Die “Custom Audience”-Bildung auf Facebook

Die Bil­dung ein­er “Cus­tom Audi­ence” bei Face­book durch Hochladen ein­er gehasht­en Email-Liste vor war bere­its unter der Gel­tung des Bun­des­daten­schutzge­set­zes daten­schutzrechtlich unzuläs­sig.

Die “Custom Audience”-Bildung auf Facebook

Dies entsch­ied das Bay­erische Ver­wal­tungs­gericht Bayreuth noch kurz vor Inkraft­treten der Daten­schutz-Grund­verord­nung im Rah­men eines Ver­fahrens des einst­weili­gen Rechtss­chutzes. Die Daten­schutza­uf­sichts­be­hörde kon­nte daher in einem solchen Fall nach § 38 Abs. 5 Satz 1 BDSG zur Gewährleis­tung der Ein­hal­tung des Bun­des­daten­schutzge­set­zes und ander­er Vorschriften über den Daten­schutz Maß­nah­men zur Besei­t­i­gung fest­gestell­ter Ver­stöße bei der Erhe­bung, Ver­ar­beitung oder Nutzung per­so­n­en­be­zo­gen­er Dat­en oder tech­nis­ch­er oder organ­isatorisch­er Män­gel anord­nen.

Nach § 4 Abs. 1 BDSG ist die Erhe­bung, Ver­ar­beitung und Nutzung per­so­n­en­be­zo­gen­er Dat­en nur zuläs­sig, soweit das Bun­des­daten­schutzge­setz oder eine andere Rechtsvorschrift dies erlaubt oder anord­net oder der Betrof­fene eingewil­ligt hat.

Per­so­n­en­be­zo­gene Dat­en sind nach § 3 Abs. 1 BDSG Einze­langaben über per­sön­liche oder sach­liche Ver­hält­nisse ein­er bes­timmten oder bes­timm­baren Per­son (Betrof­fen­er). Wie in der stre­it­ge­gen­ständlichen Anord­nung zutr­e­f­fend aus­ge­führt wurde, ist über E‑Mail-Adressen jeden­falls ein Per­so­n­en­bezug her­stell­bar1, weswe­gen es sich um per­so­n­en­be­zo­gene Dat­en han­delt. Durch den Vor­gang des “Hashens” wer­den die Dat­en auch nicht i.S.v. § 3 Abs. 6 BDSG anonymisiert, da der Per­so­n­en­bezug hier­durch nicht völ­lig aufge­hoben wird. Vielmehr ist es weit­er­hin mit nicht nur unver­hält­nis­mäßigem Aufwand möglich, sie ein­er bes­timmten oder bes­timm­baren Per­son zuzuord­nen, zumal andern­falls auch ein sich an die Über­mit­tlung anschließen­der Daten­ab­gle­ich seit­ens Face­book nicht möglich wäre.

Unter dem “Ver­ar­beit­en” ist gem. § 3 Abs. 4 Satz 1 das Spe­ich­ern, Verän­dern, Über­mit­teln, Sper­ren und Löschen per­so­n­en­be­zo­gen­er Dat­en zu ver­ste­hen. “Über­mit­teln” ist das Bekan­nt­geben gespe­ichert­er oder durch Daten­ver­ar­beitung gewonnen­er per­so­n­en­be­zo­gen­er Dat­en an einen Drit­ten in der Weise, dass die Dat­en an Dritte weit­ergegeben wer­den oder der Dritte zur Ein­sicht oder zum Abruf bere­it­ge­hal­tene Dat­en ein­sieht oder abruft (§ 4 Abs. 1 Satz 2 Nr. 3 a) und b)) BDSG)). Die hier bean­standete Über­mit­tlung der gehasht­en E‑Mail-Adressen von der Onli­neshop-Betreiberin an Face­book stellt somit eine Ver­ar­beitung i.S.v. § 3 Abs. 4 Satz 1 BDSG dar.

Zwar ist anerkan­nt, dass Per­so­n­en und Stellen, die im räum­lichen Anwen­dungs­bere­ich des § 11 BDSG als Auf­trags­daten­ver­ar­beit­er tätig sind, keine “Drit­ten” i.S.d. BDSG sind, weswe­gen die Über­tra­gung der Dat­en an einen der­ar­ti­gen Auf­trag­nehmer daten­schutzrechtlich keine Über­mit­tlung darstellt und daher auch ohne Ein­willi­gung oder geset­zliche Erlaub­nis zuläs­sig ist (vgl. § 3 Abs. 8 Satz 3 BDSG). Das Ver­wal­tungs­gericht tritt jedoch dem Stand­punkt des Antrags­geg­n­ers bei, wonach es sich bei der Über­mit­tlung der gehasht­en E‑Mail-Adressen der Kun­den der Onli­neshop-Betreiberin nicht um eine Über­mit­tlung im Rah­men ein­er Auf­trags­daten­ver­ar­beitung han­delt, son­dern eine Über­mit­tlung an Dritte stat­tfind­et und in der Folge eine Daten­ver­ar­beitung i.S.v. § 3 Abs. 4 Satz 1 BDSG vor­liegt.

Eine Auf­trags­daten­ver­ar­beitung i.S.v. § 11 BDSG liegt vor, wenn die ver­ant­wortliche Stelle (hier: die Onli­neshop-Betreiberin) eine andere Stelle damit betraut, Dat­en zu erheben, zu ver­ar­beit­en oder zu nutzen. Auf die Recht­snatur dieser Betrau­ung kommt es nicht an, ein Auf­trag i.S.v. § 662 BGB ist nicht erforder­lich. Entschei­dend ist, dass der Auf­trag­nehmer ohne eige­nen Wer­tungs- und Entschei­dungsspiel­raum für den Auf­tragge­ber tätig wird2. In der vor­liegen­den Sachver­halts­gestal­tung ist hinge­gen nicht von ein­er Auf­trags­daten­ver­ar­beitung, son­dern vielmehr von ein­er sog. “Funk­tion­süber­tra­gung” auszuge­hen. Auch wenn es zutr­e­f­fen mag, dass nach der Vere­in­barung zwis­chen der Onli­neshop-Betreiberin und Face­book fest­gelegt wor­den ist, dass der Zweck der Auf­trags­daten­ver­ar­beitung hier in der Durch­führung ein­er Über­schnei­dungs­analyse bzw. Erstel­lung ein­er Ver­gle­ich­sau­di­ence liegt, fungiert Face­book in der Kon­stel­la­tion nicht gle­ich­sam als “ver­längert­er Arm” der Onli­neshop-Betreiberin. Wer schließlich konkret bewor­ben wird, liegt hier allein im Ermessen Face­books, dem insoweit ein entsprechen­der Spiel­raum eingeräumt wird.

Es mag zwar die Gestal­tungsmöglichkeit geben, dass eine Stelle eine Dop­pel­funk­tion ein­nimmt und nebeneinan­der zugle­ich Auf­trags­daten­ver­ar­beit­er und ver­ant­wortliche Stelle ist. Dies ist hier aber nicht der Fall. Zutr­e­f­fend geht der Antrags­geg­n­er insoweit davon aus, dass das Mar­ket­ing Tool “Face­book Cus­tom Audi­ence über die Kun­den­liste” einen ein­heitlichen Vor­gang bildet. Dieses Instru­ment kann nicht in ver­schiedene Teile zer­legt wer­den, son­dern bildet eine Ein­heit, auch wenn sich dieser Werbe­mech­a­nis­mus aus mehreren daten­schutzrechtlich rel­e­van­ten Vorgän­gen zusam­menset­zt. Die Über­mit­tlung der (gehasht­en) E‑Mail-Adressen ist inte­graler Bestandteil der Werbe­maß­nahme. Eine eigen­ständi­ge Bedeu­tung der bloßen Durch­führung eines Daten­ab­gle­ichs ist nicht zu erken­nen. Insoweit ver­fängt auch der Ver­gle­ich mit dem sog. “Let­ter-Shop-Ver­fahren“3 nicht. Bei einem Let­ter-Shop kann es sich um einen Auf­trags­daten­ver­ar­beit­er han­deln, zwin­gend ist dies jedoch nicht4. Die Rolle, die Face­book hier ein­nimmt, entspricht nicht der eines “Let­ter-Shops”. Denn auch insoweit würde die Auf­trags­daten­ver­ar­beitung voraus­set­zen, dass der (vorge­bliche) Auf­trag­nehmer keine eige­nen Spiel­räume hat. Hier erschöpft sich das Tätig­w­er­den nicht in der bloßen Ausspielung von Sendun­gen der Onli­neshop-Betreiberin an bes­timmte Per­so­n­en. Es geht auch über die Durch­führung eines “Wasch­ab­gle­ichs” und die Wahrnehmung bloßer tech­nis­ch­er Hil­fs­funk­tio­nen5 hin­aus, da es für die Bewer­bung einzel­ner Per­so­n­en maßge­blich darauf ankommt, dass Face­book diesen bes­timmte Eigen­schaften zuschreibt, die von Face­book nach detail­liert­er Auswer­tung des Nutzungsver­hal­tens erfol­gt. Insoweit liegt ein erhe­blich­er Spiel­raum Face­books vor, der über eine rein daten­ver­ar­bei­t­ende Hil­fs­funk­tion, durch die eine Auf­trags­daten­ver­ar­beitung gekennze­ich­net ist, deut­lich hin­aus­ge­ht.

Zwis­chen den Beteiligten stre­it­ig und im hiesi­gen Ver­fahren des einst­weili­gen Rechtss­chutzes nicht abschließend zu klären ist die Frage, ob und gegebe­nen­falls in welchem Umfang Face­book zu ein­er weit­eren Nutzung der Dat­en berechtigt ist bzw. dies stat­tfind­et (etwa durch eine “Anre­icherung des Pro­fils” etc.). Bei ein­er Über­las­sung der Nutzungsrechte an den Dat­en wäre unzweifel­haft vom Vor­liegen ein­er Funk­tion­süber­tra­gung auszuge­hen6. Hier wer­den jeden­falls nach Durch­führung des Abgle­ichs die über­mit­tel­ten Infor­ma­tio­nen nicht voll­ständig gelöscht, son­dern es ist weit­er­hin bei Face­book hin­ter­legt, dass der Betrof­fene Teil der Cus­tom Audi­ence der Onli­neshop-Betreiberin ist. Dies spricht in diesem Zusam­men­hang nicht für eine auf einen Abgle­ich beschränk­te Auf­trags­daten­ver­ar­beitung (vgl. auch § 11 Abs. 2 Satz 1 Nr. 10 BDSG). Soweit sich die Onli­neshop-Betreiberin auf den Stand­punkt stellt, dass die Schritte, die nach dem Daten­ab­gle­ich stat­tfind­en, sich allein in der Zuständigkeit Face­books vol­lziehen, spricht dies nach den vorste­hend genan­nten Grund­sätzen im Gegen­teil für eine außer­halb des Rah­mens der Auf­trags­daten­ver­ar­beitung stat­tfind­ende Funk­tion­süber­tra­gung.

Nach­dem die Über­mit­tlung der gehasht­en E‑Mail-Adressen daher nicht im Rah­men ein­er Auf­trags­daten­ver­ar­beitung i.S.v. § 11 BDSG erfol­gt, han­delt es sich um eine Über­mit­tlung an einen Drit­ten (vgl. § 3 Abs. 8 Satz 3 BDSG).

Eine konkrete, den geset­zlichen Anforderun­gen entsprechende Ein­willi­gung der Betrof­fe­nen, die zur Zuläs­sigkeit der Datenüber­mit­tlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1, § 4a BDSG). Auch die Onli­neshop-Betreiberin selb­st scheint im Übri­gen nicht vom Vor­liegen ein­er wirk­samen Ein­willi­gung auszuge­hen.

Demzu­folge wäre hier eine geset­zliche Ges­tat­tung der Datenüber­mit­tlung notwendig. Es kann offen bleiben, ob es im Falle ein­er “gescheit­erten” Auf­trags­daten­ver­ar­beitung möglich ist, die Daten­ver­ar­beitung auf die all­ge­meinen Erlaub­nis­nor­men des Bun­des­daten­schutzge­set­zes zu stützen7. Denn die Voraus­set­zun­gen der in Betra­cht kom­menden Nor­men sind nicht erfüllt.

Die Onli­neshop-Betreiberin kann die Zuläs­sigkeit der Datenüber­mit­tlung nicht auf das sog. “Lis­ten­priv­i­leg” stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Ver­ar­beitung oder Nutzung per­so­n­en­be­zo­gen­er Dat­en ohne Ein­willi­gung des Betrof­fe­nen zuläs­sig, soweit es sich um lis­ten­mäßig oder son­st zusam­menge­fasste Dat­en über Ange­hörige ein­er Per­so­n­en­gruppe han­delt, die sich auf die Zuge­hörigkeit des Betrof­fe­nen zu dieser Per­so­n­en­gruppe, seine Berufs, Branchen- oder Geschäfts­beze­ich­nung, seinen Namen, Titel, akademis­chen Grad, seine Anschrift und sein Geburt­s­jahr beschränken (und außer­dem die Voraus­set­zun­gen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E‑Mail-Adressen han­delt es sich jedoch nicht um sog. Lis­ten­dat­en, da sie in der abschließen­den Aufzäh­lung des § 28 Abs. 3 Satz 2 BDSG nicht enthal­ten sind8.

Soweit die Onli­neshop-Betreiberin vor­tra­gen lässt, dass bei genauer Betra­ch­tung nicht eine Über­tra­gung gehashter E‑Mail-Adressen erfolge, son­dern der Infor­ma­tion, dass jemand (möglicher­weise) Kunde der Onli­neshop-Betreiberin sei, was auf Grund­lage von § 28 Abs. 3 Satz 2 BDSG ohne Weit­eres möglich sei, kann dem nicht gefol­gt wer­den. Zwar nimmt der Geset­zge­ber – wie in der zitierten Kom­men­tarstelle aus­ge­führt wird9 – die Ver­wen­dung ein­er zusät­zlichen Angabe in Kauf. § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, ein­er anderen Stelle mitzuteilen, dass gewisse Per­so­n­en Kun­den der über­mit­tel­nden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Aus­gangspunkt über­haupt um Lis­ten­dat­en i.S.v. § 28 Abs. 3 Satz 2 BDSG han­delt, was bei E‑Mail-Adressen nicht der Fall ist.

Eine Berech­ti­gung zur Über­mit­tlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das “Hinzus­pe­ich­ern” und somit allein die Ver­voll­ständi­gung der Infor­ma­tio­nen erlaubt, jedoch keine eigene Über­mit­tlungs­befug­nis hin­sichtlich weit­er­er Dat­en enthält10.

Auf § 28 Abs. 3 Satz 4 BDSG kann die Über­mit­tlung der gehasht­en E‑Mail-Adressen eben­falls nicht gestützt wer­den, weil sich auch diese Norm expliz­it auf Dat­en nach Satz 2, mithin auf sog. Lis­ten­dat­en, bezieht, zu denen E‑Mail-Adressen nicht zählen.

Im vor­liegen­den Fall kann die Datenüber­mit­tlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerecht­fer­tigt wer­den. Diese Norm berechtigt nur zur Wer­bung für fremde Ange­bote (die zudem an weit­ere Voraus­set­zun­gen geknüpft ist). Dies bet­rifft aber nicht die Befug­nis der Onli­neshop-Betreiberin, die Dat­en an einen Drit­ten zu über­mit­teln. Unmit­tel­bar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Ver­wen­dung zur Wer­bung durch einen Drit­ten (hier ggf. Face­book), würde aber vorge­lagert eine recht­mäßige Daten­er­he­bung Face­books voraus­set­zen. Der hier zu würdi­gende Über­mit­tlungsakt von der Onli­neshop-Betreiberin an Face­book wird sein­er­seits durch § 28 Abs. 3 Satz 5 BDSG nicht ges­tat­tet11.

Aus den vorste­hen­den Grün­den kommt eine ein­willi­gungs­freie Über­mit­tlung auf Grund­lage von § 28 Abs. 3 BDSG somit nicht in Betra­cht. Darüber hin­aus wäre jedoch auch insoweit eine zugun­sten der Onli­neshop-Betreiberin aus­ge­hende Inter­essen­ab­wä­gung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vor­liegen­den Kon­stel­la­tion geht die Inter­essen­ab­wä­gung jedoch zum Nachteil der Onli­neshop-Betreiberin aus.

Es ist auch nicht davon auszuge­hen, dass die Aus­nahme von E‑Mail-Adressen im Rah­men des sog. Lis­ten­priv­i­legs union­srechtswidrig wäre. Soweit in diesem Zusam­men­hang auf die Entschei­dun­gen des Europäis­chen Gericht­shofs Bezug genom­men wird, ist hierzu auszuführen, dass nach dessen Recht­sprechung Art. 7 Buchst. f der Richtlin­ie 95/46/EG einen Mit­glied­staat daran hin­dert, kat­e­gorisch und ganz all­ge­mein die Ver­ar­beitung bes­timmter Kat­e­gorien per­so­n­en­be­zo­gen­er Dat­en auszuschließen, ohne Raum für eine Abwä­gung der im konkreten Einzelfall einan­der gegenüber­ste­hen­den Rechte und Inter­essen zu lassen12. Auch wenn E‑Mail-Adressen nicht unter das sog. Lis­ten­priv­i­leg fall­en, schließt die Anwen­dung des Bun­des­daten­schutzge­set­zes, ins­beson­dere des § 28 BDSG, eine Über­mit­tlung von E‑Mail-Adressen nicht schlechthin und ohne Raum für eine Abwä­gung zu lassen aus, da in diesem Fall eine Recht­fer­ti­gung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis ein­er Inter­essen­ab­wä­gung in Betra­cht kommt. Eine union­srecht­skon­forme Ausle­gung und Anwen­dung des § 28 BDSG ist im vor­liegen­den Fall daher dadurch möglich, dass insoweit nicht von ein­er Sper­rwirkung des § 28 Abs. 3 BDSG hin­sichtlich des Rück­griffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG aus­ge­gan­gen wird.

Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Über­mit­tlung der (gehasht­en) E‑Mail-Adressen jedoch nicht gerecht­fer­tigt wer­den. Hier­nach ist das Erheben, Spe­ich­ern, Verän­dern oder Über­mit­teln per­so­n­en­be­zo­gen­er Dat­en oder ihre Nutzung als Mit­tel für die Erfül­lung eigen­er Geschäft­szwecke zuläs­sig, soweit es zur Wahrung berechtigter Inter­essen der ver­ant­wortlichen Stelle erforder­lich ist und kein Grund zu der Annahme beste­ht, dass das schutzwürdi­ge Inter­esse des Betrof­fe­nen über­wiegt. Im Rah­men der insoweit vorzunehmenden Inter­essen­ab­wä­gung sind jedoch die im § 28 Abs. 3 BDSG getrof­fe­nen Wer­tun­gen des Geset­zge­bers zu berück­sichti­gen. Wie der Europäis­che Gericht­shof in sein­er oben zitierten Recht­sprechung aus­ge­führt hat, gebi­etet das Union­srecht lediglich, im Einzelfall Raum für eine Abwä­gung zu lassen. Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrun­deliegen­den grund­sät­zlichen Wer­tun­gen zu unter­laufen oder auszuhöhlen ist wed­er auf­grund der Richtlin­ie 95/46/EG (Daten­schutz-Richtlin­ie) noch aus son­sti­gen Grün­den geboten. Der Europäis­che Gerichthof fordert lediglich, dass das nationale Recht eines Mit­glied­staats das Ergeb­nis der einan­der gegenüber­ste­hen­den Rechte und Inter­essen nicht abschließend vorschreiben darf, “ohne Raum für ein Ergeb­nis zu lassen, das auf­grund beson­der­er Umstände des Einzelfalls anders aus­fällt“13.

Nach der grund­sät­zlichen Wer­tung des § 28 Abs. 3 Satz 1 BDSG ist die Ver­ar­beitung und Nutzung per­so­n­en­be­zo­gen­er Dat­en für Zwecke der Wer­bung nur zuläs­sig, wenn der Betrof­fene eingewil­ligt hat. Die dem nach­fol­gen­den Regelun­gen zu sog. Lis­ten­dat­en bilden eine Aus­nahme von diesem Grund­satz, wobei der Geset­zge­ber nur für die dort genan­nten Arten von Dat­en Priv­i­legierun­gen geregelt und diese darüber hin­aus an weit­ere Voraus­set­zun­gen geknüpft hat. In der hiesi­gen Fallgestal­tung ist festzustellen, dass die hier bean­standete Über­mit­tlung der E‑Mail-Adressen nach den dezi­dierten Regelun­gen in § 28 Abs. 3 BDSG selb­st dann rechtswidrig wäre, wenn man insoweit die Priv­i­legierun­gen für Lis­ten­dat­en zugrunde leg­en würde. Dies spricht im Rah­men der Inter­essen­ab­wä­gung für das Über­wiegen der Betrof­fe­nen­rechte. So dür­fen Lis­ten­dat­en zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Wer­bezwecke ver­wen­det wer­den. Dies erlaubt jedoch ger­ade nicht die – hier erfol­gende – Über­mit­tlung an Dritte14. Darüber hin­aus­ge­hend ist die Über­mit­tlung von Lis­ten­dat­en an Dritte zum Zwecke der Wer­bung (§ 28 Abs. 2 Satz 4 BDSG) ins­beson­dere an die Bedin­gung geknüpft, dass die Stelle, die die Dat­en erst­ma­lig erhoben hat (hier: die Onli­neshop-Betreiberin) aus der Wer­bung “ein­deutig her­vorge­hen” muss (sog. Trans­paren­zge­bot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) “ein­deutig erkennbar” sein. Es muss an geeigneter Stelle der Hin­weis enthal­ten sein, woher der Wer­bende die Lis­ten hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers. Der Betrof­fene muss auf­grund dieses Hin­weis­es in der Lage sein, sein Wider­spruch­srecht gem. § 28 Abs. 4 BDSG gel­tend zu machen15. Allein der Umstand, dass es sich um Ange­bote der Onli­neshop-Betreiberin han­delt, die dem Betrof­fe­nen bei Face­book angezeigt wer­den, reicht insoweit nicht aus, zumal die Stelle, die die Dat­en zum Zwecke der Wer­bung ver­wen­det und die, zu deren Gun­sten die Wer­bung erfol­gt, auseinan­der­fall­en kön­nen (etwa bei der Beipack- und Empfehlungswer­bung, vgl. § 28 Abs. 3 Satz 5 BDSG).

Auch die konkrete Aus­gestal­tung der Wider­spruchsmöglichkeit führt nicht zu einem über­wiegen­den Inter­esse der Onli­neshop-Betreiberin (auch wenn sich die konkrete Umset­zung des Wider­spruchs anders vol­lziehen mag als vom Antrags­geg­n­er angenom­men). Wie die Onli­neshop-Betreiberin selb­st aus­führt, beste­ht (erst) seit dem 22.08.2017 ein konkreter Hin­weis auf die Über­mit­tlung der E‑Mail-Adressen an Face­book Per­so­n­en, die ihre Dat­en vor diesem Datum an die Onli­neshop-Betreiberin über­mit­telt und im Zuge dessen von den Daten­schutzbes­tim­mungen Ken­nt­nis erlangt haben, waren auf diese konkrete Maß­nahme der Daten­ver­ar­beitung nicht hingewiesen wor­den. Ihre Dat­en befind­en sich eventuell jedoch nach wie vor auf der hochge­lade­nen Kun­den­liste, ohne dass sichergestellt ist, dass sie von den aktuellen Daten­schutzhin­weisen Ken­nt­nis genom­men haben – für die Betrof­fe­nen bestand unter Umstän­den keine Ver­an­las­sung dazu, sich erneut mit den Daten­schutzhin­weisen der Onli­neshop-Betreiberin zu befassen (z.B. wenn keine erneute Bestel­lung erfol­gt ist). Ob die Lis­ten (zulet­zt) nach dem 22.08.2017 bei Face­book hochge­laden wor­den sind, ist somit uner­he­blich.

Generell set­zt die Zuläs­sigkeit ein­er Datenüber­mit­tlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Inter­essen der ver­ant­wortlichen Stelle “erforder­lich” ist – nicht etwa lediglich aus Sicht der ver­ant­wortlichen Stelle geeignet oder zweck­mäßig. Gemeint sind Ver­wen­dun­gen, zu denen es keine objek­tiv zumut­bare Alter­na­tive gibt. Eine Beru­fung der ver­ant­wortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betra­cht, wie diese ihr Infor­ma­tion­sziel anders erre­ichen kann16. Zu berück­sichti­gen ist daher auch, dass die Onli­neshop-Betreiberin die Dat­en ins­beson­dere im Rah­men von Bestel­lvorgän­gen erwirbt und es ihr deswe­gen ohne einen unver­hält­nis­mäßig großen Aufwand möglich wäre, im Einzelfall eine Ein­willi­gung zur Über­mit­tlung der Dat­en an Face­book einzu­holen.

Somit geht auch die Inter­essen­ab­wä­gung zu Ungun­sten der Onli­neshop-Betreiberin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Recht­fer­ti­gung auf Grund­lage des § 28 BDSG auss­chei­det. Andere Vorschriften, die eine entsprechende Datenüber­mit­tlung recht­fer­ti­gen oder anord­nen sind nicht ersichtlich.

Die Datenüber­mit­tlung an Face­book ist daher rechtswidrig, weswe­gen das Bay­erische Lan­desamt für Daten­schutza­uf­sicht wie in Ziff. 1 des stre­it­ge­gen­ständlichen Beschei­ds ver­fügt die Besei­t­i­gung des fest­gestell­ten Ver­stoßes ver­lan­gen kon­nte. Auch son­st beste­hen hin­sichtlich der Löschungsanord­nung keine Recht­mäßigkeits­be­denken. Ins­beson­dere sind Ermessens­fehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bay­erische Lan­desamt für Daten­schutza­uf­sicht hat das ihm zuste­hende Ermessen (Art. 40 BayVwVfG) erkan­nt und im Bescheid in nicht zu bean­standen­der Art und Weise aus­geübt.

Ver­wal­tungs­gericht Bayreuth, Beschluss vom 8. Mai 2018 — B 1 S 18.105

  1. vgl. Plath/Schreiber in: Plath, BDSG/DSGVO, 2. Aufl.2016, § 3 BDSG, Rn. 17 m.w.N. []
  2. vgl. BGH, U.v. 13.07.2016 – IV ZR 292/14 ? 39 m.w.N. []
  3. vgl. hierzu Plath a.a.O., § 28 Rn. 148 und § 11 Rn. 33 []
  4. vgl. hierzu Petri in Simi­tis, Bun­des­daten­schutzge­setz, 8. Auflage 2014, § 11 Rn. 36 m.w.N. []
  5. vgl. OLG Düs­sel­dorf, U.v. 13.02.2015 – I-16 U 41/14 ? 36 []
  6. vgl. Petri a.a.O. § 11 Rn. 23: “typ­is­che Fallgestal­tung” der Auf­gabenüber­tra­gung []
  7. vgl. hierzu Plath a.a.O., § 11 Rn.20 m.w.N. []
  8. vgl. Plath a.a.O., § 28 Rn. 119 m.w.N. []
  9. Simi­tis a.a.O., § 28 Rn. 232 []
  10. vgl. Wolff in BeckOK Daten­schutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: “Absatz 3 Satz 3 ist keine eigene Erhe­bungs- oder Über­mit­tlungs­befug­nis. Absatz 3 Satz 3 soll es der ver­ant­wortlichen Stelle ermöglichen, einen eige­nen Datenbe­stand, der direkt beim Betrof­fe­nen erhoben wurde, für Zwecke der Eigen­wer­bung oder der eige­nen Markt- oder Mei­n­ungs­forschung zu selek­tieren, um die beste­hen­den Kun­den geziel­ter ansprechen zu kön­nen.” []
  11. vgl. Plath a.a.O., § 28 Rn. 144 []
  12. EuGH, U.v.19.10.2016 – Brey­er, — C‑582/14 ? 62 unter Bezug­nahme auf U.v. 24.11.2011 – ASNEF und FECEMD, — C‑468/10 und — C‑469/10 ? 47 f. []
  13. EuGH, U.v.19.10.2016 – Brey­er, — C‑582/14 ? 62 []
  14. vgl. Plath a.a.O., § 28 Rn. 124 []
  15. Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 f. []
  16. vgl. Simi­tis a.a.O., § 28 Rn. 108 m.w.N. []