22.11.2018
22.11.2018
Die Nutzung von „Facebook Custom Audience“ in Deutschland verstößt ohne die vorherige ausdrückliche Einwilligung gegen das Datenschutzrecht.
Der Einsatz von „Facebook Custom Audience“ ist grundsätzlich ohne die vorherige Einwilligung datenschutzwidrig. Dies entschied mit Beschluss vom 26. September 2018 der Verwaltungsgerichtshof in München (Beschluss v. 26.09.2018 – 5 CS 18.1157). Der Grund: Die Übermittlung gehashter E-Mail-Adressen an Facebook ist nicht als Auftragsverarbeitung, sondern als Weitergabe von personenbezogenen Daten an Dritte einzustufen.
Facebook Custom Audience ist ein zielgruppenorientiertes Marketing-Tool der Plattform, wodurch personalisierte Werbung auf den Seiten von Facebook geschaltet werden kann. Es bietet die Möglichkeit Facebook-Nutzer gezielt zu bewerben, nachdem diese sich bereits zuvor in einem Online-Shop registriert haben.
Dazu lädt das werbende Unternehmen eine Liste mit E-Mail-Adressen und weiteren Kundendaten bei Facebook hoch. Anschließend gleicht Facebook diese Liste, die zuvor gehasht wird (SHA256-Verfahren), mit den eigenen Facebook-Nutzerdaten ab. Sobald zwei Merkmale identisch sind, ist der Nutzer identifiziert und Facebook schaltet die gebuchten Werbekampagnen beim jeweiligen Nutzer. So erhalten die betroffenen Facebook-Nutzer Werbeanzeigen zu Online-Shops oder anderen Seiten, auf denen sie zuvor aktiv waren. Facebook entscheidet im Rahmen der Erstellung von Gruppierungen selbst, welche Zielgruppe welche Werbung angezeigt bekommen.
Im vom VGH München entschiedenen Fall hatte die Betreiberin eines Onlineshops über den Facebook Custom Audience Dienst zielgerichtete Werbung an ihre Kunden geschaltet. Dazu nutzte auch diese die Upload-Funktion für ihre Kundenliste. Eine Einwilligung zur Weitergabe der personenbezogenen Daten an Facebook hatte die Betreiberin zuvor nicht eingeholt. Das Bayrischen Landesamt für Datenschutzaufsicht (BayLDA) stufte diese Form der Werbung als datenschutzwidrig ein. Aufgrund dessen verpflichtete das BayLDA die Betreiberin zu einer Löschung des Dienstes. Dagegen erhob die Betreiberin eines Onlineshops Klage vor dem Verwaltungsgericht. Aus ihrer Sicht sei eine Einwilligung nicht erforderlich gewesen. Schließlich handele es sich bei der Weitergabe der Daten an Facebook lediglich um eine Auftragsverarbeitung, die keiner Einwilligung bedürfe.
Dem trat der VGH nun allerdings entgegen. Es handele sich nicht um eine Auftragsarbeitung, sondern vielmehr um die Übermittlung von Daten an Dritte, § 3 Abs. 8 BDSG a.F., welcher der Einwilligung bedürfe. Der Grund für diese Einordnung: Nach der Übermittlung der gehashten Daten liege es alleine im Ermessen von Facebook, wer beworben werde und wer nicht. Dazu treffe Facebook die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und verfügbaren Profildaten. Facebook unterliege diesbezüglich keinerlei Weisung der Shopbetreiberin.
Für die Datenübermittlung an Facebook hätte es somit einer Rechtsgrundlage bedurft, so das Gericht. Und daran fehle es im vorliegenden Fall.
Auch ein Rückgriff auf das Listendaten-Privileg nach § 28 Abs. 3 S. 2 BDSG a.F. scheitere. Denn gerade E-Mail-Adressen fallen nicht unter diese Ausnahmeregelung. Ebenso konnte die Shopbetreiberin dem Gericht kein berechtigtes Interesse an der Weitergabe der Daten glaubhaft vortragen, denn es überwiegen stets die schutzwürdigen Belange der Verbraucher, deren E-Mail-Adressen ohne deren Einwilligung genutzt würden.
Ja! Aber das A und O einer rechtskonformen Nutzung des Marketingtools ist stets die Einholung einer rechtskonformen Einwilligung seitens des Online-Shop-Kunden. Dies verlangt im Übrigen sogar Facebook selbst in seinen Nutzungsbedingungen. Bei der Einwilligung ist zu beachten, dass diese getrennt von anderen Einwilligungen – beispielsweise des Newsletters – erteilt werden muss. Aus dem Einwilligungstext muss klar und deutlich für den Nutzer hervorgehen, wozu (Zweck) die Datenweitergabe erfolgt. Daneben muss auch die Datenschutzerklärung an die Nutzung von Facebook Custom Audience angepasst werden, so dass es dem Nutzer möglich ist dort alle Details nachzulesen.
Werden in diesem Verfahren Fehler gemacht, so droht nicht nur eine Abmahnung durch die jeweils zuständige Datenschutzaufsicht, sondern teils auch erhebliche Bußgelder.
Kim Lisa Stoklossa |
Facebook 
Linkedin 
XING 
Youtube