In seiner Pressemitteilung vom 04.10.2017 hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) klargestellt, dass das Profiling der Webseitenbesucher und Facebook-Nutzer mit Hilfe des Trackingverfahrens ‚Facebook Custom Audience‘ nur mit Einwilligung der betroffenen Personen möglich ist (die Pressemitteilung ist abrufbar unter https://www.lda.bayern.de/media/pm2017_07.pdf).
Das Marketing-Werkzeug ‚Facebook Custom Audience‘ kann durch Unternehmen auf zwei verschiedene Arten genutzt werden: Zum einen können Listen mit personenbezogenen Kundendaten, wie z.B. E-Mail-Adressen, an Facebook Inc. übermittelt werden. Facebook Inc. gleicht diese Daten dann wiederum mit ihren Nutzerkonten ab, um so dem Unternehmen eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform zu ermöglichen. Zum anderen kann ‚Facebook Custom Audience‘ über ein Pixel in die Webseite eingebunden werden, um die Internetaktivitäten der Webseitenbesucher zu tracken und diese Informationen direkt an Facebook Inc. weiterzuleiten, damit dem Unternehmen auch hier wieder eine zielgruppengenaue Werbeaktion auf der Facebook-Plattform möglich wird. Auch bei diesem Verfahren werden personenbezogene Daten an Facebook Inc. übermittelt.
Obwohl Unternehmen in beiden Fällen personenbezogene Daten (u.a. Name, E-Mail-Adresse, Internetaktivitäten) an einen Dritten (= Facebook Inc.), zudem in einen Drittstaat, zu Werbezwecken übermitteln, stellt die Aufsichtsbehörde fest, dass ‚Facebook Custom Audience‘ oftmals nicht in datenschutzrechtlich zulässiger Weise eingesetzt wird, entweder weil Unternehmen keine Ahnung haben, wie diese Trackingverfahren funktionieren, oder sich keine Gedanken darüber machen, welche Vorgaben eigentlich für eine solche Datenverarbeitung gelten (-> Art. 6 Abs. 1, Art. 44 ff, Art. 13 DSGVO, § 7 UWG).
Daher gibt das BayLDA den verantwortlichen Unternehmen in seiner Pressemitteilung Vorgaben an die Hand. Die Aufsichtsbehörde weist zudem darauf hin, dass der Einsatz von ,Facebook Custom Audience‘ zukünftig Gegenstand von Prüfaktionen sein wird und Unternehmen, die dieses Produkt in unzulässiger Weise einsetzen, mit Bußgeldern rechnen müssen: „Unternehmen, die (…) nicht wissen, wie solche Werbetools tatsächlich funktionieren, können auch ihre Nutzer nicht richtig informieren. Wer das nicht kann, darf eben solche Tools nicht einsetzen. (…) Adressat (…) eines Bußgeldbescheides [ist] nicht Facebook, sondern das jeweilige Unternehmen, das dieses Werbemittel unzulässig einsetzt.“
Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz
Die Datenschutzgrundverordnung enthält keine Detailregelungen für Werbung mehr.
Mit der DSGVO fallen alle detaillierten Regelungen des BDSG für die Verarbeitung personenbezogener Daten für werbliche Zwecke weg.
Die rechtliche Grundlage für die Beurteilung der Zulässigkeit von Werbung ist in Zukunft, neben einer Einwilligung, die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO. Eine tragende Rolle spielt hier Erwägungsgrund 47, der ausführt: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“
Bei der dann folgenden Interessenabwägung sind aber auch die allgemeinen Grundsätze aus Art. 5 Abs. 1 DS-GVO zu berücksichtigen. Und es darf kein Widerspruch der betroffenen Person vorliegen. Im Rahmen der Interessenabwägung wird man aber wohl bei der Nutzung der Kontaktdaten von Verbrauchern für Telefon- und Fax-Werbung dazu kommen, das diese weiterhin nur mit einer vorherigen ausdrücklichen Einwilligung erlaubt ist. Des Weiteren ist eine Nutzung für E-Mail- und SMS-Werbung ohne Einwilligung nur im Fall der Eigenwerbung bei Bestandskunden unter den Maßgaben von § 7 Abs. 3 UWG zulässig.
Ohne Einwilligung kann aber keine werbliche Nutzung besonderer Datenkategorien aus Art. 9 DSGVO erfolgen. Art 6 Abs. 1 lit. f DSGVO stellt für solche Daten keine zulässige Rechtsgrundlage dar. Die DSGVO enthält keine Erlaubnisnorm für die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke der Werbung.
Bereits erteilte rechtswirksame Einwilligungen in die Nutzung oder Übermittlung personen-bezogener Daten (z. B. für werbliche Zwecke) gelten fort, sofern sie der Art nach den Bedingungen der Datenschutzgrundverordnung entsprechen, Erwägungsgrund (171 S. 3).
Das bisher schon bestehende Koppelungsverbot für Werbung findet sich auch in der DSGVO wieder. Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, ist dem Umstand in größtmöglichem Umfang Rechnung zu tragen, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist.
Fazit:
Für die Zulässigkeit von Werbung wird in Zukunft fast ausschließlich die nach Art. 6 Abs. 1 lit. f DSGVO vorgeschriebene Interessenabwägung Anwendung finden.
Dr. Bettina Kraft
Beraterin für Datenschutz
Volljuristin