Verwaltungsgericht: Facebook Custom Audience mit Kundenliste ist ohne Einwilligung unzulässig

Dass der Einsatz von Facebook Custom Audience aus datenschutzrechtlicher Sicht nicht unkritisch ist, dürfte seit einiger Zeit bekannt sein. Zuletzt hatte die bayerische Aufsichtsbehörde für Unternehmen, das BayLDA, im Oktober 2017 in einer Pressemitteilung darauf hingewiesen, dass Unternehmen in Bayern diesbezüglich überprüft wurden. Zudem stellte das BayLDA seine Sichtweise zur Zulässigkeit der verschiedenen Varianten des Werbe-Tools dar.

Die Variante „Facebook Custom Audience über die Kundenliste“ sieht das BayLDA nur als datenschutzrechtlich zulässig an, wenn Betroffene, deren Daten, u.a. auch die E-Mail-Adresse, gehasht an Facebook zum Abgleich mit Facebook-Nutzern weitergegeben wird, zuvor in die Verwendung der Daten für den werblichen Zweck eingewilligt haben.

Nachdem ein bayerisches Unternehmen, welches diese Variante von Facebook Custom Audience nutzte, vom BayLDA geprüft wurde und der Ansicht der Behörde nicht folgte, dass in diesem Fall die Einwilligung er Betroffenen erforderlich sei (diese lag nicht vor), erließ das BayLDA gegen das Unternehmen einen Bescheid, mit dem das Unternehmen verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die erstellten Custom Audiences (Kundenlisten) zu löschen.

Gegen diesen Bescheid ging das Unternehmen, zunächst im Wege des vorläufigen Rechtsschutzes, vor dem Verwaltungsgericht (VG) Bayreuth gerichtlich vor. Das Verwaltungsgericht entschied nun mit Beschluss v. 08.05.2018 – B 1 S 18.105, dass der Antrag des Unternehmens abgelehnt wird, da Sache die in der Hauptsache erhobene Klage Unternehmens voraussichtlich ohne Erfolg bleiben wird.

Oder kurz: das Gericht folgt der Auffassung des BayLDA („folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018“), dass der Einsatz der Variante von Facebook Custom Audience über das Hochladen von Kundenlisten in den eigenen Facebook Account des Unternehmens der vorherigen Einwilligung der Betroffenen bedarf.

Der Beschluss des VG ist sehr ausführlich und durchaus lesenswert. Insbesondere die Darstellung der verschiedenen Rechtspositionen und Begründungen der Parteien ist interessant.

Zudem noch ein Hinweis: der Beschluss erging auf Grundlage der alten Rechtslage vor dem 25.5.2018. Das heißt nicht, dass alle in dem Beschluss benannten Gründe und Erwägungen nun hinfällig wären. Denn wie wir wissen, unterscheidet sich die DSGVO gar nicht so sehr von dem alten BDSG. An der ein oder anderen Stelle, können sich meines Erachtens aber auch Unterschiede ergeben (Beispiel: die DSGVO kennt kein Listenprivileg für Werbezwecke, sondern benennt die Verarbeitung für Zwecke der Direktwerbung als ein mögliches berechtigtes Interesse; das alte BDSG definierte die Anonymisierung von Daten, die DSGVO jedoch nicht).

Nachfolgend möchte ich ganz kurz die Gründe des VG für seine Entscheidung aufführen:

  • Uber die verwendeten E-Mail-Adressen ist ein Personenbezug herstellbar. Durch den Vorgang des „Hashens“ werden die Daten nicht (i.S.v. § 3 Abs. 6 BDSG) anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen.
  • Bei der Übermittlung der gehashten E-Mail-Adressen der Kunden des Unternehmens an Facebook handelt es sich nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung, sondern um eine Übermittlung an Dritte und in der Folge eine Datenverarbeitung.
  • In der vorliegenden Sachverhaltsgestaltung ist nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs, der dann als Teil einer Auftragsdatenverarbeitung angesehen werden könnte, ist nicht zu erkennen.
  • Das Unternehmen kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ (§ 28 Abs. 3 Satz 2 BDSG (alt)) stützen. Bei E-Mail-Adressen handelt es sich nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind.
  • Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG (alt), da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält. Darüber hinaus wäre jedoch zusätzlich eine zugunsten des Unternehmens ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG (alt)), die jedoch hier zum Nachteil des Unternehmens ausgeht.
  • Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) (Interessenabwägung) kann die Übermittlung der (gehashten) E-Mail-Adressen nicht gerechtfertigt werden. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind die im § 28 Abs. 3 BDSG (alt) getroffenen Wertungen des Gesetzgebers zu berücksichtigen. In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den Regelungen in § 28 Abs. 3 BDSG (alt) selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte.
  • Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG (alt) voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Zu berücksichtigen ist daher auch, dass das Unternehmen die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten einzuholen.

Wie gesagt, sind einzelne Begründung aufgrund der neuen Rechtslage nicht per se übertragbar. Es zeigt sich aber insgesamt, dass das VG hier in allen entscheidenden Punkten der Argumentation des BayLDA folgt.

Besonders spannend ist für mich, aus juristischer Sicht, die Frage nach der Auftragsverarbeitung durch Facebook. Das VG verweist hier deutlich darauf, dass es nicht unbedingt auf den zwischen Facebook und dem Unternehmen abgeschlossenen Vertrag ankommt, sondern die faktischen Gegebenheiten entscheiden. Das bedeutet aber auch, dass es wohl faktische Gegebenheiten geben kann, in denen man Facebook durchaus als Auftragsverarbeiter des Unternehmens ansehen könnte.

Zu beachten zudem, dass sich diese Entscheidung nur auf eine Alternative des Werbe-Tools von Facebook bezieht. Daneben gibt es auch noch die Möglichkeit, ein Pixel des Netzwerkes in die eigene Webseite einzubinden (also keine Listen mit Kundendaten hochzuladen).

Generalanwalt am Europäischen Gerichtshof: Betreiber von Facebook-Seiten (Fanpages) sind datenschutzrechtlich (mit)verantwortlich

Eine ziemliche Überraschung aus Luxemburg. So könnte man die heute veröffentlichen Schlussanträge des Generalanwalts Bot in der Rechtssache C-210/16 bezeichnen. Sollte der Europäische Gerichtshof (EuGH) dem Ergebnis der Einschätzung des Generalanwaltes folgen, dürfte dies auch Auswirkungen auf die Praxis der digitalen Wirtschaft haben.

Nachfolgend eine ganz kurze Zusammenfassung der Schlussanträge des Generalanwaltes zur datenschutzrechtlichen Verantwortlichkeit.

Ausgangsverfahren

Das Bundesverwaltungsgericht (BVerwG) legte dem EuGH mit Beschluss vom 25.02.2016 – 1 C 28.14 mehrere Fragen rund um die datenschutzrechtliche Verantwortlichkeit eines Betreibers einer Facebook-Seite (Fanpage) und die Zuständigkeit der Aufsichtsbehörden vor.

Nach den Feststellungen zum Sachverhalt können die Betreiber von Fanpages mittels des von Facebook als nicht abdingbaren Teil des Benutzungsverhältnisses kostenfrei zu ihrer Verfügung gestellten Tools „Facebook Insights“ Besucherstatistiken erhalten. Diese Statistiken werden von Facebook erstellt und vom Betreiber einer Fanpage anhand verschiedener Kriterien, die er wählen kann – wie Alter oder Geschlecht –, personalisiert. Diese Statistiken liefern somit anonyme Informationen über die Eigenschaften und die Gewohnheiten der Personen, die diese Fanpages besucht haben, und gestatten den Betreibern dieser Seiten, gezielter zu kommunizieren. Um solche Besucherstatistiken zu erstellen, speichert Facebook zumindest ein Cookie, das eine eindeutige ID-Nummer enthält und für zwei Jahre aktiv ist, auf dem Rechner der Person, die die Fanpage aufgerufen hat. Die ID-Nummer, die mit den Anmeldungsdaten solcher Nutzer, die bei Facebook registriert sind, verknüpft werden kann, wird beim Aufrufen der Facebook-Seiten erhoben und verarbeitet.

Ursprünglich klagte die Wirtschaftsakademie Schleswig-Holstein, ein privatrechtlich organisiertes Bildungsunternehmen, gegen einen Bescheid der Landesdatenschutzbehörde in Schleswig-Holstein.  Die Wirtschaftsakademie bewirbt ihre Bildungsangebote u.a. durch eine Fanpage bei Facebook.

Die Aufsichtsbehörde ordnete mit Bescheid vom 3.11.2011 gegenüber der Klägerin an, dafür Sorge zu tragen, dass die von ihr unter www.facebook.com/wirtschaftsakademie bei Facebook betriebene Fanpage deaktiviert wird, und drohte für den Fall der nicht fristgerechten Umsetzung ein Zwangsgeld an. Hiergegen wendete sich die Wirtschaftsakademie. Das Verfahren landete über mehrere Instanzen beim BVerwG, welches dem EuGH u.a. die folgenden Fragen vorlegte.

Erste Frage und zweite Frage

Nach Ansicht des BVerwG ist die Wirtschaftsakademie weder datenschutzrechtlich für die Datenverarbeitung durch Facebook, in Form der Erhebung von Daten von Seitenbesuchern, als auch für die weitere Nutzung der Daten durch Facebook verantwortlich.

Zudem ist nach Ansicht des BVerwG die Wirtschaftsakademie auch nicht Auftraggeber einer Datenverarbeitung im Auftrag. Es stellte sich jedoch die Frage, ob es eine andere Form der datenschutzrechtlichen Verantwortlichkeit des Betreibers einer Fanpage geben kann und die Aufsichtsbehörde auch gegen andere Stelle, die nicht Verantwortlicher sind, vorgehen kann.

Das BVerwG hielt eine Klärung für erforderlich, ob bzw. unter welchen Voraussetzungen sich in mehrstufigen Anbieterverhältnissen, wie sie für soziale Netzwerke kennzeichnend sind, die Kontroll- und Eingriffsbefugnisse der Datenschutzaufsichtsbehörde allein auf die „verantwortliche Stelle“ im Sinne des Art. 2 Buchst. d) RL 95/46/EG (§ 3 Abs. 7 BDSG) beziehen können oder ob daneben Raum für eine Verantwortlichkeit einer Stelle, die nicht im Sinne des Art. 2 Buchst. d) RL 95/46/EG für die Datenverarbeitung verantwortlich ist, bei der Auswahl eines Betreibers für sein Informationsangebot bleibt.

Vor diesem Hintergrund erstrebt die erste Vorlagefrage die Klärung, ob mit dem Begriff des „für die Verarbeitung Verantwortlichen“ (Art. 2 Buchst. d) RL 95/46/EG) auch die möglichen Adressaten von Eingriffsmaßnahmen abschließend und erschöpfend umschrieben sind oder ob im Rahmen der „geeigneten Maßnahmen“ nach Art. 24 und der „wirksamen Eingriffsbefugnisse“ nach Art. 28 Abs. 3 Spiegelstrich 2 RL 95/46/EG daneben Raum für eine datenschutzrechtliche Verantwortlichkeit für die Auswahl des Betreibers eines Informationsangebotes bleibt.

Der Generalanwalt teilt nicht die Meinung des BVerwG. Das ist durchaus überraschend.

Meines Erachtens ist nämlich davon auszugehen, dass die Wirtschaftsakademie für die in der Erhebung von personenbezogenen Daten durch Facebook bestehende Phase der Verarbeitung gemeinsam mit Facebook verantwortlich ist.

Die Wirtschaftsakademie ist, zusammen mit Facebook Inc. und Facebook Ltd., gemeinsamer Verantwortlicher. Und zwar für die Verarbeitungsphase der Erhebung personenbezogener durch Facebook, wenn Nutzer die Facebook-Seite besuchen. Facebook ist verantwortlich, da es die Technologie entwickelt hat und auch das dahinter liegende Geschäftsmodell der Nutzung der Daten. Zudem ist auch Wirtschaftsakademie als Administrator der Facebook-Seite zumindest für die Phase der Erhebung der Daten verantwortlich.

Indem der Betreiber der Fanpage Facebook für die Verbreitung seines Informationsangebots nutzt, schließt er sich dem Grundsatz der Durchführung einer Verarbeitung personenbezogener Daten der Besucher seiner Seite zum Zweck der Erstellung von Besucherstatistiken an.

Durch Nutzung des Insights Tools und den Zugriff auf die Statistiken nehme er an Entscheidung über Zwecke und Mittel der Verarbeitung teil. Zum einen, weil er die Entscheidung trifft, das Tool zu nutzen. Nur dadurch würde die Datenverarbeitung überhaupt initiiert. Zudem gestatte er Facebook die Nutzung der Daten. Er erteile also seine Zustimmung zu dem System und der Verarbeitung durch Facebook und damit zu den von Facebook verwendeten Mitteln und den Zwecken. Zudem habe er Möglichkeit, die Datenverarbeitung zu beenden und zwar durch Löschung der Facebook-Seite.

Zudem habe er die Möglichkeit des Einflusses auf die Darstellung der Statistik und welche Kriterien verwendet werden.

der Betreiber einer Fanpage [hat] die Möglichkeit, die konkrete Umsetzung dieses Tools zu beeinflussen, indem er die Kriterien definiert, auf deren Grundlage die Besucherstatistiken erstellt werden.

Der Betreiber einer Fanpage kann mittels Filtern ein personalisiertes Zielpublikum festlegen, was ihm erlaubt, nicht nur die Personengruppe genau zu bestimmen, an die die Informationen über sein kommerzielles Angebot verbreitet werden, sondern insbesondere die Kategorien von Personen zu bezeichnen, deren personenbezogene Daten sodann von Facebook erhoben werden.

Der Generalanwalt stellt als Ergebnis fest, dass unter diesen Umständen ein Betreiber einer Fanpage eines sozialen Netzwerks wie Facebook als Verantwortlicher für die Phase der Verarbeitung personenbezogener Daten anzusehen ist, die in der Erhebung von Daten über die diese Seite besuchenden Personen durch dieses soziale Netzwerk besteht.

Der Generalanwalt bleibt hier jedoch nicht stehen. Zudem sollen diese Ausführungen auch für das anhängige Verfahren zum Like Button (C-40/17, Fashion ID) gelten. Auch bei der Einbindung eines Plugins (hier für den Like-Button) sei Webseitenbetreiber Verantwortlicher für die Phase der Erhebung von Daten durch Facebook, weil er den Code einbinde. Der Generalanwalt hierzu:

Meiner Ansicht nach müsste in einem solchen Kontext der Betreiber einer Website, die ein Social Plugin enthält, soweit er einen tatsächlichen Einfluss auf die die Übermittlung personenbezogener Daten an Facebook betreffende Phase der Verarbeitung ausübt, wie der Betreiber einer Fanpage als „für die Verarbeitung Verantwortlicher“ im Sinne von Art. 2 Buchst. d der Richtlinie 95/46 eingestuft werden.

Diese Auffassung ist durchaus überraschend, da der Generalanwalt sich der Auslegung des BVerwG entgegenstellt und die datenschutzrechtliche Verantwortlichkeit (die das BVerwG ablehnte) auf Betreiber einer Facebook-Seite erstreckt.

Sollte der EuGH dieser Einschätzung folgen, stellen sich einige praktische Fragen. Unter anderem nach der korrekten Erfüllung der Informationspflichten durch den Betreiber der Facebook-Seite. Nach der Logik der Schlussanträge müsste der Betreiber, da er für die Erhebung der Daten mitverantwortlich ist, über die betroffenen Daten und die Zwecke der Verarbeitung informieren. Tatsächlich kann es aber den Betreibern von Facebook-Seiten oder anderen vergleichbaren Plattformangeboten schwer fallen, diese Informationen inhaltlich korrekt an die Besucher zu kommunizieren. Eventuell hat der Betreiber gar keine Kenntnis darüber, welche Daten konkret für welche Zwecke durch Facebook verarbeitet werden. Zudem müsste der Betreiber der Webseite auf die Informationen zur Datenerhebung auch klar und verständlich auf seiner Facebook-Seite hinweisen. Zuletzt dürfte die generelle Frage zu beantworten sein, auf der Grundlage welches Erlaubnistatbestandes die personenbezogenen Daten durch Facebook (Inc. und Ltd.) und den Betreiber der Webseite erhoben werden. Diese Fragen müssen sich, sollte das Urteil den Schlussanträgen folgen, Betreiber von Facebook-Seiten stellen und beantworten.

Daneben ist anzumerken, dass der vorliegende Fall zwar ein spezielles Produkt (die Fanpage) und das dahinterliegende System betrachtet. Die Ausführungen des Generalanwaltes zur gemeinsamen Verantwortlichkeit dürften jedoch zu einem großen Teil auch auf andere Plattformen und Systeme übertragbar sein, bei denen ein Kunde die Infrastruktur und quasi das vorgefertigte Produkt eines Anbieters nutzt und bei dessen Bereitstellung personenbezogene Daten von Nutzern oder Besuchern verarbeitet werden, insbesondere, wenn der Kunde die Möglichkeit hat, Nutzerstatistiken zu nutzen.

Weitere Fragen

Auch die Ausführungen des Generalanwaltes zum anwendbaren Datenschutzrecht und der Zuständigkeit der Aufsichtsbehörden sind interessant. Vor allem von Relevanz ist, dass er die Gründe des EuGH-Urteils zu Google Spain auf eine Situation überträgt, in der der (Mit)Verantwortliche in der Union niedergelassen ist.

Er geht davon aus, dass die streitige Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten der deutschen Niederlassung von Facebook durchgeführt wird und dass in einer Situation wie der im Ausgangsverfahren in Rede stehenden die Anwendung des deutschen Datenschutzrechts erlaubt ist.

Die deutsche Kontrollstelle ist daher befugt, ihr nationales Recht auf die im Ausgangsverfahren in Rede stehende Verarbeitung personenbezogener Daten anzuwenden.

Zudem geht der Generalanwalt davon aus, dass die nationale Aufsichtsbehörde ihre Befugnisse, also auch eine Untersagung der Verarbeitung, nicht etwa gegen die nationale Niederlassung richten muss. Vielmehr könne eine aufsichtsbehördliche Maßnahme nach deutschem Recht gegenüber dem Verantwortlichen erfolgen, auch wenn dieser, wie hier die Facebook Ltd., in einem anderen Mitgliedstaat niedergelassen ist.

…dass diese Kontrollstelle sämtliche wirksamen Einwirkungsbefugnisse, die ihr gemäß Art. 28 Abs. 3 dieser Richtlinie übertragen sind, gegenüber dem für die Verarbeitung Verantwortlichen ausüben darf, und zwar auch dann, wenn dieser Verantwortliche seinen Sitz in einem anderen Mitgliedstaat oder einem Drittstaat hat.

Natürlich muss man noch das Urteil des EuGH abwarten. Da dieser den Schlussanträgen jedoch oft folgt, darf man mutmaßen, dass auch das Urteil des EuGH in eine ähnliche Richtung gehen wird.

Bayerische Aufsichtsbehörde veröffentlicht Hinweise und Anforderungen an den Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der Vergangenheit bayernweiten 40 Unternehmen dahingehend geprüft, ob und in welcher Weise das Marketing-Werkzeug „Facebook Custom Audience“ für gezielte Werbeanzeigen auf Facebook eingesetzt wird. Gestern veröffentlichte die Behörde nun das Ergebnis ihrer Prüfung und gleichzeitig auch allgemeine Hinweise und Anforderungen, die aus Sicht des BayLDA beim Einsatz von Custom Audience zu beachten sind (Pressemitteilung und Hinweise, pdf).

Wenn man sich die Informationen und Äußerungen des BayLDA zu Custom Audience aus der Vergangenheit vor Augen führt (hier mein Blogbeitrag zum Tätigkeitsbericht 2013/2014 und hier mein Blogbeitrag zum Tätigkeitsbericht 2015/2016), sind die Aussagen der Behörde zu den datenschutzrechtlichen Voraussetzungen beim Einsatz von Custom Audience wenig überraschend. Dennoch möchte ich bereits hier anfügen, dass die Auffassung des BayLDA zumindest zum Teil sicher auch streitbar ist.

Das BayLDA trennt in seinen Hinweisen klar strukturiert zwischen der Funktion „Facebook Custom Audience über die Kundenliste“ und „Facebook Custom Audience über das Pixel-Verfahren“, wobei in letzterer Variante noch die Funktion „Erweiterter Abgleich“ eine Rolle spielt.

Facebook Custom Audience über die Kundenliste

Die Funktion „Facebook Custom Audience über die Kundenliste“, in der ein Unternehmen eine Liste erstellt, die Name, Wohnort, E-Mail-Adresse und Telefonnummer seiner Kunden oder auch nur Interessenten enthält und diese Liste dann im Facebook-Konto des Unternehmens hochlädt, damit Facebook feststellen kann, welcher Kunde Facebook-Nutzer ist, ist nach Auffassung des BayLDA nur aufgrund einer informierten Einwilligung der Kunden zulässig. Zudem weist das BayLDA darauf hin, dass das Übermitteln dieser Liste an Facebook auch auf der Basis der ab 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) seiner Ansicht nach nicht ohne Einwilligung zulässig sein wird.

Facebook Custom Audience über das Pixel-Verfahren

Die Funktion „Facebook Custom Audience über das Pixel-Verfahren“ existiert in einer einfachen Variante und in der Variante des erweiterten Abgleichs. Auf der Webseite eines Unternehmens wird ein Facebook-Pixel eingebunden. Über dieses Pixel kann Facebook (nicht der Einbindende) das Online-Verhalten des Nutzers nachvollziehen. Das BayLDA nennt beispielhaft ein typisches Szenario: „Ein Nutzer besucht einen Webshop und interessiert sich für das neueste Smartphone, legt es in den Warenkorb, schließt aber den Bestellvorgang nicht ab. Bricht der Nutzer den Bestellvorgang ab, wird auch diese Information an Facebook weitergeleitet. Der Betreiber des Webshops möchte natürlich den Kunden zurückgewinnen und kann ihn über Facebook mittels Werbung des zuvor angesehenen Smartphones locken und zur Rückkehr auf die Webshop-Seite verleiten“.

Nach Auffassung des BayLDA ist der Webseiten-Betreiber, der den Facebook-Pixel auf seiner Webseite einbindet,

im datenschutz-rechtlichen Sinne auch Verantwortlicher, da er gezielt die weitere Datenverarbeitung durch Facebook veranlasst.

Diese Auffassung des BayLDA ist sicherlich vertretbar. Jedoch existiert genau zu dieser Frage, inwieweit ein Webseitenbetreiber datenschutzrechtlich verantwortlich ist, wenn er Code einbindet, über den Dritte dann Daten der Besucher verarbeiten können, schon länger Streit. Die Frage der Verantwortlichkeit liegt derzeit dem Europäischen Gerichtshof (EuGH) im Fall der Einbindung des Facebook -Like-Buttons vor (C-40/17, Fashion ID). Das OLG Düsseldorf hat dem EuGH mit Beschluss vom 19.1.2017 (I-20 U 40/16) zur Haftung und Verantwortlichkeit übermittelt. Dies zeigt, dass die Frage der Verantwortlichkeit des Webseitenbetreibers in diesen Fällen zumindest derzeit nicht so klar zu beantworten ist, wie dies in den Hinweisen dargestellt wird. Man wird freilich davon ausgehen dürfen, dass die deutschen Aufsichtsbehörden in dieser Frage einer Meinung sein werden.

Was die Anforderungen an den Einsatz der Funktion „Facebook Custom Audience über das Pixel-Verfahren“ betrifft, so geht das BayLDA in seinen Hinweisen nur auf den „Erweiterten Abgleich“ ein. Die, wenn man so will, aus Datenschutzsicht „schlimmere“ Variante. Hierdurch ist es, über das Facebook-Pixel möglich, Kundendaten wie z. B. Vorname, Nachname, E-Mail-Adresse, usw. an Facebook zu übermitteln und mit bestehenden Tracking-Daten anzureichern. Nach Auffassung des BayLDA dürfen Webseiten-Betreiber die erweiterte Funktion nur einsetzen,

wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

Zusätzlich müssen Hinweispflichten erfüllt werden. Der Nutzer muss also wissen, welche Daten erhoben werden, für welche Zwecke usw. Außerdem muss der Webseiten-Betreiber ein geeignetes Opt-Out-Verfahren implementieren. Und Achtung, auch an dieses stellt das BayLDA gewisse Anforderungen. So sei ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) für ein Opt-Out nicht ausreichend. Auch ein Verweis auf die URL www.facebook.com/settings stelle kein geeignetes Opt-Out-Verfahren.

Keine Anforderungen stellt das BayLDA in seinen Hinweisen jedoch an die einfache Variante des Pixel-Verfahrens auf. Wenn also nicht noch zusätzliche Daten übermittelt werden. Das bedeutet sicherlich nicht, dass der Einsatz völlig voraussetzungslos möglich ist. Jedoch kann man meines Erachtens aus dem Schwiegen des BayLDA in seinen Hinweisen schließen, dass der Einsatz des einfachen Pixel-Verfahrens ohne Einwilligung der Webseiten-Besucher zulässig ist. Jedoch muss der Webseiten-Betreiber die Nutzer über die Funktionsweise des Pixels einwandfrei in der Datenschutzerklärung informieren und eine Opt-Out-Lösung anbieten. Wie gesagt, dass BayLDA äußert sich zu den Anforderungen an das einfache Verfahren jedoch nicht ausdrücklich.

Das BayLDA informiert in seiner Pressemitteilung nicht allein zum Ausgang der Prüfung, sondern gibt Unternehmen erfreulicherweise auch direkt Handlungsempfehlungen mit auf den Weg. Für die Antwort auf Frage der Verantwortlichkeit des Webseiten-Betreibers dürfte die Entscheidung des EuGH in dem dort anhängigen Verfahren aus Deutschland von besonderer Relevanz sein.

Datenschutzbehörde: Mögliche Bußgeldverfahren wegen Einsatz von Facebook Custom Audience

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat heute seinen neuen Tätigkeitsbericht für 2015/2016 vorgestellt. Dort (S. 30) berichtet die Behörde über eine durchgeführte Prüfung von bayerischen Unternehmen hinsichtlich des Einsatzes des Dienstes Facebook Custom Audience.

Unternehmen wurden unter anderem gefragt, ob der Dienst Facebook Custom Audience eingesetzt wird, ob E-Mail-Adressen oder Telefonnummern von Kunden an Facebook (gehasht) übertragen werden und ob für den Einsatz von Facebook Custom Audience ein „Facebook-Pixel“? eingesetzt wird.

Dass im Rahmen des Einsatzes des Dienstes datenschutzrechtliche Fragen zu beantworten sind, hat die Behörde bereits in ihrem letzten Tätigkeitsbericht dargestellt. Hierzu mein Blogbeitrag.

Nun berichtet das BayLDA, dass durch die Gespräche mit den verantwortlichen Stellen im Rahmen der Prüfung festgestellt wurde, dass das Verfahren Facebook Custom Audience in der Praxis durchaus Verbreitung findet. Das ist auch meine Erfahrung aus der Beratungspraxis. Laut Aussage des BayLDA waren sich die Unternehmen aber in keinem (!) Fall bewusst, dass dabei eine datenschutzrechtliche Problematik besteht.

Die Behörde berichtet weiter, dass das Thema auf Grund seiner großen Reichweite im Arbeitskreis Medien der deutschen Aufsichtsbehörden platziert und im Dezember 2016 hierzu ein erstes gemeinsames Treffen in Ansbach stattfand. Diese Information dürfte auch für Stellen außerhalb Bayerns von Interesse sein, die Custom Audience nutzen. Denn eventuell wird es in Zukunft auch in anderen Bundesländern Prüfungen der zuständigen Datenschutzbehörden zu dieser Thematik geben.

Beim BayLDA will man nun bei den geprüften Stellen, die angaben, das Verfahren einzusetzen, für Klarheit sorgen, welche Rahmenbedingungen konkret für einen weiteren Einsatz zu berücksichtigen sind.

Das BayLDA verweist in diesem Zusammenhang auch noch einmal ausdrücklich auf seine Ansicht, dass sowohl die Verfahren der Kundenliste als auch die des Zählpixels als datenschutzrechtlich problematisch einzustufen sind.

Nach Aussage der Aufsichtsbehörde könne es insbesondere (wie in der Vergangenheit) angekündigt zur Einleitung von Ordnungswidrigkeitsverfahren kommen.

Unternehmen, die den Dienst Custom Audience nutzen, sollten gerade vor dem Hintergrund, dass sich die Landesdatenschutzbehörden insgesamt mit dem Dienst zu befassen scheinen, prüfen, welche Form des Dienstes sie nutzen und welche datenschutzrechtlichen Anpassungsmaßnahmen eventuell vorzunehmen sind.

 

Like-Button vor dem EuGH: OLG Düsseldorf möchte wissen, wer verantwortlich ist

Im Verfahren zwischen der Verbrauchzentrale Nordrhein-Westfalen (VZNRW) und der Fashion ID GmbH & Co. KG (ein Unternehmen der Unternehmensgruppe Peek & Cloppenburg KG) zur datenschutzrechtlichen Zulässigkeit der Einbindung des Facebook Like-Buttons auf einer Webseite, hat das OLD Düsseldorf das Verfahren ausgesetzt und dem EuGH mehrere interessante Datenschutzfragen vorgelegt (Beschluss vom 19.01.2017 – I-20 U 40/16; derzeit leider noch nicht frei zugänglich). Die Vorinstanz, das LG Düsseldorf, hatte Fashion ID u.a. dazu verurteilt, die Einwilligung von Webseitenbesuchern einzuholen, bevor über das Plugin die IP-Adresse der Besucher an Facebook übermittelt wird (Urt. v.  09.03.2016 – 12 O 151/15; hier mein Blogbeitrag zu dem Urteil).

Facebook ist dem dem Rechtsstreit auf Seiten der Beklagten beigetreten. Das OLG Düsseldorf legt dem EuGH mehrere interessante Fragen zur Auslegung der geltenden EU-Datenschutzrichtlinie (RL 95/46/EG) vor.

Zunächst möchte das Gericht aber einmal wissen, ob denn die VZNRW überhaupt klagebfugt ist. Das LG Düsseldorf hatte dies noch, auf der Grundlage von § 8 Abs. 3 Nr. 3 UWG bejaht und angenommen, die Datenschutzvorschriften des TMG seien Marktverhaltensvorschriften. Fashion ID argumentiert, dass dieses Verständnis nicht in Einklang mit der RL 95/46/EG stehe. Eine Verbandsklage sei dort nicht vorgesehen. Die Richtlinie stelle insoweit eine abschließende Regelung dar. Interessant ist diese Vorlagefrage vor allem mit Blick auf das (nicht mehr ganz) neue Verbandsklagerecht in Deutschland. Das OLG Düsseldorf lässt in seinem Beschluss  erkennen, dass es davon ausgeht, dass eine solche Verbandsklagebefugnis der RL 95/46/EG nicht entgegensteht.

Natürlich möchte das OLG dann wissen, ob der Webseitenbetreiber, der das Plugin (also Code) einbindet, datenschutzrechtlich die „verantwortliche Stelle“ ist. Hier tendiert das OLG in seiner Begründung dazu, diese Verantwortlichkeit abzulehnen und verweist dazu auch auf den Vorlagebeschluss des BVerwG zu dem ebenfalls beim EuGH anhängigen Verfahren zu Facebook Fanpages.

Eine Stelle, die weder einen rechtlichen, noch einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden, könne nicht als für die Verarbeitung Verantwortlicher angesehen werden (BVerwG Beschl. v. 25.02.2016, 1 C 28/14 Rn. 27, beim Gerichtshof anhängig unter C-210/16).

Das OLG Düsseldorf führt dazu richtigerweise aus, dass die gegenteilige Auffassung, allein durch die Einbindung von Dritten bereitgestellter Inhalte werde auch der Einbindende „für die Verarbeitung Verantwortlicher“ praktisch datenschutzrechtlich eine derartige Einbindung unmöglich mache. Denn der hierdurch ausgelöste Datenverarbeitungsvorgang ist für den Einbindenden nicht zu kontrollieren.

Interessant ist dann die Anschlussfrage des OLG, wenn keine datenschutzrechtliche Verantwortlichkeit angenommen wird. Man könnte dann nämlich über eine (m.E. abzulehnende Anwendung der Figur des „Störers“) nachdenken. Insofern stellt sich dann die Frage, ob Art. 2 Buchst. d) RL 95/46/EG insofern abschließend ist, als eine zivilrechtliche Haftung für von Dritten zu verantwortenden Datenschutzverstößen ausgeschlossen ist und die Haftung auf die Verantwortlichen beschränkt ist.

Wie auch das Vorlageverfahren des BVerwG (C-210/16), so ist auch dieses Verfahren von praktischer Relevanz. Im hiesigen Verfahren am OLG insofern eventuell in einer noch gesteigerten Form, da in der Praxis sowohl auf Webseiten und in Apps massenweise tagtäglich Plugins eingebunden werden. Eine datenschutzrechtliche Klärung ist daher zu begrüßen. Eventuell muss man sich aber mit dem Gedanken anfreunden, dass ein Urteil des EuGH erst nach dem 25. Mai 2018 und damit erst dann gefällt wird, wenn die Datenschutz-Grundverordnung (DSGVO) anwendbar ist und die RL 95/46/EG nicht mehr existiert. Nichtsdestotrotz ist die Frage nach der datenschutzrechtlichen Verantwortlichkeit und auch ein möglicher Rückgriff auf die Figur der Störerhaftung auch unter der DSGVO relevant.

Hamburger Datenschutzbehörde: Keine wirksame Einwilligung gegenüber Facebook. Wirklich?

Mit Bescheid vom 23. September 2016 hat der Hamburger Datenschutzbeauftragte der Facebook Irleand Ltd. u.a. die Erhebung und Speicherung von Bestandsdaten deutscher WhatsApp-Nutzer untersagt. Den Bescheid der Behörde hat der Kollege Dirks veröffentlicht (pdf).

Die Hamburger Behörde begründet ihre Verfügung materiell-rechtlich insbesondere mit einer fehlenden Rechtsgrundlage seitens Facebook für die Erhebung und Speicherung der Daten, die das Unternehmen von WhatsApp erhält. Der Datenschutzbeauftragte stützt seine Argumentation auf das sog. Doppeltürmodell des BVerfG (Urt. 24. 1. 2014 – 1 BvR 1299/05), nach dem sich ein Datenaustausch zwischen zwei öffentlichen Stellen durch einander korrespondiere Eingriffe von Abfrage und Übermittlung vollzieht, die jeweils einer eigenen Rechtsgrundlage bedürfen.

So weit, so klar. Staatliches Handeln bedarf einer Rechtsgrundlage. Der Vorgang der Übertragung von Daten stellt eine Datenverarbeitung dar, eine Übermittlung. Der Vorgang des Abrufs von Daten und deren Speicherung stellen Datenverarbeitungen dar, eine Erhebung und Speicherung. Bis hier hin eigentlich keine Überraschung, da Art. 7 der Datenschutz-Richtlinie vorsieht, dass die Verarbeitung personenbezogener Daten nur erfolgen darf, wenn die Voraussetzungen eines Erlaubnistatbestandes in Art. 7 lit. a) bis f) erfüllt sind. Als ein solcher Erlaubnistatbestand kam hier die Einwilligung der WhatsApp-Nutzer in Betracht, die diese im Rahmen der Aktualisierung der AGB und Datenschutzbestimmungen abgaben.

Wie gesagt, meines Erachtens ist unstreitig und nicht neu, dass beide involvierte Stellen, WhatsApp einerseits und Facebook andererseits, für die Datenverarbeitungen einen Erlaubnistatbestand benötigen. Das stellt das BVerfG in seinem Urteil klar. Mehr nicht.

Vorliegend stört sich die Aufsichtsbehörde aber daran, dass die Betroffenen (also WhatsApp-Nutzer) mit ihrer Einwilligung gegenüber WhatsApp „nicht gleichzeitig ihre Einwilligung gegenüber Facebook Ireland Ltd.“ erteilen. Es fehle daher an einem Erlaubnistatbestand für Facebook. Zwar wurden WhatsApp-Nutzer auf den Datenaustausch mit Facebook und auch die Zwecke der Verarbeitung der Daten durch Facebook hingewiesen, jedoch werde die Einwilligung eben nicht gegenüber Facebook erteilt.

Die Frage ist: ist das überhaupt erforderlich? Meiner Meinung nach sprechen gute Argumente gegen die Ansicht der Behörde.

Erstens

Der Wortlaut der Datenschutzrichtlinie. Nach Art. 2 lit. h) wird die „Einwilligung der betroffenen Person“ als jede Willensbekundung definiert, die ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage erfolgt und mit der die betroffene Person akzeptiert, dass personenbezogene Daten, die sie betreffen, verarbeitet werden. Die Legaldefinition sagt jedoch nichts dazu aus, wem tatsächlich die Willensbekundung gegenüber abzugeben ist. Natürlich muss ihr Inhalt die geplante Datenverarbeitung abdecken und auch die Stelle benannt sein, die die Verarbeitung vornimmt. Der Adressat der Einwilligungserklärung selbst, wem die Einwilligung wie zugehen muss, wird aber nicht benannt (etwa: gegenüber dem Verantwortlichen).

Zweitens

Urteil des EuGH vom 5. Mai 2011 – C-543/09. Dieses betraf einen Rechtsstreit zwischen der Deutschen Telekom AG und der Bundesnetzagentur, über die gemäß dem Telekommunikationsgesetz bestehende Verpflichtung der Unternehmen, die Telefonnummern zuweisen, ihnen vorliegende Daten von Teilnehmern dritter Unternehmen anderen Unternehmen, deren Tätigkeit in der Bereitstellung von öffentlich zugänglichen Auskunftsdiensten oder Teilnehmerverzeichnissen besteht, zur Verfügung zu stellen.

Entscheidende Vorschriften ergaben sich aus der Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG), die mit Blick auf die „Einwilligung“ auf die Definition der Datenschutz-Richtlinie (siehe oben) verweist.

Nach Art. 12 Abs. 1 Datenschutzrichtlinie für elektronische Kommunikation müssen Teilnehmer (also Kunden des TK-Anbieters) vor Aufnahme in öffentliche Teilnehmerverzeichnisse über deren Zweck bzw. Zwecke und über eine eventuelle besondere Nutzung, insbesondere aufgrund der in die Software der elektronischen Fassungen der Verzeichnisse eingebetteten Suchfunktionen, informiert werden.

Hierzu stellt der EuGH fest (Rz. 58), dass diese vorherige Unterrichtung es dem betroffenen Teilnehmer ermöglicht, „in die Veröffentlichung seiner personenbezogenen Daten in öffentliche Teilnehmerverzeichnisse ohne Zwang, für den konkreten Fall und in Kenntnis der Sachlage im Sinne von Art. 2 Buchst. h und Art. 7 Buchst. a der Richtlinie 95/46 einzuwilligen“.

Nach Art. 12 Abs. 2 Datenschutzrichtlinie für elektronische Kommunikation kann der Teilnehmer lediglich entscheiden, ob seine personenbezogenen Daten – und gegebenenfalls welche – in ein öffentliches Verzeichnis aufgenommen werden. Diese Zustimmung (also die Einwilligung) bezieht sich auf den Zweck der Veröffentlichung der personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis und nicht auf einen bestimmten Anbieter eines Verzeichnisses (Rz. 61).

Der EuGH stellt danach fest (Rz. 65), dass sich die Zustimmung eines ordnungsgemäß unterrichteten Teilnehmers zur Veröffentlichung seiner personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis gemäß Art. 12 Abs. 2 der Datenschutzrichtlinie für elektronische Kommunikation auf den Zweck dieser Veröffentlichung bezieht

und erstreckt sich daher auf jede spätere Verarbeitung dieser Daten durch dritte Unternehmen, die auf dem Markt öffentlich zugänglicher Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolgt.

Die inhaltlichen Anforderungen an die Einwilligung sind hier also noch geringer angesetzt, als es bei WhatsApp und Facebook der Fall war. Im Fall der EuGH mussten in der Einwilligung z.B. nicht einmal konkrete dritte Unternehmen benannte werden. Zudem wird auch deutlich, dass die einmal gegenüber einem Unternehmen erteilte Einwilligung auch spätere Datenverarbeitungen durch unbekannte Dritte legitimiert, solange die Zwecke bekannt waren und eingehalten werden.

Drittens

Die Art. 29 Datenschutzgruppe hat sich auch schon zu der Frage geäußert, welcher Stelle konkret gegenüber eine Einwilligung abzugeben ist. Stets dem Verantwortlichen? Nein.

In der Arbeitsunterlage WP 12 (pdf) gehen die Datenschützer für Datenübermittlungen in Drittstaaten auf der Grundlage einer Einwilligung klar davon aus (S. 38), dass eine Einwilligung entweder direkt durch übermittelnde Stelle selbst oder „in ihrem Auftrag“ durch eine andere Stelle eingeholt werden kann.

Übertragen auf den hiesigen Fall, könnte WhatsApp also natürlich für Facebook die Einwilligung der Betroffenen einholen.

Auch in einem weiteren Bespiel (S. 40) gehen die Datenschützer ausdrücklich davon aus, dass Einwilligung nicht durch die verantwortliche Stelle selbst eingeholt werden müssen.

Man wird nun abwarten müssen, wie das Verwaltungsgericht Hamburg entscheidet. Vorgelagert zu der obigen Thematik muss sich das Gericht mit der Frage befassen, ob überhaupt deutsches Datenschutzrecht anwendbar ist.

Irische Datenschutzbehörde veröffentlicht Jahresbericht 2015

Am 21. Juni 2016 hat die irische Datenschutzbeauftragte, Helen Dixon, den Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2015 vorgestellt.

Insbesondere, weil Irland der Standort europäischer Zentralen vieler „digital player“ darstellt, ist der Bericht der Behörde durchaus lesenswert. So wird unter anderem Über Prüfungen bei LinkedIn oder Facebook berichtet.

So berichtet die Behörde, dass man sich, nach einem Audit in 2013, oft mit Vertretern von LinkedIn im Jahre 2015 traf, um gemeinsam über mögliche Anpassungen der Plattform des beruflichen Online-Netzwerks zu reden. Konkrete Ergebnisse dieser Gespräche waren unter anderem Anpassungen bei den Kontrollmöglichkeiten für Mitglieder über die von ihnen bereit gestellten Informationen in dem sozialen Netzwerk.

Ein weiterer interessanter Aspekt sind internationale Datentransfers. Natürlich wird auch kurz das Urteil des EuGH zu Safe Harbor angesprochen. Nach dem Wegfall der betreffenden Kommissionsentscheidung als Grundlage für Datenübermittlungen in die USA, war (und ist es immer noch) für Unternehmen wichtig, alternative Instrumente zu finden. Für Datentransfers innerhalb eines Konzerns bieten sich insbesondere die Binding Corporate Rules (BCR) an. Hierbei handelt es sich um verbindliche, unternehmensinterne Richtlinien, die in Zusammenarbeit mit den europäischen Aufsichtsbehörden erstellt und von diesen genehmigt werden müssen.

Die irische Datenschutzbeauftragte berichtet, dass bereits im Jahr 2015 in vier Verfahren als federführende Aufsichtsbehörde für das Genehmigungsverfahren von BCR agierte. In den ersten Monaten des Jahres 2016 habe die Behörde zudem weitere Anträge von Unternehmen zur Prüfung von BCR erhalten. Diese Zunahme an beantragten Genehmigungsverfahren für BCR, insbesondere im Jahr 2016, dürfte auch mit dem Wegfall von Safe Harbor zusammenhängen. Wobei darauf hinzuweisen ist, dass BCR eben nur konzerninterne Datentransfers abdecken können und damit nicht für Datenübermittlungen an konzernfremde Unternehmen geeignet sind.

Datenschutzverstoß durch Verlinkung von Freunden auf Facebook?

Viele Facebook-Nutzer dürften die Funktion kennen, durch die man auf Facebook Profile von Freunden verlinken kann, indem man den Namen des jeweiligen Freundes in einem Text (zum Beispiel in einem Post) erwähnt. Klickt man dann auf den hervorgehobenen Namen, so wird man direkt auf das Facebook-Profil der Person weitergeleitet.

Im Rahmen einer, meines Erachtens doch recht kuriosen, Beschwerde bei der Landesdatenschutzbeauftragten in Brandenburg, war ein Facebook-Nutzer mit eben dieser Funktion und Verlinkung auf sein Facebook-Profil durch einen Freund nicht einverstanden. Über diesen Fall berichtet die Landesdatenschutzbeauftragte in ihrem am 12. April 2016 veröffentlichen Tätigkeitsbericht (S. 143, pdf) für die Jahre 2014/2015.

Die Landesdatenschutzbeauftragte hatte jedoch bereits berechtigte Zweifel, ob das Datenschutzrecht hier überhaupt Anwendung finde. Denn nach § 1 Abs. 2 Nr. 3 BDSG gilt das Datenschutzrecht nicht, wenn die Datenverarbeitung ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Die Datenschutzbehörde stellt in ihrer Begutachtung fest, dass die Verlinkung durch die betroffene Person in dem sozialen Netzwerk allein zu persönlichen Zwecken erfolgte. Wenn man den Facebook Nutzer selbst als datenschutzrechtlich verantwortlich ansieht, dann wäre auf diese Datenverarbeitung das Datenschutzrecht nicht anwendbar gewesen. Ähnlich sah dies auch schon die Art. 29 Datenschutzgruppe auf europäischer Ebene in ihrer Stellungnahme zu sozialen Online-Netzwerken aus dem Jahre 2009 (dort ab S. 6; pdf).

Mit Blick auf die Frage, ob der Anbieter des sozialen Netzwerk datenschutzrechtlich verantwortlich sei, schien die brandenburgische Datenschutzbeauftragte der Auffassung zu sein, dass wenn überhaupt, allein der Facebook Nutzer selbst verantwortlich ist. Facebook stelle nämlich nur die technischen Möglichkeiten zur Verfügung, um eine Verlinkung auf das Profil eines Freundes herzustellen. Zudem hatte die Landesdatenschutzbeauftragte, mit Blick auf die Verantwortlichkeit von Facebook, in Zweifel gezogen, ob sie überhaupt örtlich zuständig sei.

Aus diesem Grund habe man die Angelegenheit zu Prüfung auch an den Hamburgischen Datenschutzbeauftragten weitergeleitet. Auch die norddeutsche Behörde verneinte einen Datenschutzverstoß durch Facebook selbst, da an der zugrunde liegenden Datenverarbeitung (Verlinkung des Facebook-Profils durch Erwähnung des Namens) ein Interesse Dritter Personen, in diesem Fall des Facebook-Nutzers der die Verknüpfung herstellte, bestehe. Damit sah die Hamburger Behörde die Voraussetzung des Erlaubnistatbestandes des § 28 Abs. 1 S. 1 Nr. 2 BDSG als erfüllt an. Schutzwürdige Interessen der verlinkten Personen stünden dem zu dem nicht entgegen:

Die Nutzer eines sozialen Netzwerks, die sich freiwillig daran beteiligen und die „Spielregeln“ akzeptiert haben, müssen es hinnehmen, dass ihre Daten im rechtlich zulässigen Rahmen von anderen Mitgliedern des sozialen Netzwerks genutzt werden.

Beschluss des Bundesverwaltungsgerichts zu Fanpages: Betreiber ist nicht verantwortlich. Oder vielleicht doch?

Gestern Nacht hat mich „Joma“ auf Twitter darauf aufmerksam gemacht, dass nun der Beschluss des Bundesverwaltungsgerichts vom 25. Februar 2016 in dem Verfahren (BVerwG 1 C 28.14) zwischen dem Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) und der Wirtschaftsakademie Schleswig-Holstein GmbH (WAK) im Volltext veröffentlicht wurde.

Bekanntlich hat das Bundesverwaltungsgericht das Verfahren ausgesetzt und dem Europäischen Gerichtshof in Luxemburg mehrere Fragen zur Auslegung des geltenden Datenschutzrechts vorgelegt. Auch wenn das Bundesverwaltungsgericht noch nicht abschließend in diesem Verfahren entschieden hat, so ergeben sich aus dem Beschluss bereits einige rechtliche Aussagen des Gerichts, die für Facebook Fanpagebetreiber in Deutschland von Interesse sein dürften.

Das Bundesverwaltungsgericht geht nämlich davon aus, dass die WAK für die Erhebung und Verarbeitung der Nutzerdaten ihrer Fanpage durch Facebook nicht die „Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“ (§ 3 Abs. 7 BDSG) bzw. die „Stelle, die allein oder gemeinsam mit anderen über die Zwecke, Bedingungen und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 2 Buchst. d) RL 95/46/EG) ist (Rz. 24). Nach Auffassung des Bundesverwaltungsgerichts ist also ein Facebook Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen. Damit einher geht meines Erachtens zwingend die Schlussfolgerung, dass der Facebook Fanpagebetreiber, soweit es sich um Datenverarbeitungen handelt, die von Facebook durchgeführt werden und auf die der Fanpagebetreiber keinen Einfluss hat, auch nicht für eventuell unzulässige Datenverarbeitungen verantwortlich ist.

Nun mag sich der Leser fragen, warum dann überhaupt noch der Europäische Gerichtshof angerufen wird. Dies liegt daran, dass das Bundesverwaltungsgericht, auch wenn der Fanpagebetreiber nicht als verantwortliche Stelle im Sinne des Datenschutzrechts anzusehen ist, den Europäischen Gerichtshof fragt, ob nicht doch eine gewisse Auswahlverantwortlichkeit des Fanpagebetreibers besteht. Ohne selbst für die Datenverarbeitung verantwortlich zu sein, hält es das Bundesverwaltungsgericht nämlich für denkbar, die geltenden gesetzlichen Vorgaben eventuell in dem Sinne auszulegen, dass die zuständige Datenschutzaufsichtsbehörde wegen einer fehlerhaften Auswahl eines Plattformbetreibers (in diesem Beispiel etwa Facebook für Fanpages) durch den Fanpagebetreiber (also z.B. ein Unternehmen, einen Verein etc.), gegen diesen vorgehen kann. Das Bundesverwaltungsgericht beschreibt diese aus seiner Sicht möglicherweise existierende Verantwortlichkeit wie folgt:

Diese datenschutzrechtliche Verantwortung bezieht sich zwar nicht auf die Erhebung und Verarbeitung der Daten durch den Infrastrukturanbieter selbst, die in einer Infrastruktur wie der von der Beigeladenen angebotenen rechtlich und tatsächlich durch den Informationsanbieter nicht gesteuert werden kann. Sie bezieht sich aber auf die sorgfältige Auswahl des Betreibers der Infrastruktur, die für das eigene Informationsangebot genutzt wird.

Der Fanpagebetreiber wäre also nicht für die Rechtmäßigkeit der Datenverarbeitung verantwortlich und müsste diese, auch bei einer eventuell existierenden Auswahlverantwortlichkeit, nicht prüfen.

die Nutzer von Infrastrukturangeboten und Plattformen bleiben zudem von der Notwendigkeit befreit, die Rechtmäßigkeit der Datenverarbeitung durch den ausgewählten Anbieter (inzident) überprüfen zu müssen. (Rz. 36)

Jedoch könnten den Fanpagebetreiber im Rahmen der Auswahl einer Plattform vorgelagerte Prüfungspflichten („Auswahl- und Überprüfungspflichten“) treffen, deren Herleitung das das Bundesverwaltungsgericht (unter Hinweis auf Martini/Fritzsche, Mitverantwortung in sozialen Netzwerken. Facebook-Fanpage-Betreiber in der datenschutzrechtlichen Grauzone, NVwZ-Extra 21/2015) aus den Regelungen zur Auftragsdatenverarbeitung (§ 11 Abs. 2 Satz 1 und 4 BDSG) zumindest für möglich hält.

Ein Aktenzeichen beim Europäischen Gerichtshof für dieses Verfahren ist mir derzeit noch nicht bekannt.

Zum Like-Button Urteil in Düsseldorf: Wer ist denn nun für was verantwortlich?

Heute hat das Landgericht Düsseldorf in einem Verfahren zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID ein Urteil (pdf) zu datenschutzrechtlichen Fragen rund um den Facebook Like-Button gefällt (Az 12 O 151/15). Im Ergebnis wurde die Klage der Verbraucherschützer in weiten Teilen für begründet erachtet. Nachfolgend möchte ich kurz auf einige Aspekte des Urteils, teilweise auch kritisch, eingehen.

Das Unternehmen hatte auf seiner Webseite das bekannte Social Plugin eingebunden und hierauf in seiner Datenschutzerklärung, die über einen Link erreichbar war, hingewiesen. Zudem wurde dort darauf aufmerksam gemacht, dass Daten an Facebook übertragen werden und auf die Datenschutzerklärung von Facebook hingewiesen.

Personenbezug von IP-Adressen

Im Tatbestand führt das Gericht zunächst aus, dass es vorliegend um sog. Dynamische IP-Adressen geht. Nur dem jeweiligen Telekommunikationsunternehmen als Anbieter des Internetzugangs sei es möglich, Auskunft darüber zu erteilen, welchem Anschlussnehmer eine IP-Adresse zu einem bestimmten Zeitpunkt zugeordnet war.  Zudem geht das Gericht davon aus, dass beim Aufruf einer Webseite, die den Like-Button integriert hat, mindestens die IP-Adresse und der String des vom Webseitenbesucher genutzten Browsers an Facebook übermittelt werden.

Wichtig ist die Feststellung des Gerichts, dass diese Daten nicht vom Server des Webseitenbetreibers, sondern von dem Endgerät des Nutzers direkt an Facebook übermittelt werden.

In seinen Urteilsgründen geht das Gericht weiter davon aus, dass es Facebook zumindest mit Blick auf registrierte Mitglieder (seien diese ein- oder ausgeloggt, wenn sie die Webseite von Fashion ID besuchen) möglich sei, dieser IP-Adresse und anderen Informationen ein Mitglied zuzuordnen. Für Facebook handelt es sich also bei jenen Informationen, die über den Like-Button erhoben werden, um personenbezogene Daten.

Doch macht das Gericht hier nicht Halt, sondern geht, der sog. absoluten Theorie des Personenbezugs folgend, davon aus, dass damit die IP-Adresse auch für Fashion ID ein personenbezogenes Datum darstelle. Die Übermittlung der IP-Adresse stelle daher eine Übermittlung personenbezogener Daten dar.

Interessanterweise spricht das Gericht hier ausdrücklich von einer „Übermittlung“, obwohl zuvor festgestellt wurde, dass diese Übermittlung nicht, zumindest nicht technisch, durch den Webseitenbetreiber vorgenommen wird, sondern direkt zwischen dem Nutzer und Facebook erfolgt.

Webseitenbetreiber als datenschutzrechtlich verantwortliche Stelle

Danach stellt das Gericht fest, dass Fashion ID eine verantwortliche Stelle nach § 3 Abs. 7 BDSG ist. Es fragt sich jedoch: für was? Bzw. für welche konkreten Datenerhebungs-, – verarbeitungs- oder –nutzungsvorgänge?

Nach Auffassung des Gerichts ist der Begriff der „verantwortlichen Stelle“ weit auszulegen und der Webseitenbetreiber „beschafft“ personenbezogene Daten. Damit liegt eine datenschutzrechtlich relevante Erhebung (§ 3 Abs. 3 BDSG) vor. Diese Feststellung ist meines Erachtens von besonderer Relevanz für das weitere Studium des Urteils. Unter anderem auch deshalb, da später auf andere Verarbeitungsphasen abgestellt wird, was doch irritiert. Und zum anderen deshalb, weil ich eine datenschutzrechtliche Einwilligung konkret auf einen bestimmten Umgang mit personenbezogenen Daten beschränken muss. Unternehmen sollten also als Ergebnis zumindest wissen müssen, für welche Phase der Erhebung, Verarbeitung oder Nutzung sie, nach Auffassung des LG Düsseldorf, verantwortlich sind.

Schon im nächsten Satz führt das Gericht darüberhinausgehend aus, dass das Unternehmen durch die Einbindung des Plugins die „Datenerhebung und spätere Verwendung der Daten“ durch Facebook ermögliche.

Zwei Kritikpunkte: Die „Ermöglichung“ einer Datenverarbeitung ist nicht von der Definition der verantwortlichen Stelle (§ 3 Abs. 7 BDGS) umfasst. Zudem scheint nun hier doch eine Datenerhebung durch Facebook im Raum zu stehen, obwohl zuvor die Erhebung durch den Webseitenbetreiber festgestellt wurde.

In einem weiteren Satz geht das Gericht dann davon aus, dass Fashion ID durch das Einbinden des Plugins an der unmittelbar „an der Erhebung durch Facebook“ mitwirke. Geht das Gericht also nun von einer alleinigen Verantwortlichkeit für die Erhebung, einer Mitverantwortlichkeit oder aber einer Verantwortlichkeit von Facebook aus? Dies wird leider nicht deutlich.

Das LG Düsseldorf urteilt weiter, dass die „Erhebung der Daten zu deren Verwendung“ im „eigenen Tätigkeits- und Haftungsbereich“ des Unternehmens stattfinde. Auch hieraus ergibt sich meines Erachtens nicht klar, für welchen Vorgang das Unternehmen nun datenschutzrechtlich verantwortlich sein soll.

Dass Fashion ID keinen Einfluss auf die Verarbeitung der Daten hat, lässt das LG Düsseldorf nicht als Gegenargument gelten. Denn, so das Gericht, der „Vorgang“ wird durch die Einbindung des Codes in die eigene Webseite initiiert.

Rechtsgrundlage der … ja, was eigentlich?

Im nächsten Prüfungspunkt geht das Gericht auf die Frage der Zulässigkeit der „Datenübermittlung“ ein. Spätestens hier stellt sich mir die Frage, wie man nun auf die Phase der Übermittlung kommt, denn zuvor wurde noch über die „Erhebung“ diskutiert. Zudem möchte man fragen: welche Übermittlung? Vom Nutzer an Facebook?

Aus Sicht des LG Düsseldorf ist diese Datenübermittlung auf jeden Fall nicht auf § 15 TMG zu stützen. Denn die Datenübermittlung ist für den Betrieb der Webseite nicht erforderlich.

Danach prüft das Gericht eine „Datennutzung“, die nicht auf eine Einwilligung der Besucher gestützt werden könne. Hierunter scheint das LG Düsseldorf die Erhebung der Daten durch Fashion ID zu fassen.

Das Gericht erläutert nachfolgend die Anforderungen an eine Einwilligung nach § 13 Abs. 2 TMG. Nach Auffassung des Gerichts ist u.a. das Setzen eines Häckchens in einer Checkbox erforderlich, damit die Einwilligung eindeutig erteilt wird. Andere Gerichte, wie etwa das OLG Frankfurt am Main (hierzu mein Beitrag), sehen dies anders und lassen etwa für Cookies zu Werbezwecken ein opt-out als Form der Einwilligung ausreichen.

Ein Kommentar hierzu: wenn die Verbraucherzentrale NRW und das LG Düsseldorf für die Einbindung des normalen Like-Buttons tatsächlich eine Einwilligung nach § 13 Abs. 2 TMG fordern, frage ich mich, wie Webseitenbetreiber die übrigen Voraussetzungen der Norm erfüllen sollen. Gerade die Protokollierung und die jederzeitige Abrufbarkeit der Einwilligung durch den Nutzer werden wohl überhaupt nur möglich sein, wenn der Webseitenbetreiber noch mehr personenbezogene Daten sammelt und verarbeitet. Wie könnte die Erteilung der Einwilligung sonst protokollieren oder diese zum Abruf für jeden Nutzer bereithalten? Am Ende müsste der Webseitenbetreiber also eventuell, obwohl er daran gar kein Interesse hat, erst recht personenbezogene Daten erheben und verarbeiten.

Zudem stellt sich mir aus praktischer Sicht die einfache Frage, welchen konkreten Inhalt die hier geforderte Einwilligung denn nun haben soll. Bezieht sie sich auf die Erhebung, die Verarbeitung oder Nutzung? Bezieht sie sich auf diese Verarbeitungsvorgänge durch den Webseitenbetreiber oder durch Facebook? Wie kann ein Unternehmen eine konkret formulierte und auf bestimmt Zwecke festgelegte Einwilligungserklärung formulieren, wenn es selbst nicht weiß, für welche Zwecke die Daten bei Facebook genutzt werden?

Hinweise in der Datenschutzerklärung nicht ausreichend

Wie beschrieben hielt Fashion ID eine Datenschutzerklärung mit Informationen zum Like-Button vor. So, wie dies wohl derzeit auf deutschsprachigen Webseiten der Usus sein wird.

Dies reicht dem Gericht jedoch nicht aus. Denn der Hinweise auf die (ich gehe einmal davon aus) Erhebung erfolge so nicht „zu Beginn“ des Verarbeitungsvorgangs.

Fazit

In vielerlei Hinsicht lässt einen die Begründung des Gerichts zumindest innehalten oder die Stirn runzeln. Möchten Webseitenbetreiber die durch das Gericht aufgestellten Voraussetzungen erfüllen und dabei nicht auf Lösungen wie die 2-Klick-Lösung zurückgreifen, bleibt wohl nur ein Pop-Up oder Banner, welcher eine Einwilligungserklärung (mit opt-in check box) enthält. Die Einwilligung muss dann auch protokolliert und zum Abruf bereitgehalten werden. Man darf gespannt sein, ob dieses Urteil nicht eventuell in die nächste Instanz getragen wird.