VGH München: Einsatz von Facebook Custom Audiences verstößt gegen Datenschutzrecht

Der Einsatz von Facebook Custom Audiences ist grundsätzlich datenschutzwidrig (VGH München, Beschl. v. 26.09.2018 - Az.: 5 CS 18.1157). Das Gericht bestätigt damit die Ansicht der Vorinstanz, des VG Bayreuth (Beschl. v. 08.05.2018 - Az.: B 1 S 18.105).

Die Klägerin betrieb einen Online-Shop und nutzte zu Marketing-Zwecken unter anderem das Werbe-Tool "Custom Audiences"  von Facebook. 

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) stufte dies als datenschutzwidrig ein und erließ einen entsprechenden Untersagungsbescheid. Hiergegen wehrte sich der Online-Shop. Das Unternehmen argumentierte u.a., dass gar keine Datenübermittlung vorliege, da zwischen ihm und Facebook eine Auftragsdatenverarbeitung vorliege.

Die Vorinstanz, das VG Bayreuth (Beschl. v. 08.05.2018 - Az.: B 1 S 18.105), wies die Klage ab, da es den Untersagungsbescheid des BayLDA für rechtlich einwandfrei einstufte. Es liege keine Auftragsdatenverarbeitung vor, da es allein im Ermessen von Facebook stehe, wer beworben werde und werde nicht. Es hätte somit einer Rechtsgrundlage für die Datenübermittlung bedurft, die jedoch nicht ersichtlich sei.

Dieser Ansicht schloss sich nun auch der VGH München (Beschl. v. 26.09.2018 - Az.: 5 CS 18.1157) in der Beschwerdeinstanz an.

Eine Auftragsdatenverarbeitung sei nicht gegeben, da Facebook autonom über die Datennutzung entscheide:

"Wie die Antragstellerin in der Beschwerdebegründung selbst vorträgt, entscheidet Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder, welche Nutzer der Zielgruppenbestimmung der Antragstellerin entsprechen und folglich beworben werden.

Facebook trifft die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und verfügbaren Profildaten und ist allein in der Lage, die zu bewerbenden Kunden zu ermitteln und die Werbung auszuspielen.

Facebook ist - nach Angaben der Antragstellerin - bei der Durchführung des Dienstes und der Auswertung des Verhaltens seiner Nutzer völlig frei. Sie erklärt selbst, auf die Datenerhebungs- und Verarbeitungsprozesse keinen Einfluss zu haben. Die Bewertung, dass Facebook als Auftragsdatenverarbeiter tätig wird, stützt die Antragstellerin ausschließlich auf die Aufspaltung der einzelnen Handlungsschritte des von Facebook angebotenen Dienstes."

Für die Datenübermittlung an Facebook hätte es somit einer Rechtsgrundlage bedurft, so das Gericht weiter. Und daran fehle es im vorliegenden Fall.

Ein Rückgriff auf das Listendaten-Privileg nach § 28 Abs.3 S.2 BDSG a.F. scheitere bereits daran, dass E-Mail-Adressen nicht unter diese Ausnahmeregelung fallen würden. Ebenso sei kein Fall der Wahrung berechtigter Interessen (§ 28 Abs.1 Nr. 2 BDSG a.F.) gegeben, da die schutzwürdigen Belange der Verbraucher, deren E-Mail-Adressen genutzt würden, überwiegen würden.

Anmerkung von RA Dr. Bahr:
Bereits vor etwa einem Jahr hat das BayLDA seine Stellungnahme zu den rechtlichen Voraussetzungen beim Einsatz von Facebook Customer Audience veröffentlicht. Siehe hierzu unsere News v. 10.10.2017.

Inhaltlich bestätigt der VGH München auf ganzer Linie die Ansicht der Vorinstanz, des VG Bayreuth (Beschl. v. 08.05.2018 - Az.: B 1 S 18.105).