Sie befinden sich hier:

Facebook Custom Audience ohne Einwilligung unzulässig

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) untersagte einem Online-Händler den Einsatz von „Facebook Custom Audience“, einem Marketing-Werkzeug von Facebook. Der Händler klagte gegen diese Anordnung. Nun entschied das Verwaltungsgericht Bayreuth im Eilverfahren und teilte die Auffassung des BayLDA: Wer „Facebook Custom Audience“ ohne Einwilligung des Nutzers einsetzt, verstößt gegen das Datenschutzrecht.

Im Jahr 2016 prüfte das BayLDA bei über 40 Unternehmen in Bayern, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ eingesetzt wurde. Dabei wurde festgestellt, dass bei den meisten Unternehmen ein Verstoß gegen datenschutzrechtliche Pflichten vorlag. Viele Unternehmen verzichteten daraufhin auf die weitete Nutzung dieses Marketing-Werkzeugs. Ein Unternehmen weigerte sich allerdings, den Aufforderungen des BayLDA nachzukommen. Dieser Online-Händler hatte mit „„Facebook Custom Audience über die Kundenliste“ eine Kundenliste mit E-Mail-Adressen erstellt und diese in seinem Facebook-Account hochgeladen. Dabei werden die Kundendaten unter Einsatz eines sogenannten Hash-Verfahrens in feste Zeichenketten (z.B. Max Mustermann = dddfab9b5b8a360150547065daff114ff218b39c8b0986b761075977aeeca3c3) umgewandelt. Danach gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde des Online-Shops auch Mitglied bei Facebook ist. Zwar werden die hochgeladenen Kundenlisten nach dem Abgleich wieder gelöscht, Facebook merkt sich aber, welche Facebook-Nutzer in der Kundenliste standen. Der Online-Shop kann dann eine oder mehrere Werbekampagne(n) auf Facebook für seine Kunden starten.

Die Weitergabe der Liste der Kunden des Online-Shops an Facebook, unabhängig davon, ob diese Kunden Mitglied bei Facebook sind oder nicht, darf nach Auffassung des BayLDA nur mit einer ausdrücklichen und informierten Einwilligung der Kunden des Online-Shops erfolgen. Der Online-Shop war dagegen der Auffassung, es könnte die Daten ihrer eigenen Kunden auch ohne deren Einwilligung an Facebook übermitteln.

Daraufhin erließ das BayLDA eine Anordnung und forderte das Unternehmen auf, „Facebook Custom Audience“ ohne Einwilligung der Nutzer nicht mehr einzusetzen und erklärte diese Anordnung für sofort vollziehbar. Das Unternehmen wehrte sich gegen die Anordnung und klagte schließlich vor dem Verwaltungsgericht.

Das Verwaltungsgericht Bayreuth bestätigte im Eilverfahren die Auffassung des BayLDA und begründete dies im Wesentlichen wie folgt:

  • Das eingesetzte Hash-Verfahren SHA-256 ist nicht geeignet, um personenbezogene Daten zu anonymisieren.
  • Facebook ist nicht Auftragnehmer des Unternehmens, sondern eine eigene verantwortliche Stelle.
  • Das Hochladen der Kundenliste stellt eine Übermittlung personenbezogener Daten dar.
  • Diese Übermittlung kann auf keine Rechtsgrundlage gestützt werden.
  • Insbesondere kann die Übermittlung nicht auf eine Interessenabwägung gestützt werden.
  • Daher ist der Einsatz nur aufgrund einer vorigen informierten Einwilligung des Nutzers zulässig.

Zwar wurden die Anordnung des BayLDA und die Entscheidung des Verwaltungsgerichts Bayreuth vor dem 25. Mai 2018, also vor Geltung der Datenschutz-Grundverordnung erlassen. Die Anordnung des BayLDA berücksichtigte jedoch schon vorsorglich die neue Rechtslage.

Fundstellen

nach oben