facebook analytics datenschutz

Die Verwendung von Facebook Custom Audience ist grundsätzlich nicht mit dem Datenschutzrecht vereinbar. Das hat der Verwaltungsgerichtshof (VGH) in München am 26.09.2018 entschieden (VGH München, Az: 5 CS 18.1157).

Damit schließt sich das Gericht dem VG Bayreuth als Vorinstanz an, welches die Verwendung von Facebook Custom Audiences mit Kundenlisten ohne Einwilligung der Nutzer für nicht datenschutzkonform hielt (VG Bayreuth, Urteil v. 18.05.2018, Az: B 1 S 18.105).

 

Was war geschehen?

Die Betreiberin eines Onlineshops nutzte zu Zwecken des Marketings unter anderem das Werbetool Custom Audiences von Facebook. Eine Einwilligung der Webseitenbesucher und der Kunden zu dieser Datenverarbeitung lag jedoch nicht vor.

Die Verwendung und die damit einhergehende Erhebung und Weitergabe von personenbezogenen Daten an Facebook stufte das BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) als datenschutzwidrig ein.

Denn mit dem Werbetool übermittelte das Unternehmen eine Liste mit Namen, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder Interessenten. Diese Kunden (Customer)-Liste wird zunächst mit einem sog. Hash-Verfahren verschlüsselt und dann im Facebook-Account des Unternehmers hochgeladen. Dann gleicht Facebook die Kundenliste mit allen Facebook-Nutzern ab und kann so festestellen, welcher Kunde des Unternehmers auch FB-Nutzer ist. Damit können der Unternehmer und auch Facebook gezielt Werbung für die jeweiligen Kunden schalten.

Und da Hash-Werte mit wenig Aufwand zurückgerechnet werden können, lassen sich die hinter den Daten stehendenen natürlichen Personen ermitteln, so dass personenbezogene Daten erhoben und übermittelt werden. Aufgrund dessen ist vorher eine ausdrückliche Einwilligung des Nutzers einzuholen. 

Die bayerische Datenschutzbehörde untersagte daher der Betreiberin die Verwendung per Untersagungsbescheid, in dem für den Fall der Zuwiderhandlung ein Zwangsgeld von 10.000 Euro angedroht wurde.

Gegen diesen Bescheid wehrte sich die Antragstellerin. Aus ihrer Sicht habe gar keine Datenübermittlung vorgelegen, weil durch Facebook eine Auftragsdatenverarbeitung erfolgt sei.

Das VG Bayreuth als Vorinstanz hatte mit Beschluss vom 08.05.2018 (Az: B 1 S 18.105) die Beschwerde abgewiesen, weil der Untersagungsbescheid aus seiner Sicht keinen rechtlichen Bedenken begegne.

Eine Auftragsdatenverarbeitung liege nicht vor, denn es stehe im Ermessen von Facebook, was beworben werde und was nicht. Die Datenübermittlung hätte einer Rechtsgrundlage bedurft, die jedoch nicht zu erkennen sei.

Gegen den ablehnenden Beschluss legte die Klägerin Beschwerde beim VGH München ein. Doch auch der VGH schloss sich der Ansicht der Vorinstanz an.

 

Facebook Custom Audiences ist keine Auftragsverarbeitung

In ihrer Begründung führen die Münchener Richter aus, dass Facebook autonom über die Nutzung der Daten entscheide. Dies habe auch die Antragstellerin selbst vorgetragen.

Facebook wähle die zu bewerbenden Personen nur anhand der Profildaten aus. Die Antragstellerin habe selbst erklärt, keinen Einfluss auf die Datenerhebungs- und Verarbeitungsprozesse zu haben. Mit diesem Vortrag scheidet aber zwangsläufig eine Auftragsverarbeitung als mögliche Rechtsgrundlage aus.

Eine Auftragsverarbeitung liegt aber nur dann vor, wenn der Auftraggeber – hier die Antragstellerin – über die Mittel und den Zweck der Verwendung der erhobenen personenbezogenen Daten entscheidet und der Vertragspartner – hier Facebook – weisungsgebunden ist. Das ist bei Facebook natürlich nicht der Fall.

Die Ansicht, Facebook werde als Auftragsdatenverarbeiter tätig, stütze die Antragstellerin nur auf die Aufteilung der einzelnen Handlungsschritte bei Facebook Custom Audience.

Nach Auffassung des Gerichtes reiche dies allein nicht aus, um den Dienst als Auftragsdatenverarbeiter zu qualifizieren.

Für die Datenübermittlung an Facebook fehle es daher an einer Rechtsgrundlage. Auch eine Berufung auf das sogenannte Listendatenprivileg nach § 28 BDSG a.F. sei nicht möglich, da für E-Mail-Adressen diese Ausnahmeregelung nicht gelten würde.

 

FB Custom Audiences - kein berechtigtes Interesse

Ebenso liege kein Fall berechtigter Interessenwahrung vor, da die schutzwürdigen Belange der E-Mail-Inhaber überwiegen würden. Der einzelne Adressat dürfe nicht zum Datenobjekt degradiert werden. Nutzer hätten sonst keine Chance, sich dem Tracking zu entziehen.

 

Was bedeutet das für die Praxis?

Mit der Entscheidung ist nun – erneut – klargestellt, dass die Nutzung des Tools Facebook Custom Audiences nur mit Vorliegen einer Einwilligung der Nutzer zulässig ist.

Rein theoretisch ließe sich das Werbetool von Facebook zwar datenschutzrechtlich korrekt einsetzen. Allerdings sind die Voraussetzungen dazu derart hoch, dass sie in der Praxis kaum erfüllt werden können, so die bayerische Datenschutzaufsicht in ihrer Stellungnahme zur datenschutzrechtlichen Zulässigkeit von Facebook-Pixeln und Facebook-Custom Audiences vom 4. Oktober 2017.

Die Einschätzung finden Sie unter:  https://www.lda.bayern.de/media/pm2017_07.pdf.

 

Wie Facebook Custom Audience über Kundenliste rechtskonform einsetzen?

Damit FB Custom Audience via Kundenlisten datenschutzrechtlich zulässig eingesetzt werden kann, müssen nach der bayerischen Datenschutzaufsicht folgende Anforderungen erfüllt sein:

 

1. Vorherige wirksame Einwilligung

Zunächst ist eine wirksame Einwilligung einzuholen. Erst nachdem (!) der Nutzer seine Zustimmung erteilt hat, dürfen seine personenbezogenen Daten erhoben und an Facebook übermittelt werden.

Allerdings sind die Anforderungen an eine wirksame Einwilligung sehr hoch. Der Kunde muss vorher und umfassend auf der Firmenseite über Einsatz des Pixels und Umfang der Datenverarbeitung in Kenntnis gesetzt werden, um die geforderte "informierte Einwilligung" zu erteilen. Das setzt jedoch voraus, dass der Onlinehändler ganz genau weiß, wie Facebook die Daten seiner Kunden verwendet. Da Facebook sich aber nicht in die Karten schauen lässt und letztlich völlig unklar ist, was das Unternehmen mit diesen Daten anstellt, ist eine umfassende Information – derzeit – gar nicht möglich.

Die erteilte Einwilligung muss der Online-Händler jederzeit nachweisen können.

 

2. Hinweis auf Opt-out-Möglichkeit und Widerruf

Bereits zum Zeitpunkt, an dem die Einwilligung eingeholt wird, muss der Nutzer auch über die Opt-out-Möglichkeiten und die Möglichkeit des Widerrufs informiert werden. Es ist also explizit darauf hinzuweisen und zu erläutern, dass und wie der Nutzer ein Tracking seines Nutzungsverhaltens verhindern bzw. seine Einwilligung später widerrufen kann. Nur dann ist der Einsatz legal.

Widerruft der Betroffene seine Einwilligung, so muss er umgehend von der Kundenliste entfernt werden. Das bedeutet, dass der Webseitenbetreiber seine Customer-Liste bei Facebook unverzüglich aktualisieren muss.

 

3. Sichere Übermittlung der Kundendaten an Facebook

Aus den damit gewonnenen Daten könnte das Unternehmen eine Kundenliste erstellen. Vor der Datenübertragung an Facebook müssten die Daten jedoch zur Absicherung gehasht und verpixelt werden.

 

Hohe Anforderungen an die Zulässigkeit

Angesichts dieser hohen Anforderungen an die Kundeneinwilligung ist die Wahrscheinlichkeit gering, dass es künftig zu vielen rechtskonformen Einwilligungen kommen wird.

Onlinehändler sollten sich die Verwendung dieses und auch anderer Tracking- und Werbe-Tools gut überlegen und rechtlich absichern. Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) werden die Anforderungen an die Zulässigkeit des Einsatzes von Tracking-Tools noch einmal steigen. Vor allem aber sind die Datenschutzbehörden berechtigt, bei Datenschutzverstößen hohe Bußgelder zu verhängen.

 

Fragen zum Datenschutz?

Rechtsanwältin Marion Janke (MLE) ist geprüfte Datenschutzbeauftragte (TÜV) und ist als Fachanwältin für Urheber- und Medienrecht seit 2005 umfassend im IT-Recht tätig.

Senden Sie uns unverbindlich Ihre Anfrage per E-Mail oder rufen Sie uns an:

  • Telefon: 0381 - 877 410 310
  • per E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Ihre Ansprechpartnerin ist Rechtsanwältin Marion Janke (MLE), Fachanwältin für Urheber- und Medienrecht und Datenschutzbeauftragte.

 

Wir verwenden Cookies, um Ihnen die Webseite bereitzustellen und zur Analyse und Verbesserung der Webseite. In unserer Datenschutzerklärung erhalten Sie weitere Informationen und die Möglichkeiten, Cookies auszuschalten. Durch die weitere Nutzung unserer Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Einverstanden