Mit dem Tool „Facebook Custom Audience“ können Unternehmen Kunden, die ein Konto bei Facebook haben, auf diesem gezielt bewerben. Das Instrument erfreut sich großer Beliebtheit, es ist jedoch ohne ausdrückliche Einwilligung zumindest in einer der angewandten Methoden (Listenverfahren) datenschutzwidrig. Dies entschied der Bayerische VGH und bestätigte eine Löschungsanordnung des BayLDA.

Werbung möglichst zielgerichtet an den Mann oder die Frau zu bringen, ist ein vorrangiges Ziel von unternehmerischen Marketing-Aktivitäten. Beim Online-Marketing können hierzu unterschiedliche Verfahren eingesetzt werden. Eines ist das Facebook Custom Audience, mit dem sich Unternehmenskunden gezielt ansprechen lassen, wenn sie auch Nutzer von Facebook sind. Diesem Vorgehen hat nun der Bayerische Verwaltungsgerichtshof für eine Einsatzvariante Absage erteilt und damit eine Anordnung der Datenschutzaufsicht bestätigt.

Zwei Varianten des Marketing-Tools Facebook Custom Audience

Das Tool ist in zwei Varianten einsetzbar:

  1. Listen-Verfahren: Bei diesem überträgt das Unternehmen eine Liste der E-Mail-Adressen (bzw. der Telefonnummern und weiteren Daten) seiner Kunden an Facebook. Diese Liste gleicht Facebook dann mit den Daten der eigenen Nutzer ab und ermittelt die Übereinstimmungen. Die Daten werden dabei nicht im Klartext sondern in einer verschlüsselten Form per Hash-Wert übertragen und abgeglichen.
  2. Variante der Tracking-Verfahren: Die zweite Variante setzt auf spezielle Pixel auf den Websites der Unternehmen und ist somit eine Variante der Tracking-Verfahren. Über diese Pixel kann Facebook nun die Nutzer identifizieren und das Online-Verhalten nachvollziehen.

Beispiel zur werblichen Auswertung von User-Verhalten

So kann z.B. einem Nutzer, der auf einem Online-Shop ein Produkt schon in den Warenkorb gelegt hatte, den Bestellvorgang danach jedoch abbrach, auf Facebook anschließend eine Werbung für diesen Artikel eingeblendet werden.

Datenschutzbehörde verbietet Tool-Einsatz ohne Nutzer-Einwilligung

Gegen beide Varianten gibt es Datenschutzvorbehalte. Besonders groß sind dabei die Vorbehalte gegen das Listen-Verfahren. Darum erließ das bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Anordnung gegen einen Online-Shop, der diese Version von Facebook Custom Audience nutzte, ohne dazu die Einwilligung der Nutzer einzuholen.

Eine explizite Einwilligung sei zwingend notwendig, da hier Kundendaten direkt an einen Dritten weitergegeben werden, begründete die Behörde das Verbot.

Auch Bayerische VGH erlaubt Listen-Verfahren nur mit Nutzer-Einwilligung

Gegen diese Anordnung der Datenschutzaufsicht hatte der Shop-Betreiber vor dem Verwaltungsgericht Bayreuth gewandt, wo man jedoch die Auffassung vertrat, dass die Anordnung rechtmäßig ergangen sei (Beschluss v. 08.05.2018, B 1 S 18.105). Auch der Bayerische Verwaltungsgerichtshof hat die Ansicht der Datenschutzbehörde bestätigt und die Anordnung abgesegnet (Beschluss v. 26.09.2018, Az. 5 C S 18.1157).

  • Die Übermittlung der gehashten E-Mail-Adressen an Facebook im Rahmen des Dienstes „Custom Audience“ sei keine Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F.,
  • sondern als Übermittlung an einen Dritten (gem. § 3 Abs. 8 Satz 2 BDSG a.F.) zu werten,
  • diese bedarf nach § 4 Abs. 1 BDSG a.F. einer entsprechenden Einwilligung der Betroffenen oder einer gesetzlichen Gestattung der Datenübermittlung bedurft hätte.

Da weder eine Einwilligung der Betroffenen vorlag noch die Übermittlung der Daten gesetzlich gestattet war, konnte der Antragsgegner die Löschungsanordnung auf § 38 Abs. 5 Satz 1 BDSG a.F. stützen.

Bayerische VGH, Beschluss v. 26.09.2018, 5 C S 18.1157.

Bayerische Landesamt für Datenschutzaufsicht hat weitere Prüfungen angekündigt

Das BayLDA hat mittlerweile angekündigt, die Entscheidung des VGH zum Anlass zu nehmen, entsprechende Prüfungen auf weitere Branchen auszuweiten „und Verstöße nach dem neuen Bußgeldrahmen der DS-GVO zu sanktionieren.“ Damit könnten deutlich höhere Bußgelder auf die Betroffenen zukommen als nach den alten Regelungen, nach denen der hier dargestellte Sachverhalt noch beurteilt wurde.

Anforderungen an die Einwilligung

Für eine wirksame Einwilligung in das Listenverfahren

  • reicht es nicht aus, einfach eine vorformulierte Erklärung in die Datenschutzerklärung bzw. die AGBs der Seite aufzunehmen,
  • notwendig ist vielmehr eine separate Einwilligungserklärung, die der Nutzer etwa über das Anklicken einer Checkbox akzeptieren muss. 

Etwas weniger streng sind dagegen zumindest derzeit noch die Vorgaben bei der Nutzung der Pixel-Methode. Eine explizite Zustimmung ist hier nicht notwendig, es muss aber

  • auf den Einsatz von Custom Audience in der Datenschutzerklärung hingewiesen werden
  • und es muss auch ein Opt Out angeboten werden, durch den die Verwendung des Pixels unterbunden wird.

Datenschutzvorgaben für Pixel-Tool-Nutzung könnten noch strenger werden

Ob diese vereinfachte Lösung für das Pixel-Verfahren allerdings auch dauerhaft aufrecht erhalten bleibt, lässt sich derzeit nicht sagen. So sprach sich etwa die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vor einiger Zeit dafür aus, dass

  • jeglicher Einsatz von Tracking-Methoden,
  • zu denen auch dieses Pixel-Verfahren zählt,
  • eine Einwilligung voraussetzt.
  • Bislang ist diese Auffassung jedoch rechtlich nicht bindend.

Europäische E-Privacy-Verordnung soll Tracking regeln

Mehr Klarheit könnte die europäische E-Privacy-Verordnung bringen, die unter anderem diese Tracking-Problematik regeln will. Derzeit ist jedoch immer noch nicht absehbar, wann diese Verordnung, die eigentlich zusammen mit der DSGVO in Kraft treten sollte, denn nun wirklich kommen wird.

Weitere News zum Thema:

ePrivacy Verordnung

Datenschutzbehörde beanstandet bei 40 Unternehmen Einsatz von Marketing-Tool

Massenhaft Compliance-Verstöße bei Marken-Accounts

Hintergrund

In einer Pressemitteilung bietet die Bayerische Datenschutzbehörde (BayLDA) im Anhang umfangreiche Informationen, was Unternehmen beim Einsatz dieser Tools beachten müssen.

Zulässige Weitergabe im Rahmen einer Auftragsdatenverarbeitung

Für die Einordnung als Auftragsdatenverarbeitung kommt es maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten hat. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung ... von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen (Bayerischer VGH, Beschluss v. 26.09.2018, Az. 5 C S 18.1157) .