Nutzung von „Facebook Custom Audience“ ohne Einwilligung stellt Datenschutzverstoß dar

24. Juli 2018
[Gesamt: 0   Durchschnitt:  0/5]
1677 mal gelesen
0 Shares
Dokumentenstapel in schwarz/weiß Pressemitteilung zum Beschluss des VG Bayreuth vom 08.05.2018, Az.: B 1 S 18.105

Mithilfe des Marketing-Tools „Facebook Custom Audience” können Online-Händler durch Übermittlung einer Kundenliste an Facebook bestimmte Personen und Zielgruppen in dem sozialen Netzwerk ausfindig machen und so dort ganz gezielt Werbekampagnen schalten. Das Hochladen solcher Kundenlisten stellt jedoch die Übermittlung personenbezogener Daten dar, die eine vorherige informierte Einwilligung des Nutzers voraussetzt. Fehlt diese Einwilligung, begeht der Online-Händler durch das Übermitteln einen Verstoß gegen die Datenschutzgrundverordnung.

Verwaltungsgericht Bayreuth

Pressemitteilung zum Beschluss vom 08.05.2018

Az.: B 1 S 18.105

 

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagte einem bayerischen Online-Händler den Einsatz von „Facebook Custom Audience“, einem Marketing-Werkzeug von Facebook. Der bayerische Online-Händler klagte gegen diese Anordnung. Nun entschied das Verwaltungsgericht Bayreuth im Eilverfahren und teilte die Auffassung des BayLDA: Wer „Facebook Custom Audience“ ohne Einwilligung des Nutzerseinsetzt, verstößt gegen das Datenschutzrecht.

Bereits im Jahr 2016 prüfte das BayLDA in einer Großprüfung bei über 40 Unternehmen in Bayern, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ eingesetzt wurde. Das Ergebnis war äußerst unbefriedigend: Bei den meisten Unternehmen lag ein Verstoß gegen datenschutzrechtliche Pflichten vor. In vielen Fällen haben die Unternehmen nach entsprechender Belehrung durch das BayLDA auf die weitete Nutzung dieses Marketing-Werkzeugs verzichtet. Ein Unternehmen weigerte sich, den Aufforderungen des BayLDA nachzukommen. Daraufhin erließ das BayLDA eine Anordnung und forderte das Unternehmen auf, „Facebook Custom Audience“ ohne Einwilligung der Nutzer nicht mehr einzusetzen und erklärte diese Anordnung für sofort vollziehbar. Das Unternehmen wehrte sich gegen die Anordnung und klagte schließlich vor dem Verwaltungsgericht.

Das Verwaltungsgericht Bayreuth bestätigte im Eilverfahren die Auffassung des BayLDA und begründete dies im Wesentlichen wie folgt:

– Das eingesetzte Hash-Verfahren SHA-256 ist nicht geeignet, um personenbezogene Daten zu anonymisieren.
– Facebook ist nicht Auftragnehmer des Unternehmens, sondern eine eigene verantwortliche Stelle.
– Das Hochladen der Kundenliste stellt eine Übermittlung personenbezogener Daten dar.
– Diese Übermittlung kann auf keine Rechtsgrundlage gestützt werden.
– Insbesondere kann die Übermittlung nicht auf eine Interessenabwägung gestützt werden.
– Daher ist der Einsatz nur aufgrund einer vorigen informierten Einwilligung des Nutzerszulässig.

Zwar wurden die Anordnung des BayLDA und die Entscheidung des Verwaltungsgerichts Bayreuth vor dem 25. Mai 2018, also vor Geltung der Datenschutz-Grundverordnung erlassen. Die Anordnung des BayLDA berücksichtige jedoch schon vorsorglich die neue Rechtslage. „Wir gehen davon aus, dass unsere Anordnung auch nach der Datenschutz-Grundverordnung einer gerichtlichen Prüfung standhält. Immerhin enthält die DS-GVO strengere Anforderungen an die Verarbeitung und Betroffene genießen seit dem 25. Mai 2018 noch mehr Schutz“, so Thomas Kranig, Präsident des BayLDA.

Gegenstand des Verfahrens war das Marketing-Werkzeug „Facebook Custom Audience über die Kundenliste“. Dabei erstellt ein Online-Shop eine Liste seiner Kunden und Interessenten, in der u.a. Name, Wohnort, E-Mail-Adresse und Telefonnummer eingetragen werden können (im Konkreten Fall hatte der Online-Händler eine Kundenliste nur mit E-Mail-Adressen erstellt). Diese Kundenliste wird dann im Facebook-Konto des Online-Shops an Facebook hochgeladen. Zuvor werden die Kundendaten unter Einsatz eines sogenannten Hash-Verfahrens in feste Zeichenketten (z.B. Max Mustermann = dddfab9b5b8a360150547065daff114ff218b39c8b 0986b761075977aeeca3c3) umgewandelt. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Online-Shops auch Mitglied bei Facebook ist. Nach dem Abgleich werden die hochgeladenen Kundenlisten wieder gelöscht. Facebook merkt sich aber, welche Facebook-Nutzer in der Kundenliste standen. Der Online-Shop kann dann eine oder mehrere Werbekampagne(n) auf Facebook für seine Kunden starten. Er wählt eine bestimmte Zielgruppe aus, die die Werbung erhalten soll. So kann der Online-Shop vorgeben, dass z.B. Frauen zwischen 20 und 30 Jahren, die viel Sport treiben, über ein durchschnittliches Einkommen verfügen, dieses aber überdurchschnittlich gerne für modische Kleidung ausgeben, Werbung in ihrem Facebook-Account von dem Online-Shop erhalten. Die Weitergabe der o.g. Liste der Kunden des Online-Shops an Facebook, unabhängig davon, ob diese Kunden Mitglied bei Facebook sind oder nicht, darf nach Auffassung des BayLDA nur mit einer ausdrücklichen und informierten Einwilligung der Kunden des Online-Shops erfolgen. Der Online-Shop im hier vorliegenden Fall war dagegen der Auffassung, es könnte die Daten ihrer eigenen Kunden auch ohne deren Einwilligung an Facebook übermitteln. Das VG Bayreuth ist der Auffassung des BayLDA gefolgt.

Das Unternehmen hat nun Beschwerde gegen den Beschluss des VG Bayreuth eingelegt. Das BayLDA erwartet nun entweder die Beschwerdeentscheidung im Eilverfahren durch den Bayerischen Verwaltungsgerichtshof oder die Entscheidung des Verwaltungsgerichts Bayreuth in der Hauptsache (Klageverfahren). Unternehmen sollten die Entscheidung zum Anlass nehmen und den Einsatz von Marketing-Werkzeugen datenschutzrechtlich prüfen. Bei einem Verstoß drohen seit dem 25. Mai 2018 Bußgelder in Millionenhöhe.

„Unternehmen sind sich häufig unsicher, welche Pflichten einzuhalten sind. Gerade in letzter Zeit erhalten wir sehr viele Beratungsanfragen. Dennoch folgen einige Unternehmen nicht unseren Ratschlägen. Dafür haben wir zum Teil auch Verständnis, immerhin geht es hier auch um wirtschaftliche Entscheidungen. Umso wichtiger ist es, dass Gerichte Klarheit schaffen. Verwaltungsgerichtsentscheidungen im Datenschutz sind rar. Wir hoffen, dass durch diese überzeugende Entscheidung des VG Bayreuth mehr Klarheit und Rechtssicherheit für Unternehmen herrscht“, so Thomas Kranig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Jetzt zum Newsletter anmelden!

Erlaubnis zum Versand des Newsletters: Ich möchte regelmäßig per E-Mail über aktuelle News und interessante Entwicklungen aus den Tätigkeitsfeldern der Anwaltskanzlei Hild & Kollegen informiert werden. Diese Einwilligung zur Nutzung meiner E-Mail-Adresse kann ich jederzeit für die Zukunft widerrufen, in dem ich z. B. eine E-Mail an newsletter [at] kanzlei.biz sende. Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzerklärung.

n/a