window.dataLayer = window.dataLayer || []; function gtag(){dataLayer.push(arguments);} gtag('js', new Date()); gtag('config', 'UA-34984408-2');
  • Facebook Custom Audiences Kundenliste

VGH München: Facebook Custom Audiences über Upload von Kundenliste

Der VGH München hat in zweiter Instanz eine Entscheidung des VG Bayreuth bestätigt, das die Nutzung einer bestimmten Form der Facebook Custom Audiences verboten hatte (VGH München, Beschluss vom 26.09.2018, Az. 5 CS 18.1157).

Gegenstand der Entscheidung des VGH München ist die Erzeugung von Facebook Custom Audiences über das Hochladen von Kundenlisten (z.B. E-Mailadressen und/oder Telefonnummern) in gehashter Form auf die Social Media Plattform. Falls vor dem Upload der Kundenliste (Siehe Screenshot) keine Einwilligung von jedem einzelnen Kunden in diese konkrete Verarbeitung seiner personenbezogenen Daten vorliegt, ist bereits der Upload der Kundenliste datenschutzwidrig.

Teilweise wird bezweifelt, dass Werbetreibende überhaupt in der Lage sind, von ihren Kunden datenschutzkonforme Einwilligungen für den Upload der Kundendaten sowie die anschließende Aussteuerung von Werbung bei Facebook einzuholen, da unklar ist, wie und in welchem Umfang Facebook hochgeladene Daten verarbeitet (und möglicherweise an Dritte weitergibt).
Facebook Custom Audiences durch Upload von Kundenlisten

Aus dem Urteil:

„Das Verwaltungsgericht ist zutreffend davon ausgegangen, dass die Übermittlung der gehashten E-Mailadressen an Facebook im Rahmen des Dienstes „Custom Audience“ nicht im Wege einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F. erfolgte, sondern als Übermittlung an einen Dritten (§ 3 Abs. 8 Satz 2 BDSG a.F.) zu werten ist, die nach § 4 Abs. 1 BDSG a.F. einer entsprechenden Einwilligung der Betroffenen oder einer gesetzlichen Gestattung der Datenübermittlung bedurft hätte. Da weder eine Einwilligung der Betroffenen vorlag noch die Übermittlung der Daten gesetzlich gestattet war, konnte der Antragsgegner die Löschungsanordnung auf § 38 Abs. 5 Satz 1 BDSG a.F. stützen“.

und weiter

„Das Verfahren „Facebook Custom Audience“ ermöglicht es Unternehmen, ihre Kunden, die zugleich Nutzer von Facebook sind, auf diesem sozialen Netzwerk von Facebook gezielt bewerben zu lassen. Welche Kunden zugleich Nutzer des sozialen Netzwerks sind, wird von Facebook durch Abgleich der jeweiligen E-Mail-Adresse ermittelt (sogenannte Überschneidungsanalyse). Die im Rahmen dieses Dienstes im Wege der Überschneidungsanalyse erstellte Kundenliste (Custom Audience) dient keinem eigenen, abtrennbaren Zweck, sondern ist Grundlage und Voraussetzung für die vertraglich vereinbarte, zielgerichtete Werbung durch Facebook. Der zwischen der Antragstellerin und Facebook geschlossene Verarbeitungsvertrag steht dem nicht entgegen. Maßgebend für die Einordnung eines Vorgangs als Auftragsdatenverarbeitung ist eine objektive Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden tatsächlichen Abläufe. Andernfalls hätten es die Vertragsparteien selbst in der Hand, die rechtlichen Rahmenbedingungen für die Datenverarbeitung festzulegen (Working Paper 169 der Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, im Internet abrufbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_de.pdf, S. 14; Spoerr in Wolff/Brink BeckOK Datenschutzrecht BDSG 2003 § 11 Rn. 41).“

Aber: Facebook Custom Audiences nicht pauschal verboten

Zahlreiche Presseberichte übersehen allerdings, dass das Gericht die Nutzung von Facebook Custom Audiences nicht pauschal verboten hat. Das Hochladen von Kundenlisten ist nämlich nicht die einzige Möglichkeit, wie man eine Custom Audience bei Facebook erzeugen kann.

Facebook Custom Audiences

Erzeugung von Custom Audiences mit Daten des Facebook Pixels

Die wichtigste alternative Datenquelle ist der Facebook Pixel. Mit dem „Pixel“ lässt sich beispielsweise ermitteln, welche Nutzer die eigene Website besucht haben und ob diese gleichzeitig Mitglied bei Facebook sind. Ist dies der Fall, kann dem Websitebesucher im Nachgang per Retargeting individualisierte Werbung bei Facebook ausgespielt werden. Die Funktionsweise des Facebook Pixels wird anschaulich beschrieben bei Allfacebook.

Ob der Facebook Pixel datenschutzkonform eingesetzt werden darf, ist noch nicht gerichtlich geklärt. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat allerdings die Auffassung vertreten, dass eine Nutzung des Facebook Pixels – und damit auch aus den vom Pixel generierten Daten erzeugte Custom Audiences – ohne Einwilligung des Betroffenen zulässig sind, solange auf den sog. „erweiterten Abgleich“ verzichtet wird (zur Pressemitteilung).

Ohne erweiterten Abgleich reicht aus Sicht des BayLDA ein Hinweis zur Funktionsweise in der Datenschutzerklärung sowie die Möglichkeit zum Opt-Out aus. Mit „erweitertem Abgleich“ kann der Facebook Pixel hingegen nur datenschutzkonform genutzt werden, wenn der Nutzer vor Verarbeitung seiner personenbezogenen Daten eingewilligt hat. Insoweit gilt das gleiche wie beim Hochladen von Kundenlisten auf Facebook.

Wir bieten eine besondere Lösung für Datenschutzerklärungen auf Internetseiten. Einmal per Plugin installiert, aktualisieren wir Ihre Datenschutzerklärung automatisch – mit Abmahnkostenschutz.

Scannen Sie jetzt Ihre Website auf avalex.de. Wir zeigen Ihnen nach wenigen Sekunden kostenlos, welche Dienste auf der gescannten Webseite aktiv sind. Auf Wunsch können Sie im Anschluss eine avalex Datenschutzerklärung für Ihre Domain bestellen.

Hinterlassen Sie einen Kommentar