Noch immer nutzen viele Unternehmen Custom Audiences bei sozialen Netzwerken, um Werbung zielgenau nur an solche Personen auszuliefern, mit dem sie zuvor in Kontakt standen. Zu diesem Zweck werden E-Mail-Adressen – in verschlüsselter Form – bei den Netzwerken zum Abgleich hochgeladen. Der Verwaltungsgerichtshof Bayern hat nun entschieden, dass diese Praxis datenschutzwidrig ist.
In seinem Beschluss vom 26.09.2018 (Az. 5 CS 18. 1157) hat der VGH München entschieden, dass Custom Audience ohne die Einwilligung der Betroffenen nach BDSG a.F. datenschutzrechtlich unzulässig ist. Damit bestätigte der VGH das Urteil der Vorinstanz und vorherige Äußerungen der bayerischen Aufsichtsbehörde.
Facebook Custom Audience mit E-Mail-Listen
Facebook Custom Audience ermöglicht ein zielgruppengenaues Targeting von Werbeanzeigen auf Facebook. Durch Custom Audience bietet Facebook die Möglichkeit, einzelne Kunden gezielt im sozialen Netzwerk über Werbeanzeigen anzusprechen. Dabei muss das werbende Unternehmen seine Kundenliste an Facebook schicken. Kann Facebook die E-Mail einem Mitglied zuordnen, wird die Werbung ausgeliefert. Der Upload erfolgt dabei nicht im Klartext, sondern verschlüsselt unter Einsatz eines Hash-Verfahrens. Facebook gleicht dann die mit dem gleichen Hash-Verfahren verfremdeten Datensätze ab, um eine Übereinstimmung festzustellen.
LDA Bayern: Aufforderung zur Löschung
Die bayerischen Datenschützer halten dieses Verfahren für einen Datenschutzverstoß. Dabei stört sich die Behörde am eingesetzten Hash-Verfahren, das eine einfache Rückrechnung erlaube. Auf diese Weise ließen sich insbesondere die übermittelten E-Mail-Adressen aus den Hashwerten ohne Weiteres wieder ermitteln. Selbst mit einem sichereren Hashverfahren wäre eine andere Beurteilung wohl nicht gerechtfertigt: Zwar ist die E-Mail-Adresse nicht ohne Weiteres auslesbar. Über den Abgleich weiß Facebook aber jedenfalls bei einem Match, dass sich das betreffende Mitglied in der Kundenliste befindet und kann das Profil des Mitglieds um diese Information anreichern. Dies lässt sich mit berechtigten Interessen des werbenden Unternehmens (oder Facebook) kaum rechtfertigen.
Zu Gericht gelangte das Verfahren im Übrigen, weil ein Online-Shop eine Verfügung der Datenschutzaufsichtsbehörde in Bayern nicht akzeptieren wollte. Diese hatte dem Shopbetreiber die weitere Nutzung der Audiences untersagt und aufgegeben, die unter ihrem Facebook-Konto erstellten Daten zu löschen.
Einwilligungserfordernis
Streitgegenstand waren vorliegend die E-Mail-Adressen der Kunden des Unternehmens, welche an Facebook weitergeleitet wurden. Das Gericht stellte fest, es handle sich bei den E-Mail-Adressen um personenbezogene Daten, die durch den Vorgang des Hashens nicht anonymisiert würden. Durch das Hashen werde der Personenbezug nicht völlig aufgehoben und es sei ohne unverhältnismäßigen Aufwand möglich, die Daten einer bestimmten oder bestimmbaren Person zuzuordnen. Insofern sei eine konkrete Einwilligung des Betroffenen in die Übermittlung seiner Daten an Facebook erforderlich. Die Einwilligung kann dabei nur wirksam sein, wenn der Kunde auch weiß worin er einwilligt. Dies schließt es aus, die Einwilligungen in den AGB zu verstecken und sich mit einem Hinweis auf die AGB zu begnügen. Vielmehr muss eine solche Einwilligung gesondert und freiwillig erteil werden.
Sofern keine ausdrückliche Einwilligung des Betroffenen vorliegt, ist der Upload nach Ansicht der Münchener Richter unzulässig.
Einwilligungserfordernis auch nach DSGVO
Nicht verkannt werden darf, dass der Beschluss des VGH München zur alten Rechtslage nach BDSG alter Fassung erging, da es vorliegend auf die Rechtslage im Zeitpunkt der letzten behördlichen Entscheidung ankam. Seit dem 25. Mai 2018 gilt jedoch die Datenschutzgrundverordnung (DSGVO). Für Facebook Custom Audience ändert sich allerdings prinzipiell nicht viel. Auch nach neuem Recht wird es schwierig, eine gesetzliche Grundlage für den Datenabgleich mit Facebook jenseits der Einwilligung zu finden. Insofern bleibt es auch aktuell bei dem Einwilligungserfordernis. Somit bildet Custom Audience ohne eine entsprechende Einwilligung der Betroffenen in die Übermittlung seiner Daten einen DSGVO-Verstoß.
Keine Auftragsdatenverarbeitung durch Facebook
Das Gericht äußert sich auch zu einem weiteren – sehr aktuellen – Dauerbrenner. Der Shopbetreiber hatte sich unter anderem damit verteidigt, dass Facebook hinsichtlich der Werbeschaltung nur Auftragnehmer einer Auftragsdatenverarbeitung sei. Dem erteilte das Gericht aber eine Absage.
Für die Bewertung, ob Facebook im Rahmen einer Auftragsdatenverarbeitung tätig wird, sei auf die vollständige und bestimmungsgemäße Nutzung des Dienstes „Facebook Custom Audience“ abzustellen. Dabei komme es maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten hat. Denn nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtige dazu, die Datenübertragung an einen Auftragsdatenverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten anzunehmen.
Im vorliegenden Fall entscheidet Facebook jedoch selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder, welche Nutzer der Zielgruppenbestimmung dem betroffenen Unternehmen entsprechen und beworben werden. Somit trifft Facebook die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und verfügbaren Profildaten und ist allein in der Lage, die zu bewerbenden Kunden zu ermitteln und die Werbung auszuspielen. Da Facebook insofern einen eigenen Entscheidungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat, erfolgt die Übermittlung der gehashten E-Mail-Adressen, nach Auffassung des VGH München, nicht im Wege einer Auftragsdatenverarbeitung.
Vielmehr dürfte man auch für Custom Audience – wie schon bei den Betrieb von Facebook Fanpages und wohl auch bei der Einbindung von Facebook Widgets – von einer gemeinsamen Verantwortlichkeit ausgehen.
Fazit: Custom Audience über Kundenliste besser bleiben lassen
Die Aussteuerung von Werbung über Kundenlisten sollte man besser bleiben lassen. Dies gilt umso mehr, als anders als früher für die Nutzer ohne Weiteres zu erkennen ist, welche Unternehmen Daten ihrer Kunden bei Facebook zu Werbezwecken hochgeladen haben. Unter
„Einstellungen → Werbeanzeigen → Werbekunden → Die eine Zielgruppe zu Facebook hinzugefügt haben“ kann der Nutzer eine Liste der Werbenden einsehen. Von dort ist es zur Geltendmachung von Auskunftsansprüchen nicht mehr weit.