Bayerischer Verwaltungsgerichtshof bestätigt Untersagung des Einsatzes von Facebook Custom Audience mit Kundenliste
Das Verwaltungsgericht Bayreuth hat im Rahmen eines einstweiligen Rechtsschutzverfahrens mit Beschluss vom 05. Mai 2018, Az. B 1 S 18.105 festgestellt, dass die Nutzung von Facebook Custom Audience mit Kundenlisten unter Verwendung sog. gehashter (nach Rechenvorschrift [SHA] pseudonymisierter) E-Mailadressen nach BDSG-alt rechtswidrig ist.
Der Beschluss basiert noch auf dem „alten“ Bundesdatenschutzgesetz. Die Ausführungen treffen aber auch auf die Rechtslage seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz zu.
Worum ging es?
Gestritten hatte sich ein Onlineshopbetreiber mit dem Bayerischen Landesamt für Datenschutzaufsicht. Der Shopbetreiber unterhielt neben dem Onlineshop ein Konto bei dem sozialen Netzwerk Facebook und nutzte den Service Custom Audience, in dessen Rahmen Kundenlisten erstellt wurden. Im Januar 2018 erließ die Datenschutzbehörde eine Anordnung, in deren Rahmen der Shopbetreiber verpflichtet wurde, binnen zwei Wochen die unter dem Facebook-Konto erstellen Kundenlisten (Custom Audiences) zu löschen. Die Behörde ordnete die sofortige Vollziehung an und drohte ein Zwangsgeld in Höhe von € 10.000,00 an. Gegen den Bescheid erhob der Shopbetreiber Klage. Die Anordnung der Behörde wurde damit begründet, dass der Dienst Facebook Custom Audience wie folgt gestaltet sei und in dieser Form vom Shopbetreiber genutzt werde:
Das Unternehmen würde zunächst eine Liste mit seinen eigenen Kunden in dem Facebook Konto hochladen. Die Listen könnten insoweit neben E-Mailadressen auch Telefonnummern, Namen etc. enthalten. Anschließend pseudonymisiere der Shopbetreiber die E-Mailadressen mittels kryptographischen Hashfunktion-SHA 256 in einen Hashwert. Nachfolgend finde eine Übermittlung der einzelnen Hashwerte an einen Facebook-Server statt. Im Anschluss daran gleiche Facebook die Hashwerte mit den eigenen Hashwerten der E-Mailadressen aller Facebook-Mitglieder ab. Dies erlaube Facebook anhand der Hashwerte E-Mailadressen und dazugehörige Personen (Mitglieder) zu ermitteln. Diese ermittelten Mitglieder würden so die Custom Audience bilden. Nach Erstellung dieser Custom Audience entwerfe der Shopbetreiber Werbeanzeigen. Facebook- Mitglieder, die sich auf der Kundenliste befänden, erhielten so nun zielgerichtet Werbung, die durch Facebook innerhalb des Facebook-Profils des Nutzers ausgesendet werde. Darüber hinaus verwerte Facebook weitere Informationen aus unterschiedlichen Quellen. Welche konkreten Nutzer beworben worden seien, erfahre der Shopbetreiber nicht, dies werde von Facebook entschieden.
Im Rahmen einer Stellungnahme des Shopbetreibers vertrat dieser u. a. die Auffassung es läge eine Auftragsdatenverarbeitung vor, weshalb er Custom Audience weiter verwenden dürfe. Die Behörde erließ daraufhin den Bescheid, gegen der Shopbetreiber Klage erhob und einstweiligen Rechtsschutz beantragte.
Die Entscheidung des Verwaltungsgerichts
Das Gericht vertrat die Auffassung, dass die von der Behörde beanstandete Übermittlung gehashter E-Mailadressen datenschutzrechtlich unzulässig ist. Nach § 4 Abs. 1 BDSG-alt sei die Datenverarbeitung von personenbezogenen Daten nur zulässig, soweit eine Rechtsgrundlage vorliege oder der Betroffene eingewilligt habe.
Der Vorgang des „Hashens“ stelle keine Anonymisierung dar, weil der Personenbezug nicht völlig aufgehoben werde. Es sei vielmehr ohne größeren Aufwand möglich, die Hashwerte einer natürlichen Person zuzuordnen, zumal ein Datenabgleich durch Facebook möglich sei.
Zwar dürften personenbezogene Daten an Auftragsverarbeiter ohne Einwilligung und gesetzliche Erlaubnis übermittelt werden, eine Auftragsverarbeitung läge aber bei diesem Dienst nicht vor. Facebook fungiere hier nicht als „verlängerter Arm“ des Unternehmens, sondern verfüge über eigene Spielräume im Hinblick auf die Entscheidung, wer konkret beworben wird.
Insoweit sei die Datenübermittlung nur auf Basis einer Einwilligung oder gesetzlichen Gestattung rechtens, die vorliegend jedoch nicht ersichtlich sei.
Dem Beschluss sind zusammenfassend also folgende Aspekte zu entnehmen, die auch im Lichte der DSGVO Anwendung finden dürften:
- E-Mailadressen sind personenbezogene Daten.
- Das „hashen“ von E-Mailadressen stellt keine Anonymisierung dar, womit auch gehashte E-Mailadressen personenbezogene Daten sind.
- Das Hochladen von gehashten E-Mailadressen an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks, gehashten Daten und der Erstellung einer Ausgangsaudience zu Werbezwecken bedarf einer Einwilligung des Betroffenen. Zudem überwiegt hier das berechtigte Interesse der betroffenen Person am Schutz seiner personenbezogenen Daten.