Bayrisches Verwaltungsgericht entscheidet über Einsatz von Facebook-Marketing-Tool (Az.: B 1 S 18.105)

Funktionsweise von Facebook Custom Audiences

Über Facebook Custom Audience können Verantwortliche Werbekampagnen auf Facebook veröffentlichen. Dazu erstellt das Unternehmen eine Liste von Kunden oder Interessenten. Die Liste enthält personenbezogene Daten wie z.B. Name, Wohnort, Telefonnummer und E-Mail-Adresse und wird im Facebook-Konto des Unternehmens hochgeladen. Facebook gleicht die Kundenliste mit sämtlichen Facebook-Nutzern ab, um zu ermitteln, welcher Facebook-Nutzer auch Kunde des Unternehmens ist. Im Anschluss startet das Unternehmen eine Werbekampagne und kann über Facebook optional eine Zielgruppe für diese Werbekampagne festlegen. Nun wird die Kampagne Facebook-Nutzern angezeigt, die entweder auch Kunde des Unternehmens sind bzw. zur Zielgruppe der Werbekampagne gehören.

Argumentation des Gerichts

Das Bayerische Landesamt für Datenschutzaufsicht hatte schon vor einiger Zeit den Einsatz eines Marketing-Tools von Facebook geprüft. Nach Ansicht der Behörde setzten einige Unternehmen das Marketing-Werkzeug „Facebook Custom Audience über die Kundenliste“ rechtswidrig ein. Nachdem die Prüfung ausgewertet wurde, setzten die meisten Unternehmen die Anforderungen der Datenschutzaufsichtsbehörde um oder stellten die Datenverarbeitung ein. Nur wenige Unternehmen waren anderer Meinung und sahen keinen Verstoß gegen geltendes Datenschutzrecht. Daraufhin erließ die Aufsichtsbehörde eine Anordnung und verbot den weiteren Einsatz des Werbe-Tools und forderte auf, die laufenden Werbe-Kampagnen zu beenden. Gegen diese Anordnung klagte ein Unternehmen.
Nunmehr liegt eine Entscheidung im Eilverfahren vor, in der das Gericht die Auffassung der Datenschutzaufsicht bestätigt. Insbesondere sei das verwendete Hashverfahren SHA-256 nicht zur Anonymisierung der personenbezogenen Daten geeignet. Die Daten würden nach dem Hashen für die personalisierte Werbung verwendet, dabei sei ein Rückschluss auf einen konkreten Facebook-User möglich. Facebook könne durch Vergleichen der Hashwerte, mit nicht nur unverhältnismäßigem Aufwand, feststellen, welcher Facebook-User auch Kunde des Werbetreibenden sei.

Es handle sich bei der Übermittlung der gehashten E-Mail-Adressen auch nicht um eine Übermittlung für die Zwecke einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte. Der Auftragnehmer einer Auftragsdatenverarbeitung darf nur weisungsgebunden, also ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig werden. Die Antragstellerin könne die Zulässigkeit der Datenübermittlung des Weiteren nicht auf das sog. „Listenprivileg“ nach § 28 Abs. 3 Satz 2 BDSG-alt stützen, da es sich bei E-Mail-Adressen schon nicht um sog. Listendaten handele. Nach Interessenabwägung des VG Bayreuth gemäß § 28 Abs. 1 Satz 1 Nr. 2 BDSG-alt überwiegen die Interessen der Kunden. Dabei hat das VG Bayreuth u.a. berücksichtigt, dass die Antragstellerin die Daten vor allem im Rahmen von Bestellvorgängen erhebt und es ihr daher ohne unverhältnismäßig großen Aufwand möglich wäre, Einwilligungen zur Übermittlung der Daten an Facebook einzuholen.

Fazit

Zwar ist der Beschluss des VG Bayreuth noch auf Basis der nicht mehr geltenden alten Fassung des BDSG ergangen. Jedoch dürfte sich am Ergebnis auf Grund der jetzt geltenden DSGVO nichts ändern, denn: Es existiert keine dem sog. „Listenprivileg“ entsprechende Regelung mehr unter der DSGVO. Darüber hinaus wären im Rahmen einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO die gleichen Aspekte zu berücksichtigen, welche dem Beschlussentscheidung des VG Bayreuth zugrunde lagen.

Tags: , , , , , , , , ,

Comments are closed.
Kontaktieren Sie uns

1. Unternehmensangaben

Name Firma *
Name Ansprechpartner
Straße, Hausnummer
PLZ
Ort *
Telefonnummer
E-Mail *
Branche AutomotiveBanken / FinanzdienstleistungenBildungseinrichtungenDienstleisterEnergieGemeinnützige OrganisationenGesundheits- und SozialwesenHandelHotelsIngenieurbürosIT-DienstleisterKirchliche EinrichtungenKommunale Unternehmen (privatrechtliche GmbH)Körperschaften des öffentlichen RechtsMarketingagenturenMaschinen- / AnlagenbauPharmaforschungRechtsanwaltskanzleienSteuerkanzleienTextilindustrieVereineVerlageVersicherungsmakler
Tätigkeitsbereich B2BB2C

2. Standorte und Mitarbeiter

Anzahl Beschäftigte
Anzahl der Standorte

3. Allgemeine Fragen

Betriebsrat JaNein
Konzernzugehörigkeit JaNein
Videoüberwachung JaNein
Datenübermittlung in Drittstaaten JaNein
ISO 9001 Zertifikat JaNein
Datenschutzkonzept JaNein
Anzahl der Applikationen
Anzahl der Verträge zur Auftragsverarbeitung

4. Leistungsauswahl

Leistungen * externer DatenschutzbeauftragterDatenschutz AuditRechtsberatungSonstiges:
* Pflichtfeld
X
Angebotsanfrage