Kürzlich hat der Bayerische Verwaltungsgerichtshof ein Urteil des Bayrischen Landesamt für Datenschutzaufsicht zum Einsatz der “Facebook Custom Audience” ohne Einwilligung des Nutzers bestätigt: Der Einsatz von „Facebook Custom Audience“ ohne Einwilligung des Nutzers verstößt gegen das Datenschutzrecht!

Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 einem Online Shop untersagt, das Marketing-WerkzeugWerkzeug “Facebook Custom Audience”  zu verwenden, da dieser Online Shop eine Liste seiner Kunden oder Interessenten mit Name, Wohnort, E-Mail-Adresse und Telefonnummer an Facebook übergab und diese Kundenliste dem Online-Shop die Möglichkeit gab, die Produkte auf Facebook und Instagram gezielt an Kunden und Interessenten zu bewerben, ohne je eine Einwilligung zur Verarbeitung dieser Daten von Kunden und/oder Interessenten erhalten zu haben. Die Verarbeitung der Daten bei Facebook selbst ist als unkritisch anzusehen, da die Kundendaten unter Einsatz des sogenannten Hash-Verfahrens in Zeichenketten umgewandelt werden – aus “Max Mustermann in Musterhausen” wird also beispielsweise “bgeaddfabh9bfdd5b8a36h0h150547065dahgff114ff2g18b39c8gb0986b76107597saahsdeheca3c3”. Nach dieser Datenübermittlung und Verschlüsselung gleicht Facebook diese Liste mit allen Facebook-Nutzern ab und kann so feststellen, welcher Kunde/Interessent des Online-Shops auch Mitglied bei Facebook ist. Der Online-Shop kann dann genau diese Kundenliste gezielt mit Produkten bewerben.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erließ eine Anordnung gegen diesen bayerischen Online-Shop und forderte das Unternehmen zugleich auf, das Marketing-Tool „Facebook Custom Audience über die Kundenliste“ nicht mehr einzusetzen. Grund hierfür war, dass der Online-Shop keine Einwilligung des Nutzers einholte.

Aus Sicht des BayLDA war dies aber erforderlich, da Kunden- und Interessentendaten direkt an Facebook übermittelt wurden. Gegen diese Anordnung klagte der Online-Shop vor dem Verwaltungsgericht Bayreuth. Das Verwaltungsgericht Bayreuth bestätigte die Ansicht des BayLDA und entschied ihrerseits im Eilverfahren, dass die Anordnung rechtmäßig ergangen sei. Gegen diese Entscheidung wendete sich der Online-Shop beim Bayerischen Verwaltungsgerichtshof, der nun entschied, dass die Anordnung des BayLDA rechtmäßig ist.

In seiner Begründung führte der Bayerische Verwaltungsgerichtshof  u.a. folgendes aus:

  • Für die Frage, ob ein Verhältnis über eine Auftragsverarbeitung vorliegt, kommt es nicht auf die vertraglichen Vereinbarungen der Parteien an, sondern auf die tatsächlichen Abläufe der Datenverarbeitung.
  • Im konkreten Fall ist Facebook im Rahmen des Dienstes „Custom Audience“ kein Auftragsverarbeiter, sondern Dritter.
  • Der Einsatz des Marketing-Tools „Facebook Custom Audience über die Kundenliste“ ist nur nach voriger Einwilligung des Nutzers rechtmäßig.
  • Zwar habe der Werbetreibende ein berechtigtes Interesse an zielgerichteter Werbung, diesem Interesse stehen jedoch die überwiegenden, schutzwürdigen Interessen der Betroffenen gegenüber, die insbesondere nicht damit rechnen, dass ihre E-Mail-Adresse an Facebook übermittelt wird.

Dieses Urteil ist gleichzeitig eine letzte Warnung an alle Werbetreibende auf Facebook/Instagram. Thomas Kranig, Präsident des Bayerischen Landesamtes für Datenschutzaufsicht in Bayern stellt klar: „Die aktuelle Entscheidung des VGH Bayern ist keine Überraschung. Wir haben mehrfach über die Anforderungen an einen zulässigen Einsatz von Marketing-Tools in unseren Tätigkeitsberichten, Pressemitteilungen und sonstigen Veröffentlichungen informiert. Verantwortliche hatten mehr als ausreichend Gelegenheit, ihre Datenverarbeitung zu überprüfen und sicherzustellen, dass alle Anforderungen erfüllt werden. Wir werden diese Entscheidung zum Anlass nehmen und unsere Prüfung auf weitere Branchen ausweiten und Verstöße nach dem neuen Bußgeldrahmen der DS-GVO sanktionieren“.

Als besonderen Service gibt nämlich das BayLDA nun sogar Facebook-Nutzern eine Anleitung wie jeder in seinen Einstellungen selbst überprüfen kann, welche Unternehmen Kundenlisten mit ihren Daten an Facebook übermittelt haben. Diese Anleitung dazu gibt es hier: https://www.lda.bayern.de/media/pm2018_18_anhang.pdf