Haftungsfalle: Facebook Custom Audience

Brüssel, 07.03.2019 – Mit der von Facebook angebotenen Dienstleitung „Custom Audience“ bestand für Unternehmen bislang eine einfache Lösung, Werbung individuell auf Kunden zuzuschneiden und über diesen Social Media Dienst auszuspielen. Dazu mussten die Unternehmen lediglich die Kunden Stammdaten (E-Mail, Name, Anschrift und weitere Daten) bei Facebook hochladen. Facebook kann dann anhand der E-Mail-Adresse abgleichen, welcher Kunde dieses Unternehmens auch einen Facebook-Account hat. Bei Übereinstimmungen können im Anschluss gezielte Werbe-Kampagnen gefahren werden. Gleichzeitig besteht die Möglichkeit, auf Grundlage der so erstellen Kunden-Profile ähnliche Facebook-Nutzer mit derselben Werbung zu bespielen. Einfache Handhabung bei maximaler Verbreitung also – jedenfalls bislang.

Denn die bayrische Datenschutzaufsicht untersagte einem Unternehmen, das Marketing-Tool „Facebook Custom Audience über die Kundenliste“ nicht mehr einzusetzen. Grund hierfür war, dass der betroffene Online-Shop keine Einwilligung des Nutzers einholte. Aus Sicht des Bayrischen Landesamtes für Datenschutzaufsicht (BayLDA) war dies aber erforderlich, da Kundendaten direkt an Facebook übermittelt wurden. Gegen diese Anordnung klagte der Online-Shop vor dem Verwaltungsgericht Bayreuth. Das Verwaltungsgericht Bayreuth teilte die Ansicht des BayLDA und entschied im Eilverfahren, dass die Anordnung rechtmäßig ergangen sei. Auch das danach vom betroffenen Unternehmen eingereichte Rechtsbehelf beim Bayrischen Verwaltungsgerichtshof blieb ohne Erfolg.

Der Bayrische Verwaltungsgerichtshof entschied:

• Im Rahmen des Dienstes „Custom Audience“ ist Facebook kein Auftragsverarbeiter, sondern ein Dritter. Die Übertragung der Kundendaten stellt daher eine neue Verarbeitung personenbezogener Daten dar und bedarf einer Rechtfertigung.
• Der Einsatz des Marketing-Tools „Facebook Custom Audience über die Kundenliste“ ist nur nach voriger Einwilligung des Nutzers rechtmäßig.
• Zwar habe der Werbetreibende ein berechtigtes Interesse an zielgerichteter Werbung, diesem Interesse stehen jedoch die überwiegenden, schutzwürdigen Interessen der Betroffenen gegenüber, die insbesondere nicht damit rechnen, dass ihre E-Mail-Adresse an Facebook übermittelt wird.

Nach Aussage der bayrischen Datenschützer scheinen sich auch andere Datenschutzbehörden dieser Auffassung angeschlossen zu haben – der Fall hat damit bundesweite Bedeutung.

Interessant ist vor allem der Weg, den die bayrischen Datenschützer gewählt haben: Anstatt Facebook direkt die (nach dem nunmehr ergangenen Urteil) unrechtmäßige Verarbeitung von Daten (in Form von Abgleichung und Zuordnung der übermittelten Kunden-Stammdaten) zu untersagen, wurde das übermittelnde Unternehmen von der Behörde angegriffen. In einer seiner jüngsten Entscheidungen urteilte der Europäische Gerichtshof, dass Facebook und Facebook-Fanpage-Betreiber die gemeinsame Verantwortung für die auf der Seite generierten personenbezogenen Daten tragen – was ist nun am vorliegenden Fall anders? Für die Bayrische Datenschutzbehörde war die Sachlage relativ klar: Auch für die Verarbeitung der Daten durch Facebook würden beide Seiten – übermittelndes Unternehmen und Social Media Dienst – eine gemeinsame Verantwortung tragen. Nur: Das Unternehmen hat die Daten zuerst übermittelt und damit bereits unrechtmäßig Daten verarbeitet.

Das E-Marketing ist damit (wiederum) etwas schwieriger beziehungsweise umständlicher geworden. Unternehmen, die dennoch nicht auf dieses oder ähnliche Tools verzichten möchte (Google bietet Ähnliches) an, werden zukünftig Einwilligungen ihrer Kunden einholen müssen. Dies kann im besten Fall gleich mit der Einwilligung für Newsletter oder sonstiges geschehen. Fraglich bleibt, ob und inwieweit vollumfassend darüber aufgeklärt werden kann, was Facebook mit den Daten im Anschluss anstellt – abschließende Daten oder gar Muster-Datenschutzbestimmungen hierzu fehlen bislang auf Facebook.