Zwischen Online-Marketeers und Datenschützer*innen besteht wohl so etwas wie eine Hassliebe der besonderen Art, sind doch die Ziele dieser beiden Fachrichtungen meist gegenläufig. Nachdem der durchweg als störend empfundenen Consent-Banner nur langsam und zögerlich akzeptiert wird, steht bereits eine neue Marketing-Idee in den Startlöchern, die das ohnehin bereits angespannte Verhältnis von Marketing und Datenschutz erneut empfindlich zu stören droht. Es geht um…

Customer Match Listen

Eine durchaus nicht völlig neue, aber derzeit recht begehrte Online-Marketingstrategie. Doch beginnen wir von vorn und betrachten am Beispiel der ausgedachten „Fantasiefirma AG“ zunächst die Abläufe einer typischen Online-Marketingkampagne.

Werbung im Internet gibt es in vielen Formen und Farben. Ob nun als Werbebanner, Video-Einblendung oder Popup-Fenster – eine Online-Marketingkampagne ist viel erfolgreicher, wenn die Werbung nicht „ins Blaue hinein“ an jede*n adressiert wird, sondern eine passende Zielgruppe erreicht. Dazu wählt unsere Fantasiefirma AG bei der Beauftragung eines Werbenetzwerks die passenden Attribute (z. B. Alter, Geschlecht, Wohnort) der gewünschten Zielgruppe. Die großen Werbenetzwerke (wie Facebook – Meta, Google, Tiktok u. v. m.) haben die eigenen Nutzer*innen seit langer Zeit sehr sorgfältig beobachtet und dabei eine fundierte Datenbasis geschaffen, sodass der Fantasiefirma AG nun auch recht exotische Attribute (z. B. kürzlich verheiratete Personen oder Art der sexuellen Orientierung) zur Auswahl stehen. Durch eine geschickte Steuerung dieser Zielgruppen-Attribute kann die Fantasiefirma AG den Erfolg und auch die Kosten der eigenen Online-Marketingkampagne wirksam beeinflussen.

Hat die Fantasiefirma AG durch eine formvollendete Zielgruppensteuerung alle verfügbaren Attribute ausgereizt, fragt sie sich bald, wie die eigenen Zielgruppen künftig noch exakter definiert werden können. Wie viele Unternehmen kommt die Fantasiefirma AG auf die Idee, die Datenbasis bei den Werbenetzwerken selbst zu ergänzen, nämlich um das Attribut „Bestandskund*innen von Fantasiefirma AG“. Der Vorteil: Die Bestandskund*innen haben sich in der Vergangenheit schon einmal für die Produkte der Fantasiefirma AG entschieden. Und durch ein gezieltes Marketing können diese leichter zu einer weiteren Kaufentscheidung motiviert werden. Doch wie soll das genau gehen?

Nun, Werbenetzwerke haben für Unternehmen wie die Fantasiefirma AG schon längst die passende Marketing-Lösung im Angebot. Facebook nennt dies „Customer Match Listen“ – Google spricht von „Kundenlisten“. Der Mechanismus dahinter ist immer gleich und funktioniert so:

Die Fantasiefirma AG benutzt ein spezielles Software-Tool des Werbenetzwerks, das alle bei der Fantasiefirma AG gespeicherten E-Mail-Adressen von Bestandskund*innen an das Werbenetzwerk übermittelt. Grundsätzlich eigenen sich E-Mail-Adressen hier ganz besonders gut, denn kaum eine*r ändert regelmäßig die eigene E-Mail-Adresse, sondern verwendet die selbige meist jahrelang.

Um den empörten Kommentaren der geneigten Leser*innen unseres Blogs zuvorzukommen sei hier versichert, dass die Fantasiefirma AG aus Datenschutzgründen dem Werbenetzwerk nicht einfach so alle diese E-Mail-Adressen zuschicken wird. Niemand hat die Absicht Klardaten zu übermitteln. Das läuft ganz anders: Die E-Mail-Adressen der Kund*innen werden durch einen Hash-Algorithmus (eine kryptographische Verschlüsselungsmethode) in einen wilde Zahlen- und Buchstabensalat (sog. Hash-Wert) umgewandelt (gehashed). Durch diese Verschlüsselung ist es für Dritte unmöglich, aus dem Hash-Wert die darin verkörperte E-Mail-Adresse zurück zu berechnen. Auch das Werbenetzwerk hashed die bekannten E-Mail-Adressen aller eigenen Nutzer*innen mit dem gleichen Hash-Algorithmus, den schon die Fantasiefirma AG verwendet hat. Nun können die beiderseits erzeugten Hash-Werte abgeglichen werden. Gibt es eine Übereinstimmung (also einen „Match“) wird die/der mit dem Hash-Wert verbundene Nutzer*in der Customer Liste/ Kundenliste von der Fantasiefirma AG hinzugefügt. Das läuft natürlich völlig automatisiert und schon bald kann die Fantasiefirma AG als Zielgruppe der nächsten Online-Marketingkampagne die eigenen Kund*innen direkt bewerben.

Soviel zu den Hintergründen der Customer Match Listen, kommen wir jetzt zur…

Datenschutzrechtlichen Bewertung

Zunächst müsste der Anwendungsbereich des Datenschutzes überhaupt eröffnet sein. Dazu müssten die zwischen der Fantasiefirma und dem Werbenetzwerk ausgetauschten Informationen personenbezogene oder personenbeziehbare Daten sein.

Nun beschränkt sich der Datenaustausch für das Customer Matching auf die Hash-Werte, also derart verschlüsselte Informationen, die kein Dritter wieder entschlüsseln kann. Das klingt nach einer recht soliden Anonymität, doch Vorsicht! Sind die Hash-Werte tatsächlich nicht personenbeziehbar?

Nach Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) sind personenbezogene Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen […]“. Und „als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung […] identifiziert werden kann“.

Einfacher gesagt besteht eine Identifizierbarkeit bzgl. des Hash-Wertes, wenn dem Verarbeitenden mit den zur Verfügung stehenden Informationen ein Personenbezug irgendwie möglich ist. Genau das ist hier der Fall. Sowohl die werbende Fantasiefirma AG als auch das Werbenetzwerk können mit Hilfe der gespeicherten Klardaten und dem Hash-Algorithmus jederzeit und ohne großen Aufwand eine Tabelle mit einer sauberen Zuordnung von E-Mail-Adresse und passendem Hash-Wert erzeugen. Deshalb sind die Hash-Werte keine anonymen Daten, sondern pseudonyme Daten, die den gleichen Regeln des Datenschutzes unterworfen sind, wie die Klardaten.

Insbesondere braucht es gemäß Art. 6 Abs. 1 DSGVO eine Einwilligung oder eine andere Rechtsgrundlage für die Fantasiefirma AG, die pseudonymisierten Daten an das Werbenetzwerk übermitteln zu dürfen.

Um die Datenverarbeitung mittels Einwilligung (Art. 6 Abs. 1 lit. a) zu legitimieren, müsste die Fantasiefirma AG von allen Kund*innen vorab eine wirksame und nachweisbare Einwilligung eingeholt haben. Doch welche Kund*innen würden freiwillig darin einwilligen, das Tracking des eigenen Surfverhaltens durch Werbenetzwerke zu optimieren, um durch individualisierte Werbeangebote zu Kaufentscheidungen motiviert zu werden, die sie aus freien Stücken nicht getroffen hätten? Genau, wohl keine.

Da von den Kund*innen in der Regel keine Einwilligung für die Customer Match Liste eingeholt wurde, kommen die Rechtsgrundlagen in Art. 6 Abs. 1 lit. b – f DSGVO in Betracht. Gehen wir diese einmal durch:

Eine Vertragspflicht gegenüber den Kund*innen (Art. 6 Abs. 1 lit. b) erfüllt die Fantasiefirma AG bei dieser Datenübermittlung nicht. Außerdem sind keine gesetzlichen Pflichten (Art. 6 Abs. 1 lit. c), lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) oder gar hoheitliche Aufgaben (Art. 6 Abs. 1 lit. e) vorzuweisen.

Als letzte mögliche Rechtsgrundlage kommt nur Art. 6 Abs. 1 lit. f in Betracht, also das Bestehen von berechtigten Interessen der werbenden Fantasiefirma AG, die den Interessen der Kund*innen überwiegen. Und das Kriterium „überwiegen lässt es bereits vermuten – das Gesetz verlangt damit, die gegenläufige Interessenlage abzuwägen. Schauen wir einmal, welche Interessen wir haben:

  1. Einerseits das Interesse des werbenden Unternehmens, Kund*innen-Mail-Adressen an ein Werbenetzwerk zu übermitteln, um die eigenen Werbe-Zielgruppen zu optimieren;
  2. Andererseits das Interesse der Kund*innen, dass ihre Daten nicht auf diese Weise verarbeitet werden (Recht auf informationelle Selbstbestimmung).

Bei der Abwägung dazu, welches Interesse überwiegt, hilft der Blick in das Gesetz. In Erwägungsgrund 47 Satz 7 der DSGVO steht, dass die sogenannte Direktwerbung ein berechtigtes Interesse sein kann. Allerdings verlangt derselbe Erwägungsgrund 47 in Satz 1 die Berücksichtigung der vernünftigen Erwartungen der betroffenen Person. Aller Voraussicht nach ist den Kund*innen der Fantasiefirma AG weder bewusst noch bekannt, dass ein solcher Datenabgleich der E-Mail-Adressen mit großen Werbenetzwerken durchgeführt wird, um die Kund*innen einer Zielgruppe zuzuordnen. Zu diesem Ergebnis kam auch das VG Bayreuth in seinem Beschluss v. 08.05.2018 (Az. B 1 S 18.105), das sich damit der streitgegenständliche Auffassung des Bayerischen Landesamt für Datenschutzaufsicht anschloss und nachfolgend durch den VGH München am 26.09.2018 (Az. 5 CS 18.1157) bestätigt wurde. In der Entscheidung wurde festgestellt, dass nur eine Einwilligung diese Art des Datenabgleichs rechtfertigen könne. Und diese ist für die Unternehmen aus den bereits genannten Gründen meist keine Option.

Fazit: Eine Rechtsgrundlage fehlt

Die datenschutzrechtliche Bewertung der Customer Match Listen führt aus diesen Gründen zu dem Ergebnis, dass es an einer geeigneten Rechtsgrundlage fehlt und in der Regel das jeweilige werbende Unternehmen keine Einwilligung der eigenen Kund*innen vorzuweisen hat.

Gleichwohl ist zu sehen, dass die großen Werbenetzwerke ihre Marktmacht nutzen und die Online-Werbeindustrie auf diesen neuen Kurs aussteuern. Hierdurch werden Unternehmen bald schon gezwungen sein, die mit den Customer Match Listen verbundene unzulässige Datennutzung in Kauf zu nehmen, um gegenüber Konkurrenten wettbewerbsfähig zu bleiben. Eine Lösung dieser Misere ist aktuell nicht in Sicht – nach Auffassung des Autors ist es nun an der Zeit, sich für eine politische Entscheidung stark zu machen, um auf lange Sicht Rechtssicherheit herstellen zu können.