VGH München: Nutzung von Facebook Custom Audience datenschutzwidrig

Zielgruppenorientierte Werbung in den sozialen Medien ist zum Beispiel mit Facebook Custom Audience möglich. Wie ein Urteil des Verwaltungsgerichtshofs München zeigt ist es jedoch grundsätzlich auch datenschutzwidrig.

Mit Facebook Custom Audience kann im sozialen Netzwerk zielgruppenorientiert gegenüber schon existierenden Kunden geworben werden. Dazu können Online-Händler eine verschlüsselte Kundenliste hochladen oder importieren. Diese Daten werden dann durch Facebook dazu verwendet, die Kunden mit ihren Facebook-Konten zu verknüpfen, sofern sie bestehen. Anschließend können Werbeanzeigen gezielt an diese gerichtet werden. In dieser Datenübertragung kann jedoch auch ein Problem liegen, wenn der Kunde nicht darin eingewilligt hat.

Verarbeitung fremder personenbezogener Daten grundsätzlich verboten

Im Fall hat das Bayerische Landesamt für Datenaufsicht einen Untersagungsbescheid gegen einen Online-Händler erlassen. Dieser wehrte sich dagegen, weshalb die Sache vor dem Verwaltungsgerichtshof München landete. Das Problem war, dass der Händler nicht die Einwilligung der Kunden eingeholt hat, deren Daten er auf diese Weise an Facebook weitergab. Ein Prinzip des Datenschutzes ist, dass die Verarbeitung fremder personenbezogener Daten grundsätzlich verboten ist, wenn nicht eine Ausnahme vorliegt. Vergleichbar ist das mit dem Autofahren. Dies ist auf öffentlichem Boden ebenfalls grundsätzlich verboten, es sei denn, der Fahrer hat eine Fahrerlaubnis. Im Falle des Datenschutzes stellt entweder eine gesetzliche Regelung oder die Einwilligung des Betroffenen diese Fahrerlaubnis dar. Da es keine Einwilligungen gab, stützte sich der Online-Händler auf die andere verbleibende Möglichkeit: Die gesetzlich geregelte Ausnahme.

Einwilligung bei Auftragsverarbeitung nicht nötig

Online-Händler dürfen fremde Daten zum Beispiel bei der Auftragsdatenverarbeitung ohne eine zusätzliche Einwilligung des Betroffenen an diesen Auftragsverarbeiter weitergeben. Das kann zum Beispiel der Host sein, auf dessen Servern der Shop liegt, oder ein Callcenter, das den Kundenservice übernimmt und von dem Online-Händler dazu beauftragt wird. Dass es hier keine Einwilligung braucht, hängt auch damit zusammen, dass der Auftraggeber für Fehler des Verarbeiters gerade stehen muss und diesen daher sorgfältig auswählen sollte.

Zwischen ihm und Facebook liege genau so ein Auftragsverarbeitungsverhältnis vor, hielt der Online-Händler dem Bayerischen Landesamt für Datenaufsicht entgegen. Am Verwaltungsgerichtshof sah man hier aber ein Problem: Den Auftrag. Der Beauftragte muss dafür das tun, was ihm der Auftraggeber vorgibt. Darüber hinaus muss der Auftraggeber aber überhaupt auch vorgeben können, was zu tun ist. Beauftragt man beispielsweise jemanden damit, die eigenen Lebensmitteleinkäufe zu erledigen, dieser behält sich aber auch den Kauf von Winterreifen für den Auftraggeber vor, hat das mit dem eigentlichen Auftrag nicht mehr wirklich etwas zu tun.

Online-Händler hätten kaum Einfluss auf die Datenverarbeitung bei Facebook

Der Online-Händler muss in diesem Fall also überhaupt in der Lage gewesen sein, Facebook Vorgaben zur Verarbeitung der Daten zu machen. Wie die Richter befanden, sei das aber nicht möglich. Facebook ordnet sich dem beauftragenden Händler nach ihrer Auffassung nämlich nicht ausreichend genug unter. Das Unternehmen behalte sich vor, selbst zu entscheiden, welche der Kunden am Ende tatsächlich beworben werden. Der Händler übermittle zwar die E-Mail-Adressen der Kunden, die Auswahl träfe Facebook aber auf Grundlage von Daten, die nur es selbst hat. Der Händler hingegen hat keinen Einfluss auf Datenerhebungs- und Verarbeitungsprozesse und ist somit kaum weisungsfähig gegenüber dem sozialen Netzwerk.

Insgesamt lag so keine Voraussetzung vor, welche die Weitergabe der Daten erlaubt hat – und die Verwendung von Facebook Custom Audience ohne Einwilligung der Betroffenen war datenschutzwidrig. Das Urteil betrifft zwar eine Situation, zu der die DSGVO noch nicht gegolten hat. Das Ergebnis dürfte nach der neuen Rechtslage aber kein wesentlich anderes sein. Online-Händler, die Facebook Custom Audience verwenden, sollten also auf eine ordnungsgemäße Einwilligung achten. Dafür reicht es nicht aus, anzugeben, dass Daten erhoben und für eigene Werbezwecke verwendet werden. Facebook verarbeitet diese selbst als Dritter, weshalb die Einwilligung unter anderem die Weitergabe an solche ausdrücklich vorsehen muss.