Beschluss zu Facebook Custom Audiences im E-Commerce

Das Gespräch führt Theresa Heilmann mit Dr. Jonas Kahl, Rechtsanwalt bei Spirit Legal LLP.

Hallo und herzlich willkommen zu einer neuen Folge Evil Legal Brandaktuell. Ich möchte mich heute mit meinem Kollegen Tilman Herbrich über Facebook Costum Audiences unterhalten. Facebook Custom Audiences sind für E-Commerce-Händler eine sehr interessante Targeting-Möglichkeit, weil man Kundenlisten bei Facebook hochladen kann, die dann Facebook-Accounts zugeordneten werden können. Und ein Gericht musste sich jetzt mit der Frage auseinandersetzen: Ist das denn überhaupt erlaubt? Da gab es nämlich einen bayerischen E-Commerce-Händler, der Facebook Custom Audiences erstellt hat, indem er E-Mail-Adresse hochgeladen hat. Tilman, geht das denn noch?

Tilman Herbrich, Privacy Expert, Spirit Legal LLP: Ja das VG Bayreuth sagt, es geht, aber eben nur mit Einwilligung. Die spannende Frage war: Geht es auch ohne Einwilligung? Und dem hatte das Gericht eine klare Absage erteilt.

Aber wie kann das denn sein? Du hast sicherlich auch das Video unserer Kollegin Franziska zur Bestandskundenwerbung gesehen. Sie hat gesagt, wenn ich online Sneaker kaufe, dann kann der E-Commerceler sehr wohl im Anschluss Werbung für, meinetwegen Turnschuhe, senden, weil das Bestandskundenwerbung ist. Und dieser Sachverhalt hier riecht doch auch nach Bestandskundenwerbung und die geht eindeutig ohne Einwilligung.

Das ist vollkommen richtig. Franziska hat da auch vollkommen recht. Es ist nur so, dass diese Ausnahme für Bestandskundenwerbung per E-Mail gilt. Im Gesetz gegen Unlauteren Wettbewerb gibt es eben Ausnahmen. Unter bestimmten Voraussetzungen darf man das auch ohne Einwilligung. Bei Facebook Custom Audiences über Kundenliste handelt es sich um klassische Display Werbung, also gerade nicht um E-Mail-Werbung. Und Wir sind hier nicht im Anwendungsbereich des UWG, sondern im klassischen Datenschutzrecht. Und wir brauchen entweder eine Einwilligung oder eine Rechtsgrundlage, die die Datenverarbeitung erlaubt.

Wenn ich das richtig verstanden habe, dann hat das Gericht dem Online-Händler einen Fallstrick daraus gedreht, dass es sich bei diesen E-Mail-Adressen um personenbezogene Daten handelt. Und das hört sich im ersten Monet ja auch erstmal logisch an, aber wenn weiß, wie Facebook Custom Audiences aus Kundenlisten funktioniert und dass die E-Mail-Adressen vorher gehasht werden, dann nicht mehr unbedingt. Um es konkret zu machen: Aus der E-Mail-Adresse tilman.herbrich@spiritlegal.com wird eine Buchstaben-Zahlen-Kombination und erst in dieser Form wird die E-Mail-Adresse hochgeladen. Damit sind das doch eigentlich keine personenbezogenen Daten mehr oder sind sie es doch?

Ja das war tatsächlich eine Frage und auch eine Argumentation im Verfahren, ob es sich um anonyme Daten handelt, denn anonyme Daten fallen nicht unter das Datenschutzrecht. Das Gericht hat auch hier gesagt: Nein, es ist eine Zuordnung möglich. Die Zahlen-Buchstaben-Kombination kann man nämlich einem Account zuordnen und somit eine Identifizierung vornehmen, sodass es sich sehr wohl um personenbezogene Daten handelt über die wir hier reden. Juristische betrachtet sind das aber pseudonyme Daten. Das ist auch wichtig nochmal klarzustellen, denn die unterfallen dem Datenschutzrecht und werden als personenbezogene Daten tatsächlich angesehen.

Und sag mal, das war jetzt ein Beschluss. Ist da eigentlich noch ein Urteil zu erwarten?

Das war im Eilverfahren ein Beschluss und da schließt sich ein die Hauptsacheentscheidung noch an. Da wird es also noch ein richtiges Urteil geben. Man muss dazu sagen, der Beschluss war schon sehr detailliert begründet. Ob noch Überraschungen zu erwarten sind, wird man sehen. Wobei: Was ganz spannend ist, ist dass die Hauptsacheentscheidung nach der DSGVO entschieden wird und dieser Beschluss wurde nach alter Rechtslage entschieden. So kann es tatsächlich ein bisschen Spielraum geben, dass noch eine andere Entscheidung zu erwarten ist.

Ich höre das ja ziemlich oft von Dir, wenn es um die Datenschutzgrundverordnung im Zusammenhang mit Marketing geht: Natürlich kann ich ganz viel machen, das ist immer eine Frage von Einwilligung oder Interessensabwägung. Kannst Du mal ein bisschen was dazu erzählen?

Ja, wie ich schon gesagt habe: Man braucht eben eine Einwilligung oder eine Rechtsgrundlage. Und gemäß DSGVO dient die Interessensabwägung als eine Rechtsgrundlage, die die Datenverarbeitung legitimiert. Und da brauche ich eben ein berechtigtes Interesse. Das sagt die DSGVO selbst. Und das muss ich im Prinzip abwägen mit dem Interesse der Betroffenen an ihrem Recht auf Schutz personenbezogener Daten. Nun ist es so: Die DSGVO hat selbst keine Kriterien für diese Abwägung angesprochen. Da wird genannt „vernünftige Erwartungen von Betroffenen“. Und wenn Werbetreibende in der Datenschutzerklärung tatsächlich hinreichend informieren und sagen, dass sie eben diese Kundenlisten hochladen, dann kann man damit eine Erwartungshaltung tatsächlich auch erwecken. Weiterhin nennt die Datenschutzgrundverordnung eine „angemessene Beziehung zwischen den Verantwortlichen und Betroffenen“. Hier wird auf Bestandskunden abgezielt. Also auch das ist ein Argument, das man anführen kann. Und was wir auch nicht vergessen dürfen: Diese Pseudonymisierung, von der ich sprach, das ist tatsächlich ein Schutzelement und das wirkt sich zugunsten der Werbetreibenden bei der Interessensabwägung aus. Das heißt, es gibt zumindest einen Arumentationsspielraum. Ob das Gericht dem folgen wird, bleibt abzuwarten.

Und sag mal, Tilman, was kannst Du OnlinehändlerInnen empfehlen, die weiterhin Facebook Custom Audiences aus Kundenlisten nutzen möchten? Geht das tatsächlich noch? Wie mache ich das?

Ja, wie ich gerade eben schon sagte: In der Datenschutzerklärung ganz klar darüber informieren. Transparenz ist wichtig. Der sicherste Weg wäre dann tatsächlich, eine Einwilligung einzuholen. Ich meine, E-Commerce-Händler sind zumindest dadurch bessergestellt, dass sie die Chance haben, im Checkout eine Einwilligung einzuholen. Alternativ, wenn man risikofreudig ist, versucht man sich auf die Interessensabwägung zu stützen. Aber, was auch noch wichtig ist, ist das Widerspruchsrecht umzusetzen. Das heißt, wenn ein Betroffener widerspricht, muss man dem auch nachkommen und da hält Facebook momentan keine hinreichende Lösung bereit, sodass man die ganze Kundeliste löschen muss, die E-Mail-Adresse entfernen und erneut hochladen muss. Wir reden hier von mehreren zehntausenden E-Mail-Adressen. Das kann natürlich sehr mühselig sein. Auch hier wird man sehen, ob Facebook irgendwann mal nachbessert und die entsprechenden Möglichkeiten anbiete.

Na, aber sag mal, könnte Facebook nicht die Einwilligung einholen, weil – machen wir uns nichts vor, die meisten Leute klicken da eh immer „Ich gebe mein Einverständnis zu egal, was ihr machen wollt“. Dann hätten sie doch ihr Häckchen und damit die Einwilligung.

Ja, das ist richtig. Facebook hatte das auch versucht, – tatsächlich noch vor Anfang Mai, noch vor der Datenschutzgrundverordnung – eine Einwilligung für die Werbepartner zu einzuholen. Ich habe das selbst in meiner App gesehen. Das Problem war, dass die Schaltfläche für die Einwilligung voreingestellt, sie war bereits aktiviert. Das war nach alter Rechtslage auch möglich, aber nach DSGVO müssen wir schauen, ob die Alteinwilligung quasi auch den Anforderungen entsprechen. Und auch hier sagt die DSGVO in Erwägungen: Voreingestellte Häkchen sind keine Einwilligung. Deshalb war es ein Versuch, der zum Scheitern verurteilt war.

Ganz herzlichen Dank für das Gespräch, Tilman!

Weiterführende Informationen gibt es auch im ausführlichen Beitrag: Ist Ist Facebook Custom Audiences aktuell mit deutschem Datenschutzrecht vereinbar?

 

Einen Kommentar schreiben

Tags

drohnengesetz Irreführung Anonymisierung Bildung data Presserecht kündigungsschutz Polen Vergütungsmodelle Team Beschäftigtendatenschutz recht am eigenen bild Hackerangriff Doxing Art. 13 GMV GmbH Störerhaftung #bsen Kreditkarten Ruby on Rails LinkedIn Creative Commons Suchmaschinenbetreiber Boehmermann Midijob Customer Service BDSG Meinung html5 Europawahl handel § 5 UWG unternehmensrecht Kundendaten OLG Köln Machine Learning Markenrecht Online Marketing brexit Konferenz Einstellungsverbot LG Hamburg SSO Recht Direktmarketing Vertragsgestaltung Webdesign Rabattangaben AfD Gesetz Anmeldung ransom Hack wallart Xing Mindestlohn Compliance Rechtsprechung Dokumentationspflicht USPTO Home-Office Umtausch Kinderrechte Sponsoring Google Suchfunktion Notice & Take Down Datensicherheit Sperrabrede Infosec Werbung A1-Bescheinigung Datenschutzbeauftragter ecommerce Social Media besondere Darstellung Gepäck Online-Bewertungen Filesharing Beleidigung Fotografen Werbekennzeichnung PPC Löschung verlinkung information technology Nutzungsrecht Distribution events Tipppfehlerdomain Schleichwerbung CNIL Haftungsrecht Geschäftsführer Bildrechte Leipzig Markensperre § 15 MarkenG Sitzverlegung Bundeskartellamt geldwäsche Journalisten Hacking Pseudonomisierung Einwilligungsgestaltung informationstechnologie Exklusivitätsklausel ePrivacy Authentifizierung Foto DSGVO jahresabschluss Beacons Kekse Hotel Influencer Bundesmeldegesetz Online Marke Email Kapitalmarkt Rechtsanwaltsfachangestellte ReFa Personenbezogene Daten Wettbewerb Internet of Things Event Hotels kommunen selbstanlageverfahren IT-Sicherheit Ring bgh markenanmeldung Unterlassung Urteile Website Social Engineering Arbeitsvertrag Kunsturhebergesetz Kritik § 4 UWG Datenschutzerklärung Abmahnung Datenschutzgesetz AGB Pressekodex Barcamp Online-Portale right of publicity 2014 Dark Pattern Jugendschutzfilter verbraucherstreitbeilegungsgesetz AIDA data security online werbung Amazon §75f HGB OTMR Bots Handelsregister Textilien Technologie Onlinevertrieb Verbandsklage Einzelhandel Handynummer Big Data c/o gezielte Behinderung Kundenbewertung zahlungsdienst Hotelkonzept Presse Beweislast Arbeitsrecht Abhören Registered Rückgaberecht Gesichtserkennung whatsapp Reise Resort Consent Management Bestandsschutz Opentable Behinderungswettbewerb Bestpreisklausel Arbeitsunfall ransomware Selbstverständlichkeiten Booking.com Unternehmensgründung Stellenausschreibung Plattformregulierung Reisen Abwerbeverbot Referendar Crowdfunding

Die Rechtsanwaltssozietät Spirit Legal LLP berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal LLP 2013 - 2019, alle Rechte vorbehalten