Das Verwaltungsgericht Bayreuth hat sich kürzlich mit der Datenschutzkonformität des Einsatzes von „Facebook Custom Audiences“ befasst und entschieden, dass die Verwendung rechtswidrig ist (Beschluss vom 08. Mai 2018, Az. B1 S 18.105).
Die Antragstellerin betreibt einen Onlineshop und unterhielt ein Konto beim sozialen Netzwerk Facebook unter Nutzung des Dienstes „Facebook Custom Audiences“. Dabei wurden durch die Antragstellerin mehrfach Kundenlisten mit E-Mail-Adressen zum Zwecke zielgerichteter und personalisierter Werbung auf Facebook hochgeladen, welche sie zuvor z.B. im Rahmen von Bestellvorgängen erhoben hatte.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte bereits 2017 gegen die Antragstellerin eine Löschungsanordnung erlassen. Hier nach war sie verpflichtet, die unter ihrem Facebook-Konto erstellten Kundenlisten (sogenannte „Custom Audiences“) zu löschen.
Gegen diese Anordnung ging die Antragstellerin nun gerichtlich vor.
Hinweis: Es ist zu berücksichtigen, dass es drei unterschiedliche Varianten bei „Facebook Custom Audiences“ gibt, wobei sich die vorliegende Entscheidung nur mit der „Upload-Variante“ (Custom Audiences from File) auseinandersetzt. Darüber hinaus gibt noch es die Varianten “Custom Audiences from Website” und “Lookalike Audiences”.
Keine Auftragsdatenverarbeitung
Nach der Auffassung der Antragstellerin liege überhaupt keine Datenübermittlung vor, da Facebook als Auftragsverarbeiter handele. Diese Auffassung teilte das Gericht nicht. Vielmehr sei von einer Funktionsübertragung auszugehen. Denn es liege allein in der Hand von Facebook, wer beworben werde und wer nicht. Es finde demnach eine Datenübermittlung an Dritte statt und keine Auftragsdatenverarbeitung.
Keine Einwilligung vorhanden
Für die Übermittlung der Kundendaten an Facebook habe keine wirksame Einwilligung vorgelegen. Zum einen wurde weder in den Datennutzungshinweisen noch in den AGB auf die Datennutzung von E-Mail-Adressen in Zusammengang mit Facebook-Werbung hingewiesen.
Opt-In des Nutzers erforderlich
Zum anderen hätte der Nutzer unmissverständlich mittels einer bewussten und eindeutigen Handlung zum Ausdruck bringen müssen, dass er einverstanden sei mit der Weitergabe seiner E-Mail-Adresse an Facebook.
Damit reicht also nicht die bloße Information über die Weitergabe der E-Mail-Adresse. Vielmehr muss der Nutzer ausdrücklich einwilligen.
Fazit
Der Einsatz von „Facebook Custom Audiences“ ist nach Ansicht des VG Bayreuth jedenfalls in der Upload-Variante (Custom Audiences from File) rechtswidrig.
Die Entscheidung ist wenig überraschend, da das rechtliche Risiko schon länger diskutiert wurde und insbesondere das Bayerische Landesamt für Datenschutzaufsicht sich schon für die Unzulässigkeit ausgesprochen hatte. Nun liegt aber die erste gerichtliche Entscheidung in diesem Zusammenhang vor.
Insbesondere aufgrund der durch die DSGVO angedrohten hohen Bußgelder ist also vom Einsatz von „Facebook Custom Audiences“ – jedenfalls in der hier gegenständlichen Variante – abzuraten.
- Unionsmarken nach dem Brexit - 30. März 2021
- LAG Köln zu Catch-All-Geheimhaltungsklauseln - 25. September 2020
- Müssen alle Beiträge von Influencern als Werbung gekennzeichnet werden? - 18. Juni 2020