Datenschutz: Facebook Custom Audience

veröffentlicht am

Bei der Nutzung von „Facebook Custom Audience“ ohne Einwilligung handelt es sich um einen Verstoß gegen die rechtlichen Regelungen zum Datenschutz. Das hat zumindest das Verwaltungsgericht (VG) Bayreuth mit Beschluss vom 08.05.2018 festgestellt.

Sachverhalt

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte einem bayerischen Online-Händler untersagt, das Marketing-Werkzeug „Facebook Custom Audience“ des sozialen Netzwerks Facebook einzusetzen.

§ 38 a.F. Bundesdatenschutzgesetz (BDSG)

[…] (5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. […]

Mit Hilfe von „Facebook Custom Audience“ können Online-Händler durch Übermittlung einer Kundenliste an Facebook bestimmte Personen und Zielgruppen in dem sozialen Netzwerk ausfindig machen und für diese gezielt Werbeanzeigen schalten. Das BayLDA war der Auffassung, dass die Weitergabe der Kundenlisten nur mit einer ausdrücklichen und informierten Einwilligung der Kunden erfolgen könne, da die Datenübermittlung ansonsten gegen das Datenschutzrecht verstoße. Gegen die Anordnung des BayLDA hatte der betroffene Online-Händler geklagt. Nun ist die Klage jedoch abgewiesen worden.

Unzulässige Verarbeitung personenbezogener Daten

Das VG hatte sich der Auffassung des BayLDA angeschlossen und die Übermittlung der Kundendaten an Facebook als rechtswidrig eingestuft.

§ 4 a.F. BDSG

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. […]

Zwar hatte der Kläger „nur“ die E-Mail-Adressen seiner Kunden für das Marketing-Werkzeug übermittelt. Anhand der übermittelten E-Mail-Adressen war es aber möglich einen konkreten Personenbezug herzustellen. Damit handelt es sich um personenbezogene Daten. Die Betroffenen seien auch mit „nicht nur unverhältnismäßigem Aufwand“ ermittelbar, sodass die Verarbeitung der Daten die Einwilligung der Kunden vorausgesetzt hätte. Denn Facebook war nach Ansicht des Gerichts auch kein Auftragnehmer des Unternehmens. In diesem Fall wäre die Datenübermittlung nämlich auch ohne das Einverständnis der Betroffenen zulässig gewesen. Allerdings war die Übermittlung der E-Mail-Adressen untrennbar Teil der Werbemaßnahme, sodass Facebook als eigenverantwortliche Stelle handelte und damit „Dritter“ war.

§ 3 a.F. BDSG

[…] (8) […]Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. […]

Kein „Listenprivileg“

Da auch nach den Erkenntnissen des Klägers keine Einwilligung der Betroffenen zur Übermittlung der Daten vorlag, hätte die Verarbeitung nur noch auf Grund des sog. „Listenprivilegs“ zulässig sein können.

§ 28 a.F. BDSG

[…] (3) […]Darüber hinaus ist die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken […]. […] Eine Verarbeitung oder Nutzung nach den Sätzen 2 bis 4 ist nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstehen. […]

Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. „Listendaten“, da sie in der abschließenden Aufzählung der Norm nicht enthalten sind, sodass eine einwilligungsfreie Übermittlung ebenfalls nicht in Betracht komme. Unabhängig davon wäre aber auch die zur Rechtfertigung notwendige Interessenabwägung zum Nachteil des Klägers ausgegangen. Weder alte noch neue Kunden waren ausdrücklich auf die zu Werbezwecken erfolgende Datenübermittlung und den Empfänger der Daten hingewiesen worden, obwohl dies zusammen mit der Einholung der entsprechenden Einwilligung ohne einen unverhältnismäßig großen Aufwand z.B. im Rahmen von Bestellvorgängen möglich wäre.

Fazit

Die Anordnung des BayLDA und die Entscheidung des VG wurden zwar vor Geltung der Datenschutz-Grundverordnung (DSGVO) erlassen. Allerdings berücksichtigte die Anordnung nach Aussagen des BayLDA bereits die neue Rechtslage. Im konkreten Fall hat der Kläger Beschwerde gegen den Beschluss des VG eingelegt, sodass nun eine Entscheidung des Bayerischen Verwaltungsgerichtshofs in der Sache abzuwarten bleibt. Unternehmen sollten den ergangenen Beschluss jedoch bereits jetzt zum Anlass nehmen, um auch ihren eigenen Einsatz von Marketing-Werkzeugen datenschutzrechtlich zu prüfen, da bei einem Verstoß seit dem 25.05.2018 Bußgelder von bis zu 20 Millionen Euro drohen.

Wenn Sie Fragen rund um diese Themen oder das Thema Datenschutz, DSGVO oder zum gewerblicher Rechtsschutz haben, wenden Sie sich an unsere Rechtsanwälte für IT- und Datenschutzrecht und vereinbaren einen Termin. Wir stehen Ihnen gerne und jederzeit für alle Fragen zur Verfügung. Rufen Sie uns an 0201/24030.

Schumacher | Rechtsanwälte · Notare · Steuerberater
Ihre Rechtsanwälte für IT- und Datenschutzrecht in Essen