Einwilligung für Facebook Custom Audiences erforderlich
Der Verwaltungsgerichtshof München entschied am 26.09.2018, dass der Einsatz von Facebook Custom Audiences ohne Einwilligung vom Betroffenen datenschutzwidrig sei.
Facebook Custom Audience datenschutzwidrig?
Die Antragstellerin betrieb einen Online-Shop. Damit war sie auch auf Facebook präsent. Zur Schaltung zielgerichteter Werbung auf Facebook nutzte sie den Dienst „Facebook Custom Audience“. Damit wird eine Liste mit eigenen Kundendaten innerhalb des eigenen Facebook-Kontos hochgeladen, für jede einzelne E-Mail-Adresse ein sogenannter Hashwert berechnet und dieser an einen Facebook-Server übermittelt. Facebook gleicht die erhaltenen Hashwerte mit E-Mail-Adressen aller Facebook-Mitglieder ab und stellt so fest, welcher Kunde des Unternehmers auch Facebook-Nutzer ist. Somit ist es Unternehmen, Facebook und auch der Antragstellerin möglich, gezielt Werbung für ihre Kunden zu schalten. Das Bayerische Landesamt für Datenschutzaufsicht verpflichtete die Antragstellerin, die unter ihrem Facebook-Konto erstellte „Custom Audiences“ zu löschen und ordnete die sofortige Vollziehung an. Gegen diesen Bescheid klagte die Antragstellerin. Die Vorinstanz lehnte die Klage wegen fehlender Erfolgsaussichten ab. Dagegen wehrte sich die Antragstellerin.
Datenübermittlung an Dritte oder Auftragsdatenverarbeitung
Der Verwaltungsgerichtshof München entschied, die behördliche Entscheidung sei aufgrund des bis zum 24. Mai 2018 geltenden Bundesdatenschutzgesetzes (BDSG) zu beurteilen. Danach komme es darauf an, ob der Dienst „Custom Audience“ als Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F. anzusehen sei oder als Übermittlung an einen Dritten gem. § 3 Abs. 8 Satz 2 BDSG a.F. Die Übermittlung an einen Dritten benötige dafür jedoch eine entsprechende Einwilligung der Betroffenen oder eine gesetzliche Ausnahme.
Einheitlicher Datenverarbeitungsvorgang
Um zu beurteilen, ob Facebook Auftragsdatenverarbeiter sei, müsse die vollständige Nutzung des Dienstes „Facebook Custom Audience“ in den Blick genommen werden, so das Gericht. Die Antragstellerin stütze ihre Meinung, Facebook sei als Auftragsdatenverarbeiter tätig, ausschließlich auf die Aufspaltung der einzelnen Handlungsschritte des Dienstes. Die Dienstleistung bilde aber unter datenschutzrechtlichen Gesichtspunkten einen einheitlichen Vorgang. Dieser könne nicht in verschiedene, rechtlich selbständig bewertbare Teile zerlegt werden. Der Dienst ermögliche es, Unternehmenskunden gezielt auf Facebook zu bewerben. Dafür müssten die Unternehmenskunden selbst auch Facebook-Kunden sein, was durch einen Abgleich der jeweiligen E-Mail-Adresse ermittelt werde (sogenannte Überschneidungsanalyse). Die dadurch erstellte Kundenliste (Custom Audience) diene keinem eigenen, abtrennbaren Zweck. Vielmehr sei sie Grundlage und Voraussetzung für die vertraglich vereinbarte, zielgerichtete Werbung durch Facebook. Der zwischen der Antragstellerin und Facebook geschlossene Verarbeitungsvertrag stehe dem nicht entgegen. Maßgebend für die Einordnung eines Vorgangs als Auftragsdatenverarbeitung seien die tatsächlich stattfindenden tatsächlichen Abläufe der vertraglichen Dienstleistung.
Facebook kein Auftragsdatenverarbeiter
Der VGH war der Ansicht, Facebook werde im Rahmen von „Custom Audience“ nicht als Auftragsdatenverarbeiter tätig. Für die Einordnung komme es maßgeblich darauf an, wer die Verantwortung für die Datenverarbeitung habe. Generell könne von einer Auftragsdatenverarbeitung ausgegangen werden, wenn sich der Auftraggeber die Entscheidungsbefugnis ggf. unter Vorgabe ausdifferenzierter Kriterien vorbehalte und dem Dienstleister keinerlei inhaltliche Bewertungs- und Ermessensspielraum einräume. Vorliegend entscheide aber Facebook eigenständig, welche Nutzer der Zielgruppe entspricht und daher beworben werden könne. Facebook treffe die Auswahl anhand nur Facebook bekannter und verfügbarer Profildaten. Die Plattform allein sei in der Lage, die zu bewerbenden Kunden zu ermitteln und die Werbung auszuspielen. Dabei sei Facebook hinsichtlich Durchführung und Auswertung völlig frei. Die Antragstellerin selbst habe erklärt, auf die Datenerhebungs- und Verarbeitungsprozesse keinerlei Einfluss zu haben.
Kein Listenprivileg
Auch die Tatbestandsvoraussetzungen von § 28 Abs. 3 BDSG a.F. lägen nicht vor, so das Gericht weiter. Die Übermittlung der E-Mail-Adressen könne nicht auf diese Rechtsgrundlage gestützt werden. Eine Einwilligung der Betroffenen habe unstreitig nicht vorgelegen. Auch eine Datenübermittlung aufgrund des sog. Listenprivilegs komme nicht in Betracht. Denn die Übermittlung der Hashwerte stelle keinen eigenständigen datenschutzrechtlichen Vorgang dar. Gegenstand der Datenübermittlung seien vielmehr die E-Mail-Adressen der Kunden. Diese seien lediglich aus Gründen der Datenverarbeitung mit einer Hashfunktion versehen. Dadurch werde anhand der identischen E-Mail-Adresse des Kunden das zu bewerbende Nutzerkonto ermittelt. Damit müsse für die datenschutzrechtliche Prüfung darauf abgestellt werden, ob für die Weitergabe der E-Mail-Adressen eine rechtliche Grundlage besteht. Erst durch die Übermittlung dieser Daten sei im zweiten Schritt die Information „Zugehörigkeit des Betroffenen zu einer Liste“ möglich.
Interessenabwägung zugunsten der betroffenen Kunden
Das Gericht erkannte auch nicht § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. als Rechtsgrundlage für die Übermittlung der gehashten E-Mail-Adressen. Zwar könne die Nutzung personenbezogener Daten zu Werbezwecken auch über den Anwendungsbereich des § 28 Abs. 3 BDSG a.F. hinaus im Wege einer Interessenabwägung zulässig sein. Vorliegend falle aber die Interessenabwägung zwischen den schutzwürdigen Interessen der Betroffenen zulasten der Antragstellerin aus. Zwar habe die Antragstellerin ein berechtigtes Interesse an zielgerichteter Werbung. Diesem Interesse stünden jedoch die überwiegenden, schutzwürdigen Interessen der Betroffenen (insbesondere Schutz des Rechtes auf informationelle Selbstbestimmung sowie Schutz personenbezogener Daten) gegenüber. Denn die Kunden rechnen insbesondere nicht damit, dass ihre im Rahmen eines Bestellvorgangs angegebene E-Mail-Adresse an Facebook übermittelt werde.
Fehlende Erforderlichkeit der Interessenswahrung
Zudem habe nicht nur ein berechtigtes Interesse vorliegen müssen, so der VGH. Vielmehr habe die Datenverarbeitung auch zur Wahrung dieses Interesses erforderlich sein müssen. Allerdings habe die Antragstellerin ihr Informationsziel auch auf andere Weise erreichen können. Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Antragstellerin ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook einzuholen.
Verwaltungsgerichtshof München, Beschluss vom 26.09.2018, Az. 5 CS 18.1157