Beschluss zu Facebook Custom Audiences im E-Commerce
Das Gespräch führt Theresa Heilmann mit Dr. Jonas Kahl, Rechtsanwalt bei Spirit Legal LLP.
Hallo und herzlich willkommen zu einer neuen Folge Evil Legal Brandaktuell. Ich möchte mich heute mit meinem Kollegen Tilman Herbrich über Facebook Costum Audiences unterhalten. Facebook Custom Audiences sind für E-Commerce-Händler eine sehr interessante Targeting-Möglichkeit, weil man Kundenlisten bei Facebook hochladen kann, die dann Facebook-Accounts zugeordneten werden können. Und ein Gericht musste sich jetzt mit der Frage auseinandersetzen: Ist das denn überhaupt erlaubt? Da gab es nämlich einen bayerischen E-Commerce-Händler, der Facebook Custom Audiences erstellt hat, indem er E-Mail-Adresse hochgeladen hat. Tilman, geht das denn noch?
Tilman Herbrich, Privacy Expert, Spirit Legal LLP: Ja das VG Bayreuth sagt, es geht, aber eben nur mit Einwilligung. Die spannende Frage war: Geht es auch ohne Einwilligung? Und dem hatte das Gericht eine klare Absage erteilt.
Aber wie kann das denn sein? Du hast sicherlich auch das Video unserer Kollegin Franziska zur Bestandskundenwerbung gesehen. Sie hat gesagt, wenn ich online Sneaker kaufe, dann kann der E-Commerceler sehr wohl im Anschluss Werbung für, meinetwegen Turnschuhe, senden, weil das Bestandskundenwerbung ist. Und dieser Sachverhalt hier riecht doch auch nach Bestandskundenwerbung und die geht eindeutig ohne Einwilligung.
Das ist vollkommen richtig. Franziska hat da auch vollkommen recht. Es ist nur so, dass diese Ausnahme für Bestandskundenwerbung per E-Mail gilt. Im Gesetz gegen Unlauteren Wettbewerb gibt es eben Ausnahmen. Unter bestimmten Voraussetzungen darf man das auch ohne Einwilligung. Bei Facebook Custom Audiences über Kundenliste handelt es sich um klassische Display Werbung, also gerade nicht um E-Mail-Werbung. Und Wir sind hier nicht im Anwendungsbereich des UWG, sondern im klassischen Datenschutzrecht. Und wir brauchen entweder eine Einwilligung oder eine Rechtsgrundlage, die die Datenverarbeitung erlaubt.
Wenn ich das richtig verstanden habe, dann hat das Gericht dem Online-Händler einen Fallstrick daraus gedreht, dass es sich bei diesen E-Mail-Adressen um personenbezogene Daten handelt. Und das hört sich im ersten Monet ja auch erstmal logisch an, aber wenn weiß, wie Facebook Custom Audiences aus Kundenlisten funktioniert und dass die E-Mail-Adressen vorher gehasht werden, dann nicht mehr unbedingt. Um es konkret zu machen: Aus der E-Mail-Adresse tilman.herbrich@spiritlegal.com wird eine Buchstaben-Zahlen-Kombination und erst in dieser Form wird die E-Mail-Adresse hochgeladen. Damit sind das doch eigentlich keine personenbezogenen Daten mehr oder sind sie es doch?
Ja das war tatsächlich eine Frage und auch eine Argumentation im Verfahren, ob es sich um anonyme Daten handelt, denn anonyme Daten fallen nicht unter das Datenschutzrecht. Das Gericht hat auch hier gesagt: Nein, es ist eine Zuordnung möglich. Die Zahlen-Buchstaben-Kombination kann man nämlich einem Account zuordnen und somit eine Identifizierung vornehmen, sodass es sich sehr wohl um personenbezogene Daten handelt über die wir hier reden. Juristische betrachtet sind das aber pseudonyme Daten. Das ist auch wichtig nochmal klarzustellen, denn die unterfallen dem Datenschutzrecht und werden als personenbezogene Daten tatsächlich angesehen.
Und sag mal, das war jetzt ein Beschluss. Ist da eigentlich noch ein Urteil zu erwarten?
Das war im Eilverfahren ein Beschluss und da schließt sich ein die Hauptsacheentscheidung noch an. Da wird es also noch ein richtiges Urteil geben. Man muss dazu sagen, der Beschluss war schon sehr detailliert begründet. Ob noch Überraschungen zu erwarten sind, wird man sehen. Wobei: Was ganz spannend ist, ist dass die Hauptsacheentscheidung nach der DSGVO entschieden wird und dieser Beschluss wurde nach alter Rechtslage entschieden. So kann es tatsächlich ein bisschen Spielraum geben, dass noch eine andere Entscheidung zu erwarten ist.
Ich höre das ja ziemlich oft von Dir, wenn es um die Datenschutzgrundverordnung im Zusammenhang mit Marketing geht: Natürlich kann ich ganz viel machen, das ist immer eine Frage von Einwilligung oder Interessensabwägung. Kannst Du mal ein bisschen was dazu erzählen?
Ja, wie ich schon gesagt habe: Man braucht eben eine Einwilligung oder eine Rechtsgrundlage. Und gemäß DSGVO dient die Interessensabwägung als eine Rechtsgrundlage, die die Datenverarbeitung legitimiert. Und da brauche ich eben ein berechtigtes Interesse. Das sagt die DSGVO selbst. Und das muss ich im Prinzip abwägen mit dem Interesse der Betroffenen an ihrem Recht auf Schutz personenbezogener Daten. Nun ist es so: Die DSGVO hat selbst keine Kriterien für diese Abwägung angesprochen. Da wird genannt „vernünftige Erwartungen von Betroffenen“. Und wenn Werbetreibende in der Datenschutzerklärung tatsächlich hinreichend informieren und sagen, dass sie eben diese Kundenlisten hochladen, dann kann man damit eine Erwartungshaltung tatsächlich auch erwecken. Weiterhin nennt die Datenschutzgrundverordnung eine „angemessene Beziehung zwischen den Verantwortlichen und Betroffenen“. Hier wird auf Bestandskunden abgezielt. Also auch das ist ein Argument, das man anführen kann. Und was wir auch nicht vergessen dürfen: Diese Pseudonymisierung, von der ich sprach, das ist tatsächlich ein Schutzelement und das wirkt sich zugunsten der Werbetreibenden bei der Interessensabwägung aus. Das heißt, es gibt zumindest einen Arumentationsspielraum. Ob das Gericht dem folgen wird, bleibt abzuwarten.
Und sag mal, Tilman, was kannst Du OnlinehändlerInnen empfehlen, die weiterhin Facebook Custom Audiences aus Kundenlisten nutzen möchten? Geht das tatsächlich noch? Wie mache ich das?
Ja, wie ich gerade eben schon sagte: In der Datenschutzerklärung ganz klar darüber informieren. Transparenz ist wichtig. Der sicherste Weg wäre dann tatsächlich, eine Einwilligung einzuholen. Ich meine, E-Commerce-Händler sind zumindest dadurch bessergestellt, dass sie die Chance haben, im Checkout eine Einwilligung einzuholen. Alternativ, wenn man risikofreudig ist, versucht man sich auf die Interessensabwägung zu stützen. Aber, was auch noch wichtig ist, ist das Widerspruchsrecht umzusetzen. Das heißt, wenn ein Betroffener widerspricht, muss man dem auch nachkommen und da hält Facebook momentan keine hinreichende Lösung bereit, sodass man die ganze Kundeliste löschen muss, die E-Mail-Adresse entfernen und erneut hochladen muss. Wir reden hier von mehreren zehntausenden E-Mail-Adressen. Das kann natürlich sehr mühselig sein. Auch hier wird man sehen, ob Facebook irgendwann mal nachbessert und die entsprechenden Möglichkeiten anbiete.
Na, aber sag mal, könnte Facebook nicht die Einwilligung einholen, weil – machen wir uns nichts vor, die meisten Leute klicken da eh immer „Ich gebe mein Einverständnis zu egal, was ihr machen wollt“. Dann hätten sie doch ihr Häckchen und damit die Einwilligung.
Ja, das ist richtig. Facebook hatte das auch versucht, – tatsächlich noch vor Anfang Mai, noch vor der Datenschutzgrundverordnung – eine Einwilligung für die Werbepartner zu einzuholen. Ich habe das selbst in meiner App gesehen. Das Problem war, dass die Schaltfläche für die Einwilligung voreingestellt, sie war bereits aktiviert. Das war nach alter Rechtslage auch möglich, aber nach DSGVO müssen wir schauen, ob die Alteinwilligung quasi auch den Anforderungen entsprechen. Und auch hier sagt die DSGVO in Erwägungen: Voreingestellte Häkchen sind keine Einwilligung. Deshalb war es ein Versuch, der zum Scheitern verurteilt war.
Ganz herzlichen Dank für das Gespräch, Tilman!
Weiterführende Informationen gibt es auch im ausführlichen Beitrag: Ist Ist Facebook Custom Audiences aktuell mit deutschem Datenschutzrecht vereinbar?