Datenschutzrechtliche Bewertung von Facebook Custom Audiences
Mit dem Beschluss des Verwaltungsgerichts Bayreuth vom 08.05.2018 (Az. B 1 S 18.105) gibt es erstmals eine Entscheidung eines Gerichts über den Einsatz von Facebook Custom Audiences.
Bei den Facebook Custom Audiences handelt es sich um gehashte Kundenlisten, die durch einen Werbetreibenden auf Facebook hochgeladen werden und dann durch Facebook mit eigenen Hashwerten abgeglichen werden. Das Abgleichen der Hashwerte ermöglicht Facebook, User zu identifizieren, die sich in der Kundenliste des Werbetreibenden befinden. Diesen Usern können dann auf Facebook gezielt Werbeanzeigen des Werbetreibenden angezeigt werden.
Diese sogenannte „Listen-Methode“ hat das VG Bayreuth für rechtswidrig befunden, wenn sich der Werbetreibende vorher keine Einwilligung seiner Kunden eingeholt hat. In erster Linie sei das verwendete Hashverfahren SHA-256 nicht zur Anonymisierung von personenbezogenen Daten geeignet. Es könne für Facebook nämlich ohne weiteres möglich sein, über die Daten einen Rückschluss auf Facebook-User zu erreichen, die ebenfalls Kunden des Werbetreibenden sind. Daher seien die gehashten E-Mail-Adressen personenbezogene Daten i.S.d. § 3 I BDSG (alt) bzw. Art. 4 Nr. 1 DSGVO.
Bei der Übermittlung der gehashten E-Mail Adressen handelt es sich laut VG Bayreuth auch nicht lediglich um eine Übermittlung für die Zwecke der Auftragsdatenverarbeitung i.S.d. Art. 4 Nr. 10 DSGVO. Vielmehr sei Facebook in der vorliegenden Konstellation als Dritter zu betrachten. Es sei von einer Funktionsübertragung auszugehen, weil Facebook nicht nur als „verlängerter Arm“ des Werbetreibenden anzusehen sei, sondern selbst entscheide, welche User konkret beworben werden. Das für die Auftragsverarbeitung entscheidende Kriterium der Weisungsgebundenheit liege aufgrund des Ermessenspielraums von Facebook nicht vor.
Die Antragstellerin, die einen Online-Shop betreibt, um in den von Facebook ermittelten Zielgruppen Werbung zu schalten, wandte sich gegen einen Bescheid des bayrischen Landesamts für Datenschutzaufsicht. Dieser Bescheid ist laut VG Bayreuth jedoch rechtmäßig ergangen.
Nach einer Interessenabwägung, die das VG Bayreuth noch auf § 28 I 1 Nr. 2 BDSG (alt) stützt, überwiegen eindeutig die Interessen der Kunden. Dabei wird insbesondere berücksichtigt, dass die werbetreibende Antragstellerin die Daten überwiegend im Rahmen von Bestellvorgängen erhebt und es ihr damit ohne Weiteres möglich sein müsste, eine Einwilligung zur Übermittlung der Daten an Facebook einzuholen.
In einer Interessenabwägung nach dem nun geltenden Art. 6 Abs. 1 lit. f DSGVO dürften die gleichen Aspekte zu beachten sein, wie in der Abwägung nach BDSG.
Fazit:
Gehashte Kundendaten dürfen also sowohl nach der Altfassung des BDSG, als auch nach der DSGVO nicht zum Zwecke der Erstellung von Facebook Custom Audiences an Facebook übermittelt werden, wenn vorher keine Einwilligung bei den betroffenen Kunden eingeholt wurde.
© Stefan Müller-Römer, Frederik Bucco, August 2018, Alle Rechte vorbehalten