die Benutzeroberfläche des Facebook-Kontos einfügen (sog. „Facebook Custom Audience from file-Variante“). Die Listen können folgende Informationen über den Kunden enthalten: E-Mail-Adresse, Telefonnummer, Werbekunden-ID, Vorname, Nachname, Postleitzahl, Stadt, Bundesland, Land, Geburtsjahr und Geschlecht. Nachdem das Unternehmen eine Textdatei mit Kundendaten ausgewählt hat, wird diese innerhalb des Browsers des Unternehmens verarbeitet, das heißt es wird unter anderem für jede einzelne E-Mail-Adresse der Kunden mittels der kryptographischen Hashfunktion „SHA-256“ ein sogenannter „Hashwert“ berechnet. Nachdem alle E-Mail-Adressen in Hashwerte transformiert worden sind, findet eine Übermittlung der einzelnen Hashwerte an einen Facebook-Server statt. Facebook vergleicht die Hashwerte der übermittelten Daten mit eigenen Hashwerten, die im Rahmen der Facebook-Nutzung erhoben wurden. Bei einer Übereinstimmung kann der jeweils übermittelte Datensatz folglich einem Facebook-Nutzer zugeordnet werden. Dieser Datensatz wird dann von Facebook weiterverarbeitet.
Eine andere Variante des Tools funktioniert hingegen nicht durch das Hochladen einer Kundenliste, sondern dadurch, dass auf der Webseite des Onlineshop-Betreibers ein unsichtbares Pixel eingebunden wird („Facebook Custom Audiences from Website-Variante“). Sieht sich ein potentieller Kunde auf einer Seite bestimmte Produkte an, legt diese in den Warenkorb und bricht dann die Bestellung ab, leitet das Pixel die Daten an Facebook weiter. Loggt sich der potentielle Kunde dann das nächste Mal bei Facebook ein, erhält er aufgrund dieses Umstandes zielgerichtete Werbung für das Produkt, was er sich zuvor angesehen, aber nicht erworben hatte. Diese Variante war jedoch nicht Gegenstand des vorliegenden Beschlusses.
Hintergrund der Entscheidung
Ein Onlineshop-Betreiber hatte das Werbetool zu Werbezwecken in der ersten Variante („Facebook Custom Audience from file-Variante“) auf seiner Facebookseite im Einsatz. Dabei nutzte er insbesondere die E-Mail-Adressen seiner Kunden, die im Rahmen des Bestellvorgangs erhoben wurden. Eine Einwilligung der Kunden im Sinne von §§ 4 Abs. 1, 4a Abs. 1 des Bundesdatenschutzgesetzes (alte Fassung) (BDSG) in die Nutzung ihrer E-Mail-Adresse für „Facebook Custom Audiences“ holte er nicht ein.
Das BayLDA ordnete daher in einem Bescheid vom 18.01.2018 die Löschung der erstellten Kundenlisten an. Das BayLDA führte im Wesentlichen an, dass es sich bei den E-Mail-Adressen um personenbezogene Daten gem. § 3 Abs. 1 BDSG handele und zum anderen keine ausreichende Anonymisierung (im Sinne von § 3 Abs. 6 BDSG) dieser Daten erfolge. Insbesondere sei das verwendete Hash-Verfahren nicht dazu geeignet, die Anonymisierung sicherzustellen, wenn diese Werte im Nachgang von Facebook mit eigenen Hash-Werten verglichen werden und durch das gleiche Verfahren berechnet wurden.
Der Shop-Betreiber war der Auffassung, dass sein Vorgehen rechtmäßig sei, unter anderem, weil er mit Facebook einen Vertrag zur Auftragsdatenverarbeitung geschlossen habe. Zudem hielt er die Datenverarbeitung für gesetzlich erlaubt, da es sich um sog. „Listendaten“ im Sinne von § 28 Abs. 2 S. 2 BDSG handele.
Entscheidungsgründe
Das VG Bayreuth ist zu dem Ergebnis gekommen, dass der Einsatz von Facebook Custom Audiences über die Kundenliste ohne vorherige Einwilligung der Betroffenen rechtswidrig ist. Insbesondere ist nach Ansicht des VG das verwendete Hashverfahren „SHA-256“ nicht zur Anonymisierung personenbezogener Daten geeignet, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen. Andernfalls wäre auch ein sich an die Übermittlung anschließender Datenabgleich seitens Facebook nicht möglich.
Weiterhin handelt es sich bei der Übermittlung der gehashten E-Mail-Adressen auch nicht um eine Übermittlung für die Zwecke einer Auftragsdatenverarbeitung (§ 11 BDSG), sondern um eine Übermittlung an Dritte (hier sog. „Funktionsübertragung“). Der Auftragnehmer einer Auftragsdatenverarbeitung darf nur weisungsgebunden, also ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig werden. Dies ist aber hier nicht der Fall. Dazu führt das VG aus:
„In der vorliegenden Sachverhaltsgestaltung ist hingegen nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Auch wenn es zutreffen mag, dass nach der Vereinbarung zwischen der Antragstellerin und Facebook festgelegt worden ist, dass der Zweck der Auftragsdatenverarbeitung hier in der Durchführung einer Überschneidungsanalyse bzw. Erstellung einer Vergleichsaudience liegt, fungiert Facebook in der Konstellation nicht gleichsam als „verlängerter Arm“ der Antragstellerin. Wer schließlich konkret beworben wird, liegt hier allein im Ermessen von Facebook (…). Insoweit liegt ein erheblicher Spielraum Facebooks vor, der über eine rein datenverarbeitende Hilfsfunktion, durch die eine Auftragsdatenverarbeitung gekennzeichnet ist, deutlich hinausgeht.“
Im Ergebnis ist Facebook also kein Auftragsverarbeiter. Es liegt im Ermessen von Facebook, wer beworben wird und wer nicht. Damit fehlt es an der erforderlichen Rechtsgrundlage für die Übermittlung der Daten.
Ebenfalls ist nach Auffassung des Gerichtes die Datenverarbeitung als solche gesetzlich nicht erlaubt. Es handelt sich bei den gegenständlichen Daten nicht um „Listendaten“, sodass die Zulässigkeit nach § 28 Abs. 3 S. 2 BDSG ausscheidet.
Im Ergebnis ist daher mangels konkreter Einwilligung und gesetzlicher Gestattung die Übermittlung der Daten an Facebook als unzulässig nach § 4 Abs. 1 BDSG anzusehen.
Mit diesem Beschluss ergeben sich daher folgende Konsequenzen: grundsätzlich muss der Nutzer von Facebook Custom Audiences (jedenfalls in der in dem Beschluss gegenständlichen Variante) eine Einwilligung einholen, bevor er die Daten im Zusammenhang mit diesem Tool nutzt. Andernfalls besteht die Gefahr von hohen Bußgeldern, wenn sich die Entscheidung auf die DS-GVO übertragen lässt!
Ist eine Übertragung auf die DS-GVO möglich?
Der Beschluss ist nach dem alten Bundesdatenschutzgesetz ergangen. Mittlerweile ist jedoch seit dem 25.05.2018 die Europäische Datenschutzgrundverordnung (DS-GVO) wirksam. Da sich die gerichtliche Wertung zur vorzunehmenden Interessenabwägung allerdings auf die neue Rechtslage übertragen lässt, wird mit dieser Entscheidung jedenfalls eine Tendenz deutlich. Fraglich ist jedoch, ob entgegen der Auffassung, dass keine Auftragsverarbeitung vorliege, nunmehr nach der DS-GVO von einer solchen ausgegangen werden muss, da der Anwendungsbereich der Auftragsverarbeitung durch die DS-GVO wesentlich erweitert wurde. Insbesondere wird dem Auftragsverarbeiter nicht mehr jeglicher Entscheidungsspielraum abgesprochen. Dies hätte zur Folge, dass ein Vertrag geschlossen werden müsste, der den Anforderungen des Art. 28 III DS-GVO entspricht. Dies würde dann bedeuten, dass das Einwilligungserfordernis hinfällig wäre. Da dies jedoch bislang nicht geklärt ist, ist die Nutzung von Facebook Custom Audiences mit höchster Vorsicht zu genießen!
Haben Sie Fragen? Unser Team berät Sie gern.
Ein Kommentar