Der VGH München hat in zweiter Instanz mit Beschluss
vom 26.09.2018, Az. 5 CS 18.1157 den Beschluss
des VG Bayreuth vom 08.05.2018 – B 1 S 18.105 bestätigt, das die Nutzung
einer bestimmten Form der Facebook Custom Audiences verboten hatte .
vom 26.09.2018, Az. 5 CS 18.1157 den Beschluss
des VG Bayreuth vom 08.05.2018 – B 1 S 18.105 bestätigt, das die Nutzung
einer bestimmten Form der Facebook Custom Audiences verboten hatte .
Gegenstand der Entscheidung des VGH München ist die
Erzeugung von Facebook Custom Audiences über das Hochladen von Kundenlisten
(z.B. E-Mailadressen und/oder Telefonnummern) in gehashter Form auf die Social
Media Plattform. Falls vor dem Upload der Kundenliste (Siehe Screenshot) keine
Einwilligung von jedem einzelnen Kunden in diese konkrete Verarbeitung seiner
personenbezogenen Daten vorliegt, ist bereits der Upload der Kundenliste
datenschutzwidrig.
Erzeugung von Facebook Custom Audiences über das Hochladen von Kundenlisten
(z.B. E-Mailadressen und/oder Telefonnummern) in gehashter Form auf die Social
Media Plattform. Falls vor dem Upload der Kundenliste (Siehe Screenshot) keine
Einwilligung von jedem einzelnen Kunden in diese konkrete Verarbeitung seiner
personenbezogenen Daten vorliegt, ist bereits der Upload der Kundenliste
datenschutzwidrig.
Leitsätze:
1. Die Übermittlung gehashter E-Mail-Adressen an ein
soziales Netzwerk zur Ausspielung zielgerichteter Werbung erfolgt nicht im
Rahmen einer Auftragsdatenverarbeitung, wenn der Datenempfänger einen eigenen
Entscheidungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden
Kundenkreises hat. (Rn. 11 ff.)
soziales Netzwerk zur Ausspielung zielgerichteter Werbung erfolgt nicht im
Rahmen einer Auftragsdatenverarbeitung, wenn der Datenempfänger einen eigenen
Entscheidungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden
Kundenkreises hat. (Rn. 11 ff.)
2. Sofern keine ausdrückliche Einwilligung des Betroffenen
vorliegt, ist über die Rechtmäßigkeit der Weitergabe von E-Mail-Adressen zu
Werbezwecken nach § 28 Abs. 1 Nr. 2 BDGS a.F. in unionsrechtskonformer
Auslegung durch Interessenabwägung zu entscheiden. (Rn. 26 ff.)
vorliegt, ist über die Rechtmäßigkeit der Weitergabe von E-Mail-Adressen zu
Werbezwecken nach § 28 Abs. 1 Nr. 2 BDGS a.F. in unionsrechtskonformer
Auslegung durch Interessenabwägung zu entscheiden. (Rn. 26 ff.)
Tenor
I. Die Beschwerde wird zurückgewiesen.
II. Die Antragstellerin trägt die Kosten des Verfahrens.
III. Der Streitwert wird für das Beschwerdeverfahren auf
7.500,00 Euro festgesetzt.
7.500,00 Euro festgesetzt.
Gründe
I.
Die Antragstellerin wendet sich gegen die Anordnung der
sofortigen Vollziehung einer datenschutzrechtlichen Anordnung, mit der sie
verpflichtet wurde, die unter ihrem Facebook-Konto erstellte Kundenliste
(„Custom Audience“) zu löschen.
sofortigen Vollziehung einer datenschutzrechtlichen Anordnung, mit der sie
verpflichtet wurde, die unter ihrem Facebook-Konto erstellte Kundenliste
(„Custom Audience“) zu löschen.
Die Antragstellerin betreibt einen Online-Shop und unterhält
ein Konto bei Facebook. Zur Schaltung zielgerichteter Werbung auf diesem
Netzwerk nutzt die Antragstellerin den Dienst „Facebook Custom Audience“. Im
Rahmen dieses von Facebook generell angebotenen Dienstes lädt ein Unternehmen,
so auch die Antragstellerin, eine Liste mit eigenen Kundendaten innerhalb des
eigenen Facebook-Kontos hoch, berechnet mittels der kryptographischen
Hashfunktion SHA-256 für jede einzelne E-Mail-Adresse der Kunden einen
sogenannten Hashwert und übermittelt diesen an einen Facebook-Server. Facebook
gleicht die erhaltenen Hashwerte mit den ebenfalls mit der Hashfunktion SHA-256
verarbeiteten E-Mail-Adressen aller Facebook-Mitglieder ab. Sind zwei Hashwerte
identisch, ist anhand der übereinstimmenden E-Mail-Adresse das dazugehörige
Facebook-Mitglied bestimmt. Alle auf diese Weise ermittelten Facebook-Mitglieder
bilden eine sogenannte „Custom Audience“ (Kundenliste) und erhalten innerhalb
ihres Facebook-Profils zielgerichtete Werbung des den Dienst „Facebook Custom
Audience“ nutzenden Unternehmens. Die Zielgruppe der durch Facebook
anzusprechenden Facebook-Nutzer kann das Unternehmen mittels verschiedener
Merkmale näher spezifizieren. Um zu ermitteln, welche Merkmale oder Interessen
dem einzelnen Facebook-Mitglied zuzuordnen sind, verarbeitet Facebook
Informationen aus verschiedenen Quellen, z.B. der IP-Adresse, den Mobilgeräten,
dem Facebook-Profil des Nutzers und dessen Aktivitäten oder Interaktionen mit
Unternehmen. Welche konkreten Facebook-Mitglieder beworben werden, erfährt das
werbetreibende Unternehmen, im konkreten Fall die Antragstellerin, nicht. Die Höhe
des Entgelts für den Dienst „Custom Audiences“ richtet sich nach der Laufzeit
der Werbekampagne.
ein Konto bei Facebook. Zur Schaltung zielgerichteter Werbung auf diesem
Netzwerk nutzt die Antragstellerin den Dienst „Facebook Custom Audience“. Im
Rahmen dieses von Facebook generell angebotenen Dienstes lädt ein Unternehmen,
so auch die Antragstellerin, eine Liste mit eigenen Kundendaten innerhalb des
eigenen Facebook-Kontos hoch, berechnet mittels der kryptographischen
Hashfunktion SHA-256 für jede einzelne E-Mail-Adresse der Kunden einen
sogenannten Hashwert und übermittelt diesen an einen Facebook-Server. Facebook
gleicht die erhaltenen Hashwerte mit den ebenfalls mit der Hashfunktion SHA-256
verarbeiteten E-Mail-Adressen aller Facebook-Mitglieder ab. Sind zwei Hashwerte
identisch, ist anhand der übereinstimmenden E-Mail-Adresse das dazugehörige
Facebook-Mitglied bestimmt. Alle auf diese Weise ermittelten Facebook-Mitglieder
bilden eine sogenannte „Custom Audience“ (Kundenliste) und erhalten innerhalb
ihres Facebook-Profils zielgerichtete Werbung des den Dienst „Facebook Custom
Audience“ nutzenden Unternehmens. Die Zielgruppe der durch Facebook
anzusprechenden Facebook-Nutzer kann das Unternehmen mittels verschiedener
Merkmale näher spezifizieren. Um zu ermitteln, welche Merkmale oder Interessen
dem einzelnen Facebook-Mitglied zuzuordnen sind, verarbeitet Facebook
Informationen aus verschiedenen Quellen, z.B. der IP-Adresse, den Mobilgeräten,
dem Facebook-Profil des Nutzers und dessen Aktivitäten oder Interaktionen mit
Unternehmen. Welche konkreten Facebook-Mitglieder beworben werden, erfährt das
werbetreibende Unternehmen, im konkreten Fall die Antragstellerin, nicht. Die Höhe
des Entgelts für den Dienst „Custom Audiences“ richtet sich nach der Laufzeit
der Werbekampagne.
Mit Bescheid vom 16. Januar 2018 verpflichtete das
Bayerische Landesamt für Datenschutzaufsicht (im Folgenden: Landesamt) die
Antragstellerin unter Androhung eines Zwangsgelds binnen zwei Wochen nach
Zustellung des Bescheids die unter ihrem Facebook-Konto erstellten „Custom
Audiences“ zu löschen und ordnete die sofortige Vollziehung dieser Anordnung
an. Gegen diesen Bescheid erhob die Antragstellerin am 1. Februar 2018 Klage.
Bayerische Landesamt für Datenschutzaufsicht (im Folgenden: Landesamt) die
Antragstellerin unter Androhung eines Zwangsgelds binnen zwei Wochen nach
Zustellung des Bescheids die unter ihrem Facebook-Konto erstellten „Custom
Audiences“ zu löschen und ordnete die sofortige Vollziehung dieser Anordnung
an. Gegen diesen Bescheid erhob die Antragstellerin am 1. Februar 2018 Klage.
Den ebenfalls gestellten Antrag auf Wiederherstellung der
aufschiebenden Wirkung der Klage lehnte das Verwaltungsgericht mit Beschluss
vom 8. Mai 2018 wegen fehlender Erfolgsaussichten der Klage ab. Unter
Bezugnahme auf die Begründung des streitgegenständlichen Bescheids führte das
Verwaltungsgericht ergänzend aus, das Landesamt habe die streitgegenständliche
Anordnung zu Recht auf § 38 Abs. 5 Satz 1 BDSG a.F. gestützt, weil die
beanstandete Übermittlung der gehashten E-Mail-Adressen nach § 4 Abs. 1 BDSG
a.F. mangels Einwilligung des Betroffenen oder gesetzlicher Erlaubnis
datenschutzrechtlich unzulässig sei. Bei den E-Mail-Adressen handele es sich um
personenbezogene Daten nach § 3 Abs. 1 BDSG a.F., die durch den Vorgang des
Hashens nicht i.S.v. § 3 Abs. 6 BDSG a.F. anonymisiert würden. Durch das Hashen
werde der Personenbezug nicht völlig aufgehoben und es sei ohne
unverhältnismäßigen Aufwand möglich, die Daten einer bestimmten oder
bestimmbaren Person zuzuordnen. Das zeige auch der Datenabgleich seitens
Facebook. Die beanstandete Übermittlung der gehashten Daten erfolge an Facebook
„als Dritten“ i.S.v. § 3 Abs. 8 Satz 2 BDSG a.F. und stelle eine Verarbeitung
nach § 3 Abs. 4 Satz 1 BDSG a.F. dar. Durch Facebook erfolge keine Auftragsdatenverarbeitung
(§ 11 BDSG a.F.), innerhalb der die Übermittlung der Kundendaten auch ohne
Einwilligung der Betroffenen und ohne gesetzliche Erlaubnis zulässig wäre (§ 3
Abs. 8 Satz 3 BDSG a.F.). Facebook werde nicht gleichsam als verlängerter Arm
der Antragstellerin tätig, sondern es liege allein im Ermessen von Facebook,
wer konkret beworben werde. Eine konkrete Einwilligung des Betroffenen für die
Übermittlung seiner Daten an Facebook liege nicht vor. Die Übermittlung der
Daten könne auch nicht auf § 28 Abs. 3 BDSG a.F. gestützt werden, weil die
Tatbestandsvoraussetzungen nicht gegeben seien. Die Antragstellerin könne sich
nicht auf das sogenannte Listenprivileg des § 28 Abs. 3 Satz 2 BDSG a.F.
berufen, weil E-Mail-Adressen nicht zu den sogenannten Listendaten i.S.v. § 28
Abs. 3 Satz 2 BDSG a.F. zählen würden. Eine Berechtigung zur Übermittlung
ergebe sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG a.F., weil diese Vorschrift
lediglich die Vervollständigung der Informationen erlaube und keine eigene
Übermittlungsbefugnis hinsichtlich weiterer Daten enthalte. Die Übermittlung
der E-Mail-Adressen an Facebook sei auch nicht im Wege einer unionsrechtlich
gebotenen Interessenabwägung auf der Grundlage von § 28 Abs. 1 Satz 1 Nr. 2
BDSG a.F. als zulässig anzusehen, weil diese zu Gunsten der Betroffenen
ausfalle.
aufschiebenden Wirkung der Klage lehnte das Verwaltungsgericht mit Beschluss
vom 8. Mai 2018 wegen fehlender Erfolgsaussichten der Klage ab. Unter
Bezugnahme auf die Begründung des streitgegenständlichen Bescheids führte das
Verwaltungsgericht ergänzend aus, das Landesamt habe die streitgegenständliche
Anordnung zu Recht auf § 38 Abs. 5 Satz 1 BDSG a.F. gestützt, weil die
beanstandete Übermittlung der gehashten E-Mail-Adressen nach § 4 Abs. 1 BDSG
a.F. mangels Einwilligung des Betroffenen oder gesetzlicher Erlaubnis
datenschutzrechtlich unzulässig sei. Bei den E-Mail-Adressen handele es sich um
personenbezogene Daten nach § 3 Abs. 1 BDSG a.F., die durch den Vorgang des
Hashens nicht i.S.v. § 3 Abs. 6 BDSG a.F. anonymisiert würden. Durch das Hashen
werde der Personenbezug nicht völlig aufgehoben und es sei ohne
unverhältnismäßigen Aufwand möglich, die Daten einer bestimmten oder
bestimmbaren Person zuzuordnen. Das zeige auch der Datenabgleich seitens
Facebook. Die beanstandete Übermittlung der gehashten Daten erfolge an Facebook
„als Dritten“ i.S.v. § 3 Abs. 8 Satz 2 BDSG a.F. und stelle eine Verarbeitung
nach § 3 Abs. 4 Satz 1 BDSG a.F. dar. Durch Facebook erfolge keine Auftragsdatenverarbeitung
(§ 11 BDSG a.F.), innerhalb der die Übermittlung der Kundendaten auch ohne
Einwilligung der Betroffenen und ohne gesetzliche Erlaubnis zulässig wäre (§ 3
Abs. 8 Satz 3 BDSG a.F.). Facebook werde nicht gleichsam als verlängerter Arm
der Antragstellerin tätig, sondern es liege allein im Ermessen von Facebook,
wer konkret beworben werde. Eine konkrete Einwilligung des Betroffenen für die
Übermittlung seiner Daten an Facebook liege nicht vor. Die Übermittlung der
Daten könne auch nicht auf § 28 Abs. 3 BDSG a.F. gestützt werden, weil die
Tatbestandsvoraussetzungen nicht gegeben seien. Die Antragstellerin könne sich
nicht auf das sogenannte Listenprivileg des § 28 Abs. 3 Satz 2 BDSG a.F.
berufen, weil E-Mail-Adressen nicht zu den sogenannten Listendaten i.S.v. § 28
Abs. 3 Satz 2 BDSG a.F. zählen würden. Eine Berechtigung zur Übermittlung
ergebe sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG a.F., weil diese Vorschrift
lediglich die Vervollständigung der Informationen erlaube und keine eigene
Übermittlungsbefugnis hinsichtlich weiterer Daten enthalte. Die Übermittlung
der E-Mail-Adressen an Facebook sei auch nicht im Wege einer unionsrechtlich
gebotenen Interessenabwägung auf der Grundlage von § 28 Abs. 1 Satz 1 Nr. 2
BDSG a.F. als zulässig anzusehen, weil diese zu Gunsten der Betroffenen
ausfalle.
Gegen diesen Beschluss richtet sich die vorliegende
Beschwerde der Antragstellerin.
Beschwerde der Antragstellerin.
Der Antragsgegner tritt dem Vorbringen der Antragstellerin
entgegen und beantragt, die Beschwerde zurückzuweisen.
entgegen und beantragt, die Beschwerde zurückzuweisen.
Wegen weiterer Einzelheiten wird auf die Gerichts- und
Behördenakten verwiesen.
Behördenakten verwiesen.
II.
Die Beschwerde der Antragstellerin gegen den Beschluss des
Verwaltungsgerichts Bayreuth vom 8. Mai 2018 hat keinen Erfolg. Das
Verwaltungsgericht hat den Antrag auf Wiederherstellung der aufschiebenden
Wirkung der Klage gegen die Anordnung, die unter dem Facebook-Konto der
Antragstellerin erstellten Kundenlisten („Custom Audiences“) zu löschen, zu
Recht abgelehnt. Die im Beschwerdeverfahren innerhalb der gesetzlichen Begründungsfrist
dargelegten Gründe, auf deren Prüfung der Verwaltungsgerichtshof beschränkt ist
(§ 146 Abs. 4 Satz 6 VwGO), geben keine Veranlassung, die angegriffene
Entscheidung zu ändern. Es verbleibt bei der zutreffenden Einschätzung des
Verwaltungsgerichts, dass die Klage nach der im Verfahren des einstweiligen
Rechtsschutzes gemäß § 80 Abs. 5 VwGO allein möglichen und gebotenen
summarischen Prüfung voraussichtlich erfolglos bleiben wird.
Verwaltungsgerichts Bayreuth vom 8. Mai 2018 hat keinen Erfolg. Das
Verwaltungsgericht hat den Antrag auf Wiederherstellung der aufschiebenden
Wirkung der Klage gegen die Anordnung, die unter dem Facebook-Konto der
Antragstellerin erstellten Kundenlisten („Custom Audiences“) zu löschen, zu
Recht abgelehnt. Die im Beschwerdeverfahren innerhalb der gesetzlichen Begründungsfrist
dargelegten Gründe, auf deren Prüfung der Verwaltungsgerichtshof beschränkt ist
(§ 146 Abs. 4 Satz 6 VwGO), geben keine Veranlassung, die angegriffene
Entscheidung zu ändern. Es verbleibt bei der zutreffenden Einschätzung des
Verwaltungsgerichts, dass die Klage nach der im Verfahren des einstweiligen
Rechtsschutzes gemäß § 80 Abs. 5 VwGO allein möglichen und gebotenen
summarischen Prüfung voraussichtlich erfolglos bleiben wird.
1. Für die Beurteilung der Rechtmäßigkeit des angefochtenen
Verwaltungsakts kommt es auf die Rechtslage im Zeitpunkt der letzten
behördlichen Entscheidung an, hier den Erlass des Bescheids vom 16. Januar
2018, so dass die Rechtmäßigkeit der streitgegenständlichen Löschungsanordnung
auf der Grundlage des bis zum 24. Mai 2018 geltenden Bundesdatenschutzgesetzes
(BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl I S. 66),
zuletzt geändert durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl I S.
2097), zu beurteilen ist. Zwar haben die Gerichte bei der Überprüfung von
Dauerverwaltungsakten die Sach- und Rechtslage im Zeitpunkt der letzten
mündlichen Verhandlung zu berücksichtigen, sofern nicht das materielle Recht
die Maßgeblichkeit eines anderen Zeitpunkts bestimmt (BVerwG, U.v. 11.7.2011 –
8 C 11.10 – juris Rn. 17). Eine solche Fallgestaltung liegt hier aber nicht
vor. Gegenstand des Verfahrens ist die durch das Landesamt angeordnete
Löschungsverfügung, deren Regelungsgehalt sich in einem einmaligen
Löschungsvorgang erschöpft. Im Übrigen hat auch die Antragstellerin selbst
nicht vorgetragen, dass sich mit Inkrafttreten der Neufassung des
Bundesdatenschutzgesetzes gemäß Art. 1 des Gesetzes vom 30. Juni 2017 (BGBl I
S. 2097) zum 25. Mai 2018 die materielle Rechtslage zu ihren Gunsten verändert
hat.
Verwaltungsakts kommt es auf die Rechtslage im Zeitpunkt der letzten
behördlichen Entscheidung an, hier den Erlass des Bescheids vom 16. Januar
2018, so dass die Rechtmäßigkeit der streitgegenständlichen Löschungsanordnung
auf der Grundlage des bis zum 24. Mai 2018 geltenden Bundesdatenschutzgesetzes
(BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl I S. 66),
zuletzt geändert durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl I S.
2097), zu beurteilen ist. Zwar haben die Gerichte bei der Überprüfung von
Dauerverwaltungsakten die Sach- und Rechtslage im Zeitpunkt der letzten
mündlichen Verhandlung zu berücksichtigen, sofern nicht das materielle Recht
die Maßgeblichkeit eines anderen Zeitpunkts bestimmt (BVerwG, U.v. 11.7.2011 –
8 C 11.10 – juris Rn. 17). Eine solche Fallgestaltung liegt hier aber nicht
vor. Gegenstand des Verfahrens ist die durch das Landesamt angeordnete
Löschungsverfügung, deren Regelungsgehalt sich in einem einmaligen
Löschungsvorgang erschöpft. Im Übrigen hat auch die Antragstellerin selbst
nicht vorgetragen, dass sich mit Inkrafttreten der Neufassung des
Bundesdatenschutzgesetzes gemäß Art. 1 des Gesetzes vom 30. Juni 2017 (BGBl I
S. 2097) zum 25. Mai 2018 die materielle Rechtslage zu ihren Gunsten verändert
hat.
2. Entgegen der Auffassung der Antragstellerin hat das
Landesamt das besondere öffentliche Interesse am Sofortvollzug im Sinn von § 80
Abs. 3 Satz 1 VwGO ausreichend begründet. Unter Gegenüberstellung der
widerstreitenden Interessen hat das Landesamt ausführlich und unter Bezugnahme
auf die Funktionsweise des genutzten Dienstes dargelegt, dass angesichts der
Erklärung der Antragstellerin, den Dienst „Facebook Custom Audience“ weiterhin
nutzen zu wollen, sowohl aus general- als auch aus spezialpräventiven
Gesichtspunkten dem öffentlichen Interesse am Sofortvollzug Vorrang einzuräumen
ist.
Landesamt das besondere öffentliche Interesse am Sofortvollzug im Sinn von § 80
Abs. 3 Satz 1 VwGO ausreichend begründet. Unter Gegenüberstellung der
widerstreitenden Interessen hat das Landesamt ausführlich und unter Bezugnahme
auf die Funktionsweise des genutzten Dienstes dargelegt, dass angesichts der
Erklärung der Antragstellerin, den Dienst „Facebook Custom Audience“ weiterhin
nutzen zu wollen, sowohl aus general- als auch aus spezialpräventiven
Gesichtspunkten dem öffentlichen Interesse am Sofortvollzug Vorrang einzuräumen
ist.
3. Das Verwaltungsgericht ist zutreffend davon ausgegangen,
dass die Übermittlung der gehashten E-Mail-Adressen an Facebook im Rahmen des
Dienstes „Custom Audience“ nicht im Wege einer Auftragsdatenverarbeitung i.S.v.
§ 11 BDSG a.F. erfolgte, sondern als Übermittlung an einen Dritten (§ 3 Abs. 8
Satz 2 BDSG a.F.) zu werten ist, die nach § 4 Abs. 1 BDSG a.F. einer
entsprechenden Einwilligung der Betroffenen oder einer gesetzlichen Gestattung
der Datenübermittlung bedurft hätte (a). Da weder eine Einwilligung der
Betroffenen vorlag noch die Übermittlung der Daten gesetzlich gestattet war,
konnte der Antragsgegner die Löschungsanordnung auf § 38 Abs. 5 Satz 1 BDSG
a.F. stützen (b).
dass die Übermittlung der gehashten E-Mail-Adressen an Facebook im Rahmen des
Dienstes „Custom Audience“ nicht im Wege einer Auftragsdatenverarbeitung i.S.v.
§ 11 BDSG a.F. erfolgte, sondern als Übermittlung an einen Dritten (§ 3 Abs. 8
Satz 2 BDSG a.F.) zu werten ist, die nach § 4 Abs. 1 BDSG a.F. einer
entsprechenden Einwilligung der Betroffenen oder einer gesetzlichen Gestattung
der Datenübermittlung bedurft hätte (a). Da weder eine Einwilligung der
Betroffenen vorlag noch die Übermittlung der Daten gesetzlich gestattet war,
konnte der Antragsgegner die Löschungsanordnung auf § 38 Abs. 5 Satz 1 BDSG
a.F. stützen (b).
a) Die Antragstellerin trägt zur Begründung ihrer Beschwerde
vor, die Bewertung des Gerichts, Facebook habe die übermittelten Daten nicht
als Auftragsdatenverarbeiter i.S.v. § 11 BDSG a.F., sondern als Dritter
verarbeitet, sei fehlerhaft. Es sei zwar richtig, dass Facebook für die
innerhalb des Netzwerks vorgenommene Bewerbung von Nutzern eine eigenständige
rechtliche Zuständigkeit zugewiesen sei und dem Netzwerkbetreiber ein
inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt werde. Das gelte
jedoch nicht für die Erstellung der Kundenliste im Wege der
Überschneidungsanalyse. Die mit dem Dienst „Custom Audience“ verbundenen
Datenverarbeitungsvorgänge (Überschneidungsanalyse und sonstige Verarbeitung
durch Facebook) müssten getrennt betrachtet werden. Während Facebook bei der
Ausspielung der Werbung an seine Nutzer völlig frei sei, erfolgte die
Überschneidungsanalyse weisungsgebunden; ein eigenes finanzielles Interesse am
Abgleich der Hashwerte schließe eine Auftragsdatenverarbeitung nicht aus. Diese
Ausführungen, mit denen die Antragstellerin im Wesentlichen die bereits im
Verwaltungs- und Gerichtsverfahren geäußerten Rechtsansichten wiederholt, sind
nicht geeignet, die rechtliche Bewertung durch das Verwaltungsgericht zu
widerlegen.
vor, die Bewertung des Gerichts, Facebook habe die übermittelten Daten nicht
als Auftragsdatenverarbeiter i.S.v. § 11 BDSG a.F., sondern als Dritter
verarbeitet, sei fehlerhaft. Es sei zwar richtig, dass Facebook für die
innerhalb des Netzwerks vorgenommene Bewerbung von Nutzern eine eigenständige
rechtliche Zuständigkeit zugewiesen sei und dem Netzwerkbetreiber ein
inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt werde. Das gelte
jedoch nicht für die Erstellung der Kundenliste im Wege der
Überschneidungsanalyse. Die mit dem Dienst „Custom Audience“ verbundenen
Datenverarbeitungsvorgänge (Überschneidungsanalyse und sonstige Verarbeitung
durch Facebook) müssten getrennt betrachtet werden. Während Facebook bei der
Ausspielung der Werbung an seine Nutzer völlig frei sei, erfolgte die
Überschneidungsanalyse weisungsgebunden; ein eigenes finanzielles Interesse am
Abgleich der Hashwerte schließe eine Auftragsdatenverarbeitung nicht aus. Diese
Ausführungen, mit denen die Antragstellerin im Wesentlichen die bereits im
Verwaltungs- und Gerichtsverfahren geäußerten Rechtsansichten wiederholt, sind
nicht geeignet, die rechtliche Bewertung durch das Verwaltungsgericht zu
widerlegen.
aa) Für die Beurteilung, ob Facebook im Rahmen einer
Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F. tätig wurde, kann nicht allein
auf die Durchführung der Überschneidungsanalyse abgestellt werden. Vielmehr ist
als datenschutzrechtlich zu bewertende Datenverarbeitung die vollständige und
bestimmungsmäßige Nutzung des Dienstes „Facebook Custom Audience“ in den Blick
zu nehmen.
Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F. tätig wurde, kann nicht allein
auf die Durchführung der Überschneidungsanalyse abgestellt werden. Vielmehr ist
als datenschutzrechtlich zu bewertende Datenverarbeitung die vollständige und
bestimmungsmäßige Nutzung des Dienstes „Facebook Custom Audience“ in den Blick
zu nehmen.
Das Verfahren „Facebook Custom Audience“ ermöglicht es
Unternehmen, ihre Kunden, die zugleich Nutzer von Facebook sind, auf diesem
sozialen Netzwerk von Facebook gezielt bewerben zu lassen. Welche Kunden
zugleich Nutzer des sozialen Netzwerks sind, wird von Facebook durch Abgleich
der jeweiligen E-Mail-Adresse ermittelt (sogenannte Überschneidungsanalyse).
Die im Rahmen dieses Dienstes im Wege der Überschneidungsanalyse erstellte
Kundenliste (Custom Audience) dient keinem eigenen, abtrennbaren Zweck, sondern
ist Grundlage und Voraussetzung für die vertraglich vereinbarte, zielgerichtete
Werbung durch Facebook. Der zwischen der Antragstellerin und Facebook
geschlossene Verarbeitungsvertrag steht dem nicht entgegen. Maßgebend für die
Einordnung eines Vorgangs als Auftragsdatenverarbeitung ist eine objektive
Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden
tatsächlichen Abläufe. Andernfalls hätten es die Vertragsparteien selbst in der
Hand, die rechtlichen Rahmenbedingungen für die Datenverarbeitung festzulegen
(Working Paper 169 der Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den
Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“,
im Internet abrufbar unter:
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_de.pdf,
S. 14; Spoerr in Wolff/Brink BeckOK Datenschutzrecht BDSG 2003 § 11 Rn. 41).
Unternehmen, ihre Kunden, die zugleich Nutzer von Facebook sind, auf diesem
sozialen Netzwerk von Facebook gezielt bewerben zu lassen. Welche Kunden
zugleich Nutzer des sozialen Netzwerks sind, wird von Facebook durch Abgleich
der jeweiligen E-Mail-Adresse ermittelt (sogenannte Überschneidungsanalyse).
Die im Rahmen dieses Dienstes im Wege der Überschneidungsanalyse erstellte
Kundenliste (Custom Audience) dient keinem eigenen, abtrennbaren Zweck, sondern
ist Grundlage und Voraussetzung für die vertraglich vereinbarte, zielgerichtete
Werbung durch Facebook. Der zwischen der Antragstellerin und Facebook
geschlossene Verarbeitungsvertrag steht dem nicht entgegen. Maßgebend für die
Einordnung eines Vorgangs als Auftragsdatenverarbeitung ist eine objektive
Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden
tatsächlichen Abläufe. Andernfalls hätten es die Vertragsparteien selbst in der
Hand, die rechtlichen Rahmenbedingungen für die Datenverarbeitung festzulegen
(Working Paper 169 der Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den
Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“,
im Internet abrufbar unter:
http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_de.pdf,
S. 14; Spoerr in Wolff/Brink BeckOK Datenschutzrecht BDSG 2003 § 11 Rn. 41).
bb) Facebook wird im Rahmen des Dienstes „Custom Audience“
nicht als Auftragsverarbeiter (§ 11 BDSG a.F.) tätig. Das Verwaltungsgericht
hat unter Bezugnahme auf die Ausführungen im angegriffenen Bescheid zutreffend
festgestellt, dass in der vorliegenden Fallkonstellation kein
Auftragsdatenverarbeitungsverhältnis vorliegt und die Weitergabe der gehashten
E-Mail-Adressen an Facebook als Übermittlung von Daten an einen Dritten (§ 3
Abs. 8 Satz 2 BDSG a.F.) zu werten ist.
nicht als Auftragsverarbeiter (§ 11 BDSG a.F.) tätig. Das Verwaltungsgericht
hat unter Bezugnahme auf die Ausführungen im angegriffenen Bescheid zutreffend
festgestellt, dass in der vorliegenden Fallkonstellation kein
Auftragsdatenverarbeitungsverhältnis vorliegt und die Weitergabe der gehashten
E-Mail-Adressen an Facebook als Übermittlung von Daten an einen Dritten (§ 3
Abs. 8 Satz 2 BDSG a.F.) zu werten ist.
Für die Einordnung als Auftragsdatenverarbeitung kommt es
maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten
hat. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und
Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und
Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen
Auftragsdatenverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an
die Weitergabe von personenbezogenen Daten auszunehmen. Die Einschaltung
weiterer Arbeitsschritte in den Verarbeitungsvorgang schließt eine
Auftragsdatenverarbeitung dann nicht aus, wenn es sich um einfache Algorithmen
handelt, die vom Auftraggeber klar definiert werden (Spoerr in Wolff/Brink,
a.a.O., § 11 Rn. 38). Auch der Grad der tatsächlich von einer Partei ausgeübten
Kontrolle, der den betroffenen Personen vermittelte Eindruck und deren
berechtigte Erwartungen aufgrund der Außenwirkung sind in die Bewertung
einzubeziehen (Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O., S. 14).
Generell kann von Auftragsdatenverarbeitung ausgegangen werden, wenn sich der
Auftraggeber die Entscheidungsbefugnis gegebenenfalls unter Vorgabe
ausdifferenzierter Kriterien vorbehält und dem Dienstleister keinerlei
inhaltlichen Bewertungs- und Ermessensspielraum einräumt (Gola/Schomerus,
Bundesdatenschutzgesetz, 12. Aufl. 2015, § 11 Rn. 9). Anders liegt der Fall
jedoch, wenn das beauftragte Unternehmen eigenständig und ohne Vorgaben über
die technischen und organisatorischen Mittel der Datenverarbeitung entscheidet
(Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O. S. 19).
maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten
hat. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und
Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und
Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen
Auftragsdatenverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an
die Weitergabe von personenbezogenen Daten auszunehmen. Die Einschaltung
weiterer Arbeitsschritte in den Verarbeitungsvorgang schließt eine
Auftragsdatenverarbeitung dann nicht aus, wenn es sich um einfache Algorithmen
handelt, die vom Auftraggeber klar definiert werden (Spoerr in Wolff/Brink,
a.a.O., § 11 Rn. 38). Auch der Grad der tatsächlich von einer Partei ausgeübten
Kontrolle, der den betroffenen Personen vermittelte Eindruck und deren
berechtigte Erwartungen aufgrund der Außenwirkung sind in die Bewertung
einzubeziehen (Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O., S. 14).
Generell kann von Auftragsdatenverarbeitung ausgegangen werden, wenn sich der
Auftraggeber die Entscheidungsbefugnis gegebenenfalls unter Vorgabe
ausdifferenzierter Kriterien vorbehält und dem Dienstleister keinerlei
inhaltlichen Bewertungs- und Ermessensspielraum einräumt (Gola/Schomerus,
Bundesdatenschutzgesetz, 12. Aufl. 2015, § 11 Rn. 9). Anders liegt der Fall
jedoch, wenn das beauftragte Unternehmen eigenständig und ohne Vorgaben über
die technischen und organisatorischen Mittel der Datenverarbeitung entscheidet
(Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O. S. 19).
So liegt der Fall hier. Wie die Antragstellerin in der
Beschwerdebegründung selbst vorträgt, entscheidet Facebook selbstständig unter
Auswertung des Nutzungsverhaltens seiner Mitglieder, welche Nutzer der Zielgruppenbestimmung
der Antragstellerin entsprechen und folglich beworben werden. Facebook trifft
die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und
verfügbaren Profildaten und ist allein in der Lage, die zu bewerbenden Kunden
zu ermitteln und die Werbung auszuspielen. Facebook ist – nach Angaben der
Antragstellerin – bei der Durchführung des Dienstes und der Auswertung des
Verhaltens seiner Nutzer völlig frei. Sie erklärt selbst, auf die
Datenerhebungs- und Verarbeitungsprozesse keinen Einfluss zu haben. Die
Bewertung, dass Facebook als Auftragsdatenverarbeiter tätig wird, stützt die
Antragstellerin ausschließlich auf die Aufspaltung der einzelnen
Handlungsschritte des von Facebook angebotenen Dienstes. Da aber, wie
ausgeführt, die Dienstleistung „Facebook Custom Audience über die Kundenliste“
unter datenschutzrechtlichen Gesichtspunkten einen einheitlichen Vorgang
bildet, der nicht in verschiedene, rechtlich selbständig bewertbare Teile
zerlegt werden kann, vermag dies das von der Antragstellerin behauptete
Auftragsdatenverhältnis nicht begründen.
Beschwerdebegründung selbst vorträgt, entscheidet Facebook selbstständig unter
Auswertung des Nutzungsverhaltens seiner Mitglieder, welche Nutzer der Zielgruppenbestimmung
der Antragstellerin entsprechen und folglich beworben werden. Facebook trifft
die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und
verfügbaren Profildaten und ist allein in der Lage, die zu bewerbenden Kunden
zu ermitteln und die Werbung auszuspielen. Facebook ist – nach Angaben der
Antragstellerin – bei der Durchführung des Dienstes und der Auswertung des
Verhaltens seiner Nutzer völlig frei. Sie erklärt selbst, auf die
Datenerhebungs- und Verarbeitungsprozesse keinen Einfluss zu haben. Die
Bewertung, dass Facebook als Auftragsdatenverarbeiter tätig wird, stützt die
Antragstellerin ausschließlich auf die Aufspaltung der einzelnen
Handlungsschritte des von Facebook angebotenen Dienstes. Da aber, wie
ausgeführt, die Dienstleistung „Facebook Custom Audience über die Kundenliste“
unter datenschutzrechtlichen Gesichtspunkten einen einheitlichen Vorgang
bildet, der nicht in verschiedene, rechtlich selbständig bewertbare Teile
zerlegt werden kann, vermag dies das von der Antragstellerin behauptete
Auftragsdatenverhältnis nicht begründen.
b) Das Landesamt hat die Löschungsanordnung zutreffend auf §
38 Abs. 5 Satz 1 BDSG a.F. gestützt, weil die Übermittlung der gehashten
E-Mail-Adressen an Facebook weder mit Einwilligung der Betroffen erfolgte noch
aufgrund gesetzlicher Regelung erlaubt war (§ 4 Abs. 1 BDSG a.F.). Das
Verwaltungsgericht hat überzeugend dargelegt, dass die
Tatbestandsvoraussetzungen von § 28 Abs. 3 BDSG a.F. und § 28 Abs. 1 Satz 1 Nr.
2 BDSG a.F. nicht vorliegen.
38 Abs. 5 Satz 1 BDSG a.F. gestützt, weil die Übermittlung der gehashten
E-Mail-Adressen an Facebook weder mit Einwilligung der Betroffen erfolgte noch
aufgrund gesetzlicher Regelung erlaubt war (§ 4 Abs. 1 BDSG a.F.). Das
Verwaltungsgericht hat überzeugend dargelegt, dass die
Tatbestandsvoraussetzungen von § 28 Abs. 3 BDSG a.F. und § 28 Abs. 1 Satz 1 Nr.
2 BDSG a.F. nicht vorliegen.
aa) Zunächst ist darauf hinzuweisen, dass es entgegen der
Auffassung der Antragstellerin nicht darauf ankommt, ob diese selbst die
Kundendaten erheben und für eigene Werbezwecke verwenden durfte. Da Facebook
die Daten als Dritter i.S.v. § 3 Abs. 8 Satz 2 BDSG a.F. verarbeitet, kommt es
maßgeblich darauf an, ob die Übermittlung der gehashten E-Mail-Adressen an
Facebook nach datenschutzrechtlichen Vorschriften zulässig ist.
Auffassung der Antragstellerin nicht darauf ankommt, ob diese selbst die
Kundendaten erheben und für eigene Werbezwecke verwenden durfte. Da Facebook
die Daten als Dritter i.S.v. § 3 Abs. 8 Satz 2 BDSG a.F. verarbeitet, kommt es
maßgeblich darauf an, ob die Übermittlung der gehashten E-Mail-Adressen an
Facebook nach datenschutzrechtlichen Vorschriften zulässig ist.
bb) Die Übermittlung der E-Mail-Adressen kann nicht auf § 28
Abs. 3 BDSG a.F. gestützt werden.
Abs. 3 BDSG a.F. gestützt werden.
(1) Da eine
Einwilligung der Betroffenen (§ 28 Abs. 3 Satz 1 BDSG a.F.) unstrittig nicht
vorlag, kommt als Rechtsgrundlage lediglich § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F.
in Betracht. Das Verwaltungsgericht hat jedoch zutreffend festgestellt, dass
sich die Antragstellerin bezüglich der Übermittlung der Daten zu Werbezwecken
nicht auf das sogenannte Listenprivileg des § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F.
berufen kann.
Einwilligung der Betroffenen (§ 28 Abs. 3 Satz 1 BDSG a.F.) unstrittig nicht
vorlag, kommt als Rechtsgrundlage lediglich § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F.
in Betracht. Das Verwaltungsgericht hat jedoch zutreffend festgestellt, dass
sich die Antragstellerin bezüglich der Übermittlung der Daten zu Werbezwecken
nicht auf das sogenannte Listenprivileg des § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F.
berufen kann.
(2) Die
Antragstellerin trägt vor, bei den gehashten E-Mail-Daten handle es sich zwar
um kein in § 28 Abs. 3 Satz 2 BDSG a.F. aufgeführtes Listendatum. Darauf komme
es jedoch auch nicht an, weil keine E-Mail-Adressen, sondern lediglich
Hashwerte an Facebook übertragen würden. Diese Daten enthielten lediglich die
Information, dass eine bestimmte Person auf einer von der Antragstellerin
übersandten Liste stehe. Die Information über die „Zugehörigkeit des
Betroffenen zu einer Liste“ sei sehr wohl ein Listendatum im Sinne von § 28
Abs. 3 Satz 2 BDSG a.F.
Antragstellerin trägt vor, bei den gehashten E-Mail-Daten handle es sich zwar
um kein in § 28 Abs. 3 Satz 2 BDSG a.F. aufgeführtes Listendatum. Darauf komme
es jedoch auch nicht an, weil keine E-Mail-Adressen, sondern lediglich
Hashwerte an Facebook übertragen würden. Diese Daten enthielten lediglich die
Information, dass eine bestimmte Person auf einer von der Antragstellerin
übersandten Liste stehe. Die Information über die „Zugehörigkeit des
Betroffenen zu einer Liste“ sei sehr wohl ein Listendatum im Sinne von § 28
Abs. 3 Satz 2 BDSG a.F.
Dieser Auffassung ist nicht zu folgen. Die Übermittlung der
Hashwerte stellt keinen eigenständigen datenschutzrechtlichen Vorgang dar.
Gegenstand der streitgegenständlichen Datenübermittlung sind die
E-Mail-Adressen der Kunden der Antragstellerin, die lediglich aus Gründen der
Datenverarbeitung mittels einer Hashfunktion an Facebook übersandt werden.
Anhand der identischen E-Mail-Adresse des Kunden wird das zu bewerbende
Nutzerkonto ermittelt. Daher ist für die datenschutzrechtliche Prüfung
maßgeblich darauf abzustellen, ob für die Weitergabe der E-Mail-Adressen eine
rechtliche Grundlage besteht. Erst durch die Übermittlung dieser Daten ist im
zweiten Schritt die Information „Zugehörigkeit des Betroffenen zu einer Liste“
möglich.
Hashwerte stellt keinen eigenständigen datenschutzrechtlichen Vorgang dar.
Gegenstand der streitgegenständlichen Datenübermittlung sind die
E-Mail-Adressen der Kunden der Antragstellerin, die lediglich aus Gründen der
Datenverarbeitung mittels einer Hashfunktion an Facebook übersandt werden.
Anhand der identischen E-Mail-Adresse des Kunden wird das zu bewerbende
Nutzerkonto ermittelt. Daher ist für die datenschutzrechtliche Prüfung
maßgeblich darauf abzustellen, ob für die Weitergabe der E-Mail-Adressen eine
rechtliche Grundlage besteht. Erst durch die Übermittlung dieser Daten ist im
zweiten Schritt die Information „Zugehörigkeit des Betroffenen zu einer Liste“
möglich.
Wie das Verwaltungsgericht zutreffend dargelegt hat, ist die
Übermittlung der E-Mail-Adressen auch nicht im Wege des „Hinzuspeicherns“ nach
§ 28 Abs. 3 Satz 3 BDSG a.F. zulässig. Die mit dieser Bestimmung eröffnete
Möglichkeit, weitere Daten zu den einzeln aufgeführten Listendaten hinzu zu
speichern, setzt voraus, dass im Ausgangspunkt überhaupt ein Listendatum i.S.v.
§ 28 Abs. 3 Satz 2 BDSG betroffen ist. Daran fehlt es jedoch hier. Der von der
Antragstellerin geltend gemachte Wertungswiderspruch, der darin liege, dass die
Übermittlung gehashter E-Mail-Adressen – würde man der Auffassung des
Verwaltungsgerichts folgen – zulässig sei, wenn die Antragstellerin Facebook
auch noch andere Listendaten zur Verfügung stellt, liegt nicht vor. Denn in
diesem Fall stünde die Zulässigkeit der Datenübermittlung unter dem Vorbehalt,
dass die Verarbeitung und Nutzung sämtlicher betroffener Daten erforderlich ist
(§ 28 Abs. 3 Satz 2 HS 2 BDSG a.F.). Es wäre in diesem Fall zunächst zu prüfen,
ob die Übermittlung der Ausgangslistendaten, zu denen die E-Mail-Adressen
hinzugespeichert werden könnten, unter Berücksichtigung dieser Einschränkung
überhaupt zulässig wäre.
Übermittlung der E-Mail-Adressen auch nicht im Wege des „Hinzuspeicherns“ nach
§ 28 Abs. 3 Satz 3 BDSG a.F. zulässig. Die mit dieser Bestimmung eröffnete
Möglichkeit, weitere Daten zu den einzeln aufgeführten Listendaten hinzu zu
speichern, setzt voraus, dass im Ausgangspunkt überhaupt ein Listendatum i.S.v.
§ 28 Abs. 3 Satz 2 BDSG betroffen ist. Daran fehlt es jedoch hier. Der von der
Antragstellerin geltend gemachte Wertungswiderspruch, der darin liege, dass die
Übermittlung gehashter E-Mail-Adressen – würde man der Auffassung des
Verwaltungsgerichts folgen – zulässig sei, wenn die Antragstellerin Facebook
auch noch andere Listendaten zur Verfügung stellt, liegt nicht vor. Denn in
diesem Fall stünde die Zulässigkeit der Datenübermittlung unter dem Vorbehalt,
dass die Verarbeitung und Nutzung sämtlicher betroffener Daten erforderlich ist
(§ 28 Abs. 3 Satz 2 HS 2 BDSG a.F.). Es wäre in diesem Fall zunächst zu prüfen,
ob die Übermittlung der Ausgangslistendaten, zu denen die E-Mail-Adressen
hinzugespeichert werden könnten, unter Berücksichtigung dieser Einschränkung
überhaupt zulässig wäre.
(3) Eine Übermittlung
wäre entgegen der Auffassung der Antragstellerin auch nicht nach § 28 Abs. 3
Satz 4 i.V.m. Satz 2 BDSG a.F. zulässig, weil dieses – wie die Antragstellerin
selbst vorträgt – zur Voraussetzung hat, dass es sich um ein Listendatum i.S.v.
§ 28 Abs. 3 Satz 2 BDSG a.F. handelt. Daran fehlt es hier jedoch.
wäre entgegen der Auffassung der Antragstellerin auch nicht nach § 28 Abs. 3
Satz 4 i.V.m. Satz 2 BDSG a.F. zulässig, weil dieses – wie die Antragstellerin
selbst vorträgt – zur Voraussetzung hat, dass es sich um ein Listendatum i.S.v.
§ 28 Abs. 3 Satz 2 BDSG a.F. handelt. Daran fehlt es hier jedoch.
cc) § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. kommt als
Rechtsgrundlage für die Übermittlung der gehashten E-Mail-Adressen ebenfalls
nicht in Betracht.
Rechtsgrundlage für die Übermittlung der gehashten E-Mail-Adressen ebenfalls
nicht in Betracht.
(1) Unter
Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH, U.v.
19.10.2016 – Breyer, C-582/14 – juris) ist das Verwaltungsgericht zutreffend
davon ausgegangen, dass ein Mitgliedstaat die Verarbeitung bestimmter
Kategorien personenbezogener Daten (hier die E-Mail-Adresse) nicht gänzlich
ausschließen kann, ohne bezüglich der Zulässigkeit der Nutzung Raum für eine
Interessenabwägung zu lassen. Dieser Vorgabe wird durch die
unionsrechtskonforme Anwendung von § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. in der
Weise Rechnung getragen, dass die Zulässigkeit der Nutzung personenbezogener
Daten zu Werbezwecken auch über den Anwendungsbereich des § 28 Abs. 3 BDSG a.F.
hinaus im Wege einer Interessenabwägung zulässig sein kann. Wie das
Verwaltungsgericht unter Bezugnahme auf die umfassende Interessenabwägung im
streitgegenständlichen Bescheid (s. S. 14 – 15 des Bescheids) und darüber
hinausgehend selbst (s. S. 30 – 31 des Beschlusses) überzeugend ausgeführt hat,
fällt die Interessenabwägung zwischen den schutzwürdigen Interessen der
Betroffenen (insb. dem Recht auf informationelle Selbstbestimmung gem. Art. 2
Abs. 1 GG i.V.m Art. 1 Abs. 1 GG bzw. dem in Art. 8 Abs. 1 GRCh garantierten
Schutz personenbezogener Daten) und dem Interesse der Antragstellerin an der
Übermittlung der E-Mail-Adressen an Facebook zu Werbezwecken zulasten der
Antragstellerin aus. Die Ausführungen im Beschwerdeschriftsatz, mit denen im
Wesentlichen die bereits vorgetragenen Argumente wiederholt werden, geben
keinen Anlass für eine Abwägung zu Gunsten der Antragstellerin. Zwar hat diese
– wie das Verwaltungsgericht festgestellt hat – ein berechtigtes Interesse an
zielgerichteter Werbung, diesem Interesse stehen jedoch die überwiegenden,
schutzwürdigen Interessen der Betroffenen gegenüber, die insbesondere nicht
damit rechnen, dass ihre im Rahmen eines Bestellvorgangs bei der
Antragstellerin angegebene E-Mail-Adresse an Facebook übermittelt wird.
Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH, U.v.
19.10.2016 – Breyer, C-582/14 – juris) ist das Verwaltungsgericht zutreffend
davon ausgegangen, dass ein Mitgliedstaat die Verarbeitung bestimmter
Kategorien personenbezogener Daten (hier die E-Mail-Adresse) nicht gänzlich
ausschließen kann, ohne bezüglich der Zulässigkeit der Nutzung Raum für eine
Interessenabwägung zu lassen. Dieser Vorgabe wird durch die
unionsrechtskonforme Anwendung von § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. in der
Weise Rechnung getragen, dass die Zulässigkeit der Nutzung personenbezogener
Daten zu Werbezwecken auch über den Anwendungsbereich des § 28 Abs. 3 BDSG a.F.
hinaus im Wege einer Interessenabwägung zulässig sein kann. Wie das
Verwaltungsgericht unter Bezugnahme auf die umfassende Interessenabwägung im
streitgegenständlichen Bescheid (s. S. 14 – 15 des Bescheids) und darüber
hinausgehend selbst (s. S. 30 – 31 des Beschlusses) überzeugend ausgeführt hat,
fällt die Interessenabwägung zwischen den schutzwürdigen Interessen der
Betroffenen (insb. dem Recht auf informationelle Selbstbestimmung gem. Art. 2
Abs. 1 GG i.V.m Art. 1 Abs. 1 GG bzw. dem in Art. 8 Abs. 1 GRCh garantierten
Schutz personenbezogener Daten) und dem Interesse der Antragstellerin an der
Übermittlung der E-Mail-Adressen an Facebook zu Werbezwecken zulasten der
Antragstellerin aus. Die Ausführungen im Beschwerdeschriftsatz, mit denen im
Wesentlichen die bereits vorgetragenen Argumente wiederholt werden, geben
keinen Anlass für eine Abwägung zu Gunsten der Antragstellerin. Zwar hat diese
– wie das Verwaltungsgericht festgestellt hat – ein berechtigtes Interesse an
zielgerichteter Werbung, diesem Interesse stehen jedoch die überwiegenden,
schutzwürdigen Interessen der Betroffenen gegenüber, die insbesondere nicht
damit rechnen, dass ihre im Rahmen eines Bestellvorgangs bei der
Antragstellerin angegebene E-Mail-Adresse an Facebook übermittelt wird.
Nicht zu folgen ist der Ansicht der Antragstellerin, die
Interessenabwägung des Verwaltungsgerichts sei fehlerhaft, weil es sich nicht
mit den schutzwürdigen Interessen der Betroffenen auseinandergesetzt habe. Es
sei daher zweifelhaft, ob solche überhaupt bestünden. Das Verwaltungsgericht
hat auf S. 24 des Beschlusses dargelegt, dass es in der Sache der Begründung
der streitgegenständlichen Anordnung folgt, und hat insoweit von einer
gesonderten Darstellung abgesehen. Das Gericht hat sich somit die Erwägungen im
Bescheid, also auch die Ausführungen zu den schutzwürdigen Interessen der
Betroffenen, zu Eigen gemacht und führte weitere rechtliche Erwägungen
lediglich ergänzend aus.
Interessenabwägung des Verwaltungsgerichts sei fehlerhaft, weil es sich nicht
mit den schutzwürdigen Interessen der Betroffenen auseinandergesetzt habe. Es
sei daher zweifelhaft, ob solche überhaupt bestünden. Das Verwaltungsgericht
hat auf S. 24 des Beschlusses dargelegt, dass es in der Sache der Begründung
der streitgegenständlichen Anordnung folgt, und hat insoweit von einer
gesonderten Darstellung abgesehen. Das Gericht hat sich somit die Erwägungen im
Bescheid, also auch die Ausführungen zu den schutzwürdigen Interessen der
Betroffenen, zu Eigen gemacht und führte weitere rechtliche Erwägungen
lediglich ergänzend aus.
(2) Nicht zu
beanstanden ist schließlich, dass das Verwaltungsgericht im Rahmen der
Interessenabwägung die in § 28 Abs. 3 BDSG a.F. enthaltenen Wertungen ergänzend
heranzog. Auch stellt das Verwaltungsgericht zutreffend darauf ab, dass die
Datenverarbeitung nach § 28 Abs. 1 Satz 2 Nr. 2 BDSG a.F. nicht nur ein
berechtigtes Interesse der Antragstellerin voraussetzt, sondern zusätzlich die
Nutzung der personenbezogenen Daten zur Wahrung dieser Interessen auch
erforderlich ist. § 28 Abs. 1 Satz 2 Nr. 2 BDSG a.F. kommt als Rechtsgrundlage
daher nicht in Betracht, wenn die Antragstellerin ihr Informationsziel auch auf
andere Weise erreichen kann. Da die E-Mail-Adressen im Zusammenhang mit
Bestellvorgängen erhoben wurden, wäre es für die Antragstellerin ohne großen
Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an
Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der
Antragstellerin, bei Vorliegen vertraglicher Beziehungen falle die
Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann
nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium im
Rahmen der Interessenabwägung. Es ist eine Frage des Einzelfalls, welche
Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die
Interessenabwägung in der Gesamtheit haben.
beanstanden ist schließlich, dass das Verwaltungsgericht im Rahmen der
Interessenabwägung die in § 28 Abs. 3 BDSG a.F. enthaltenen Wertungen ergänzend
heranzog. Auch stellt das Verwaltungsgericht zutreffend darauf ab, dass die
Datenverarbeitung nach § 28 Abs. 1 Satz 2 Nr. 2 BDSG a.F. nicht nur ein
berechtigtes Interesse der Antragstellerin voraussetzt, sondern zusätzlich die
Nutzung der personenbezogenen Daten zur Wahrung dieser Interessen auch
erforderlich ist. § 28 Abs. 1 Satz 2 Nr. 2 BDSG a.F. kommt als Rechtsgrundlage
daher nicht in Betracht, wenn die Antragstellerin ihr Informationsziel auch auf
andere Weise erreichen kann. Da die E-Mail-Adressen im Zusammenhang mit
Bestellvorgängen erhoben wurden, wäre es für die Antragstellerin ohne großen
Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an
Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der
Antragstellerin, bei Vorliegen vertraglicher Beziehungen falle die
Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann
nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium im
Rahmen der Interessenabwägung. Es ist eine Frage des Einzelfalls, welche
Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die
Interessenabwägung in der Gesamtheit haben.
(3) Auch der Hinweis,
die Antragstellerin dürfe Daten, die im Anwendungsbereich des
Telemediengesetzes erhoben wurden, auf der Basis einer Interessenabwägung
verarbeiten, führt nicht weiter, weil für die auch hier vorzunehmende
Interessenabwägung keine anderen Kriterien gelten.
die Antragstellerin dürfe Daten, die im Anwendungsbereich des
Telemediengesetzes erhoben wurden, auf der Basis einer Interessenabwägung
verarbeiten, führt nicht weiter, weil für die auch hier vorzunehmende
Interessenabwägung keine anderen Kriterien gelten.
4. Die Kostenentscheidung ergibt sich aus § 154 Abs. 2 VwGO.
5. Die Streitwertfestsetzung beruht auf § 47 Abs. 1, § 53
Abs. 2 Nr. 2, § 52 Abs. 1 und Abs. 2 GKG. In Verfahren des vorläufigen
Rechtsschutzes beträgt der Streitwert grundsätzlich die Hälfte des für das
Hauptsacheverfahren anzunehmenden Streitwerts (Nr. 1.5 des Streitwertkatalogs
2013 für die Verwaltungsgerichtsbarkeit). Der Senat hält es für sachgerecht,
den Streitwert in Anlehnung an Nr. 54.1 des Streitwertkatalogs zu bestimmen.
Abs. 2 Nr. 2, § 52 Abs. 1 und Abs. 2 GKG. In Verfahren des vorläufigen
Rechtsschutzes beträgt der Streitwert grundsätzlich die Hälfte des für das
Hauptsacheverfahren anzunehmenden Streitwerts (Nr. 1.5 des Streitwertkatalogs
2013 für die Verwaltungsgerichtsbarkeit). Der Senat hält es für sachgerecht,
den Streitwert in Anlehnung an Nr. 54.1 des Streitwertkatalogs zu bestimmen.
Diese Entscheidung ist unanfechtbar (§ 152 Abs. 1 VwGO).
Schlagworte:
Übermittlung gehashter E-Mail-Adressen an soziales Netzwerk
zu Werbezwecken, Listenprivileg gilt nicht für E-Mail-Adressen,
Auftragsdatenverarbeitung durch soziales Netzwerk (verneint),
Interessenabwägung zugunsten der Betroffenenrechte, einstweiliger Rechtsschutz,
„Facebook Custom Audience“, Kundendaten, personenbezogene Daten, gehashte
E-Mail-Adresse, Weitergabe, Übermittlung an einen Dritten,
Auftragsdatenverarbeitung, Werbezweck, Recht auf informationelle
Selbstbestimmung, Einwilligung, Listenprivileg
zu Werbezwecken, Listenprivileg gilt nicht für E-Mail-Adressen,
Auftragsdatenverarbeitung durch soziales Netzwerk (verneint),
Interessenabwägung zugunsten der Betroffenenrechte, einstweiliger Rechtsschutz,
„Facebook Custom Audience“, Kundendaten, personenbezogene Daten, gehashte
E-Mail-Adresse, Weitergabe, Übermittlung an einen Dritten,
Auftragsdatenverarbeitung, Werbezweck, Recht auf informationelle
Selbstbestimmung, Einwilligung, Listenprivileg
Vorinstanz: