Face­book-Wer­bung – und die "Custom Audi­ence"

Die Bil­dung einer "Custom Audi­ence" bei Face­book durch Hoch­la­den einer gehash­ten Email-Lis­te vor war bereits unter der Gel­tung des Bun­des­da­ten­schutz­ge­set­zes daten­schutz­recht­lich unzu­läs­sig.

Face­book-Wer­bung – und die "Custom Audi­ence"

Dies ent­schied das Baye­ri­sche Ver­wal­tungs­ge­richt Bay­reuth noch kurz vor Inkraft­tre­ten der Daten­schutz-Grund­ver­ord­nung im Rah­men eines Ver­fah­rens des einst­wei­li­gen Rechts­schut­zes. Die Daten­schutz­auf­sichts­be­hör­de konn­te daher in einem sol­chen Fall nach § 38 Abs. 5 Satz 1 BDSG zur Gewähr­leis­tung der Ein­hal­tung des Bun­des­da­ten­schutz­ge­set­zes und ande­rer Vor­schrif­ten über den Daten­schutz Maß­nah­men zur Besei­ti­gung fest­ge­stell­ter Ver­stö­ße bei der Erhe­bung, Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten oder tech­ni­scher oder orga­ni­sa­to­ri­scher Män­gel anord­nen.

Nach § 4 Abs. 1 BDSG ist die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten nur zuläs­sig, soweit das Bun­des­da­ten­schutz­ge­setz oder eine ande­re Rechts­vor­schrift dies erlaubt oder anord­net oder der Betrof­fe­ne ein­ge­wil­ligt hat.

Per­so­nen­be­zo­ge­ne Daten sind nach § 3 Abs. 1 BDSG Ein­zel­an­ga­ben über per­sön­li­che oder sach­li­che Ver­hält­nis­se einer bestimm­ten oder bestimm­ba­ren Per­son (Betrof­fe­ner). Wie in der streit­ge­gen­ständ­li­chen Anord­nung zutref­fend aus­ge­führt wur­de, ist über E‑Mail-Adres­sen jeden­falls ein Per­so­nen­be­zug her­stell­bar 1, wes­we­gen es sich um per­so­nen­be­zo­ge­ne Daten han­delt. Durch den Vor­gang des "Hash­ens" wer­den die Daten auch nicht i.S.v. § 3 Abs. 6 BDSG anony­mi­siert, da der Per­so­nen­be­zug hier­durch nicht völ­lig auf­ge­ho­ben wird. Viel­mehr ist es wei­ter­hin mit nicht nur unver­hält­nis­mä­ßi­gem Auf­wand mög­lich, sie einer bestimm­ten oder bestimm­ba­ren Per­son zuzu­ord­nen, zumal andern­falls auch ein sich an die Über­mitt­lung anschlie­ßen­der Daten­ab­gleich sei­tens Face­book nicht mög­lich wäre.

Unter dem "Ver­ar­bei­ten" ist gem. § 3 Abs. 4 Satz 1 das Spei­chern, Ver­än­dern, Über­mit­teln, Sper­ren und Löschen per­so­nen­be­zo­ge­ner Daten zu ver­ste­hen. "Über­mit­teln" ist das Bekannt­ge­ben gespei­cher­ter oder durch Daten­ver­ar­bei­tung gewon­ne­ner per­so­nen­be­zo­ge­ner Daten an einen Drit­ten in der Wei­se, dass die Daten an Drit­te wei­ter­ge­ge­ben wer­den oder der Drit­te zur Ein­sicht oder zum Abruf bereit­ge­hal­te­ne Daten ein­sieht oder abruft (§ 4 Abs. 1 Satz 2 Nr. 3 a) und b)) BDSG)). Die hier bean­stan­de­te Über­mitt­lung der gehash­ten E‑Mail-Adres­sen von der Online­shop-Betrei­be­rin an Face­book stellt somit eine Ver­ar­bei­tung i.S.v. § 3 Abs. 4 Satz 1 BDSG dar.

Zwar ist aner­kannt, dass Per­so­nen und Stel­len, die im räum­li­chen Anwen­dungs­be­reich des § 11 BDSG als Auf­trags­da­ten­ver­ar­bei­ter tätig sind, kei­ne "Drit­ten" i.S.d. BDSG sind, wes­we­gen die Über­tra­gung der Daten an einen der­ar­ti­gen Auf­trag­neh­mer daten­schutz­recht­lich kei­ne Über­mitt­lung dar­stellt und daher auch ohne Ein­wil­li­gung oder gesetz­li­che Erlaub­nis zuläs­sig ist (vgl. § 3 Abs. 8 Satz 3 BDSG). Das Ver­wal­tungs­ge­richt tritt jedoch dem Stand­punkt des Antrags­geg­ners bei, wonach es sich bei der Über­mitt­lung der gehash­ten E‑Mail-Adres­sen der Kun­den der Online­shop-Betrei­be­rin nicht um eine Über­mitt­lung im Rah­men einer Auf­trags­da­ten­ver­ar­bei­tung han­delt, son­dern eine Über­mitt­lung an Drit­te statt­fin­det und in der Fol­ge eine Daten­ver­ar­bei­tung i.S.v. § 3 Abs. 4 Satz 1 BDSG vor­liegt.

Eine Auf­trags­da­ten­ver­ar­bei­tung i.S.v. § 11 BDSG liegt vor, wenn die ver­ant­wort­li­che Stel­le (hier: die Online­shop-Betrei­be­rin) eine ande­re Stel­le damit betraut, Daten zu erhe­ben, zu ver­ar­bei­ten oder zu nut­zen. Auf die Rechts­na­tur die­ser Betrau­ung kommt es nicht an, ein Auf­trag i.S.v. § 662 BGB ist nicht erfor­der­lich. Ent­schei­dend ist, dass der Auf­trag­neh­mer ohne eige­nen Wer­tungs- und Ent­schei­dungs­spiel­raum für den Auf­trag­ge­ber tätig wird 2. In der vor­lie­gen­den Sach­ver­halts­ge­stal­tung ist hin­ge­gen nicht von einer Auf­trags­da­ten­ver­ar­bei­tung, son­dern viel­mehr von einer sog. "Funk­ti­ons­über­tra­gung" aus­zu­ge­hen. Auch wenn es zutref­fen mag, dass nach der Ver­ein­ba­rung zwi­schen der Online­shop-Betrei­be­rin und Face­book fest­ge­legt wor­den ist, dass der Zweck der Auf­trags­da­ten­ver­ar­bei­tung hier in der Durch­füh­rung einer Über­schnei­dungs­ana­ly­se bzw. Erstel­lung einer Ver­gleichs­au­di­ence liegt, fun­giert Face­book in der Kon­stel­la­ti­on nicht gleich­sam als "ver­län­ger­ter Arm" der Online­shop-Betrei­be­rin. Wer schließ­lich kon­kret bewor­ben wird, liegt hier allein im Ermes­sen Face­books, dem inso­weit ein ent­spre­chen­der Spiel­raum ein­ge­räumt wird.

Es mag zwar die Gestal­tungs­mög­lich­keit geben, dass eine Stel­le eine Dop­pel­funk­ti­on ein­nimmt und neben­ein­an­der zugleich Auf­trags­da­ten­ver­ar­bei­ter und ver­ant­wort­li­che Stel­le ist. Dies ist hier aber nicht der Fall. Zutref­fend geht der Antrags­geg­ner inso­weit davon aus, dass das Mar­ke­ting Tool "Face­book Custom Audi­ence über die Kun­den­lis­te" einen ein­heit­li­chen Vor­gang bil­det. Die­ses Instru­ment kann nicht in ver­schie­de­ne Tei­le zer­legt wer­den, son­dern bil­det eine Ein­heit, auch wenn sich die­ser Wer­be­me­cha­nis­mus aus meh­re­ren daten­schutz­recht­lich rele­van­ten Vor­gän­gen zusam­men­setzt. Die Über­mitt­lung der (gehash­ten) E‑Mail-Adres­sen ist inte­gra­ler Bestand­teil der Wer­be­maß­nah­me. Eine eigen­stän­di­ge Bedeu­tung der blo­ßen Durch­füh­rung eines Daten­ab­gleichs ist nicht zu erken­nen. Inso­weit ver­fängt auch der Ver­gleich mit dem sog. "Let­ter-Shop-Ver­fah­ren" 3 nicht. Bei einem Let­ter-Shop kann es sich um einen Auf­trags­da­ten­ver­ar­bei­ter han­deln, zwin­gend ist dies jedoch nicht 4. Die Rol­le, die Face­book hier ein­nimmt, ent­spricht nicht der eines "Let­ter-Shops". Denn auch inso­weit wür­de die Auf­trags­da­ten­ver­ar­bei­tung vor­aus­set­zen, dass der (vor­geb­li­che) Auf­trag­neh­mer kei­ne eige­nen Spiel­räu­me hat. Hier erschöpft sich das Tätig­wer­den nicht in der blo­ßen Aus­spie­lung von Sen­dun­gen der Online­shop-Betrei­be­rin an bestimm­te Per­so­nen. Es geht auch über die Durch­füh­rung eines "Wasch­ab­gleichs" und die Wahr­neh­mung blo­ßer tech­ni­scher Hilfs­funk­tio­nen 5 hin­aus, da es für die Bewer­bung ein­zel­ner Per­so­nen maß­geb­lich dar­auf ankommt, dass Face­book die­sen bestimm­te Eigen­schaf­ten zuschreibt, die von Face­book nach detail­lier­ter Aus­wer­tung des Nut­zungs­ver­hal­tens erfolgt. Inso­weit liegt ein erheb­li­cher Spiel­raum Face­books vor, der über eine rein daten­ver­ar­bei­ten­de Hilfs­funk­ti­on, durch die eine Auf­trags­da­ten­ver­ar­bei­tung gekenn­zeich­net ist, deut­lich hin­aus­geht.

Zwi­schen den Betei­lig­ten strei­tig und im hie­si­gen Ver­fah­ren des einst­wei­li­gen Rechts­schut­zes nicht abschlie­ßend zu klä­ren ist die Fra­ge, ob und gege­be­nen­falls in wel­chem Umfang Face­book zu einer wei­te­ren Nut­zung der Daten berech­tigt ist bzw. dies statt­fin­det (etwa durch eine "Anrei­che­rung des Pro­fils" etc.). Bei einer Über­las­sung der Nut­zungs­rech­te an den Daten wäre unzwei­fel­haft vom Vor­lie­gen einer Funk­ti­ons­über­tra­gung aus­zu­ge­hen 6. Hier wer­den jeden­falls nach Durch­füh­rung des Abgleichs die über­mit­tel­ten Infor­ma­tio­nen nicht voll­stän­dig gelöscht, son­dern es ist wei­ter­hin bei Face­book hin­ter­legt, dass der Betrof­fe­ne Teil der Custom Audi­ence der Online­shop-Betrei­be­rin ist. Dies spricht in die­sem Zusam­men­hang nicht für eine auf einen Abgleich beschränk­te Auf­trags­da­ten­ver­ar­bei­tung (vgl. auch § 11 Abs. 2 Satz 1 Nr. 10 BDSG). Soweit sich die Online­shop-Betrei­be­rin auf den Stand­punkt stellt, dass die Schrit­te, die nach dem Daten­ab­gleich statt­fin­den, sich allein in der Zustän­dig­keit Face­books voll­zie­hen, spricht dies nach den vor­ste­hend genann­ten Grund­sät­zen im Gegen­teil für eine außer­halb des Rah­mens der Auf­trags­da­ten­ver­ar­bei­tung statt­fin­den­de Funk­ti­ons­über­tra­gung.

Nach­dem die Über­mitt­lung der gehash­ten E‑Mail-Adres­sen daher nicht im Rah­men einer Auf­trags­da­ten­ver­ar­bei­tung i.S.v. § 11 BDSG erfolgt, han­delt es sich um eine Über­mitt­lung an einen Drit­ten (vgl. § 3 Abs. 8 Satz 3 BDSG).

Eine kon­kre­te, den gesetz­li­chen Anfor­de­run­gen ent­spre­chen­de Ein­wil­li­gung der Betrof­fe­nen, die zur Zuläs­sig­keit der Daten­über­mitt­lung füh­ren wür­de, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Online­shop-Betrei­be­rin selbst scheint im Übri­gen nicht vom Vor­lie­gen einer wirk­sa­men Ein­wil­li­gung aus­zu­ge­hen.

Dem­zu­fol­ge wäre hier eine gesetz­li­che Gestat­tung der Daten­über­mitt­lung not­wen­dig. Es kann offen blei­ben, ob es im Fal­le einer "geschei­ter­ten" Auf­trags­da­ten­ver­ar­bei­tung mög­lich ist, die Daten­ver­ar­bei­tung auf die all­ge­mei­nen Erlaub­nis­nor­men des Bun­des­da­ten­schutz­ge­set­zes zu stüt­zen 7. Denn die Vor­aus­set­zun­gen der in Betracht kom­men­den Nor­men sind nicht erfüllt.

Die Online­shop-Betrei­be­rin kann die Zuläs­sig­keit der Daten­über­mitt­lung nicht auf das sog. "Lis­ten­pri­vi­leg" stüt­zen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Ver­ar­bei­tung oder Nut­zung per­so­nen­be­zo­ge­ner Daten ohne Ein­wil­li­gung des Betrof­fe­nen zuläs­sig, soweit es sich um lis­ten­mä­ßig oder sonst zusam­men­ge­fass­te Daten über Ange­hö­ri­ge einer Per­so­nen­grup­pe han­delt, die sich auf die Zuge­hö­rig­keit des Betrof­fe­nen zu die­ser Per­so­nen­grup­pe, sei­ne Berufs, Bran­chen- oder Geschäfts­be­zeich­nung, sei­nen Namen, Titel, aka­de­mi­schen Grad, sei­ne Anschrift und sein Geburts­jahr beschrän­ken (und außer­dem die Vor­aus­set­zun­gen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E‑Mail-Adres­sen han­delt es sich jedoch nicht um sog. Lis­ten­da­ten, da sie in der abschlie­ßen­den Auf­zäh­lung des § 28 Abs. 3 Satz 2 BDSG nicht ent­hal­ten sind 8.

Soweit die Online­shop-Betrei­be­rin vor­tra­gen lässt, dass bei genau­er Betrach­tung nicht eine Über­tra­gung gehash­ter E‑Mail-Adres­sen erfol­ge, son­dern der Infor­ma­ti­on, dass jemand (mög­li­cher­wei­se) Kun­de der Online­shop-Betrei­be­rin sei, was auf Grund­la­ge von § 28 Abs. 3 Satz 2 BDSG ohne Wei­te­res mög­lich sei, kann dem nicht gefolgt wer­den. Zwar nimmt der Gesetz­ge­ber – wie in der zitier­ten Kom­men­tar­stel­le aus­ge­führt wird 9 – die Ver­wen­dung einer zusätz­li­chen Anga­be in Kauf. § 28 Abs. 3 Satz 2 BDSG ermäch­tigt jedoch nicht iso­liert dazu, einer ande­ren Stel­le mit­zu­tei­len, dass gewis­se Per­so­nen Kun­den der über­mit­teln­den Stel­le sind. Viel­mehr wird die­se (impli­zi­te) Anga­be ermög­licht, wenn es sich im Aus­gangs­punkt über­haupt um Lis­ten­da­ten i.S.v. § 28 Abs. 3 Satz 2 BDSG han­delt, was bei E‑Mail-Adres­sen nicht der Fall ist.

Eine Berech­ti­gung zur Über­mitt­lung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da die­ser ledig­lich das "Hin­zu­spei­chern" und somit allein die Ver­voll­stän­di­gung der Infor­ma­tio­nen erlaubt, jedoch kei­ne eige­ne Über­mitt­lungs­be­fug­nis hin­sicht­lich wei­te­rer Daten ent­hält 10.

Auf § 28 Abs. 3 Satz 4 BDSG kann die Über­mitt­lung der gehash­ten E‑Mail-Adres­sen eben­falls nicht gestützt wer­den, weil sich auch die­se Norm expli­zit auf Daten nach Satz 2, mit­hin auf sog. Lis­ten­da­ten, bezieht, zu denen E‑Mail-Adres­sen nicht zäh­len.

Im vor­lie­gen­den Fall kann die Daten­über­mitt­lung auch nicht mit der Rege­lung des § 28 Abs. 3 Satz 5 BDSG gerecht­fer­tigt wer­den. Die­se Norm berech­tigt nur zur Wer­bung für frem­de Ange­bo­te (die zudem an wei­te­re Vor­aus­set­zun­gen geknüpft ist). Dies betrifft aber nicht die Befug­nis der Online­shop-Betrei­be­rin, die Daten an einen Drit­ten zu über­mit­teln. Unmit­tel­bar berech­tigt § 28 Abs. 3 Satz 5 BDSG nur zur Ver­wen­dung zur Wer­bung durch einen Drit­ten (hier ggf. Face­book), wür­de aber vor­ge­la­gert eine recht­mä­ßi­ge Daten­er­he­bung Face­books vor­aus­set­zen. Der hier zu wür­di­gen­de Über­mitt­lungs­akt von der Online­shop-Betrei­be­rin an Face­book wird sei­ner­seits durch § 28 Abs. 3 Satz 5 BDSG nicht gestat­tet 11.

Aus den vor­ste­hen­den Grün­den kommt eine ein­wil­li­gungs­freie Über­mitt­lung auf Grund­la­ge von § 28 Abs. 3 BDSG somit nicht in Betracht. Dar­über hin­aus wäre jedoch auch inso­weit eine zuguns­ten der Online­shop-Betrei­be­rin aus­ge­hen­de Inter­es­sen­ab­wä­gung not­wen­dig (§ 28 Abs. 3 Satz 6 BDSG). In der vor­lie­gen­den Kon­stel­la­ti­on geht die Inter­es­sen­ab­wä­gung jedoch zum Nach­teil der Online­shop-Betrei­be­rin aus.

Es ist auch nicht davon aus­zu­ge­hen, dass die Aus­nah­me von E‑Mail-Adres­sen im Rah­men des sog. Lis­ten­pri­vi­legs uni­ons­rechts­wid­rig wäre. Soweit in die­sem Zusam­men­hang auf die Ent­schei­dun­gen des Euro­päi­schen Gerichts­hofs Bezug genom­men wird, ist hier­zu aus­zu­füh­ren, dass nach des­sen Recht­spre­chung Art. 7 Buchst. f der Richt­li­nie 95/​46/​EG einen Mit­glied­staat dar­an hin­dert, kate­go­risch und ganz all­ge­mein die Ver­ar­bei­tung bestimm­ter Kate­go­ri­en per­so­nen­be­zo­ge­ner Daten aus­zu­schlie­ßen, ohne Raum für eine Abwä­gung der im kon­kre­ten Ein­zel­fall ein­an­der gegen­über­ste­hen­den Rech­te und Inter­es­sen zu las­sen 12. Auch wenn E‑Mail-Adres­sen nicht unter das sog. Lis­ten­pri­vi­leg fal­len, schließt die Anwen­dung des Bun­des­da­ten­schutz­ge­set­zes, ins­be­son­de­re des § 28 BDSG, eine Über­mitt­lung von E‑Mail-Adres­sen nicht schlecht­hin und ohne Raum für eine Abwä­gung zu las­sen aus, da in die­sem Fall eine Recht­fer­ti­gung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Inter­es­sen­ab­wä­gung in Betracht kommt. Eine uni­ons­rechts­kon­for­me Aus­le­gung und Anwen­dung des § 28 BDSG ist im vor­lie­gen­den Fall daher dadurch mög­lich, dass inso­weit nicht von einer Sperr­wir­kung des § 28 Abs. 3 BDSG hin­sicht­lich des Rück­griffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG aus­ge­gan­gen wird.

Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Über­mitt­lung der (gehash­ten) E‑Mail-Adres­sen jedoch nicht gerecht­fer­tigt wer­den. Hier­nach ist das Erhe­ben, Spei­chern, Ver­än­dern oder Über­mit­teln per­so­nen­be­zo­ge­ner Daten oder ihre Nut­zung als Mit­tel für die Erfül­lung eige­ner Geschäfts­zwe­cke zuläs­sig, soweit es zur Wah­rung berech­tig­ter Inter­es­sen der ver­ant­wort­li­chen Stel­le erfor­der­lich ist und kein Grund zu der Annah­me besteht, dass das schutz­wür­di­ge Inter­es­se des Betrof­fe­nen über­wiegt. Im Rah­men der inso­weit vor­zu­neh­men­den Inter­es­sen­ab­wä­gung sind jedoch die im § 28 Abs. 3 BDSG getrof­fe­nen Wer­tun­gen des Gesetz­ge­bers zu berück­sich­ti­gen. Wie der Euro­päi­sche Gerichts­hof in sei­ner oben zitier­ten Recht­spre­chung aus­ge­führt hat, gebie­tet das Uni­ons­recht ledig­lich, im Ein­zel­fall Raum für eine Abwä­gung zu las­sen. Die dem Rege­lungs­re­gime des § 28 Abs. 3 BDSG zugrun­de­lie­gen­den grund­sätz­li­chen Wer­tun­gen zu unter­lau­fen oder aus­zu­höh­len ist weder auf­grund der Richt­li­nie 95/​46/​EG (Daten­schutz-Richt­li­nie) noch aus sons­ti­gen Grün­den gebo­ten. Der Euro­päi­sche Gericht­hof for­dert ledig­lich, dass das natio­na­le Recht eines Mit­glied­staats das Ergeb­nis der ein­an­der gegen­über­ste­hen­den Rech­te und Inter­es­sen nicht abschlie­ßend vor­schrei­ben darf, "ohne Raum für ein Ergeb­nis zu las­sen, das auf­grund beson­de­rer Umstän­de des Ein­zel­falls anders aus­fällt" 13.

Nach der grund­sätz­li­chen Wer­tung des § 28 Abs. 3 Satz 1 BDSG ist die Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten für Zwe­cke der Wer­bung nur zuläs­sig, wenn der Betrof­fe­ne ein­ge­wil­ligt hat. Die dem nach­fol­gen­den Rege­lun­gen zu sog. Lis­ten­da­ten bil­den eine Aus­nah­me von die­sem Grund­satz, wobei der Gesetz­ge­ber nur für die dort genann­ten Arten von Daten Pri­vi­le­gie­run­gen gere­gelt und die­se dar­über hin­aus an wei­te­re Vor­aus­set­zun­gen geknüpft hat. In der hie­si­gen Fall­ge­stal­tung ist fest­zu­stel­len, dass die hier bean­stan­de­te Über­mitt­lung der E‑Mail-Adres­sen nach den dezi­dier­ten Rege­lun­gen in § 28 Abs. 3 BDSG selbst dann rechts­wid­rig wäre, wenn man inso­weit die Pri­vi­le­gie­run­gen für Lis­ten­da­ten zugrun­de legen wür­de. Dies spricht im Rah­men der Inter­es­sen­ab­wä­gung für das Über­wie­gen der Betrof­fe­nen­rech­te. So dür­fen Lis­ten­da­ten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eige­ne Wer­be­zwe­cke ver­wen­det wer­den. Dies erlaubt jedoch gera­de nicht die – hier erfol­gen­de – Über­mitt­lung an Drit­te 14. Dar­über hin­aus­ge­hend ist die Über­mitt­lung von Lis­ten­da­ten an Drit­te zum Zwe­cke der Wer­bung (§ 28 Abs. 2 Satz 4 BDSG) ins­be­son­de­re an die Bedin­gung geknüpft, dass die Stel­le, die die Daten erst­ma­lig erho­ben hat (hier: die Online­shop-Betrei­be­rin) aus der Wer­bung "ein­deu­tig her­vor­ge­hen" muss (sog. Trans­pa­renz­ge­bot); anders als nach Abs. 3 Satz 5 muss sie nicht (ledig­lich) "ein­deu­tig erkenn­bar" sein. Es muss an geeig­ne­ter Stel­le der Hin­weis ent­hal­ten sein, woher der Wer­ben­de die Lis­ten hat, etwa durch Anga­be des Namens und der Anschrift des Adress­händ­lers. Der Betrof­fe­ne muss auf­grund die­ses Hin­wei­ses in der Lage sein, sein Wider­spruchs­recht gem. § 28 Abs. 4 BDSG gel­tend zu machen 15. Allein der Umstand, dass es sich um Ange­bo­te der Online­shop-Betrei­be­rin han­delt, die dem Betrof­fe­nen bei Face­book ange­zeigt wer­den, reicht inso­weit nicht aus, zumal die Stel­le, die die Daten zum Zwe­cke der Wer­bung ver­wen­det und die, zu deren Guns­ten die Wer­bung erfolgt, aus­ein­an­der­fal­len kön­nen (etwa bei der Bei­pack- und Emp­feh­lungs­wer­bung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die kon­kre­te Aus­ge­stal­tung der Wider­spruchs­mög­lich­keit führt nicht zu einem über­wie­gen­den Inter­es­se der Online­shop-Betrei­be­rin (auch wenn sich die kon­kre­te Umset­zung des Wider­spruchs anders voll­zie­hen mag als vom Antrags­geg­ner ange­nom­men). Wie die Online­shop-Betrei­be­rin selbst aus­führt, besteht (erst) seit dem 22.08.2017 ein kon­kre­ter Hin­weis auf die Über­mitt­lung der E‑Mail-Adres­sen an Face­book Per­so­nen, die ihre Daten vor die­sem Datum an die Online­shop-Betrei­be­rin über­mit­telt und im Zuge des­sen von den Daten­schutz­be­stim­mun­gen Kennt­nis erlangt haben, waren auf die­se kon­kre­te Maß­nah­me der Daten­ver­ar­bei­tung nicht hin­ge­wie­sen wor­den. Ihre Daten befin­den sich even­tu­ell jedoch nach wie vor auf der hoch­ge­la­de­nen Kun­den­lis­te, ohne dass sicher­ge­stellt ist, dass sie von den aktu­el­len Daten­schutz­hin­wei­sen Kennt­nis genom­men haben – für die Betrof­fe­nen bestand unter Umstän­den kei­ne Ver­an­las­sung dazu, sich erneut mit den Daten­schutz­hin­wei­sen der Online­shop-Betrei­be­rin zu befas­sen (z.B. wenn kei­ne erneu­te Bestel­lung erfolgt ist). Ob die Lis­ten (zuletzt) nach dem 22.08.2017 bei Face­book hoch­ge­la­den wor­den sind, ist somit uner­heb­lich.

Gene­rell setzt die Zuläs­sig­keit einer Daten­über­mitt­lung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG vor­aus, dass die­se zur Wah­rung berech­tig­ter Inter­es­sen der ver­ant­wort­li­chen Stel­le "erfor­der­lich" ist – nicht etwa ledig­lich aus Sicht der ver­ant­wort­li­chen Stel­le geeig­net oder zweck­mä­ßig. Gemeint sind Ver­wen­dun­gen, zu denen es kei­ne objek­tiv zumut­ba­re Alter­na­ti­ve gibt. Eine Beru­fung der ver­ant­wort­li­chen Stel­le auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lan­ge nicht in Betracht, wie die­se ihr Infor­ma­ti­ons­ziel anders errei­chen kann 16. Zu berück­sich­ti­gen ist daher auch, dass die Online­shop-Betrei­be­rin die Daten ins­be­son­de­re im Rah­men von Bestell­vor­gän­gen erwirbt und es ihr des­we­gen ohne einen unver­hält­nis­mä­ßig gro­ßen Auf­wand mög­lich wäre, im Ein­zel­fall eine Ein­wil­li­gung zur Über­mitt­lung der Daten an Face­book ein­zu­ho­len.

Somit geht auch die Inter­es­sen­ab­wä­gung zu Unguns­ten der Online­shop-Betrei­be­rin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Recht­fer­ti­gung auf Grund­la­ge des § 28 BDSG aus­schei­det. Ande­re Vor­schrif­ten, die eine ent­spre­chen­de Daten­über­mitt­lung recht­fer­ti­gen oder anord­nen sind nicht ersicht­lich.

Die Daten­über­mitt­lung an Face­book ist daher rechts­wid­rig, wes­we­gen das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht wie in Ziff. 1 des streit­ge­gen­ständ­li­chen Bescheids ver­fügt die Besei­ti­gung des fest­ge­stell­ten Ver­sto­ßes ver­lan­gen konn­te. Auch sonst bestehen hin­sicht­lich der Löschungs­an­ord­nung kei­ne Recht­mä­ßig­keits­be­den­ken. Ins­be­son­de­re sind Ermes­sens­feh­ler i.S.v. § 114 Satz 1 VwGO nicht ersicht­lich. Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht hat das ihm zuste­hen­de Ermes­sen (Art. 40 BayV­wVfG) erkannt und im Bescheid in nicht zu bean­stan­den­der Art und Wei­se aus­ge­übt.

Ver­wal­tungs­ge­richt Bay­reuth, Beschluss vom 8. Mai 2018 – B 1 S 18.105

  1. vgl. Plath/​Schreiber in: Plath, BDSG/​DSGVO, 2. Aufl.2016, § 3 BDSG, Rn. 17 m.w.N.[]
  2. vgl. BGH, U.v. 13.07.2016 – IV ZR 292/​14 ? 39 m.w.N.[]
  3. vgl. hier­zu Plath a.a.O., § 28 Rn. 148 und § 11 Rn. 33[]
  4. vgl. hier­zu Petri in Simi­tis, Bun­des­da­ten­schutz­ge­setz, 8. Auf­la­ge 2014, § 11 Rn. 36 m.w.N.[]
  5. vgl. OLG Düs­sel­dorf, U.v. 13.02.2015 – I-16 U 41/​14 ? 36[]
  6. vgl. Petri a.a.O. § 11 Rn. 23: "typi­sche Fall­ge­stal­tung" der Auf­ga­ben­über­tra­gung[]
  7. vgl. hier­zu Plath a.a.O., § 11 Rn.20 m.w.N.[]
  8. vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.[]
  9. Simi­tis a.a.O., § 28 Rn. 232[]
  10. vgl. Wolff in Beck­OK Daten­schutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/​12011, S. 21: "Absatz 3 Satz 3 ist kei­ne eige­ne Erhe­bungs- oder Über­mitt­lungs­be­fug­nis. Absatz 3 Satz 3 soll es der ver­ant­wort­li­chen Stel­le ermög­li­chen, einen eige­nen Daten­be­stand, der direkt beim Betrof­fe­nen erho­ben wur­de, für Zwe­cke der Eigen­wer­bung oder der eige­nen Markt- oder Mei­nungs­for­schung zu selek­tie­ren, um die bestehen­den Kun­den geziel­ter anspre­chen zu kön­nen."[]
  11. vgl. Plath a.a.O., § 28 Rn. 144[]
  12. EuGH, U.v.19.10.2016 – Brey­er, – C‑582/​14 ? 62 unter Bezug­nah­me auf U.v. 24.11.2011 – ASNEF und FECEMD, – C‑468/​10 und – C‑469/​10 ? 47 f.[]
  13. EuGH, U.v.19.10.2016 – Brey­er, – C‑582/​14 ? 62[]
  14. vgl. Plath a.a.O., § 28 Rn. 124[]
  15. Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f.[]
  16. vgl. Simi­tis a.a.O., § 28 Rn. 108 m.w.N.[]