Ohne Einwilligung wird Datenschutz verletzt: Vorsicht bei »Facebook Custom Audiences«

Mit einem speziellen Angebot fordert Facebook Händler auf, ihre Kundendaten verschlüsselt an das soziale Netzwerk zu senden. Dafür können diese dann personalisierte Werbung an ihre Kunden über die sozialen Dienste ausspielen. Allerdings ist die Weitergabe der Daten trotz Verschlüsselung rechtswidrig.

Weitergabe nicht ohne Einwilligung

Im konkreten Fall war die Klägerin, die einen Online-Shop betreibt, gegen einen Untersagungsbescheid des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), vorgegangen. Diese hatte die durch die Beklagte begangenen datenschutzrechtlichen Verstöße durch die Teilnahme an Facebooks Custom-Audience-Programm verboten. Die Shop-Betreiberin hatte eine Kundenliste mit Kontaktdaten, unter anderem der E-Mailadresse, mit der Hashfunktion SHA-256 verschlüsselt und anschließend an Facebook übertragen. Daraufhin wertete Facebook diese aus und prüfte die Hashwerte auf Übereinstimmungen der eingeschickten Kundendaten mit bestehenden Facebook-Mitgliedern. So identifizerte Facebook-Nutzer bildeten eine »Custom Audience«, die gezielt mit personalisierten Anzeigen beworben werden konnten.

Für die Richter am VG Bamberg reichte das verhashen der E-Mail-Adressen nicht aus, um die Daten zu anonymisieren. Denn trotz der Hash-Werte könnten die Daten , wenn auch nur mit erheblichem Aufwand bestimmten Personen zugeordnet werden. Da es sich bei der Übermittlung der Daten zudem nicht um eine Auftragsdatenverarbeitung nach §11 BDSG sondern um eine Übermittlung an einen Dritten handele, sei eine konkrete und rechtlich nicht zu beanstandende Einwilligung der Betroffenen einzuholen gewesen.

Rechtsanwalt Müller betont, dass der Beschluss des VG Bayreuth zwar noch auf Basis der nicht mehr geltenden Fassung des BDSG ergangen ist, aber auch nach in Kraft treten der DSGVO gültig bleiben sollte.

Nutzern von Facebook Custom Audience rät der Rechtsexperte zudem, den Dienst nicht ohne weiteres über die sogenannte Kundenlisten-Funktion zu verwenden. »Zu bevorzugen ist die Nutzung über das Facebook-Pixel-Verfahren. Auch in diesem Fall müssen Sie allerdings eine informierte Einwilligung der Betroffenen einholen und zusätzlich eine entsprechende Datenschutzklausel in der Datenschutzerklärung verwenden.«

Übersicht