Mit dem Beschluss des Verwaltungsgericht Bayreuth (v. 08.05.2018 – Az.: B 1 S 18.105) liegt nunmehr die erste Entscheidung eines Gerichts über den Einsatz von Facebook Custom Audiences vor. In seinem Beschluss bestätigt das VG Bayreuth die Auffassung des BayLDA und stellt fest, dass der Bescheid der bayrischen Aufsichtsbehörde rechtmäßig ergangen ist. Im Rahmen der Überprüfung wurde nur die Variante von Facebook Custom Audiences über die Kundenliste berücksichtigt.
Der Inhalt im Überblick
Funktionsweise von Facebook Custom Audiences
Durch einen Werbetreibenden werden Kundenlisten gehashed auf Facebook hochgeladen und durch Facebook mit eigenen Hashwerten abgeglichen. Den auf diese Weise von Facebook identifizierten Nutzern können Werbeanzeigen des Werbetreibenden eingeblendet werden. Näheres dazu finden Sie in unserem Artikel Facebook „Custom Audiences“: Vereinbar mit dem Datenschutz?.
Kurz zum Sachverhalt
Diese Facebook-Funktion nutzte auch die Antragstellerin aus dem o.g. Verfahren, die einen Online-Shop betreibt, um in den von Facebook ermittelten Zielgruppen zu werben. Die Antragstellerin nutze für den Facebook-Dienst insbesondere E-Mail-Adressen ihrer Kunden, die z.B. im Rahmen von Bestellvorgängen erhoben worden seien. Eine Einwilligung der Kunden, welche die Nutzung ihrer E-Mail-Adressen für Facebook Custom Audiences umfasst, habe nicht vorgelegen. Die Antragstellerin hatte mit Facebook eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen.
Das BayLDA hat in einem Bescheid gegenüber der Antragstellerin die Löschung, der unter ihrem Facebook-Account erstellten Kundenlisten, angeordnet. Die Antragstellerin ist der Auffassung, dass ein Auftragsdatenverarbeitungsverhältnis zwischen ihr und Facebook gegeben sei.
Über die Position des BayLDA berichteten wir.
Beschluss des VG Bayreuth
Das VG Bayreuth kommt zu dem Ergebnis, dass der Einsatz von Facebook Custom Audiences über die Kundenliste ohne vorherige Einwilligung der Betroffenen rechtswidrig ist. Insbesondere sei das verwendete Hashverfahren SHA-256 nicht zur Anonymisierung der personenbezogenen Daten geeignet (so auch die Ansicht des BayLDA). Die Daten würden nach dem Hashen für die personalisierte Werbung verwendet, dabei sei ein Rückschluss auf einen konkreten Facebook-User möglich. Facebook könne durch Vergleichen der Hashwerte, mit nicht nur unverhältnismäßigem Aufwand, feststellen, welcher Facebook-User auch Kunde des Werbetreibenden sei.
Es handle sich bei der Übermittlung der gehashten E-Mail-Adressen auch nicht um eine Übermittlung für die Zwecke einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte. Der Auftragnehmer einer Auftragsdatenverarbeitung darf nur weisungsgebunden, also ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig werden.
Das sei laut dem VG Bayreuth bei Facebook Custom Audiences gerade nicht der Fall:
„… vielmehr [sei] von einer sog. „Funktionsübertragung“ auszugehen. Auch wenn es zutreffen mag, dass nach der Vereinbarung zwischen der Antragstellerin und Facebook festgelegt worden ist, dass der Zweck der Auftragsdatenverarbeitung hier in der Durchführung einer Überschneidungsanalyse bzw. Erstellung einer Vergleichsaudience liegt, fungiert Facebook in der Konstellation nicht gleichsam als „verlängerter Arm“ der Antragstellerin. Wer schließlich konkret beworben wird, liegt hier allein im Ermessen Facebook (…) Insoweit liegt ein erheblicher Spielraum Facebooks vor, der über eine rein datenverarbeitende Hilfsfunktion, durch die eine Auftragsdatenverarbeitung gekennzeichnet ist, deutlich hinausgeht.“
Die Antragstellerin könne die Zulässigkeit der Datenübermittlung des Weiteren nicht auf das sog. „Listenprivileg“ nach § 28 Abs. 3 Satz 2 BDSG-alt stützen, da es sich bei E-Mail-Adressen schon nicht um sog. Listendaten handele.
Nach Interessenabwägung des VG gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG-alt überwiegen die Interessen der Kunden. Dabei hat das VG Bayreuth u.a. berücksichtigt, dass die Antragstellerin die Daten vor allem im Rahmen von Bestellvorgängen erhebt und es ihr daher ohne unverhältnismäßig großen Aufwand möglich wäre, Einwilligungen zur Übermittlung der Daten an Facebook einzuholen.
Facebook Custom Audiences nicht ohne Einwilligung
Auch wenn der Beschluss des VG Bayreuth noch auf Grundlage des BDSG-alt ergangen ist dürfte sich an dem Ergebnis auf Grund der DSGVO nichts ändern. Eine dem sog. „Listenprivileg“ entsprechende Regelung existiert hier nach ohnehin nicht und in einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO dürften die gleichen Aspekte zu berücksichtigen sein, wie in dem Beschluss des VG.
Daher sollten Sie Facebook Custom Audiences nicht ohne Einwilligungen Ihrer Kunden nutzen. Eine Vereinbarung zur Auftragsvereinbarung wird ebenso wie ein Vertrag über die Auftragsdatenverarbeitung nicht genügen. Auch im Hinblick auf das jüngste EuGH-Urteil sind hier weitere Entscheidungen zu erwarten.
Der Anwendungsbereich der Auftragsverarbeitung DSGVO ist viel größer, so dass ich das Ergebnis nicht unbedingt nachvollziehen kann.