Facebook Custom Audience ist datenschutzwidrig- droht Abmahnwelle?

Facebook kommt nicht aus den Schlagzeilen heraus. Weitgehend unbemerkt hat das Landgericht Bayreuth ein Urteil gegen Facebook und sein Werbetool Custom Audiences gesprochen. Denn dieses ist datenschutzwidrig, so das Landgericht.

Bundesdatenschutzgesetz gilt wesentlich länger als die DSGVO

In seinem Urteil vom 8. Mai 2018 bezog sich das Landgericht Bayreuth (B 1 S 18.105) auf das Bundesdatenschutzgesetz (BDSG), das ja schon seit lange vor der neuen Datenschutzgrundverordnung (DSVGO) geltendes Recht ist. Gemäß § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Wie hängt dies nun mit Custom Audiences zusammen?

Facebook Custom Audiences nutzt E-Mail-Adressen

Das Werbetool Custom Audiences steht allen Facebooknutzern zur Verfügung, die eine sogenannte Fanpage betreiben, also eine Facebookseite, die ein Unternehmen oder eine Dienstleistung vorstellt. Es ist eines von mehreren Werbetools, die Facebook als Service anbietet. In der Praxis lädt der Fanpagebetreiber eine Liste mit E-Mail-Daten beispielsweise seiner Kunden oder Vereinskollegen zu dem Facebookserver hoch. Facebook gleicht die gewonnen Daten mit den Profilen seiner Facebooknutzer ab und kann so einen weiteren Baustein seiner exakt auf Zielgruppen zugeschnittenen Werbung anbieten und verkaufen.

Die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung ist aber gemäß Bundesdatenschutz nur zulässig, wenn der Betroffene eingewilligt hat – was bisher in dem Werbetool Custom Audiences nicht abgefragt oder überprüft wurde. Es gibt aber auch Ausnahmen im Bundesdatenschutzgesetz, die sogenannten Listendaten. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden – aber E-Mail-Adressen zählen laut Gericht nicht zu den Listendaten.

Auch der Umstand, dass es sich um Angebote des Fanpagebetreibers handelt, die den Betroffenen bei Facebook angezeigt werden, reicht laut Gericht nicht aus. Denn erlaubt ist gerade nicht die – im Fall von Facebook Custom Audiences erfolgende – Übermittlung an Dritte.

Facebook Custom Audience ist eine Funktionsübertragung

Schlussendlich folgerte das Landgericht Bayreuth, dass bei der Nutzung von Facebook Custom Audience von einer sogenannten Funktionsübertragung ausgegangen werde müsse und eben keine Datennutzung in Rahmen einer Auftragsdatenverarbeitung vorliege. Das Gericht wies darauf hin, dass die Auswahl der zu Bewerbenden im Ermessen von Facebook liegt. Damit sei von einer Datenübermittlung im Rahmen von Facebook Custom Audiences auszugehen.

Für eine solche Übertragung existierte jedoch keine ausreichende Rechtsgrundlage.

Droht nun eine Abmahnwelle?

Kommt es nun zu einer großen Abmahnwelle? Unter anderem Werbetools wie Custom Audiences haben dazu geführt, dass Facebook seine Werbeeinnahmen außergewöhnlich steigern konnte. Viele Fanpagebetreiber haben sicherlich – durchaus in Unkenntnis der rechtlichen Lage – das Werbetool Customer Audience genutzt.

Eine Abmahnwelle droht dennoch nicht unmittelbar. Zum einen ist das Urteil noch nicht rechtskräftig, ob Rechtsmittel beim Oberverwaltungsgericht eingelegt wurden, entzieht sich derzeit unserer Kenntnis. Es gibt aber noch weitere wichtige Aspekte: ob eine eingeblendete Werbung bei Facebook durch das Tool Customer Audience erzeugt wurde, ist für den Beworbenen nicht sichtbar. Damit entfällt eine wichtige Voraussetzung für eine von Anwälten initiierte Abmahnwelle: die des – einfach zu erbringenden – Nachweises der Rechtsverletzung.

Dennoch sollte jeder Fanpagebetreiber ab sofort auf das Werbetool Customer Audiences verzichten. Denn ausgelöst wurde das Urteil durch den Bayrischen Datenschutzbeauftragten. Ein mögliches rechtliches Vorgehen könnte sich daher nicht nur auf Untersagungsverfahren beschränken, sondern ein Datenschutzbeauftragter könnte auch zu anderen Maßnahmen greifen – und hätte andere Möglichkeiten, eine mögliche Rechtsverletzung nachzuweisen. Darüber hinaus könnte das zunächst auf Bayern bezogene Urteil auch in den anderen Bundesländern Schule machen.

Facebook Fanpages auch im Fokus des EuGH

Übrigens ist das vor zwei Tagen vom Europäischen Gerichtshof gesprochene Urteil zu Fanpages ein gänzlich anders gelagerter Fall. In dem Fall vor dem EuGH ging es um das Platzieren von Cookies. Denn die Betreiber von Fanpages können mit Hilfe der Facebook Funktion Facebook Insight anonymisierte statistische Daten betreffend der Nutzung dieser Seiten durch Seitenbesucher erhalten. Diese Daten werden mit Hilfe sogenannter Cookies gesammelt, die jeweils einen eindeutigen Benutzercode enthalten, der für zwei Jahre aktiv ist und den Facebook auf der Festplatte des Computers oder einem anderen Datenträger der Besucher der Fanpage speichert. Der EuGH entschied nun, dass der Betreiber einer Facebook-Fanpage gemeinsam mit Facebook Ireland die datenschutzrechtliche Verantwortung für die Verarbeitung der personenbezogenen Daten der Besucher trage – allerdings gebe es keine gleichwertige Verantwortlichkeit der verschiedenen Akteure und daher sei im Einzelfall zu entscheiden. Mit dieser Antwort wird dieser Fall wieder an das Bundesverwaltungsgericht zurück verwiesen.

Dürfen Datenschutzbeauftragte gegen Facebook vorgehen, ohne selbst betroffen zu sein?

Eine wichtige Vorfrage sowohl zu dem Urteil zu Facebook Custom Audiences als auch zu Facebook Insight ist bereits 2014 vom EuGH entschieden worden. Datenschutzbeauftragte dürfen gegen Facebook – und auch Google – vorgehen, auch ohne selbst betroffen zu sein. Es geht sogar darüber hinaus. Die Datenschutzbehörden können unter dem Gesichtspunkt der ermessenfehlerfreien Auswahl des richtigen Adressaten einer entsprechenden Verfügung durchaus sogar verpflichtet sein, gegen die Facebook Deutschland GmbH anstatt gegen einzelne Facebook-Fanseitenbetreiber vorzugehen. Allerdings kann die soeben in Kraft getretene Datenschutzgrundverordnung (DSGVO) auch gegenteilig ausgelegt werden: Da nun die Zuständigkeit der Datenschutzbehörden möglicherweise innerhalb der EU zu den irischen Datenschützern und Facebook Irland wechselt, könnte eine Durchsetzung der in Deutschland gefällten Urteile schwierig werden.

Der Grund dafür ist das sogenannte One-Stop-Shop-Prinzip, das mit Inkrafttreten der Europäischen Datenschutzgrundverordnung zur Vereinheitlichung der Datenschutzpraxis dienen soll. Praktisch bedeutet dies folgendes: Die Zuständigkeit der Datenschutzaufsichtsbehörde richtet sich seit dem 25. Mai 2018 nach der Hauptniederlassung des Unternehmens (Art. 56 DSGVO).  Entscheidend ist daher nicht, an welchem Ort die Verarbeitung der Daten tatsächlich stattfindet, sondern in welchem Land die tatsächliche Ausübung von Managementtätigkeiten des Unternehmens und Entscheidungen zur Nutzung der fraglichen Daten stattfinden.

Lässt sich keine Hauptniederlassung identifizieren, ist weiterhin jede Aufsichtsbehörde am jeweiligen Ort einer Datenverarbeitung zuständig. Insbesondere globale Konzerne, bei denen alle Grundsatzentscheidungen auch über mögliche Datenverarbeitungen von der Konzernmutter außerhalb der EU getroffen werden, profitieren daher nicht grundsätzlich von der Neuerung.

Der Europäische Gerichtshof hat in seiner Entscheidung vom Dienstag zum Fall „Facebook Insight für Fanpages“ klar entschieden:  Facebook Germany sei für die Förderung des Verkaufs von Werbeflächen verantwortlich und übe Tätigkeiten aus, die für in Deutschland wohnhafte Personen bestimmt sind. Aufgrund dessen, dass ein soziales Netzwerk wie Facebook einen wesentlichen Teil seiner Einnahmen aus der Werbung erwirtschaftet und die in Deutschland ansässige Facebook-Niederlassung die Aufgabe hat, in diesem Mitgliedstaat für die Förderung des Verkaufs der Werbeflächen zu sorgen, seien die Tätigkeiten von Facebook Germany als untrennbar verbunden zu sehen mit Facebook Ireland, die wiederum die europäische Hauptniederlassung der Facebook Inc. ist.

 

Sorgen Sie sich, eine Abmahnung zu erhalten?

Nutzen Sie doch noch heute einen unverbindlichen Rückruf-Termin mit uns! Unsere Anwälte betrachten jeden Fall individuell.

 

 

 

Quellen:

Landgericht Bayreuth: Bayerische Landesamt für Datenschutzaufsicht gegen Onlineshop- und Facebook Fanpagebetreiber

Curia Europe: EU:C:2018:388 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein gegen Facebook Irland Ltd.

Lexitius: EuGH 2014 Google Spain SL, Google Inc. gegen Agencia Española de Protección de Datos (AEPD)

Bild:

Firmbee /pixabay.com / CCO License