Übermittlung von verhashten E-Mail-Adressen an Facebook ist Weitergabe an Dritte
Im vorliegenden Fall nutzte die Betreiberin eines Onlineshops den Dienst „Facebook Custom Audience“ (s.u.) um gezielt Werbung zu schalten. Hierbei hatte die Betreiberin jedoch keinen Einfluss darauf, bei welchem der Facebook-Mitglieder die Werbung angezeigt wird.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hatte darin eine Weitergabe an Dritte und keine Auftragsverarbeitung gesehen. Bei einer Auftragsverarbeitung bestimmt der Auftraggeber was mit den Daten geschieht, bei der Weitergabe an Dritte bestimmt der Dritte selbst was mit den Daten passiert. Dies bestätigte nun auch der Bayerische Verwaltungsgerichtshof. Zwar sei der Vergleich der Hashwerte weisungsgebunden, die Ausspielung der Werbung durch Facebook an seine Nutzer hingegen frei. Mit dieser Entscheidung wird dem Verwender von „Facebook Custom Audience“ die Pflicht zur Einholung einer informierten Einwilligung des Kunden auferlegt.
Vermehrte Kontrollen für die Zukunft
Wie Thomas Kranig, Präsident des BayLDA in der Pressemitteilung vom 20.11.2018 schrieb, werde das BayLDA Prüfungen für die Zukunft auf weitere Branchen und deren Marketing-Tools ausweiten und Verstöße nach dem neuen Bußgeldrahmen der DSGVO sanktionieren. Hintergrund für die vermehrten Prüfungen sei, dass die Verantwortlichen mehr als ausreichend Gelegenheit hatten ihre Datenverarbeitung zu überprüfen.
Was ist “Facebook Custom Audience”?
Mit „Facebook Custom Audience“ kann ein Unternehmen gezielt auf den Facebook-Seiten seiner Kunden Werbung schalten. Hierzu lädt das Unternehmen E-Mail-Adressen von Kunden über das eigene Facebook-Profil hoch und es wird ein Hashwert für jede einzelne E-Mail-Adresse berechnet. Anschließend vergleicht Facebook diesen Hashwert mit den ebenfalls zu einem Hashwert umgerechneten E-Mail-Adressen aller Facebook-Mitglieder. Stimmen zwei Hashwerte überein, ist die E-Mail-Adresse und damit ein Facebook-Mitglied bestimmt. Die so ermittelten Facebook-Mitglieder bilden die „Custom Audience“ (Kundenliste) und erhalten innerhalb ihres Facebook-Profils Werbung des Unternehmens.