Skip to content

VG Bayreuth: Einsatz von Facebook Custom Audience verstößt gegen Datenschutzrecht und kann von Datenschutzbehörde untersagt werden

VG Bayreuth
Beschluss vom 08.05.2018
B 1 S 18.105


Das VG Bayreuth hat entschieden, dass der Einsatz von Facebook Custom Audience gegen Datenschutzrecht verstößt und von Datenschutzbehörde untersagt werden kann.

Aus den Entscheidungsgründen:

"Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

b) Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Antragstellerin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen (S. 24 des Klage-/Antragsschriftsatzes vom 01.02.2018).

c) Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen (vgl. hierzu Plath a.a.O., § 11 Rn. 20 m.w.N.). Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.

aa) Die Antragstellerin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind (vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.).

Soweit die Antragstellerin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Antragstellerin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird (Simitis a.a.O., § 28 Rn. 232) – die Verwendung einer zusätzlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei
E-Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält (vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“).

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.

Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Antragstellerin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. F.), würde aber vorgelagert eine rechtmäßige Datenerhebung F.s voraussetzen. Der hier zu würdigende Übermittlungsakt von der Antragstellerin an F. wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet (vgl. Plath a.a.O., § 28 Rn. 144).

Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Antragstellerin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Antragstellerin aus (dazu nachfolgend unter II. 1. a) bb)).

Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre. Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, C-468/10 und C-469/10 – juris Rn. 47 f.). Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.

bb) Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“ (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62).

Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten (vgl. dazu oben) bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden. Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte (vgl. Plath a.a.O., § 28 Rn. 124). Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Antragstellerin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen (Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.). Allein der Umstand, dass es sich um Angebote der Antragstellerin handelt, die dem Betroffenen bei F. angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Antragstellerin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Antragstellerin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an F. Personen, die ihre Daten vor diesem Datum an die Antragstellerin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Antragstellerin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei F. hochgeladen worden sind, ist somit unerheblich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann (vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.). Zu berücksichtigen ist daher auch, dass die Antragstellerin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an F. einzuholen.

Somit geht auch die Interessenabwägung zu Ungunsten der Antragstellerin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.

d) Die Datenübermittlung an F. ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.

Letztlich geht somit auch die im Rahmen des Verfahrens nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zu deren Nachteil aus. Nachdem die derzeitigen Zustände sich voraussichtlich als datenschutzwidrig darstellen, ist es geboten, diesen Zustand auch schon vor einer (rechtskräftigen) Entscheidung in der Hauptsache zu beenden."

Den Volltext der Entscheidung finden Sie hier: