Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte im vergangenen Jahr in einer Pressemitteilung allgemeine Hinweise und Anforderungen für Verantwortliche zum Einsatz von Facebook Custom Audience veröffentlicht – wir berichteten. Es liegt nun mit dem Beschluss des VG Bayreuth vom 08.05.2018, Az.: B 1 S 18.105 – eine erste gerichtliche Entscheidung zum Einsatz von Facebook Custom Audience vor.

Wie funktioniert Facebook Custom Audience?

Bei der Funktionsweise muss zwischen Facebook Custom Audience über die Kundenliste und über das Pixelverfahren unterschieden werden.

Bei der Kundenliste erstellt das Unternehmen eine eigene Kundenliste (z.B. mit Name, Wohnort, E-Mailadresse und Telefonnummer) und lädt diese Liste im Facebook-Konto des Unternehmens hoch. Die Kundenliste wird hierbei mittels SHA256-Verfahren verschlüsselt. Facebook gleicht sodann die Kundenliste mit allen Facebook-Nutzern ab und stellt fest, welche Nutzer bei Facebook sind. Das Unternehmen kann auf Grundlage dessen eine zielgruppenorientierte Werbekampagne auf Facebook starten.

Beim sogenannten „Facebook-Pixel“ wird ein unsichtbares Facebook-Pixel auf der Webseite eingebunden, mit dem das Online-Verhalten jedes Webseiten-Besuchers durch Facebook analysiert wird. Legt der Nutzer beispielsweise einen Laptop in den Warenkorb und bricht den Kaufvorgang ab, erhält Facebook diese Information. Der Webseiten-Betreiber kann mit dieser und weiteren Informationen diesen Nutzer und Lookalikes (andere Facebook-Nutzer, die dem Nutzer ähneln), gezielt auf Facebook ansprechen und sie möglicherweise mit der Werbeanzeige zu einem Kauf bewegen.

Worum ging es in dem vorliegenden Fall?

Die Klägerin setzte in Ihrem Online-Shop Facebook Custom Audience über die Kundenliste zu Werbezwecken ein. Facebook und die Klägerin schlossen hierbei einen Vertrag zu Auftragsverarbeitung ab. Das BayLDA erließ einen Untersagungsbescheid, da es der Ansicht war, dass die Datenverarbeitung unrechtmäßig erfolge. Es sei beim Einsatz von Facebook Custom Audience über die Kundenliste vom einzelnen Kunden eine Einwilligungserklärung einzuholen. Die Klägerin war hingegen der Ansicht, dass vielmehr eine Situation der Auftragsverarbeitung vorliege und die Datenverarbeitung ohne Einwilligung zulässig sei.

Wie entschied das Gericht?

Das VG Bayreuth entschied, dass es nicht darauf ankomme, ob vorliegend ein Vertrag zur Auftragsverarbeitung zwischen Facebook und dem Kläger geschlossen wurde. Die Situation sei vielmehr nach tatsächlichen Gegebenheiten zu beurteilen. Da nur Facebook entscheide, wer beworben wird, handle Facebook selbstständig und als Verantwortlicher. Da keine ausreichende gesetzliche Rechtsgrundlage vorliege, müsse der jeweilige Nutzer in die Datenverarbeitung einwilligen.

In welchem Kontext muss die Entscheidung gesehen werden?

Webseiten-Betreiber, die Facebook Custom Audience über die Kundenliste einsetzen, sollten neben dieser Entscheidung auch das kürzlich ergangene Urteil des Europäischen Gerichtshofs (EuGH) (Urteil vom 05.06.2018, Az. C-210/16) zu Facebook-Fanpages beachten. Der EuGH entschied, das Betreiber einer Facebook-Fanpage die datenschutzrechtliche Verantwortung gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten der Fanpage-Besucher trägt. Folge ist hierbei unter anderem, dass den Fanpage-Betreiber selbst Informationspflichten treffen und Betroffenenrechte auch gegenüber dem Fanpage-Betreiber geltend gemacht werden könnten. Die Urteilsgründe könnten sich dabei auch auf Facebook-Tools wie Facebook Custom Audience übertragen lassen.

Fazit

Es wird für Webseiten-Betreiber, die Facebook Custom Audience einsetzen, komplizierter. Webseiten-Betreiber sollten die jüngst rund um Facebook ergangenen Entscheidungen berücksichtigen. Ferner muss die weitere Rechtsentwicklung (das zu Facebook-Fanpages ergehende Urteil des Bundesverwaltungsgerichts) sowie die weitere Positionierung Facebooks zur Fanpage-Thematik verfolgt werden. In jedem Fall sollten Webseiten-Betreiber Einwilligungserklärungen für die Datenverarbeitung einholen, in der Datenschutzerklärung möglichst umfassend über die Datenverarbeitung informieren sowie eine Widerrufsmöglichkeit anbieten. Es könnte zusätzlich eine Vereinbarung nach Art. 26 DSGVO mit Facebook notwendig werden, wenn die Rechtsprechung eine gemeinsame Verantwortlichkeit auch beim Einsatz von Facebook Custom Audience annehmen wird. Letztendlich werden Webseiten-Unternehmen jedoch für einen datenschutzkonformen Einsatz auf die Mitwirkung von Facebook angewiesen sein.