Das Bayerische Landesamt für Datenschutzaufsicht hatte bereits 2017 allgemeine Hinweise und Anforderungen für Unternehmen zum Einsatz von Facebook Custom Audience herausgegeben.Am 8. Mai 2018 erging nun fast unbeobachtet ein Urteil des Landgerichts Bayreuth (Az.: B 1 S 18.105). Danach ist Custom Audiences von Facebook datenschutzwidrig.
Wie funktioniert Custom Audience?
Das nutzende Unternehmen erstellt zum Beispiel eine eigene Kundenliste (z.B. mit Name, Wohnort und E-Mailadresse) und lädt diese Kundenliste im eigenen Facebook-Konto hoch. Facebook gleicht diese Liste dann mit den Profilen der Facebook-Nutzer ab und man kann so Werbung zielgenau steuern. Auch werden teilweise Facebook-Pixel verwendet indem ein unsichtbares Facebook-Pixel auf der Webseite eingebunden wird. Mit diesem kann dann das Online-Verhalten der Webseiten-Besucher analysiert werden.Allerdings ist grundsätzlich die Verarbeitung personenbezogener Daten zu Werbezwecken nur zulässig, wenn die betroffene Person vorher eingewilligt hat. Bei Facebook Custom Audience wird aktuell nicht überprüft, ob diese Einwilligung vorliegt.
Fazit:
In jedem Fall müssen Unternehmen bei Verwendung von Custom Audience Einwilligungserklärungen für die Datenverarbeitung einholen und in der Datenschutzerklärung umfassend über die Verarbeitung der personenbezogenen Daten informieren sowie eine Widerrufsmöglichkeit anbieten. Es wird für Unternehmen die Facebook Custom Audience verwenden, komplizierter. Unternehmen sollten auf jeden Fall die jüngst ergangenen Entscheidungen zu Facebook berücksichtigen.
Dr. Bettina Kraft
Senior Consultant für Datenschutz
Teamleitung/Volljuristin
Die Verarbeitung personenbezogener Daten kann nur auf die Einwilligung der betroffenen Person gestützt werden (Art. 6 Abs. 1 lit. a), Art. 7 DSGVO), wenn diese wirksam erteilt worden ist:
- Die betroffene Person muss ihre Einwilligung ausdrücklich erklären, durch ihre Unterschrift oder zumindest durch eine unmissverständliche Handlung.
- Die betroffene Person muss vor Abgabe ihrer Einwilligung ausreichend über die geplante Datenverarbeitung informiert worden sein (-> Transparenz, Informationspflichten aus Art. 13 DSGVO).
- Die betroffene Person muss vor Abgabe ihrer Einwilligung über ihr Widerrufsrecht in Kenntnis gesetzt worden sein (Art. 7 Abs. 3 DSGVO).
- Die betroffene Person muss ihre Einwilligung freiwillig (d.h. ohne jeglichen Zwang) erteilt haben.
- Der Verantwortliche muss beweisen können, dass die Einwilligung vorliegt (-> schriftlich, elektronisch, Archivierung).
Gerne verweisen wir auf unseren Blogbeitrag vom 15.11.2016.
Da jedoch im wirtschaftlichen Abhängigkeitsverhältnis zwischen Beschäftigtem und Arbeitgeber gerade das Kriterium der Freiwilligkeit oftmals nur unzureichend erfüllt ist, trifft § 26 Abs. 2 BDSG-Neu zusätzliche Regelungen, unter welchen Umständen Beschäftigte in die Verarbeitung ihrer Daten durch den Arbeitgeber wirksam einwilligen können:
- Durch die Einwilligung muss der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erreichen oder zumindest müssen Arbeitgeber und Beschäftigter damit gleichgelagerte Interessen verfolgen.
- Dem Beschäftigten dürfen keine arbeitsrechtlichen Konsequenzen oder sonstigen Nachteile für sein bestehendes Arbeitsverhältnis drohen, wenn er seine Einwilligung nicht erteilt oder die Einwilligung widerruft.
- Die Einwilligung muss grundsätzlich in Schriftform erteilt werden.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Sofern die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a) DSGVO beruht, sind folgende Punkte für das Vorliegen einer wirksamen Einwilligungserklärung zu beachten:
- Form: Ausdrückliche Erklärung (durch Originalunterschrift) oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann (z.B. Double-Opt-In-Verfahren).
- Die Beweispflicht, dass eine Einwilligung vorliegt, trifft den Verantwortlichen.
- Die Einwilligung muss gemäß Art. 7 Abs. 4 DSGVO auf der freien Entscheidung (= freiwillig, ohne Zwang) der betroffenen Person beruhen.
- Einwilligungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht.
- Die betroffene Person muss sich zudem der Tragweite ihrer Einwilligung bewusst sein; dies kann sie nur, wenn sie vollständig informiert ist, was mit ihren personenbezogenen Daten geschieht, und in Kenntnis gesetzt wird von ihrem Recht auf Widerruf ihrer Einwilligung.
- Wird die Einwilligung zusammen mit anderen Erklärungen abgegeben (z.B. in den AGB), muss sie drucktechnisch hervorgehoben (z.B. Fettdruck, Einrahmung) werden.
- Sofern besondere Kategorien personenbezogener Daten verarbeitet werden sollen, muss sich die Einwilligung explizit auf diese Art der Daten beziehen gemäß Art. 9 Abs. 2 lit. a) DSGVO („ausdrücklich eingewilligt“).
- Das Alter der betroffenen Person, die in die Verarbeitung ihrer personenbezogenen Daten einwilligt, muss mindestens 16 Jahre betragen (vgl. Art. 8 Abs. 1 S. 1 DSGVO).
- Die Anforderungen an eine Einwilligung eines Minderjährigen in die Nutzung von Diensten der Informationsgesellschaft bestimmt sich nach Art. 8 Abs. 1 DSGVO.
- Sofern die Datenübermittlung in Drittstaaten ohne angemessenes Datenschutzniveau auf einer Einwilligung beruht, bestehen zusätzliche Anforderungen, Art. 49 Abs. 1 lit. a) DSGVO.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.