Facebook Custom Audience ohne Einwilligung unzulässig

Die DSGVO hat es in vielen Fällen erst an den Tag gebracht: Viele der meist ohne nähere Prüfung eingesetzten Tools und Plugins sind aus Sicht des Datenschutzes zumindest problematisch. Einige darf man gar nicht einsetzen und bei wieder anderen müssen die Nutzer der Webseite zuerst einwilligen, damit an das Tool oder Plugin auch wirklich einsetzen darf (mit zusätzlicher Opt-Out-Möglichkeit).

In der Phase, Ion der wir für unsere Mandanten nahezu im Akkord Datenschutzhinweise für die Webseiten erstellt haben sind uns dabei viele Plugins in die Finger geraten, die bei näherem Hinsehen nicht mit gutem Gewissen weiter genutzt werden konnten.

Wenn man der DSGVO also eines zugutehalten will, dann die Tatsache, dass viele unnütze und gefährliche „Helferlein“ auf den Webseiten verschwunden sind oder durch datenschutzfreundlichere Varianten ersetzt wurden.

Zu diesen Helferlein zählt beispielsweise auch das Plugin von Facebook namens „Custom Audience“.

Bei „Facebook Custom Audience über die Kundenliste“ erstellt beispielsweise ein Online-Shop eine Liste seiner Kunden und Interessenten, in der u.a. Name, Wohnort, E-Mail-Adresse und Telefonnummer eingetragen werden können. Diese Kundenliste wird dann unter Einsatz eines Hash-Verfahrens im Facebook-Konto des Online-Shops an Facebook hochgeladen. Danach vergleicht Facebook die Kundenliste und kann feststellen, welcher Kunde des Online-Shops auch Mitglied bei Facebook ist.

Bereits im Jahr 2016 prüfte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bei über 40 Unternehmen in Bayern, ob und in welcher Weise das Marketing-Werkzeug eingesetzt wurde. Ein Unternehmen wurde aufgefordert „Facebook Custom Audience“ ohne Einwilligung der Nutzer nicht mehr einzusetzen und diese Anordnung wurde für sofort vollziehbar erklärt. Das Unternehmen wehrte sich und klagte. Die Klage wurde vom Verwaltungsgericht (VG) in Bayreuth bearbeitet und nun entschieden.

Das VG Bayreuth hat dabei entschieden, dass derjenige, der „Facebook Custom Audience“ ohne Einwilligung des Nutzers einsetzt, gegen das Datenschutzrecht verstößt.

Die Auffassung der bayerischen Datenschützer wurde also vom Gericht bestätigt. Die Richter begründete dies im Wesentlichen damit, dass das eingesetzte Hash-Verfahren SHA-256 nicht geeignet sei, um personenbezogene Daten zu anonymisieren, Facebook nicht Auftragnehmer des Unternehmens, sondern eine eigene verantwortliche Stelle sei und das Hochladen der Kundenliste eine Übermittlung personenbezogener Daten darstelle, für die es keine Rechtsgrundlage gebe. Insbesondere könne die Übermittlung nicht auf eine Interessenabwägung gestützt werden und daher sei der Einsatz nur auf Grund einer vorigen informierten Einwilligung des Nutzers zulässig.

(Beschluss des VG Bayreuth vom 08.05.‌2018, Aktenzeichen B 1 S 18.105)

Fazit

Zwar spielt sich der Sachverhalt noch unter dem alten Datenschutzrecht ab, kann aber genauso auch für die DSGVO angewendet werden.

Die Weitergabe der Liste der Kunden an Facebook darf also nur mit einer ausdrücklichen und informierten Einwilligung der Kunden selbst erfolgen.

Damit kann das Tool so, wie es bislang von den Unternehmen genutzt wurde, nicht mehr eingesetzt werden, denn eine wirksame Einwilligung wird in der Regel nicht vorliegen. Ob unter dem Regime der DSGVO eine solche Einwilligung aufgrund des Kopplungsverbotes überhaupt wirksam eingeholt werden kann ist zumindest offen. Jedenfalls müsste die Einwilligung unabhängig von der Bestellmöglichkeit abgegeben werden, sie darf also auch nicht verpflichtend sein, und es müsste deutlich auf die geplante Datenverarbeitung nach Art. 13 DSGVO hingewiesen und informiert werden.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag:

  • EU Datenschutzgrundverordnung: © Manuel Capellari – Fotolia.com