Beschluss zu Facebook Custom Audiences im E-Commerce

Das Gespräch führt Theresa Heilmann mit Dr. Jonas Kahl, Rechtsanwalt bei Spirit Legal LLP.

Hallo und herzlich willkommen zu einer neuen Folge Evil Legal Brandaktuell. Ich möchte mich heute mit meinem Kollegen Tilman Herbrich über Facebook Costum Audiences unterhalten. Facebook Custom Audiences sind für E-Commerce-Händler eine sehr interessante Targeting-Möglichkeit, weil man Kundenlisten bei Facebook hochladen kann, die dann Facebook-Accounts zugeordneten werden können. Und ein Gericht musste sich jetzt mit der Frage auseinandersetzen: Ist das denn überhaupt erlaubt? Da gab es nämlich einen bayerischen E-Commerce-Händler, der Facebook Custom Audiences erstellt hat, indem er E-Mail-Adresse hochgeladen hat. Tilman, geht das denn noch?

Tilman Herbrich, Privacy Expert, Spirit Legal LLP: Ja das VG Bayreuth sagt, es geht, aber eben nur mit Einwilligung. Die spannende Frage war: Geht es auch ohne Einwilligung? Und dem hatte das Gericht eine klare Absage erteilt.

Aber wie kann das denn sein? Du hast sicherlich auch das Video unserer Kollegin Franziska zur Bestandskundenwerbung gesehen. Sie hat gesagt, wenn ich online Sneaker kaufe, dann kann der E-Commerceler sehr wohl im Anschluss Werbung für, meinetwegen Turnschuhe, senden, weil das Bestandskundenwerbung ist. Und dieser Sachverhalt hier riecht doch auch nach Bestandskundenwerbung und die geht eindeutig ohne Einwilligung.

Das ist vollkommen richtig. Franziska hat da auch vollkommen recht. Es ist nur so, dass diese Ausnahme für Bestandskundenwerbung per E-Mail gilt. Im Gesetz gegen Unlauteren Wettbewerb gibt es eben Ausnahmen. Unter bestimmten Voraussetzungen darf man das auch ohne Einwilligung. Bei Facebook Custom Audiences über Kundenliste handelt es sich um klassische Display Werbung, also gerade nicht um E-Mail-Werbung. Und Wir sind hier nicht im Anwendungsbereich des UWG, sondern im klassischen Datenschutzrecht. Und wir brauchen entweder eine Einwilligung oder eine Rechtsgrundlage, die die Datenverarbeitung erlaubt.

Wenn ich das richtig verstanden habe, dann hat das Gericht dem Online-Händler einen Fallstrick daraus gedreht, dass es sich bei diesen E-Mail-Adressen um personenbezogene Daten handelt. Und das hört sich im ersten Monet ja auch erstmal logisch an, aber wenn weiß, wie Facebook Custom Audiences aus Kundenlisten funktioniert und dass die E-Mail-Adressen vorher gehasht werden, dann nicht mehr unbedingt. Um es konkret zu machen: Aus der E-Mail-Adresse tilman.herbrich@spiritlegal.com wird eine Buchstaben-Zahlen-Kombination und erst in dieser Form wird die E-Mail-Adresse hochgeladen. Damit sind das doch eigentlich keine personenbezogenen Daten mehr oder sind sie es doch?

Ja das war tatsächlich eine Frage und auch eine Argumentation im Verfahren, ob es sich um anonyme Daten handelt, denn anonyme Daten fallen nicht unter das Datenschutzrecht. Das Gericht hat auch hier gesagt: Nein, es ist eine Zuordnung möglich. Die Zahlen-Buchstaben-Kombination kann man nämlich einem Account zuordnen und somit eine Identifizierung vornehmen, sodass es sich sehr wohl um personenbezogene Daten handelt über die wir hier reden. Juristische betrachtet sind das aber pseudonyme Daten. Das ist auch wichtig nochmal klarzustellen, denn die unterfallen dem Datenschutzrecht und werden als personenbezogene Daten tatsächlich angesehen.

Und sag mal, das war jetzt ein Beschluss. Ist da eigentlich noch ein Urteil zu erwarten?

Das war im Eilverfahren ein Beschluss und da schließt sich ein die Hauptsacheentscheidung noch an. Da wird es also noch ein richtiges Urteil geben. Man muss dazu sagen, der Beschluss war schon sehr detailliert begründet. Ob noch Überraschungen zu erwarten sind, wird man sehen. Wobei: Was ganz spannend ist, ist dass die Hauptsacheentscheidung nach der DSGVO entschieden wird und dieser Beschluss wurde nach alter Rechtslage entschieden. So kann es tatsächlich ein bisschen Spielraum geben, dass noch eine andere Entscheidung zu erwarten ist.

Ich höre das ja ziemlich oft von Dir, wenn es um die Datenschutzgrundverordnung im Zusammenhang mit Marketing geht: Natürlich kann ich ganz viel machen, das ist immer eine Frage von Einwilligung oder Interessensabwägung. Kannst Du mal ein bisschen was dazu erzählen?

Ja, wie ich schon gesagt habe: Man braucht eben eine Einwilligung oder eine Rechtsgrundlage. Und gemäß DSGVO dient die Interessensabwägung als eine Rechtsgrundlage, die die Datenverarbeitung legitimiert. Und da brauche ich eben ein berechtigtes Interesse. Das sagt die DSGVO selbst. Und das muss ich im Prinzip abwägen mit dem Interesse der Betroffenen an ihrem Recht auf Schutz personenbezogener Daten. Nun ist es so: Die DSGVO hat selbst keine Kriterien für diese Abwägung angesprochen. Da wird genannt „vernünftige Erwartungen von Betroffenen“. Und wenn Werbetreibende in der Datenschutzerklärung tatsächlich hinreichend informieren und sagen, dass sie eben diese Kundenlisten hochladen, dann kann man damit eine Erwartungshaltung tatsächlich auch erwecken. Weiterhin nennt die Datenschutzgrundverordnung eine „angemessene Beziehung zwischen den Verantwortlichen und Betroffenen“. Hier wird auf Bestandskunden abgezielt. Also auch das ist ein Argument, das man anführen kann. Und was wir auch nicht vergessen dürfen: Diese Pseudonymisierung, von der ich sprach, das ist tatsächlich ein Schutzelement und das wirkt sich zugunsten der Werbetreibenden bei der Interessensabwägung aus. Das heißt, es gibt zumindest einen Arumentationsspielraum. Ob das Gericht dem folgen wird, bleibt abzuwarten.

Und sag mal, Tilman, was kannst Du OnlinehändlerInnen empfehlen, die weiterhin Facebook Custom Audiences aus Kundenlisten nutzen möchten? Geht das tatsächlich noch? Wie mache ich das?

Ja, wie ich gerade eben schon sagte: In der Datenschutzerklärung ganz klar darüber informieren. Transparenz ist wichtig. Der sicherste Weg wäre dann tatsächlich, eine Einwilligung einzuholen. Ich meine, E-Commerce-Händler sind zumindest dadurch bessergestellt, dass sie die Chance haben, im Checkout eine Einwilligung einzuholen. Alternativ, wenn man risikofreudig ist, versucht man sich auf die Interessensabwägung zu stützen. Aber, was auch noch wichtig ist, ist das Widerspruchsrecht umzusetzen. Das heißt, wenn ein Betroffener widerspricht, muss man dem auch nachkommen und da hält Facebook momentan keine hinreichende Lösung bereit, sodass man die ganze Kundeliste löschen muss, die E-Mail-Adresse entfernen und erneut hochladen muss. Wir reden hier von mehreren zehntausenden E-Mail-Adressen. Das kann natürlich sehr mühselig sein. Auch hier wird man sehen, ob Facebook irgendwann mal nachbessert und die entsprechenden Möglichkeiten anbiete.

Na, aber sag mal, könnte Facebook nicht die Einwilligung einholen, weil – machen wir uns nichts vor, die meisten Leute klicken da eh immer „Ich gebe mein Einverständnis zu egal, was ihr machen wollt“. Dann hätten sie doch ihr Häckchen und damit die Einwilligung.

Ja, das ist richtig. Facebook hatte das auch versucht, – tatsächlich noch vor Anfang Mai, noch vor der Datenschutzgrundverordnung – eine Einwilligung für die Werbepartner zu einzuholen. Ich habe das selbst in meiner App gesehen. Das Problem war, dass die Schaltfläche für die Einwilligung voreingestellt, sie war bereits aktiviert. Das war nach alter Rechtslage auch möglich, aber nach DSGVO müssen wir schauen, ob die Alteinwilligung quasi auch den Anforderungen entsprechen. Und auch hier sagt die DSGVO in Erwägungen: Voreingestellte Häkchen sind keine Einwilligung. Deshalb war es ein Versuch, der zum Scheitern verurteilt war.

Ganz herzlichen Dank für das Gespräch, Tilman!

Weiterführende Informationen gibt es auch im ausführlichen Beitrag: Ist Ist Facebook Custom Audiences aktuell mit deutschem Datenschutzrecht vereinbar?

Über den Autor:

Theresa Heilmann

Marketing & Communications Manager

Nach mehrjähriger Tätigkeit im Marketing und der Öffentlichkeitsarbeit bleibt Theresa Heilmann ihren Wurzeln treu und unterstützt seit 2016 Spirit Legal LLP als Marketing & Communications Manager.

Tilman Herbrich

Rechtsanwalt, Partner, Datenschutzexperte (CIPP/E)

Tilman Herbrich ist Rechtsanwalt und Partner bei Spirit Legal. Neben der Beratung von innovativen und technologielastigen Unternehmen im Bereich Datenschutz- und Technologierecht verantwortet er im Bereich Privacy Litigation eine Vielzahl von Individual- und Verbandsklagen.

Artikel erschienen am 13.08.2018 von Theresa Heilmann, Tilman Herbrich

noch keine Kommentare vorhanden
Jetzt kommentieren!

Kategorie:

Video

Schlagworte:

Was suchen Sie?

Kategorien

Archiv

2024 (4)
2023 (28)
2022 (20)
2021 (26)
2020 (37)
2019 (72)
2018 (42)
2017 (47)
2016 (36)
2015 (39)
2014 (20)

vorherigen Artikel lesen

nächsten Artikel lesen

Einen Kommentar schreiben

Tags

Newsletter Datenpanne Handynummer Custom Audiences Cyber Security Linkhaftung SSO Freelancer Onlineshop Minijob Bildrechte Preisangabenverordnung Anonymisierung britain Exklusivitätsklausel Notice & Take Down Sicherheitslücke Dark Pattern § 15 MarkenG 5 UWG Google Expedia.com Social Engineering Datenschutzgesetz Meinungsfreiheit DSGVO GmbH Asien Datenportabilität Website Urheberrecht Gesichtserkennung kinderfotos Schleichwerbung KUG Geschäftsgeheimnis HSMA Event Online-Bewertungen Handelsregister Mindestlohn Internet gender pay gap vertrag ISPs Hotellerie Auftragsverarbeitung Art. 13 GMV Sperrwirkung messenger Data Protection Gaming Disorder Ratenparität Tracking Hotelkonzept ransomware Bundesmeldegesetz Behinderungswettbewerb handelsrecht Türkisch TikTok Datenschutzerklärung Spielzeug Referendar EU-Kommission wetteronline.de Recap Wahlen Datengeheimnis IT-Sicherheit Soziale Netzwerke Wettbewerb Polen Produktempfehlungen Erbe Datenschutzrecht ITB Textilien Alexa technology Deep Fake Impressum Beweislast Mitarbeiterfotografie Panoramafreiheit urheberrechtsschutz Analytics Verpackungsgesetz Hotelrecht Dynamic Keyword Insertion Microsoft Buchungsportal Recht Flugzeug Großbritannien Machine Learning Schöpfungshöhe Voice Assistant Markensperre Bestpreisklausel § 5 UWG E-Mobilität Presserecht Blog Heilkunde Adwords Zahlungsdaten Xing ecommerce Schadensersatz Vergütung Diskriminierung Social Media Insolvenz Authentifizierung Herkunftsfunktion AfD transparenzregister Rechtsprechung gdpr Bundeskartellamt Big Data Künstliche Intelligenz anwaltsserie recht am eigenen bild Opentable Kritik right of publicity Stellenangebot LinkedIn data Tipppfehlerdomain Urheberrechtsreform Vertragsrecht Prozessrecht Fotografie Registered Google AdWords Kunsturhebergesetz veröffentlichung Kundenbewertung Impressumspflicht Jugendschutzfilter Gesetz Kundenbewertungen Nutzungsrecht Einverständnis E-Mail-Marketing Ferienwohnung Influencer USA Störerhaftung schule unternehmensrecht Aufsichtsbehörden Kinder Hotelvermittler Distribution Know How Class Action Europarecht ADV Journalisten Apps Europawahl selbstanlageverfahren Leipzig Filesharing privacy shield Jahresrückblick § 4 UWG Datenschutz CRM Amazon Hotelsterne Booking.com Bots Reise Sampling Human Resource Management zahlungsdienst verbraucherstreitbeilegungsgesetz Travel Industry Löschungsanspruch Bestandsschutz Data Breach Corporate Housekeeping Reiserecht Sponsoring Compliance Touristik geldwäsche Selbstverständlichkeiten Irreführung Foto information technology verlinken Job USPTO Interview