VG Bayreuth: Facebook Custom Audience über Kundenlisten ohne Einwilligung des Nutzers rechtswidrig

20.08.2018
4 Minuten Lesezeit

Das Verwaltungsgericht Bayreuth hat im Rahmen eines einstweiligen Rechtsschutzverfahrens mit Beschluss vom 05. Mai 2018, Az. B 1 S 18.105, Stellung zur Datenschutzkonformität des von Facebook angebotenen Dienstes Custom Audience genommen. Es hat insoweit festgestellt, dass die Nutzung von Facebook Custom Audience mit Kundenlisten unter Verwendung sog. gehashter (nach Rechenvorschrift [SHA] pseudonymisierter) E-Mailadressen nach BDSG-alt rechtswidrig ist.

Der Beschluss basiert noch auf dem „alten“ Bundesdatenschutzgesetz. Die Ausführungen treffen aber auch auf die Rechtslage seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz zu.

Worum ging es?

Gestritten hatte sich ein Onlineshopbetreiber mit dem Bayerischen Landesamt für Datenschutzaufsicht. Der Shopbetreiber unterhielt neben dem Onlineshop ein Konto bei dem sozialen Netzwerk Facebook und nutzte den Service Custom Audience, in dessen Rahmen Kundenlisten erstellt wurden. Mit Bescheid vom 16.01.2018 erließ die Datenschutzbehörde eine Anordnung, in deren Rahmen der Shopbetreiber verpflichtet wurde, binnen zwei Wochen die unter dem Facebook-Konto erstellen Kundenlisten (Custom Audiences) zu löschen. Die Behörde ordnete die sofortige Vollziehung an und drohte ein Zwangsgeld in Höhe von € 10.000,00 an. Gegen den Bescheid erhob der Shopbetreiber Klage. Ferner beantragte er im Rahmen des einstweiligen Rechtsschutzverfahrens die Wiederherstellung der aufschiebenden Wirkung.

Die Anordnung der Behörde wurde damit begründet, dass der Dienst Facebook Custom Audience wie folgt gestaltet sei und in dieser Form vom Shopbetreiber genutzt werde:

Das Unternehmen würde zunächst eine Liste mit seinen eigenen Kunden in dem Facebook Konto hochladen. Die Listen könnten insoweit neben E-Mailadressen auch Telefonnummern, Namen etc. enthalten. Anschließend pseudonymisiere der Shopbetreiber die E-Mailadressen mittels kryptographischen Hashfunktion-SHA 256 in einen Hashwert. Nachfolgend finde eine Übermittlung der einzelnen Hashwerte an einen Facebook-Server statt. Im Anschluss daran gleiche Facebook die Hashwerte mit den eigenen Hashwerten der E-Mailadressen aller Facebook-Mitglieder ab. Dies erlaube Facebook anhand der Hashwerte E-Mailadressen und dazugehörige Personen (Mitglieder) zu ermitteln. Diese ermittelten Mitglieder würden so die Custom Audience bilden. Nach Erstellung dieser Custom Audience entwerfe der Shopbetreiber Werbeanzeigen. Facebook- Mitglieder, die sich auf der Kundenliste befänden, erhielten so nun zielgerichtet Werbung, die durch Facebook innerhalb des Facebook-Profils des Nutzers ausgesendet werde. Darüber hinaus verwerte Facebook weitere Informationen aus unterschiedlichen Quellen. Welche konkreten Nutzer beworben worden seien, erfahre der Shopbetreiber nicht, dies werde von Facebook entschieden. Das Werbeangebot stelle ein wesentliches Geschäftsmodell der Muttergesellschaft von Facebook dar. Für Nutzer sei Facebook kostenlos nutzbar.

Im Rahmen einer Stellungnahme des Shopbetreibers vertrat dieser u. a. die Auffassung es läge eine Auftragsdatenverarbeitung vor, weshalb er Custom Audience weiter verwenden werde. Die Behörde erließ daraufhin den Bescheid, gegen der Shopbetreiber Klage erhob und einstweiligen Rechtsschutz beantragte.

Die Entscheidung des Verwaltungsgerichts

Das Verwaltungsgericht Bayreuth wies den Antrag auf Wiederherstellung der aufschiebenden Wirkung kostenpflichtig zurück und kam zu dem Ergebnis, dass die Erfolgsaussichten der Klage gegen den Bescheid nach summarischer Prüfung ohne Erfolg bleiben werde.

Das Gericht vertritt die Auffassung, dass die von der Behörde beanstandete Übermittlung gehashter E-Mailadressen datenschutzrechtlich unzulässig ist. Nach § 4 Abs. 1 BDSG-alt sei die Datenverarbeitung von personenbezogenen Daten nur zulässig, soweit eine Rechtsgrundlage vorliege oder der Betroffene eingewilligt habe.

Bei den E-Mailadressen handle es sich um personenbezogene Daten. Der Vorgang des „Hashens“ stelle insoweit keine Anonymisierung dar, weil der Personenbezug nicht völlig aufgehoben werde. Es sei vielmehr ohne größeren Aufwand möglich, die Hashwerte einer natürlichen Person zuzuordnen, zumal ein Datenabgleich durch Facebook möglich sei.

Zwar dürften personenbezogene Daten an Auftragsverarbeiter ohne Einwilligung und gesetzliche Erlaubnis übermittelt werden, eine Auftragsverarbeitung läge aber bei diesem Dienst nicht vor. Facebook fungiere hier nicht als „verlängerter Arm“ des Unternehmens, sondern verfüge über eigene Spielräume im Hinblick auf die Entscheidung, wer konkret beworben wird.

Die Datenschutzbehörde sei zutreffend davon ausgegangen, dass das Marketing Tool „Facebook Custom Audience über die Kundeliste“ ein einheitlicher Vorgang sei. Dieses Instrument könne nicht in Einzelteile zerlegt werden. Die Übermittlung der gehashten E-Mailadressen stelle ein integraler Bestandteil der Werbemaßnahme bei. Aus diesem Grund läge keine Auftragsverarbeitung vor, denn Facebook entscheide darüber wer beworben wird und wer nicht. Insoweit sei die Datenübermittlung nur auf Basis einer Einwilligung oder gesetzlichen Gestattung rechtens. Beides sei vorliegend nicht gegeben, insbesondere greife auch nicht § 28 BDSG – alt (Listenprivileg). Auch unter Berücksichtigung einer Interessenabwägung fiele die Entscheidung zu Lasten des Shopbetreibers aus.

Die Datenübermittlung an Facebook sei damit rechtswidrig, weswegen die Datenschutzbehörde den streitgegenständlichen Bescheid hätte erlassen dürfen.

Dem Beschluss sind zusammenfassend also folgende Aspekte zu entnehmen, die auch im Lichte der DSGVO Anwendung finden dürften:

E-Mailadressen sind personenbezogene Daten.
Das „hashen“ von E-Mailadressen stellt keine Anonymisierung dar, womit auch gehashte E-Mailadressen personenbezogene Daten sind.
Das Hochladen von gehashten E-Mailadressen an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks, gehashten Daten und der Erstellung einer Ausgangsaudience zu Werbezwecken bedarf einer Einwilligung des Betroffenen. Zudem überwiegt hier das berechtigte Interesse der betroffenen Person am Schutz seiner personenbezogenen Daten.

Rechtstipp aus dem Rechtsgebiet

IT-Recht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwältin Nina Hiddemann

Veröffentlicht von:

Rechtsanwältin Nina Hiddemann

IT-Recht

Datenschutzrecht • Allgemeines Vertragsrecht • Urheberrecht & Medienrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwältin Nina Hiddemann

NIS-2-Richtlinie - Ein kurzer Überblick

Unternehmen und öffentliche Einrichtigungen sind zunehmend Cyberangriffen ausgesetzt. Um das Cyberniveau in der EU verpflichtend auf ein hohes Niveau zu heben, ist inzwischen die sog. ... Weiterlesen
Kann ein Patient kostenlos eine Kopie seiner Patientenakte verlangen?

Diese Frage haben sich sicher schon viele Behandler und Patienten gestellt. Der Anspruch aus nationalem Zivilrecht Zivilrechtlich sieht das Bürgerliche Gesetzbuch in § 630g Abs. 1 BGB vor, dass ... Weiterlesen
Die bloße Verletzung einer DSGVO-Regelung begründet noch keinen immateriellen Schadenersatz

Ich "stolpere" immer wieder über Blogbeiträge von Kolleginnen und Kollegen, die damit werben Schadenersatzsansprüche durchzusetzen, weil bspw. personenbezogene Daten über ein Datenleck einer ... Weiterlesen

Alle Rechtstipps von Rechtsanwältin Nina Hiddemann

Weitere

Beiträge zum Thema

Datenschutz bei Facebook Custom Audience: Was Unternehmen beachten müssen!

18.01.2018

Datenschutz bei Facebook Custom Audience: Was Unternehmen beachten müssen! Von Dr. Marc Laukemann Die bayrischen ... Weiterlesen
Cookie-Speicherung nur bei aktiver Einwilligung des Nutzers

02.10.2019

Verwendet der Anbieter einer Website Ankreuzkästchen zur Einwilligung in die Nutzung von Cookies, in denen das ... Weiterlesen
WhatsApp und Facebook – Datenübermittlung auch ohne Einwilligung

21.09.2016

WhatsApp will Daten seiner Nutzer – wie insbesondere Telefonnummern in den Adressbüchern ihrer Smartphones – an ... Weiterlesen