Der Einsatz der Werbe- und Tracking-Tools „Custom Audiences“ von Facebook steht datenschutzrechtlich seit langem in der Kritik. Eine Untersagung und Beseitigungsverfügung des Bayerischen Landesamts für Datenschutzaufsicht (Bay. LDA) gegen die „Listen-Variante“ von Facebook Custom Audiences hat das VG Bayreuth mit Beschluss vom 8.5.2018 für rechtmäßig erkannt (siehe unser Beitrag vom 7.8.2018). Diese Entscheidung hat der Bayerische Verwaltungsgerichtshof (BayVGH) zwischenzeitlich bestätigt. Beide Entscheidungen ergingen noch zum BDSG a.F., seither hat sich einiges getan: DS-GVO, EuGH-Entscheidungen zu gemeinsam Verantwortlichen, Entwicklungen bei Facebook. Zeit für ein Update.
Was ist Facebook Custom Audiences?
Unter Custom Audience versteht Facebook eine Zielgruppe, die für Werbetreibende auf Facebook vorsortiert wird und die bereits einen Bezug zum Werbetreibenden aufweist. Der Service Custom Audiences kann technisch auf zwei Arten bereitgestellt werden.
Pixel-Variante
Entweder über einen Pixel, der in eine Website eingefügt wird und dort dann bei bestimmten Events (z.B. dem Kauf eines Produkts) Daten über den Nutzer der Website an Facebook zurückliefert (nachfolgend „Pixel-Variante„). Handelt es sich um einen (ggf. auch zukünftigen) Facebook-Nutzer, kann Facebook ein Nutzungsprofil erstellen. Durch eine Zuordnung des Nutzers sowohl zu einem Facebook-Profil als auch zu dem Werbetreibenden wird er zum Teil der Custom Audience des Werbetreibenden. Hierbei handelt es sich um einen klassischen „Tracking-Pixel“, der rechtlich mit äußerster Vorsicht zu genießen ist. Solche Tracking-Pixel hält die Datenschutzkonferenz (DSK), der Zusammenschluss der datenschutzrechtlichen Aufsichtsbehörden in Deutschland, in Ihrer „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“ (hier als PDF abrufbar) für nur mit Einwilligung der betroffenen Personen zulässig. Diese Ansicht wird durch das Urteil des EuHG vom 29.7.2019 (Rs. C-40/17) in Sachen „Fashion ID“ (dazu ausführlich unsere Besprechung zu „Fashion ID“, Volltext der Entscheidung) gestützt. Da bei Verwendung der Pixel-Variante zudem Cookies abgelegt werden, sind auch die Maßgaben aus dem Urteil des EuGH vom 1.10.2019 (Rs. C-673/17) in Sachen „Planet49“ (Volltext der Entscheidung) zu beachten, d.h. insbesondere Angaben zur „Funktionsdauer“ der Cookies (vom EuGH wohl gemeint ist damit die Speicherdauer) zu machen.
Listen-Variante
Gegenstand der Entscheidungen des VG Bayreuth und BayVGH sowie Schwerpunkt dieses Beitrags ist die sog. „Listen-Variante“ (auch „Custom Audiences from file“). In dieser Variante wird der Bezug zwischen Facebook-Nutzern und dem Werbetreibenden durch den Werbetreibenden selbst hergestellt. Facebook beschreibt das Vorgehen wie folgt:
„Deine Kundenliste wird lokal in deinem Browser gehasht und dann an Facebook übermittelt. Dort wird sie mit unserer bestehenden Liste der gehashten IDs unserer Nutzer verglichen. Die Übereinstimmungen werden dann zu deiner Custom Audience hinzugefügt. Hinweis: Facebook erfasst dabei keine neuen personenbezogenen Daten von dir.
Beim Verschlüsseln, dem Hashing, werden die Daten in deiner Kundenliste in kurze „Fingerabdrücke“ umgewandelt, die nicht zurückkonvertiert werden können. Dies geschieht, bevor deine Daten an Facebook gesendet werden. So funktioniert es:
Facebook kennzeichnet die Daten, die uns Nutzer zur Verfügung gestellt haben, mit Hash-Werten. Wenn du beginnst, deine Kundenliste hochzuladen, wird sie lokal in deinem Browser gehasht, bevor sie an Facebook gesendet wird. Nachdem deine gehashten Daten auf Facebook hochgeladen wurden, gleichen wir sie mit unseren Daten ab. Die Übereinstimmungen werden zu deiner Custom Audience hinzugefügt. Die übereinstimmenden und nicht übereinstimmenden Hash-Werte werden gelöscht.“
Es werden also personenbezogene Daten der zu bewerbenden Personen vom Werbetreibenden zur Verfügung gestellt. Dabei kann es sich um alle oder einzelne der folgenden Daten handeln: E-Mail-Adresse, Telefonnummer, Vorname, Nachname, Stadt, Bundesstaat/Provinz, Land, Geburtsdatum, Geburtsjahr, Alter, Postleitzahl, Geschlecht, Mobile Werbekunden-ID, Facebook App-Nutzer-ID und Facebook Seitennutzer-ID. Diese Daten werden dann unter Verwendung des Algorithmus „SHA256“ in sog. Hashwerte umgewandelt. So würde z.B. aus dem Wert „Hashwert“ der folgende Zeichenstrang errechnet: „11162b7c026047bc5163ef1721b90c24aa8ff1e34ec698b91db85fe0bfadee70“.
Diese Liste mit gehashten Datensätzen wird dann im Facebook-Konto des Werbetreibenden hochgeladen. Danach gleicht Facebook die Liste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Werbetreibenden auch Nutzer bei Facebook ist – die Überschneidung ist die Custom Audience des Werbetreibenden. Der kann dann bei zukünftigen Werbekampagnen auf Facebook oder Instagram diese Zielgruppe auswählen, die gezielt seine Werbung erhalten soll. Es erhalten in diesem Fall nur die Facebook-Nutzer Werbung, auf die bestimmte Merkmale oder Interessen der Zielgruppe zutreffen.
Rechtslage beim Einsatz von „Custom Audiences“
Worum ging es bei den Verfahren vom VG Bayreuth und BayVGH?
In aller Kürze: Das Bay. LDA hielt die Verwendung der Listen-Variante von Custom Audiences für datenschutzrechtswidrig und gab dem Website-Betreiber auf, die Custom Audiences-Liste in seinem Facebook-Konto zu löschen. Diese Verfügung hat das VG Bayreuth insbesondere deswegen bestätigt, weil a) es die Interessenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. als Ausnahme zum Listenprivileg nach § 28 Abs. 3 BDSG a.F. betrachtet hat und b) dem Verantwortlichen wegen der regelmäßig durch seine Kunden (den betroffenen Personen) erfolgenden Bestellungen die Einholung einer Einwilligung einfach möglich gewesen wäre (dazu ausführlich in unserem Beitrag vom 7.8.2018). Diese Entscheidung hat der BayVGH bestätigt (Beschl. v. 26.9.2018 – 5 CS 18.1157).
Welchen Stellenwert haben diese Entscheidungen zur alten Rechtslage?
Die wichtigsten Argumente des VG Bayreuth können im konkreten Einzelfall teilweise abweichend zu beurteilen sein:
- Das VG Bayreuth hat auch die Wertung des § 28 Abs. 3 BDSG a.F. („Listenprivileg“) herangezogen und Werbung außerhalb des Listenprivilegs als nur ausnahmsweise zulässig angenommen. Diese Argumentation überzeugt nicht mehr, denn unter der DS-GVO gibt es kein Listenprivileg.
- Die Erforderlichkeit der Datenverarbeitung zur Wahrung berechtigter Interessen wurde im konkreten Fall bezweifelt, da der Verantwortliche auch ohne unverhältnismäßig hohen Aufwand eine Einwilligung hätte einholen können. Denn die betroffenen Personen haben als Kunden des Verantwortlichen dort regelmäßig Bestellungen aufgegeben. Nach Ansicht des VG Bayreuth hätte hierbei auch eine Einwilligung eingeholt werden können. Dieses Argument wird jedoch schwächer, je geringer die Kommunikation mit den Bestandskunden ist.
Aus den Beschlüssen des VG Bayreuth bzw. BayVGH kann daher nicht ohne weiteres abgeleitet werden, dass die Verwendung der Listen-Variante von Custom Audiences nur nach Einwilligung der betroffenen Personen zulässig wäre.
Wie haben sich die Aufsichtsbehörden dazu positioniert?
Die Pixel-Variante behandeln die Aufsichtsbehörden als Tracking-Pixel, dessen Verwendung einer Einwilligung bedarf (siehe oben). Zur Listen-Variante hat sich bislang nur das Bay. LDA ausdrücklich geäußert. Nach dessen Ansicht bedarf der Einsatz einer Einwilligung der betroffenen Personen (PM vom 4.10.2017, hier als PDF abrufbar). In diesem Zusammenhang ebenfalls – aber unzutreffend – zitiert werden die Positionsbestimmung der DSK „Zur Anwendbarkeit des TMG für nicht-öffentliche Stellen ab dem 25. Mai 2018“ (der Upload einer Kundenliste ist kein Betrieb eines Telemediendienstes) und die Entschließung der DSK „Die Zeit der Verantwortungslosigkeit ist vorbei: EuGH bestätigt gemeinsame Verantwortung von Facebook und Fanpage-Betreibern“ (die sich mit der Einwilligung nur bzgl. Facebook Fanpages befasst), jeweils aus 2018.
Relevanter ist die zur Pixel-Variante bereits angesprochene „Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien“, die sich zwar ebenfalls mit der Anwendbarkeit des TMG befasst, darüber hinaus aber auch Ausführungen zur Auslegung des Art. 6 Abs. 1 lit. f DS-GVO durch die DSK macht. Die Ausführungen am Beispiel eines Tracking-Pixels lassen sich zum Teil auf die Listen-Variante übertragen. Beispielweise die Erwägungen zu den vernünftigen Erwartungen der Kunden bezüglich des Umgangs mit deren Daten und zu den beteiligten Akteuren sowie dem Umfang der Datenkategorien und Datenverarbeitung sind genereller Natur. Deswegen halten wir es für höchstwahrscheinlich, dass die Aufsichtsbehörden auch die Listen-Variante für einwilligungsbedürftig halten!
Welche Rolle spielt die gemeinsame Verantwortlichkeit?
Also bei der Listen-Variante eine Interessenabwägung vornehmen und erst einmal abwarten, ob die Entscheidung des VG Bayreuth sich unter der DS-GVO so wiederholt? Ganz so einfach ist es nicht.
Bereits im Fall des VG Bayreuth war zweifelhaft, ob es sich bei Custom Audiences um einen Dienst handelt, den Facebook als Auftragsverarbeiter anbieten kann. Das Gericht hat dies zu Recht abgelehnt und zutreffend damit begründet, dass Facebook bei der Verarbeitung der Kundendaten ein Ermessensspielraum zukommt, der mit der Einordnung als Auftragsverarbeitung (damals: Auftragsdatenverarbeitung) nicht vereinbar ist. Vereinzelt wird vertreten, dass dieses Ergebnis nicht auf die Rechtslage unter der DS-GVO übertragbar sei, da dem Auftragsverarbeiter nach Art. 28 DS-GVO ein weiterer Ermessensspielraum zukäme als dem Auftragsdatenverarbeiter nach § 11 BDSG a.F. Tatsächlich bietet Facebook Custom Audiences auch nur als Auftragsverarbeitung an. Die Nutzungsbedingungen für Custom Audiences sehen vor, dass mit Übertragung der Kundendaten auch der von Facebook bereitgestellte Auftragsverarbeitungsvertrag abgeschlossen wird.
Hieraus lässt sich allerdings – und zwar für beide Varianten! – keine datenschutzrechtskonforme Nutzung von Custom Audiences herleiten. Selbst wenn man die Verwendung von Custom Audiences als Auftragsverarbeitung beurteilen wollte, wäre der zur Verfügung gestellte Vertrag mit Facebook unzureichend. Denn aus dem Pflichtenkatalog in Art. 28 Abs. 3 DS-GVO fehlen u.a. die Weisungsgebundenheit nach Buchst. a und die Verpflichtung der Mitarbeiter von Facebook zur Verschwiegenheit nach Buchst. b; das Kontrollrecht nach Buchst. h wird gegenüber den Vorgaben der DS-GVO deutlich verkürzt. Eine Verwendung mit diesem Auftragsverarbeitungsvertrag verstößt gegen Art. 28 Abs. 3 Satz 1 DS-GVO. Rechtsfolge ist ein Bußgeld bis 10 Mio. EUR bzw. 2% des Vorjahresumsatzes nach Art. 83 Abs. 4 Buchst. a DS-GVO.
Richtigerweise dürften die Custom Audiences allerdings nach der „Fashion ID“-Rechtsprechung als Fall der gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO zu beurteilen sein: Der Werbetreibende übermittelt Kundendaten an Facebook und veranlasst so eine Verarbeitung personenbezogener Daten durch Facebook. Auch durch das Hashen entfällt der Personenbezug für Facebook nicht, da die Daten gegen Hashes aus der Facebook-Datenbank abgeglichen werden, die Facebook wiederum Nutzern zuordnen kann. Beide Seiten partizipieren jeweils an der Datenverarbeitung des anderen (Werbetreibender: Ausspielung zielgerichteter Werbung; Facebook: Verbesserung der eigenen Nutzerprofile). Hierdurch wird eine gemeinsame Verantwortlichkeit von Werbetreibenden und Facebook begründet. Es wäre daher eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 Satz 2 DS-GVO erforderlich, deren wesentlicher Inhalt den betroffenen Personen gemäß Art. 26 Abs. 2 Satz 2 DS-GVO auch zur Verfügung zu stellen ist. Eine solche Vereinbarung bietet Facebook derzeit überhaupt nicht an.
Das bedeutet Zweierlei. Zum einen, dass der Werbetreibende auch für die Datenverarbeitung durch Facebook im Rahmen der gemeinsamen Verantwortlichkeit mit haftet. Zum anderen verstößt die Verwendung von Custom Audiences in beiden Varianten derzeit gegen zwei Bestimmungen des Art. 26 DS-GVO und erfüllt damit zwei Bußgeldtatbestände nach Art. 83 Abs. 4 Buchst. a DS-GVO.
Fazit
Nach der hier vertretenen Auffassung führt die Kombination verschiedener Entscheidungen des EuGH letztlich dazu, dass Custom Audiences derzeit nicht datenschutzrechtskonform eingesetzt werden kann. Diese Beurteilung kann sich ändern, wenn Facebook – wie mit den Fanpages bereits geschehen – anerkennt, dass es sich bei deren Geschäftsmodell nicht um eine Auftragsverarbeitung handelt, bei der Facebook selbst Vorteile für sich generieren, die Haftung aber dem Verantwortlichen allein überlassen kann. Selbst dann bleibt die Verwendung ohne Einwilligung der betroffenen Personen bei der Listen-Variante jedoch riskant und bei der Pixel-Variante unzulässig. Ob Verantwortliche darüber hinaus gewillt sind, sich auch noch mit dem zivilrechtlichen Haftungsrisiko für eventuelle Rechtsverstöße durch Facebook zu beladen, wird sich zeigen müssen.
| Bei Fragen wenden Sie sich gerne direkt an den Autor Kristof Kamm oder schauen Sie auf der Teamseite, wer noch bei uns arbeitet. |  |