Custom Audiences von Facebook zu Werbezwecken unzulässig
Mit Beschluss vom 08.05.2018, Az. B 1 S 18.105 entschied das Verwaltungsgericht Bayreuth, dass die Weiterleitung von Kundendaten eines Unternehmens an Facebook zu Werbezwecken auf der Plattform unzulässig ist, solange seitens der Kunden hierzu keine Einwilligung vorliegt. Eine gesetzliche Rechtfertigung für die Übermittelung der Daten ergebe sich gerade nicht.
Zielgerichtete Werbung durch „Custom Audiences“
In der Sache stritten die Parteien um den Einsatz von sog. „Custom Audiences“ auf Facebook. Hierbei handelt es sich um Listen mit Informationen von Kunden, welche an Facebook zu zielgerichteter Werbung weitergegeben werden. Die Antragstellerin, Betreiberin eines Online-Shops mit Konto bei dem sozialen Netzwerk, lud die im Rahmen ihrer Tätigkeit erlangten Daten ihrer Kunden auf ihrem Account hoch. Die Datei wurde daraufhin innerhalb des Browsers verarbeitet, indem jede einzelne vorhandene E-Mail-Adresse in sog. Hashwerte umgewandelt wurde. Diese berechneten Werte wurden im Weiteren an einen Facebook-Server übermittelt. Mithin war es der Plattform möglich, die erhaltenen Hashwerte mit den eigenen Werten der E-Mail-Adressen aller Facebook-Mitglieder abzugleichen. Die hierbei übereinstimmenden Daten wurden anschließend in einer Kundenliste („Custom Audience“) zusammengefasst. Facebook konnte somit den auf diese Art und Weise ermittelten Mitgliedern Werbeanzeigen des besagten Unternehmens innerhalb des Portals anzeigen. Daneben konnte aufgrund der Auswertung weiterer Informationen auf dem Facebook-Account sowie der Aktivitäten und Interaktionen des Nutzers auch eine weitergehende, detaillierte Zielgruppenauswahl hinsichtlich der Werbung vorgenommen werden.
VG Bayreuth hielt „Custom Audiences“ für datenschutzwidrig
Das Verwaltungsgericht Bayreuth stufte den Einsatz solcher „Custom Audiences“ als datenschutzwidrig ein und schloss sich damit der Auffassung des Bayerischen Landesamtes für Datenschutz (Antragsgegnerin) an. Dieses hatte eine Anordnung erlassen, worin die Antragstellerin dazu verpflichtet wurde, die unter ihrem Facebook-Konto erstellten Kundenlisten zu löschen (Ziffer 1), wobei hierfür die sofortige Vollziehung angeordnet wurde (Ziffer 2). Zudem drohte die Behörde ein Zwangsgeld für den Fall der Nicht-Befolgung der Maßnahme an (Ziffer 3). Hiergegen war die Antragstellerin in einem einstweiligen Rechtsschutzverfahren vorgegangen.
E-Mail- Adressen durch „Hashen“ nicht anonymisiert
Nach Ansicht des Gerichts habe das Bayerische Landesamt für Datenschutzaufsicht die Ziffer 1 der ergangenen Anordnung zutreffend auf § 38 Abs. 5 S. 1 BDSG a.F. gestützt. Die E-Mail-Adressen würden grundsätzlich aufgrund der darin häufig enthaltenen Namensbestandteile einen Personenbezug aufweisen, weshalb sie als personenbezogene Daten gemäß § 3 Abs. 1 BDSG a.F. zu qualifizieren seien. Eine Anonymisierung der Daten im Sinne von § 3 Abs. 6 BDSG a.F. sei durch das Hashen mangels Aufhebung solcher Bestandteile gerade nicht erfolgt.
Facebook ist kein Auftragsdatenverarbeiter
Darüber hinaus schloss sich das Verwaltungsgericht der Auffassung der Antragsgegnerin an, dass die Übermittlung der Daten durch die Antragstellerin an Facebook keine Auftragsdatenverarbeitung nach § 11 Abs. 1 BDSG a.F. darstellt. Vielmehr erweise sich die Vorgehensweise nach den Ausführungen des Gerichts als Weiterleitung an Dritte, weshalb hierin eine Verarbeitung im Sinne von § 3 Abs. 4 S. 1 BDSG zu sehen sei. Entscheidend für diese Einschätzung sei, dass Facebook nicht als „verlängerter Arm“ der Antragstellerin tätig wird. Wie die Antragsgegnerin richtig zum Ausdruck brachte, bestimme das Portal in der Konstellation eigenständig, welche seiner Mitglieder nun beworben werden oder nicht. Dem sozialen Netzwerk komme also ein entsprechender Ermessensspielraum zu, welcher über eine rein datenverarbeitende Hilfsfunktion deutlich hinausgehe. Entgegen der Ansicht der Antragstellerin sei die Weitergabe der (gehashten) E-Mail-Adressen als integraler Bestandteil der Werbemaßnahme von Facebook einzustufen. Der bloßen Durchführung des Datenabgleichs komme keine eigenständige Bedeutung zu. Das Vorgehen müsse vielmehr insgesamt als einheitliches Geschehen betrachtet werden, auch wenn sich der Werbemechanismus aus mehreren datenschutzrechtlich relevanten Vorgängen zusammensetze. Mangels Annahme einer Auftragsdatenverarbeitung sei damit eine Übermittlung der Daten an einen Dritten anzunehmen (vgl. § 3 Abs. 8 S. 3 BDSG a.F.).
War Datenübermittlung gesetzlich erlaubt?
Eine den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, welche für die Zulässigkeit der Übermittlung aber erforderlich wäre, war für das Gericht nicht erkennbar. Mithin tat sich die Frage auf, ob die Datenübermittlung gesetzlich gestattet war. Dies wurde im Ergebnis vom Verwaltungsgericht aber abgelehnt. Es handele sich bei den gegenständlichen Daten zum einen nicht um sog. Listendaten, sodass eine Zulässigkeit gemäß § 28 Abs. 3 S. 2 BDSG a.F. ausscheide. Zum anderen ergebe sich eine Berechtigung zur Übermittlung der Daten auch nicht aus § 28 Abs. 3 S. 3 BDSG. Diese Norm erlaube schließlich lediglich das „Hinzuspeichern“, nicht jedoch eine eigene Übermittlungsbefugnis bezüglich weiterer Daten. Aufgrund der generellen Bezugnahme zu den sog. Listendaten nach § 28 Abs. 3 S. 2 BDSG a.F. könne auch § 28 Abs. 3 S. 4 BDSG a.F. nicht als Möglichkeit einer gesetzlichen Erlaubnis herangezogen werden. Außerdem sei die Weiterleitung der Daten auch nicht mit der Regelung des § 28 Abs. 3 S. 5 BDSG a.F. zu rechtfertigen.
Ist Rechtfertigung nach § 28 Abs. 1 BDSG a.F. denkbar?
Zuletzt wurde vom Gericht schließlich noch eine Gestattung der Datenübermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. auf Basis einer Interessenabwägung angedacht. Von einer Sperrwirkung des § 28 Abs. 3 BDSG a.F. sei nämlich infolge einer unionsrechtskonformen Auslegung und Anwendung der Norm nicht auszugehen. Jedoch müssten grundsätzlich die vom Gesetzgeber getroffenen Wertungen in § 28 Abs. 3 BDSG a.F. bei der Anwendung von § 28 Abs. 1 BDSG a.F. berücksichtigt werden. Voraussetzung für eine Erlaubnis nach § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. sei, dass die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist. Ferner dürfe kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse des Betroffenen überwiegt. Diese Kriterien seien jedoch laut Gericht im Ergebnis nicht erfüllt. Dies ergäbe sich zum einen aus dem Umstand, dass der Begriff „Erforderlichkeit“ hinsichtlich der Wahrung der berechtigten Adressen meint, dass es für die gegenständliche Verwendung der personenbezogenen Daten keine objektiv zumutbare Alternative gibt. Dem müsse jedoch entgegengehalten werden, dass es der Antragstellerin möglich gewesen wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an Facebook von ihren Kunden einzuholen. Zum anderen sei zu berücksichtigen, dass auch für die Unterstellung, dass es sich bei den streitigen Daten um sog. Listendaten im Sinne von § 28 Abs. 3 BDSG a.F. handelt, keine Gestattung der Verwendung nach der besagten Vorschrift eintritt. Listendaten dürften schließlich gemäß § 28 Abs. 3 S. 2 Nr. 1 BDSG nur für eigene Werbezwecke gebraucht werden. Eine Übermittlung an Dritte sei von der Regelung allerdings nicht umfasst. Vor diesem Hintergrund sei auch keine Rechtfertigung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG a.F. denkbar.
Löschungsanordnung erging rechtmäßig
Mangels konkreter Einwilligung und gesetzlicher Gestattung müsse die Übermittlung der Daten an Facebook daher als unzulässig nach § 4 Abs. 1 BDSG a.F. angesehen werden.
Andere Rechtmäßigkeitsbedenken hinsichtlich der Löschungsanordnung der Antragsgegnerin ergäben sich für das Gericht entgegen der Ansicht der Antragstellerin im Weiteren nicht. Insbesondere seien keine Ermessensfehler der Behörde im Sinne von § 114 S. 1 VwGO auszumachen.
Da sich das Verhalten der Antragstellerin als datenschutzrechtswidrig erweise, müsse die im Rahmen des einstweiligen Rechtschutzverfahrens vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zum Nachteil dieser ausfallen. Zudem erfülle auch die Anordnung des Sofortvollzugs (Ziffer 2) die formellen Anforderungen des § 80 Abs. 3 S. 1 VwGO. Der Antrag der Antragstellerin sei mithin abzulehnen.
Verwaltungsgericht Bayreuth, Beschluss vom 08.05.2018, Az. B 1 S 18.105
von Sabrina Schmidbaur