Facebook-Werbung – und die „Custom Audience”

Die Bildung einer „Custom Audience” bei Facebook durch Hochladen einer gehash­ten Email-Liste vor war bereits unter der Geltung des Bundesdatenschutzgesetzes daten­schutz­recht­lich unzu­läs­sig.

Facebook-Werbung – und die „Custom Audience”

Dies ent­schied das Bayerische Verwaltungsgericht Bayreuth noch kurz vor Inkrafttreten der Datenschutz-Grundverordnung im Rahmen eines Verfahrens des einst­wei­li­gen Rechtsschutzes. Die Datenschutzaufsichtsbehörde konn­te daher in einem sol­chen Fall nach § 38 Abs. 5 Satz 1 BDSG zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und ande­rer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung fest­ge­stell­ter Verstöße bei der Erhebung, Verarbeitung oder Nutzung per­so­nen­be­zo­ge­ner Daten oder tech­ni­scher oder orga­ni­sa­to­ri­scher Mängel anord­nen.

Nach § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung per­so­nen­be­zo­ge­ner Daten nur zuläs­sig, soweit das Bundesdatenschutzgesetz oder eine ande­re Rechtsvorschrift dies erlaubt oder anord­net oder der Betroffene ein­ge­wil­ligt hat.

Personenbezogene Daten sind nach § 3 Abs. 1 BDSG Einzelangaben über per­sön­li­che oder sach­li­che Verhältnisse einer bestimm­ten oder bestimm­ba­ren Person (Betroffener). Wie in der streit­ge­gen­ständ­li­chen Anordnung zutref­fend aus­ge­führt wur­de, ist über E‑Mail-Adressen jeden­falls ein Personenbezug her­stell­bar 1, wes­we­gen es sich um per­so­nen­be­zo­ge­ne Daten han­delt. Durch den Vorgang des „Hashens” wer­den die Daten auch nicht i.S.v. § 3 Abs. 6 BDSG anony­mi­siert, da der Personenbezug hier­durch nicht völ­lig auf­ge­ho­ben wird. Vielmehr ist es wei­ter­hin mit nicht nur unver­hält­nis­mä­ßi­gem Aufwand mög­lich, sie einer bestimm­ten oder bestimm­ba­ren Person zuzu­ord­nen, zumal andern­falls auch ein sich an die Übermittlung anschlie­ßen­der Datenabgleich sei­tens Facebook nicht mög­lich wäre.

Unter dem „Verarbeiten” ist gem. § 3 Abs. 4 Satz 1 das Speichern, Verändern, Übermitteln, Sperren und Löschen per­so­nen­be­zo­ge­ner Daten zu ver­ste­hen. „Übermitteln” ist das Bekanntgeben gespei­cher­ter oder durch Datenverarbeitung gewon­ne­ner per­so­nen­be­zo­ge­ner Daten an einen Dritten in der Weise, dass die Daten an Dritte wei­ter­ge­ge­ben wer­den oder der Dritte zur Einsicht oder zum Abruf bereit­ge­hal­te­ne Daten ein­sieht oder abruft (§ 4 Abs. 1 Satz 2 Nr. 3 a) und b)) BDSG)). Die hier bean­stan­de­te Übermittlung der gehash­ten E‑Mail-Adressen von der Onlineshop-Betreiberin an Facebook stellt somit eine Verarbeitung i.S.v. § 3 Abs. 4 Satz 1 BDSG dar.

Zwar ist aner­kannt, dass Personen und Stellen, die im räum­li­chen Anwendungsbereich des § 11 BDSG als Auftragsdatenverarbeiter tätig sind, kei­ne „Dritten” i.S.d. BDSG sind, wes­we­gen die Übertragung der Daten an einen der­ar­ti­gen Auftragnehmer daten­schutz­recht­lich kei­ne Übermittlung dar­stellt und daher auch ohne Einwilligung oder gesetz­li­che Erlaubnis zuläs­sig ist (vgl. § 3 Abs. 8 Satz 3 BDSG). Das Verwaltungsgericht tritt jedoch dem Standpunkt des Antragsgegners bei, wonach es sich bei der Übermittlung der gehash­ten E‑Mail-Adressen der Kunden der Onlineshop-Betreiberin nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung han­delt, son­dern eine Übermittlung an Dritte statt­fin­det und in der Folge eine Datenverarbeitung i.S.v. § 3 Abs. 4 Satz 1 BDSG vor­liegt.

Eine Auftragsdatenverarbeitung i.S.v. § 11 BDSG liegt vor, wenn die ver­ant­wort­li­che Stelle (hier: die Onlineshop-Betreiberin) eine ande­re Stelle damit betraut, Daten zu erhe­ben, zu ver­ar­bei­ten oder zu nut­zen. Auf die Rechtsnatur die­ser Betrauung kommt es nicht an, ein Auftrag i.S.v. § 662 BGB ist nicht erfor­der­lich. Entscheidend ist, dass der Auftragnehmer ohne eige­nen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig wird 2. In der vor­lie­gen­den Sachverhaltsgestaltung ist hin­ge­gen nicht von einer Auftragsdatenverarbeitung, son­dern viel­mehr von einer sog. „Funktionsübertragung” aus­zu­ge­hen. Auch wenn es zutref­fen mag, dass nach der Vereinbarung zwi­schen der Onlineshop-Betreiberin und Facebook fest­ge­legt wor­den ist, dass der Zweck der Auftragsdatenverarbeitung hier in der Durchführung einer Überschneidungsanalyse bzw. Erstellung einer Vergleichsaudience liegt, fun­giert Facebook in der Konstellation nicht gleich­sam als „ver­län­ger­ter Arm” der Onlineshop-Betreiberin. Wer schließ­lich kon­kret bewor­ben wird, liegt hier allein im Ermessen Facebooks, dem inso­weit ein ent­spre­chen­der Spielraum ein­ge­räumt wird.

Es mag zwar die Gestaltungsmöglichkeit geben, dass eine Stelle eine Doppelfunktion ein­nimmt und neben­ein­an­der zugleich Auftragsdatenverarbeiter und ver­ant­wort­li­che Stelle ist. Dies ist hier aber nicht der Fall. Zutreffend geht der Antragsgegner inso­weit davon aus, dass das Marketing Tool „Facebook Custom Audience über die Kundenliste” einen ein­heit­li­chen Vorgang bil­det. Dieses Instrument kann nicht in ver­schie­de­ne Teile zer­legt wer­den, son­dern bil­det eine Einheit, auch wenn sich die­ser Werbemechanismus aus meh­re­ren daten­schutz­recht­lich rele­van­ten Vorgängen zusam­men­setzt. Die Übermittlung der (gehash­ten) E‑Mail-Adressen ist inte­gra­ler Bestandteil der Werbemaßnahme. Eine eigen­stän­di­ge Bedeutung der blo­ßen Durchführung eines Datenabgleichs ist nicht zu erken­nen. Insoweit ver­fängt auch der Vergleich mit dem sog. „Letter-Shop-Verfahren” 3 nicht. Bei einem Letter-Shop kann es sich um einen Auftragsdatenverarbeiter han­deln, zwin­gend ist dies jedoch nicht 4. Die Rolle, die Facebook hier ein­nimmt, ent­spricht nicht der eines „Letter-Shops”. Denn auch inso­weit wür­de die Auftragsdatenverarbeitung vor­aus­set­zen, dass der (vor­geb­li­che) Auftragnehmer kei­ne eige­nen Spielräume hat. Hier erschöpft sich das Tätigwerden nicht in der blo­ßen Ausspielung von Sendungen der Onlineshop-Betreiberin an bestimm­te Personen. Es geht auch über die Durchführung eines „Waschabgleichs” und die Wahrnehmung blo­ßer tech­ni­scher Hilfsfunktionen 5 hin­aus, da es für die Bewerbung ein­zel­ner Personen maß­geb­lich dar­auf ankommt, dass Facebook die­sen bestimm­te Eigenschaften zuschreibt, die von Facebook nach detail­lier­ter Auswertung des Nutzungsverhaltens erfolgt. Insoweit liegt ein erheb­li­cher Spielraum Facebooks vor, der über eine rein daten­ver­ar­bei­ten­de Hilfsfunktion, durch die eine Auftragsdatenverarbeitung gekenn­zeich­net ist, deut­lich hin­aus­geht.

Zwischen den Beteiligten strei­tig und im hie­si­gen Verfahren des einst­wei­li­gen Rechtsschutzes nicht abschlie­ßend zu klä­ren ist die Frage, ob und gege­be­nen­falls in wel­chem Umfang Facebook zu einer wei­te­ren Nutzung der Daten berech­tigt ist bzw. dies statt­fin­det (etwa durch eine „Anreicherung des Profils” etc.). Bei einer Überlassung der Nutzungsrechte an den Daten wäre unzwei­fel­haft vom Vorliegen einer Funktionsübertragung aus­zu­ge­hen 6. Hier wer­den jeden­falls nach Durchführung des Abgleichs die über­mit­tel­ten Informationen nicht voll­stän­dig gelöscht, son­dern es ist wei­ter­hin bei Facebook hin­ter­legt, dass der Betroffene Teil der Custom Audience der Onlineshop-Betreiberin ist. Dies spricht in die­sem Zusammenhang nicht für eine auf einen Abgleich beschränk­te Auftragsdatenverarbeitung (vgl. auch § 11 Abs. 2 Satz 1 Nr. 10 BDSG). Soweit sich die Onlineshop-Betreiberin auf den Standpunkt stellt, dass die Schritte, die nach dem Datenabgleich statt­fin­den, sich allein in der Zuständigkeit Facebooks voll­zie­hen, spricht dies nach den vor­ste­hend genann­ten Grundsätzen im Gegenteil für eine außer­halb des Rahmens der Auftragsdatenverarbeitung statt­fin­den­de Funktionsübertragung.

Nachdem die Übermittlung der gehash­ten E‑Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, han­delt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).

Eine kon­kre­te, den gesetz­li­chen Anforderungen ent­spre­chen­de Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung füh­ren wür­de, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Onlineshop-Betreiberin selbst scheint im Übrigen nicht vom Vorliegen einer wirk­sa­men Einwilligung aus­zu­ge­hen.

Demzufolge wäre hier eine gesetz­li­che Gestattung der Datenübermittlung not­wen­dig. Es kann offen blei­ben, ob es im Falle einer „geschei­ter­ten” Auftragsdatenverarbeitung mög­lich ist, die Datenverarbeitung auf die all­ge­mei­nen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stüt­zen 7. Denn die Voraussetzungen der in Betracht kom­men­den Normen sind nicht erfüllt.

Die Onlineshop-Betreiberin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg” stüt­zen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung per­so­nen­be­zo­ge­ner Daten ohne Einwilligung des Betroffenen zuläs­sig, soweit es sich um lis­ten­mä­ßig oder sonst zusam­men­ge­fass­te Daten über Angehörige einer Personengruppe han­delt, die sich auf die Zugehörigkeit des Betroffenen zu die­ser Personengruppe, sei­ne Berufs, Branchen- oder Geschäftsbezeichnung, sei­nen Namen, Titel, aka­de­mi­schen Grad, sei­ne Anschrift und sein Geburtsjahr beschrän­ken (und außer­dem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E‑Mail-Adressen han­delt es sich jedoch nicht um sog. Listendaten, da sie in der abschlie­ßen­den Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht ent­hal­ten sind 8.

Soweit die Onlineshop-Betreiberin vor­tra­gen lässt, dass bei genau­er Betrachtung nicht eine Übertragung gehash­ter E‑Mail-Adressen erfol­ge, son­dern der Information, dass jemand (mög­li­cher­wei­se) Kunde der Onlineshop-Betreiberin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres mög­lich sei, kann dem nicht gefolgt wer­den. Zwar nimmt der Gesetzgeber – wie in der zitier­ten Kommentarstelle aus­ge­führt wird 9 – die Verwendung einer zusätz­li­chen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermäch­tigt jedoch nicht iso­liert dazu, einer ande­ren Stelle mit­zu­tei­len, dass gewis­se Personen Kunden der über­mit­teln­den Stelle sind. Vielmehr wird die­se (impli­zi­te) Angabe ermög­licht, wenn es sich im Ausgangspunkt über­haupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG han­delt, was bei E‑Mail-Adressen nicht der Fall ist.

Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da die­ser ledig­lich das „Hinzuspeichern” und somit allein die Vervollständigung der Informationen erlaubt, jedoch kei­ne eige­ne Übermittlungsbefugnis hin­sicht­lich wei­te­rer Daten ent­hält 10.

Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehash­ten E‑Mail-Adressen eben­falls nicht gestützt wer­den, weil sich auch die­se Norm expli­zit auf Daten nach Satz 2, mit­hin auf sog. Listendaten, bezieht, zu denen E‑Mail-Adressen nicht zäh­len.

Im vor­lie­gen­den Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerecht­fer­tigt wer­den. Diese Norm berech­tigt nur zur Werbung für frem­de Angebote (die zudem an wei­te­re Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Onlineshop-Betreiberin, die Daten an einen Dritten zu über­mit­teln. Unmittelbar berech­tigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggf. Facebook), wür­de aber vor­ge­la­gert eine recht­mä­ßi­ge Datenerhebung Facebooks vor­aus­set­zen. Der hier zu wür­di­gen­de Übermittlungsakt von der Onlineshop-Betreiberin an Facebook wird sei­ner­seits durch § 28 Abs. 3 Satz 5 BDSG nicht gestat­tet 11.

Aus den vor­ste­hen­den Gründen kommt eine ein­wil­li­gungs­freie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hin­aus wäre jedoch auch inso­weit eine zuguns­ten der Onlineshop-Betreiberin aus­ge­hen­de Interessenabwägung not­wen­dig (§ 28 Abs. 3 Satz 6 BDSG). In der vor­lie­gen­den Konstellation geht die Interessenabwägung jedoch zum Nachteil der Onlineshop-Betreiberin aus.

Es ist auch nicht davon aus­zu­ge­hen, dass die Ausnahme von E‑Mail-Adressen im Rahmen des sog. Listenprivilegs uni­ons­rechts­wid­rig wäre. Soweit in die­sem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genom­men wird, ist hier­zu aus­zu­füh­ren, dass nach des­sen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/​46/​EG einen Mitgliedstaat dar­an hin­dert, kate­go­risch und ganz all­ge­mein die Verarbeitung bestimm­ter Kategorien per­so­nen­be­zo­ge­ner Daten aus­zu­schlie­ßen, ohne Raum für eine Abwägung der im kon­kre­ten Einzelfall ein­an­der gegen­über­ste­hen­den Rechte und Interessen zu las­sen 12. Auch wenn E‑Mail-Adressen nicht unter das sog. Listenprivileg fal­len, schließt die Anwendung des Bundesdatenschutzgesetzes, ins­be­son­de­re des § 28 BDSG, eine Übermittlung von E‑Mail-Adressen nicht schlecht­hin und ohne Raum für eine Abwägung zu las­sen aus, da in die­sem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine uni­ons­rechts­kon­for­me Auslegung und Anwendung des § 28 BDSG ist im vor­lie­gen­den Fall daher dadurch mög­lich, dass inso­weit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hin­sicht­lich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG aus­ge­gan­gen wird.

Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehash­ten) E‑Mail-Adressen jedoch nicht gerecht­fer­tigt wer­den. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln per­so­nen­be­zo­ge­ner Daten oder ihre Nutzung als Mittel für die Erfüllung eige­ner Geschäftszwecke zuläs­sig, soweit es zur Wahrung berech­tig­ter Interessen der ver­ant­wort­li­chen Stelle erfor­der­lich ist und kein Grund zu der Annahme besteht, dass das schutz­wür­di­ge Interesse des Betroffenen über­wiegt. Im Rahmen der inso­weit vor­zu­neh­men­den Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getrof­fe­nen Wertungen des Gesetzgebers zu berück­sich­ti­gen. Wie der Europäische Gerichtshof in sei­ner oben zitier­ten Rechtsprechung aus­ge­führt hat, gebie­tet das Unionsrecht ledig­lich, im Einzelfall Raum für eine Abwägung zu las­sen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrun­de­lie­gen­den grund­sätz­li­chen Wertungen zu unter­lau­fen oder aus­zu­höh­len ist weder auf­grund der Richtlinie 95/​46/​EG (Datenschutz-Richtlinie) noch aus sons­ti­gen Gründen gebo­ten. Der Europäische Gerichthof for­dert ledig­lich, dass das natio­na­le Recht eines Mitgliedstaats das Ergebnis der ein­an­der gegen­über­ste­hen­den Rechte und Interessen nicht abschlie­ßend vor­schrei­ben darf, „ohne Raum für ein Ergebnis zu las­sen, das auf­grund beson­de­rer Umstände des Einzelfalls anders aus­fällt” 13.

Nach der grund­sätz­li­chen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung per­so­nen­be­zo­ge­ner Daten für Zwecke der Werbung nur zuläs­sig, wenn der Betroffene ein­ge­wil­ligt hat. Die dem nach­fol­gen­den Regelungen zu sog. Listendaten bil­den eine Ausnahme von die­sem Grundsatz, wobei der Gesetzgeber nur für die dort genann­ten Arten von Daten Privilegierungen gere­gelt und die­se dar­über hin­aus an wei­te­re Voraussetzungen geknüpft hat. In der hie­si­gen Fallgestaltung ist fest­zu­stel­len, dass die hier bean­stan­de­te Übermittlung der E‑Mail-Adressen nach den dezi­dier­ten Regelungen in § 28 Abs. 3 BDSG selbst dann rechts­wid­rig wäre, wenn man inso­weit die Privilegierungen für Listendaten zugrun­de legen wür­de. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dür­fen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eige­ne Werbezwecke ver­wen­det wer­den. Dies erlaubt jedoch gera­de nicht die – hier erfol­gen­de – Übermittlung an Dritte 14. Darüber hin­aus­ge­hend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) ins­be­son­de­re an die Bedingung geknüpft, dass die Stelle, die die Daten erst­ma­lig erho­ben hat (hier: die Onlineshop-Betreiberin) aus der Werbung „ein­deu­tig her­vor­ge­hen” muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (ledig­lich) „ein­deu­tig erkenn­bar” sein. Es muss an geeig­ne­ter Stelle der Hinweis ent­hal­ten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betroffene muss auf­grund die­ses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG gel­tend zu machen 15. Allein der Umstand, dass es sich um Angebote der Onlineshop-Betreiberin han­delt, die dem Betroffenen bei Facebook ange­zeigt wer­den, reicht inso­weit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung ver­wen­det und die, zu deren Gunsten die Werbung erfolgt, aus­ein­an­der­fal­len kön­nen (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die kon­kre­te Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem über­wie­gen­den Interesse der Onlineshop-Betreiberin (auch wenn sich die kon­kre­te Umsetzung des Widerspruchs anders voll­zie­hen mag als vom Antragsgegner ange­nom­men). Wie die Onlineshop-Betreiberin selbst aus­führt, besteht (erst) seit dem 22.08.2017 ein kon­kre­ter Hinweis auf die Übermittlung der E‑Mail-Adressen an Facebook Personen, die ihre Daten vor die­sem Datum an die Onlineshop-Betreiberin über­mit­telt und im Zuge des­sen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf die­se kon­kre­te Maßnahme der Datenverarbeitung nicht hin­ge­wie­sen wor­den. Ihre Daten befin­den sich even­tu­ell jedoch nach wie vor auf der hoch­ge­la­de­nen Kundenliste, ohne dass sicher­ge­stellt ist, dass sie von den aktu­el­len Datenschutzhinweisen Kenntnis genom­men haben – für die Betroffenen bestand unter Umständen kei­ne Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Onlineshop-Betreiberin zu befas­sen (z.B. wenn kei­ne erneu­te Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei Facebook hoch­ge­la­den wor­den sind, ist somit uner­heb­lich.

Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG vor­aus, dass die­se zur Wahrung berech­tig­ter Interessen der ver­ant­wort­li­chen Stelle „erfor­der­lich” ist – nicht etwa ledig­lich aus Sicht der ver­ant­wort­li­chen Stelle geeig­net oder zweck­mä­ßig. Gemeint sind Verwendungen, zu denen es kei­ne objek­tiv zumut­ba­re Alternative gibt. Eine Berufung der ver­ant­wort­li­chen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lan­ge nicht in Betracht, wie die­se ihr Informationsziel anders errei­chen kann 16. Zu berück­sich­ti­gen ist daher auch, dass die Onlineshop-Betreiberin die Daten ins­be­son­de­re im Rahmen von Bestellvorgängen erwirbt und es ihr des­we­gen ohne einen unver­hält­nis­mä­ßig gro­ßen Aufwand mög­lich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an Facebook ein­zu­ho­len.

Somit geht auch die Interessenabwägung zu Ungunsten der Onlineshop-Betreiberin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG aus­schei­det. Andere Vorschriften, die eine ent­spre­chen­de Datenübermittlung recht­fer­ti­gen oder anord­nen sind nicht ersicht­lich.

Die Datenübermittlung an Facebook ist daher rechts­wid­rig, wes­we­gen das Bayerische Landesamt für Datenschutzaufsicht wie in Ziff. 1 des streit­ge­gen­ständ­li­chen Bescheids ver­fügt die Beseitigung des fest­ge­stell­ten Verstoßes ver­lan­gen konn­te. Auch sonst bestehen hin­sicht­lich der Löschungsanordnung kei­ne Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersicht­lich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zuste­hen­de Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu bean­stan­den­der Art und Weise aus­ge­übt.

Verwaltungsgericht Bayreuth, Beschluss vom 8. Mai 2018 – B 1 S 18.105

  1. vgl. Plath/​Schreiber in: Plath, BDSG/​DSGVO, 2. Aufl.2016, § 3 BDSG, Rn. 17 m.w.N.
  2. vgl. BGH, U.v. 13.07.2016 – IV ZR 292/​14 ? 39 m.w.N.
  3. vgl. hier­zu Plath a.a.O., § 28 Rn. 148 und § 11 Rn. 33
  4. vgl. hier­zu Petri in Simitis, Bundesdatenschutzgesetz, 8. Auflage 2014, § 11 Rn. 36 m.w.N.
  5. vgl. OLG Düsseldorf, U.v. 13.02.2015 – I-16 U 41/​14 ? 36
  6. vgl. Petri a.a.O. § 11 Rn. 23: „typi­sche Fallgestaltung” der Aufgabenübertragung
  7. vgl. hier­zu Plath a.a.O., § 11 Rn.20 m.w.N.
  8. vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.
  9. Simitis a.a.O., § 28 Rn. 232
  10. vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/​12011, S. 21: „Absatz 3 Satz 3 ist kei­ne eige­ne Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der ver­ant­wort­li­chen Stelle ermög­li­chen, einen eige­nen Datenbestand, der direkt beim Betroffenen erho­ben wur­de, für Zwecke der Eigenwerbung oder der eige­nen Markt- oder Meinungsforschung zu selek­tie­ren, um die bestehen­den Kunden geziel­ter anspre­chen zu kön­nen.”
  11. vgl. Plath a.a.O., § 28 Rn. 144
  12. EuGH, U.v.19.10.2016 – Breyer, – C‑582/​14 ? 62 unter Bezugnahme auf U.v. 24.11.2011 – ASNEF und FECEMD, – C‑468/​10 und – C‑469/​10 ? 47 f.
  13. EuGH, U.v.19.10.2016 – Breyer, – C‑582/​14 ? 62
  14. vgl. Plath a.a.O., § 28 Rn. 124
  15. Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.
  16. vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.