Das bayerische Landesamt für Datenschutzaufsicht (BayLDA) sprach schon 2017 ein Verbot über die Nutzung von Facebooks „Custom-Audience“-Werkzeug (CAW) aus, wenn keine wirksame Einwilligung der betroffenen Personen vorliegt. Darin wurde das BayLDA am 26.09.2018 vom Bayerischen Verwaltungsgerichtshof bestätigt.
Doch was ist das CAW eigentlich? Der Service ermöglicht es Unternehmen, wie z.B. Onlineshops, über u.a. Kunden und Newsletter-Abonnenten erhobene Daten, also E-Mail-Adressen, Telefonnummern, Namen und Vornamen, Anschriften sowie Postleitzahlen etc., per Excel-Tabelle an Facebook weiterzugeben, wo ein Abgleich mit den von Facebook gesammelten Datensätzen stattfindet. So werden dann die Datensätze der nutzenden Unternehmen um die Daten von Facebook erweitert – und umgekehrt. Erweitert wird Facebooks Angebot durch die „Lookalike“-Funktion, durch die nach gewünschten Kriterien Zielgruppen erstellt und Personen, deren Profile etwa aufgrund der „Gefällt mir“-Angaben in die jeweiligen Kriterien passen, mit Werbung erreicht werden können. Insbesondere muss bei diesen Vorgängen beachtet werden, dass auch andere große soziale Netzwerke wie Instagram, Snapchat oder Whatsapp mittlerweile zu Facebook gehören.
In einem Interview mit „Netzpolitik.org“ bezieht Kristin Benedikt, Referatsleiterin beim BayLDA, Stellung dazu, warum das CAW in Zeiten des Datenschutzes problematisch ist.
Zunächst finde durch das CAW die Übermittlung von großen Stammdatenlisten, wie etwa mehreren Millionen E-Mail-Adressen, an einen Dritten, in diesem Falle Facebook, statt. Gemäß Art. 14 DSGVO entstehen dadurch umfassende Informationspflichten gegenüber den betroffenen Personen. Es habe sich jedoch ergeben, dass eine Information in keinem der geprüften Fälle stattfand. Dies stelle eine besondere Gefahr für die Vertraulichkeit höchstpersönlicher Informationen der betroffenen Personen dar, weil auch Versicherer, Online-Apotheken oder –Sexshops das CAW nutzen. Diese Informationen füge Facebook dann ohne Mitwissen der Betroffenen den bestehenden Profilen hinzu.
Auf die Frage nach der Sicherheit, die von Facebooks Hash-Verfahren zur Verschlüsselung der Datensätze ausgeht, entgegnet Benedikt zutreffend, dass eine Hash-Verschlüsselung heutzutage leicht umgangen werden kann. Weiterhin könne Facebook die Daten auslesen und mit Profilen verknüpfen, womit faktisch keine Anonymisierung stattfinde. Sinn des CAWs sei es gerade, individualisierte Daten über die betroffenen Personen zu erweitern und sie dann anzusprechen. Auch diesem Verständnis des BayLDA stimmte der Bayerische Verwaltungsgerichtshof zu.
Eine Einwilligung der betroffenen Personen könne mithilfe eines Textfeldes vor beispielsweise Abschluss eines Online-Kaufs durch ein gesetztes Häkchen eingeholt werden. Dabei betont Benedikt, dass den Betroffenen in eindeutiger Alltagssprache erklärt werden müsste, zu welchem Zwecke die Daten an Facebook übersandt werden sollen. Zudem stehe es den Betroffenen offen, jederzeit ihren Widerruf zu erklären. Dies hätte für die nutzenden Unternehmen zur Folge, dass sie den jeweiligen Datensatz aus der Kundeliste entfernen müssten. Dies bedeute einen Abbruch der aktuellen Dienstnutzung bei Facebook, wodurch für eine erneute Nutzung des CAWs Kosten entstünden. „Ob personalisierte Werbung dann noch lukrativ ist, kann man in Frage stellen“.
Fraglich bliebe indes, ob und inwiefern die übrigen Bundesländer sowie EU-Staaten auch gegen die aktuelle Form des CAWs vorgehen werden. Jedenfalls betont Benedikt, dass der Dienst so nicht rechtskonform zur EU-DSGVO stehe. Facebooks Versuch, die Verantwortung gänzlich auf die nutzenden Unternehmen zu schieben, ist ihrer Ansicht nach nicht erfolgreich. Die Verantwortung liege auf beiden Seiten und Facebook habe gegenüber den Nutzern des CAWs die Pflicht, ihnen ein rechtskonform verwendbares Produkt anzubieten. Zum geltenden Recht gehöre schließlich auch, den Aufsichtsbehörden jederzeit Informationen über die Datenverarbeitung geben zu können, was den Unternehmen wegen des Mangels an Informationen durch Facebook nicht möglich sei.
Es bleibt festzuhalten, dass Facebooks CAW aus datenschutzrechtlicher Sicht extrem bedenklich ist. Ãœber weitere Entwicklungen werden wir sie auf dem aktuellen Stand halten.