Bayerische VGH zur Nutzung von Facebook Costum Audience

Haufe Online Redaktion

Einsatz von Facebook Custom Audience setzt Einwilligung voraus — Bild: Haufe Online Redaktion Mit dem Tool „Facebook Custom Audience“ werden Kunden, die ein Konto bei Facebook haben, auf diesem beworben

Mit dem Tool „Facebook Custom Audience“ können Unternehmen Kunden, die ein Konto bei Facebook haben, auf diesem gezielt bewerben. Das Instrument erfreut sich großer Beliebtheit, es ist jedoch ohne ausdrückliche Einwilligung zumindest in einer der angewandten Methoden (Listenverfahren) datenschutzwidrig. Dies entschied der Bayerische VGH und bestätigte eine Löschungsanordnung des BayLDA.

Werbung möglichst zielgerichtet an den Mann oder die Frau zu bringen, ist ein vorrangiges Ziel von unternehmerischen Marketing-Aktivitäten. Beim Online-Marketing können hierzu unterschiedliche Verfahren eingesetzt werden. Eines ist das Facebook Custom Audience, mit dem sich Unternehmenskunden gezielt ansprechen lassen, wenn sie auch Nutzer von Facebook sind. Diesem Vorgehen hat nun der Bayerische Verwaltungsgerichtshof für eine Einsatzvariante Absage erteilt und damit eine Anordnung der Datenschutzaufsicht bestätigt.

Zwei Varianten des Marketing-Tools Facebook Custom Audience

Das Tool ist in zwei Varianten einsetzbar:

Listen-Verfahren: Bei diesem überträgt das Unternehmen eine Liste der E-Mail-Adressen (bzw. der Telefonnummern und weiteren Daten) seiner Kunden an Facebook. Diese Liste gleicht Facebook dann mit den Daten der eigenen Nutzer ab und ermittelt die Übereinstimmungen. Die Daten werden dabei nicht im Klartext sondern in einer verschlüsselten Form per Hash-Wert übertragen und abgeglichen.
Variante der Tracking-Verfahren: Die zweite Variante setzt auf spezielle Pixel auf den Websites der Unternehmen und ist somit eine Variante der Tracking-Verfahren. Über diese Pixel kann Facebook nun die Nutzer identifizieren und das Online-Verhalten nachvollziehen.

Beispiel zur werblichen Auswertung von User-Verhalten

So kann z.B. einem Nutzer, der auf einem Online-Shop ein Produkt schon in den Warenkorb gelegt hatte, den Bestellvorgang danach jedoch abbrach, auf Facebook anschließend eine Werbung für diesen Artikel eingeblendet werden.

Datenschutzbehörde verbietet Tool-Einsatz ohne Nutzer-Einwilligung

Gegen beide Varianten gibt es Datenschutzvorbehalte. Besonders groß sind dabei die Vorbehalte gegen das Listen-Verfahren. Darum erließ das bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine Anordnung gegen einen Online-Shop, der diese Version von Facebook Custom Audience nutzte, ohne dazu die Einwilligung der Nutzer einzuholen.

Eine explizite Einwilligung sei zwingend notwendig, da hier Kundendaten direkt an einen Dritten weitergegeben werden, begründete die Behörde das Verbot.

Auch Bayerische VGH erlaubt Listen-Verfahren nur mit Nutzer-Einwilligung

Gegen diese Anordnung der Datenschutzaufsicht hatte der Shop-Betreiber vor dem Verwaltungsgericht Bayreuth gewandt, wo man jedoch die Auffassung vertrat, dass die Anordnung rechtmäßig ergangen sei (Beschluss v. 08.05.2018, B 1 S 18.105). Auch der Bayerische Verwaltungsgerichtshof hat die Ansicht der Datenschutzbehörde bestätigt und die Anordnung abgesegnet (Beschluss v. 26.09.2018, Az. 5 C S 18.1157).

Die Übermittlung der gehashten E-Mail-Adressen an Facebook im Rahmen des Dienstes „Custom Audience“ sei keine Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F.,
sondern als Übermittlung an einen Dritten (gem. § 3 Abs. 8 Satz 2 BDSG a.F.) zu werten,
diese bedarf nach § 4 Abs. 1 BDSG a.F. einer entsprechenden Einwilligung der Betroffenen oder einer gesetzlichen Gestattung der Datenübermittlung bedurft hätte.

Da weder eine Einwilligung der Betroffenen vorlag noch die Übermittlung der Daten gesetzlich gestattet war, konnte der Antragsgegner die Löschungsanordnung auf § 38 Abs. 5 Satz 1 BDSG a.F. stützen.

Bayerische VGH, Beschluss v. 26.09.2018, 5 C S 18.1157.

Bayerische Landesamt für Datenschutzaufsicht hat weitere Prüfungen angekündigt

Das BayLDA hat mittlerweile angekündigt, die Entscheidung des VGH zum Anlass zu nehmen, entsprechende Prüfungen auf weitere Branchen auszuweiten „und Verstöße nach dem neuen Bußgeldrahmen der DS-GVO zu sanktionieren.“ Damit könnten deutlich höhere Bußgelder auf die Betroffenen zukommen als nach den alten Regelungen, nach denen der hier dargestellte Sachverhalt noch beurteilt wurde.

Anforderungen an die Einwilligung

Für eine wirksame Einwilligung in das Listenverfahren

reicht es nicht aus, einfach eine vorformulierte Erklärung in die Datenschutzerklärung bzw. die AGBs der Seite aufzunehmen,
notwendig ist vielmehr eine separate Einwilligungserklärung, die der Nutzer etwa über das Anklicken einer Checkbox akzeptieren muss.

Etwas weniger streng sind dagegen zumindest derzeit noch die Vorgaben bei der Nutzung der Pixel-Methode. Eine explizite Zustimmung ist hier nicht notwendig, es muss aber

auf den Einsatz von Custom Audience in der Datenschutzerklärung hingewiesen werden
und es muss auch ein Opt Out angeboten werden, durch den die Verwendung des Pixels unterbunden wird.

Datenschutzvorgaben für Pixel-Tool-Nutzung könnten noch strenger werden

Ob diese vereinfachte Lösung für das Pixel-Verfahren allerdings auch dauerhaft aufrecht erhalten bleibt, lässt sich derzeit nicht sagen. So sprach sich etwa die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) vor einiger Zeit dafür aus, dass

jeglicher Einsatz von Tracking-Methoden,
zu denen auch dieses Pixel-Verfahren zählt,
eine Einwilligung voraussetzt.
Bislang ist diese Auffassung jedoch rechtlich nicht bindend.

Europäische E-Privacy-Verordnung soll Tracking regeln

Mehr Klarheit könnte die europäische E-Privacy-Verordnung bringen, die unter anderem diese Tracking-Problematik regeln will. Derzeit ist jedoch immer noch nicht absehbar, wann diese Verordnung, die eigentlich zusammen mit der DSGVO in Kraft treten sollte, denn nun wirklich kommen wird.

Weitere News zum Thema:

Datenschutzbehörde beanstandet bei 40 Unternehmen Einsatz von Marketing-Tool

Hintergrund

In einer Pressemitteilung bietet die Bayerische Datenschutzbehörde (BayLDA) im Anhang umfangreiche Informationen, was Unternehmen beim Einsatz dieser Tools beachten müssen.

Zulässige Weitergabe im Rahmen einer Auftragsdatenverarbeitung

Für die Einordnung als Auftragsdatenverarbeitung kommt es maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten hat. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung ... von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen (Bayerischer VGH, Beschluss v. 26.09.2018, Az. 5 C S 18.1157) .

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Einsatz des Marketing-Tools "Facebook Custom Audience" setzt Einwilligung voraus