Beschluss zu Facebook Custom Audiences im E-Commerce

Das Gespräch führt Theresa Heilmann mit Dr. Jonas Kahl, Rechtsanwalt bei Spirit Legal LLP.

Hallo und herzlich willkommen zu einer neuen Folge Evil Legal Brandaktuell. Ich möchte mich heute mit meinem Kollegen Tilman Herbrich über Facebook Costum Audiences unterhalten. Facebook Custom Audiences sind für E-Commerce-Händler eine sehr interessante Targeting-Möglichkeit, weil man Kundenlisten bei Facebook hochladen kann, die dann Facebook-Accounts zugeordneten werden können. Und ein Gericht musste sich jetzt mit der Frage auseinandersetzen: Ist das denn überhaupt erlaubt? Da gab es nämlich einen bayerischen E-Commerce-Händler, der Facebook Custom Audiences erstellt hat, indem er E-Mail-Adresse hochgeladen hat. Tilman, geht das denn noch?

Tilman Herbrich, Privacy Expert, Spirit Legal LLP: Ja das VG Bayreuth sagt, es geht, aber eben nur mit Einwilligung. Die spannende Frage war: Geht es auch ohne Einwilligung? Und dem hatte das Gericht eine klare Absage erteilt.

Aber wie kann das denn sein? Du hast sicherlich auch das Video unserer Kollegin Franziska zur Bestandskundenwerbung gesehen. Sie hat gesagt, wenn ich online Sneaker kaufe, dann kann der E-Commerceler sehr wohl im Anschluss Werbung für, meinetwegen Turnschuhe, senden, weil das Bestandskundenwerbung ist. Und dieser Sachverhalt hier riecht doch auch nach Bestandskundenwerbung und die geht eindeutig ohne Einwilligung.

Das ist vollkommen richtig. Franziska hat da auch vollkommen recht. Es ist nur so, dass diese Ausnahme für Bestandskundenwerbung per E-Mail gilt. Im Gesetz gegen Unlauteren Wettbewerb gibt es eben Ausnahmen. Unter bestimmten Voraussetzungen darf man das auch ohne Einwilligung. Bei Facebook Custom Audiences über Kundenliste handelt es sich um klassische Display Werbung, also gerade nicht um E-Mail-Werbung. Und Wir sind hier nicht im Anwendungsbereich des UWG, sondern im klassischen Datenschutzrecht. Und wir brauchen entweder eine Einwilligung oder eine Rechtsgrundlage, die die Datenverarbeitung erlaubt.

Wenn ich das richtig verstanden habe, dann hat das Gericht dem Online-Händler einen Fallstrick daraus gedreht, dass es sich bei diesen E-Mail-Adressen um personenbezogene Daten handelt. Und das hört sich im ersten Monet ja auch erstmal logisch an, aber wenn weiß, wie Facebook Custom Audiences aus Kundenlisten funktioniert und dass die E-Mail-Adressen vorher gehasht werden, dann nicht mehr unbedingt. Um es konkret zu machen: Aus der E-Mail-Adresse tilman.herbrich@spiritlegal.com wird eine Buchstaben-Zahlen-Kombination und erst in dieser Form wird die E-Mail-Adresse hochgeladen. Damit sind das doch eigentlich keine personenbezogenen Daten mehr oder sind sie es doch?

Ja das war tatsächlich eine Frage und auch eine Argumentation im Verfahren, ob es sich um anonyme Daten handelt, denn anonyme Daten fallen nicht unter das Datenschutzrecht. Das Gericht hat auch hier gesagt: Nein, es ist eine Zuordnung möglich. Die Zahlen-Buchstaben-Kombination kann man nämlich einem Account zuordnen und somit eine Identifizierung vornehmen, sodass es sich sehr wohl um personenbezogene Daten handelt über die wir hier reden. Juristische betrachtet sind das aber pseudonyme Daten. Das ist auch wichtig nochmal klarzustellen, denn die unterfallen dem Datenschutzrecht und werden als personenbezogene Daten tatsächlich angesehen.

Und sag mal, das war jetzt ein Beschluss. Ist da eigentlich noch ein Urteil zu erwarten?

Das war im Eilverfahren ein Beschluss und da schließt sich ein die Hauptsacheentscheidung noch an. Da wird es also noch ein richtiges Urteil geben. Man muss dazu sagen, der Beschluss war schon sehr detailliert begründet. Ob noch Überraschungen zu erwarten sind, wird man sehen. Wobei: Was ganz spannend ist, ist dass die Hauptsacheentscheidung nach der DSGVO entschieden wird und dieser Beschluss wurde nach alter Rechtslage entschieden. So kann es tatsächlich ein bisschen Spielraum geben, dass noch eine andere Entscheidung zu erwarten ist.

Ich höre das ja ziemlich oft von Dir, wenn es um die Datenschutzgrundverordnung im Zusammenhang mit Marketing geht: Natürlich kann ich ganz viel machen, das ist immer eine Frage von Einwilligung oder Interessensabwägung. Kannst Du mal ein bisschen was dazu erzählen?

Ja, wie ich schon gesagt habe: Man braucht eben eine Einwilligung oder eine Rechtsgrundlage. Und gemäß DSGVO dient die Interessensabwägung als eine Rechtsgrundlage, die die Datenverarbeitung legitimiert. Und da brauche ich eben ein berechtigtes Interesse. Das sagt die DSGVO selbst. Und das muss ich im Prinzip abwägen mit dem Interesse der Betroffenen an ihrem Recht auf Schutz personenbezogener Daten. Nun ist es so: Die DSGVO hat selbst keine Kriterien für diese Abwägung angesprochen. Da wird genannt „vernünftige Erwartungen von Betroffenen“. Und wenn Werbetreibende in der Datenschutzerklärung tatsächlich hinreichend informieren und sagen, dass sie eben diese Kundenlisten hochladen, dann kann man damit eine Erwartungshaltung tatsächlich auch erwecken. Weiterhin nennt die Datenschutzgrundverordnung eine „angemessene Beziehung zwischen den Verantwortlichen und Betroffenen“. Hier wird auf Bestandskunden abgezielt. Also auch das ist ein Argument, das man anführen kann. Und was wir auch nicht vergessen dürfen: Diese Pseudonymisierung, von der ich sprach, das ist tatsächlich ein Schutzelement und das wirkt sich zugunsten der Werbetreibenden bei der Interessensabwägung aus. Das heißt, es gibt zumindest einen Arumentationsspielraum. Ob das Gericht dem folgen wird, bleibt abzuwarten.

Und sag mal, Tilman, was kannst Du OnlinehändlerInnen empfehlen, die weiterhin Facebook Custom Audiences aus Kundenlisten nutzen möchten? Geht das tatsächlich noch? Wie mache ich das?

Ja, wie ich gerade eben schon sagte: In der Datenschutzerklärung ganz klar darüber informieren. Transparenz ist wichtig. Der sicherste Weg wäre dann tatsächlich, eine Einwilligung einzuholen. Ich meine, E-Commerce-Händler sind zumindest dadurch bessergestellt, dass sie die Chance haben, im Checkout eine Einwilligung einzuholen. Alternativ, wenn man risikofreudig ist, versucht man sich auf die Interessensabwägung zu stützen. Aber, was auch noch wichtig ist, ist das Widerspruchsrecht umzusetzen. Das heißt, wenn ein Betroffener widerspricht, muss man dem auch nachkommen und da hält Facebook momentan keine hinreichende Lösung bereit, sodass man die ganze Kundeliste löschen muss, die E-Mail-Adresse entfernen und erneut hochladen muss. Wir reden hier von mehreren zehntausenden E-Mail-Adressen. Das kann natürlich sehr mühselig sein. Auch hier wird man sehen, ob Facebook irgendwann mal nachbessert und die entsprechenden Möglichkeiten anbiete.

Na, aber sag mal, könnte Facebook nicht die Einwilligung einholen, weil – machen wir uns nichts vor, die meisten Leute klicken da eh immer „Ich gebe mein Einverständnis zu egal, was ihr machen wollt“. Dann hätten sie doch ihr Häckchen und damit die Einwilligung.

Ja, das ist richtig. Facebook hatte das auch versucht, – tatsächlich noch vor Anfang Mai, noch vor der Datenschutzgrundverordnung – eine Einwilligung für die Werbepartner zu einzuholen. Ich habe das selbst in meiner App gesehen. Das Problem war, dass die Schaltfläche für die Einwilligung voreingestellt, sie war bereits aktiviert. Das war nach alter Rechtslage auch möglich, aber nach DSGVO müssen wir schauen, ob die Alteinwilligung quasi auch den Anforderungen entsprechen. Und auch hier sagt die DSGVO in Erwägungen: Voreingestellte Häkchen sind keine Einwilligung. Deshalb war es ein Versuch, der zum Scheitern verurteilt war.

Ganz herzlichen Dank für das Gespräch, Tilman!

Weiterführende Informationen gibt es auch im ausführlichen Beitrag: Ist Ist Facebook Custom Audiences aktuell mit deutschem Datenschutzrecht vereinbar?

 

Einen Kommentar schreiben

Tags

EU-Kosmetik-Verordnung ransom Cyber Security Bestandsschutz ISPs #emd15 Textilien § 15 MarkenG Limited Abwerbeverbot Social Media Beacons Filesharing Datenschutz Touristik Kinder Schöpfungshöhe urheberrechtsschutz Restaurant Onlinevertrieb Compliance Trademark Technologie schule Handynummer verbraucherstreitbeilegungsgesetz Meinungsfreiheit EU-Textilkennzeichnungsverordnung Störerhaftung Informationsfreiheit Kundenbewertungen Newsletter jahresabschluss email marketing Meldepflicht Behinderungswettbewerb Prozessrecht § 5 MarkenG Double-Opt-In Haftungsrecht KUG Kapitalmarkt Suchalgorithmus Internetrecht gender pay gap verlinken kündigungsschutz selbstanlageverfahren Schleichwerbung Presserecht Midijob Weihnachten drohnen Wettbewerb Algorithmus Transparenz gezielte Behinderung OTMR Schadenersatz Medienrecht Amazon markenanmeldung Blog Diskriminierung Verbandsklage Tipppfehlerdomain Google AdWords Gesundheit wetteronline.de HSMA Urheberrecht Unternehmensgründung data Rechtsprechung Geschäftsanschrift verlinkung britain 2014 News Markenrecht Gastronomie Autocomplete SEA IT-Sicherheit right of publicity Check-in Flugzeug Unionsmarke Duldungsvollmacht Markeneintragung Google zugangsvereitelung Bildrechte Pressekodex Webdesign Medienprivileg Custom Audiences Hotels E-Mail Lohnfortzahlung Hack Hotelvermittler c/o fristen Vergleichsportale Reise Kreditkarten Einstellungsverbot Corporate Housekeeping Registered Insolvenz Freelancer Sicherheitslücke Linkhaftung Schadensfall arbeitnehmer Evil Legal Marke Meinung Anmeldung Direktmarketing Resort Referendar Datenschutzbeauftragter LG Köln Verlängerung besondere Darstellung LinkedIn berufspflicht Urlaub Werktitel Fotografen Kosmetik #bsen Crowdfunding Creative Commons kommunen Beweislast Werbung Urteile 5 UWG Event Erdogan online werbung bgh DSGVO Interview Team § 4 UWG Produktempfehlungen CRM ecommerce Online Marketing wallart Marketing Persönlichkeitsrecht datenverlust Zustellbevollmächtigter NetzDG WLAN Suchmaschinen USA Impressumspflicht Berlin BDSG USPTO Dokumentationspflicht Asien Überwachung handelsrecht Einwilligung veröffentlichung Conversion Kundenbewertung Presse patent geldwäsche Datenschutzerklärung Bewertung Arbeitsrecht Stellenangebot Gepäck Impressum Algorithmen § 5 UWG Travel Industry Großbritannien Personenbezogene Daten Online Abmahnung Geschäftsführer Abhören § 24 MarkenG Suchmaschinenbetreiber §75f HGB Soziale Netzwerke OLG Köln LG Hamburg Dynamic Keyword Insertion Preisangabenverordnung Arbeitsvertrag

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2018, alle Rechte vorbehalten




Spirit Legal LLP hat 4,66 von 5 Sternen | 77 Bewertungen auf ProvenExpert.com