· Verbraucherschutz
Nutzung von Facebook Custom Audiences ist rechtswidrig
von Diplom-Wirtschaftsjurist Martin Rätze, Kanzlei Wienke & Becker, Köln
| Facebook bietet Händlern ein spezielles Tool: Händler können die Daten ihrer Kunden verschlüsselt an Facebook übermitteln. Dadurch können diese Händler dann personalisierte Werbung an ihre Kunden ausspielen. Das Problem dabei: Die Nutzung dieses Tools ist rechtswidrig. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) erließ einen Untersagungsbescheid gegen eine Online-Händlerin. Damit wurde der Händlerin untersagt, an dem Programm Custom Audiences von Facebook teilzunehmen. |
Gehashte E-Mail-Adressen, aber Personenbezug noch vorhanden
Die Online-Händlerin hatte eine Liste mit Kundendaten einschließlich der E-Mail-Adressen an Facebook übertragen. Die E-Mail-Adressen wurden dabei mit der Hashfunktion SHA-256 verschlüsselt. Normalerweise ist das Hashen eine zuverlässige Methode, damit personenbezogene Daten keinen Personenbezug mehr aufweisen.
|
Das Hashen von E-Mail-Adressen ist ein technischer Vorgang, bei dem die E-Mail-Adresse in eine Zeichenkette aus Buchstaben und Zahlen umgewandelt wird. Eine genaue Erklärung dieses technischen Vorgangs finden Sie hier. |
Nach der Einsendung überprüfte Facebook die Hashwerte auf Übereinstimmung mit bestehenden Facebook-Mitgliedern und identifizierte so Nutzer, die ganz gezielt mit personalisierter Werbung bespielt werden konnten. Für Facebook waren die Hashwerte also noch immer personenbezogene Daten, weil man über diese die Facebook-Profile von einzelnen Nutzern identifizieren konnte. Hintergrund war, dass Facebook die E-Mail-Adressen, mit denen sich Kunden bei Facebook angemeldet hatten, ebenfalls mit der Hashfunktion SHA-256 verschlüsselte. Da dieses Verfahren festen Regeln folgt, musste Facebook also nur die übermittelten Hashwerte mit den eigenen Hashwerten abgleichen und konnte so Übereinstimmungen feststellen.
Da somit eine Weitergabe von personenbezogenen Daten an Dritte erfolgt, wäre hierfür die Einwilligung der Betroffenen notwendig gewesen. Da diese nicht vorlag, untersagte das BayLDA der Händlerin diese Vorgehensweise. Die Händlerin klagte gegen diese Untersagungsverfügung zunächst vor dem VG Bayreuth (8.5.18, B 1 S 18.105). Das Gericht bestätigte in erster Instanz allerdings die Auffassung der Datenschützer. Es ging zunächst davon aus, dass die Händlerin keine notwendige Einwilligung der Kunden vorliegen hatte. Sie konnte sich auch nicht auf das sogenannte Listenprivileg aus dem alten BDSG stützen. E-Mail-Adressen, die die Händlerin ebenfalls übertragen hatte, waren nicht vom Listenprivileg erfasst. (Anmerkung des Autors: Das Listenprivileg [oder auch Listendatenprivileg] existiert nicht mehr. Die DS-GVO kennt keine solche Privilegierung mehr.) Weitere Rechtfertigungsgründe für die einwilligungsfreie Übermittlung der E-Mail-Adressen an Facebook konnte das Gericht ebenfalls nicht erkennen.
VGH München: Urteil bestätigt
Die Händlerin legte gegen diese Entscheidung Beschwerde ein, sodass sich auch der VGH München (26.9.18, 5 CS 18.1157) mit der Sache beschäftigen musste. Der VGH München folgte zunächst dem VG Bayreuth dahin gehend, dass es sich bei der Verarbeitung der Daten durch Facebook nicht um eine Auftragsdatenverarbeitung handelt, sondern um eine Übermittlung an einen Dritten. Hierfür wäre grundsätzlich eine Einwilligung erforderlich gewesen oder ein gesetzlicher Erlaubnistatbestand.
Kein Listendatenprivileg
Die Online-Händlerin berief sich auch in der Beschwerdeinstanz auf das damals noch geltende Listendatenprivileg. Sie war der Auffassung, dass das Listendatenprivileg vorliegend greife, denn sie habe gerade keine E-Mail-Adressen an Facebook übertragen, die unstreitig nicht von dem Privileg erfasst würden. Vielmehr habe sie lediglich die Hashwerte übertragen. Diese enthielten aber letztlich nur die Information, dass eine bestimmte Person auf einer von der Händlerin übersandten Liste stehe. Diese Zugehörigkeit zu einer Liste sei vom Listendatenprivileg erfasst. Dieser Auffassung folgte das Gericht nicht. Die Übertragung der Hashwerte an Facebook stelle keine eigenständige Datenverarbeitung dar, entschied es. Das Hashen der E-Mail-Adressen erfolge lediglich zum Zwecke der Datenverarbeitung. Die Händlerin konnte sich also auch in zweiter Instanz nicht erfolgreich auf das Listendatenprivileg berufen.
Einholen einer Einwilligung zur Datenübermittlung zwingend erforderlich
Die Übertragung der Daten konnte auch nicht mit einer Interessenabwägung gerechtfertigt werden. Letztlich sei die Übermittlung der Daten an Facebook also nur durch Einholen einer Einwilligung möglich gewesen. Das Einholen dieser Einwilligung wäre der Händlerin ohne großen Aufwand auch zumutbar gewesen. Schließlich handelte es sich bei den Daten um Kundendaten der Händlerin. Sie hätte im Rahmen des Bestellprozesses in ihrem Online-Shop ein entsprechendes Einwilligungsfeld vorsehen können.
Da die Händlerin keine wirksamen Einwilligungen zur Datenübermittlung an Dritte vorlegen konnte, war die Nutzung von Facebook Custom Audiences rechtswidrig.
FAZIT | Die Entscheidungen ergingen alle noch zum alten Recht. Aber auch unter Beachtung der DS-GVO wären die Entscheidungen wohl so ausgefallen. Lediglich die Ausführungen zum Listendatenprivileg wären heute nicht mehr zutreffend, weil es dieses Privileg nicht mehr gibt. Eine Datenverarbeitung kann auch heute nach Art. 6 Abs. 1 lit. f DS-GVO aufgrund einer Interessenabwägung rechtmäßig sein. Da die Gerichte eine Interessenabwägung hier bereits ausführlich vorgenommen haben, dürfte das Ergebnis allerdings auch nach neuem Recht gleich ausfallen. Händler sollten daher die Funktion Custom Audiences nicht verwenden, sofern die Datenübertragung an Facebook nicht auf rechtssicherem Boden erfolgt. |
