Zur Navigation springen Zum Inhalt springen Zum Footer springen

VG Bayreuth: Facebook Custom Audience über Kundenlisten ohne Einwilligung des Nutzers rechtswidrig

(1)

Das Verwaltungsgericht Bayreuth hat im Rahmen eines einstweiligen Rechtsschutzverfahrens mit Beschluss vom 05. Mai 2018, Az. B 1 S 18.105, Stellung zur Datenschutzkonformität des von Facebook angebotenen Dienstes Custom Audience genommen. Es hat insoweit festgestellt, dass die Nutzung von Facebook Custom Audience mit Kundenlisten unter Verwendung sog. gehashter (nach Rechenvorschrift [SHA] pseudonymisierter) E-Mailadressen nach BDSG-alt rechtswidrig ist.

Der Beschluss basiert noch auf dem „alten“ Bundesdatenschutzgesetz. Die Ausführungen treffen aber auch auf die Rechtslage seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz zu.

Worum ging es?

Gestritten hatte sich ein Onlineshopbetreiber mit dem Bayerischen Landesamt für Datenschutzaufsicht. Der Shopbetreiber unterhielt neben dem Onlineshop ein Konto bei dem sozialen Netzwerk Facebook und nutzte den Service Custom Audience, in dessen Rahmen Kundenlisten erstellt wurden. Mit Bescheid vom 16.01.2018 erließ die Datenschutzbehörde eine Anordnung, in deren Rahmen der Shopbetreiber verpflichtet wurde, binnen zwei Wochen die unter dem Facebook-Konto erstellen Kundenlisten (Custom Audiences) zu löschen. Die Behörde ordnete die sofortige Vollziehung an und drohte ein Zwangsgeld in Höhe von € 10.000,00 an. Gegen den Bescheid erhob der Shopbetreiber Klage. Ferner beantragte er im Rahmen des einstweiligen Rechtsschutzverfahrens die Wiederherstellung der aufschiebenden Wirkung.

Die Anordnung der Behörde wurde damit begründet, dass der Dienst Facebook Custom Audience wie folgt gestaltet sei und in dieser Form vom Shopbetreiber genutzt werde:

Das Unternehmen würde zunächst eine Liste mit seinen eigenen Kunden in dem Facebook Konto hochladen. Die Listen könnten insoweit neben E-Mailadressen auch Telefonnummern, Namen etc. enthalten. Anschließend pseudonymisiere der Shopbetreiber die E-Mailadressen mittels kryptographischen Hashfunktion-SHA 256 in einen Hashwert. Nachfolgend finde eine Übermittlung der einzelnen Hashwerte an einen Facebook-Server statt. Im Anschluss daran gleiche Facebook die Hashwerte mit den eigenen Hashwerten der E-Mailadressen aller Facebook-Mitglieder ab. Dies erlaube Facebook anhand der Hashwerte E-Mailadressen und dazugehörige Personen (Mitglieder) zu ermitteln. Diese ermittelten Mitglieder würden so die Custom Audience bilden. Nach Erstellung dieser Custom Audience entwerfe der Shopbetreiber Werbeanzeigen. Facebook- Mitglieder, die sich auf der Kundenliste befänden, erhielten so nun zielgerichtet Werbung, die durch Facebook innerhalb des Facebook-Profils des Nutzers ausgesendet werde. Darüber hinaus verwerte Facebook weitere Informationen aus unterschiedlichen Quellen. Welche konkreten Nutzer beworben worden seien, erfahre der Shopbetreiber nicht, dies werde von Facebook entschieden. Das Werbeangebot stelle ein wesentliches Geschäftsmodell der Muttergesellschaft von Facebook dar. Für Nutzer sei Facebook kostenlos nutzbar.

Im Rahmen einer Stellungnahme des Shopbetreibers vertrat dieser u. a. die Auffassung es läge eine Auftragsdatenverarbeitung vor, weshalb er Custom Audience weiter verwenden werde. Die Behörde erließ daraufhin den Bescheid, gegen der Shopbetreiber Klage erhob und einstweiligen Rechtsschutz beantragte.

Die Entscheidung des Verwaltungsgerichts

Das Verwaltungsgericht Bayreuth wies den Antrag auf Wiederherstellung der aufschiebenden Wirkung kostenpflichtig zurück und kam zu dem Ergebnis, dass die Erfolgsaussichten der Klage gegen den Bescheid nach summarischer Prüfung ohne Erfolg bleiben werde.

Das Gericht vertritt die Auffassung, dass die von der Behörde beanstandete Übermittlung gehashter E-Mailadressen datenschutzrechtlich unzulässig ist. Nach § 4 Abs. 1 BDSG-alt sei die Datenverarbeitung von personenbezogenen Daten nur zulässig, soweit eine Rechtsgrundlage vorliege oder der Betroffene eingewilligt habe.

Bei den E-Mailadressen handle es sich um personenbezogene Daten. Der Vorgang des „Hashens“ stelle insoweit keine Anonymisierung dar, weil der Personenbezug nicht völlig aufgehoben werde. Es sei vielmehr ohne größeren Aufwand möglich, die Hashwerte einer natürlichen Person zuzuordnen, zumal ein Datenabgleich durch Facebook möglich sei.

Zwar dürften personenbezogene Daten an Auftragsverarbeiter ohne Einwilligung und gesetzliche Erlaubnis übermittelt werden, eine Auftragsverarbeitung läge aber bei diesem Dienst nicht vor. Facebook fungiere hier nicht als „verlängerter Arm“ des Unternehmens, sondern verfüge über eigene Spielräume im Hinblick auf die Entscheidung, wer konkret beworben wird.

Die Datenschutzbehörde sei zutreffend davon ausgegangen, dass das Marketing Tool „Facebook Custom Audience über die Kundeliste“ ein einheitlicher Vorgang sei. Dieses Instrument könne nicht in Einzelteile zerlegt werden. Die Übermittlung der gehashten E-Mailadressen stelle ein integraler Bestandteil der Werbemaßnahme bei. Aus diesem Grund läge keine Auftragsverarbeitung vor, denn Facebook entscheide darüber wer beworben wird und wer nicht. Insoweit sei die Datenübermittlung nur auf Basis einer Einwilligung oder gesetzlichen Gestattung rechtens. Beides sei vorliegend nicht gegeben, insbesondere greife auch nicht § 28 BDSG – alt (Listenprivileg). Auch unter Berücksichtigung einer Interessenabwägung fiele die Entscheidung zu Lasten des Shopbetreibers aus.

Die Datenübermittlung an Facebook sei damit rechtswidrig, weswegen die Datenschutzbehörde den streitgegenständlichen Bescheid hätte erlassen dürfen.

Dem Beschluss sind zusammenfassend also folgende Aspekte zu entnehmen, die auch im Lichte der DSGVO Anwendung finden dürften:

  1. E-Mailadressen sind personenbezogene Daten.
  2. Das „hashen“ von E-Mailadressen stellt keine Anonymisierung dar, womit auch gehashte E-Mailadressen personenbezogene Daten sind.
  3. Das Hochladen von gehashten E-Mailadressen an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks, gehashten Daten und der Erstellung einer Ausgangsaudience zu Werbezwecken bedarf einer Einwilligung des Betroffenen. Zudem überwiegt hier das berechtigte Interesse der betroffenen Person am Schutz seiner personenbezogenen Daten.

Rechtstipp vom 20.08.2018
aus der Themenwelt Facebook und Co. und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwältin Nina Hiddemann (Fachanwaltskanzlei für IT-Recht)

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.