1.
Die Antragstellerin betreibt unter der Internetadresse (...) einen Onlineshop und unterhält ein Konto beim sozialen Netzwerk Facebook. Sie begehrt einstweiligen Rechtsschutz gegen eine datenschutzrechtliche Anordnung des Bayerischen Landesamts für Datenschutzaufsicht betreffend die unter dem Facebook-Konto erstellten Kundenlisten (sogenannte „Custom Audiences“).
Mit Bescheid vom 16.01.2018 erließ das Bayerische Landesamt für Datenschutzaufsicht eine Anordnung, mit der die Antragstellerin verpflichtet wurde, binnen zwei Wochen nach Zustellung des Bescheides die unter ihrem Facebook-Konto erstellten Custom Audiences (Kundenlisten) zu löschen (Ziffer 1). Die sofortige Vollziehung der Ziffer 1 des Bescheides wurde angeordnet (Ziffer 2). Für den Fall, dass die Antragstellerin der Verpflichtung nach Ziffer 1 des Bescheides nicht nachkomme, wurde ein Zwangsgeld in Höhe von 10.000,00 EUR angedroht (Ziffer 3). Die Antragstellerin habe die Kosten des Verfahrens zu tragen. Die Gebühr wurde auf 100,00 EUR festgesetzt, die Auslagen ergäben sich aus der beiliegenden Kostenrechnung (Ziffer 4 bis 6).
Zur Begründung dieser Anordnung wurde ausgeführt, der Dienst „Facebook Custom Audience“ des Unternehmens Facebook ermögliche verantwortlichen Stellen die zielgerichtete Werbung auf dem sozialen Netzwerk Facebook. Dazu lade ein Unternehmen eine Liste mit seinen eigenen Kunden innerhalb seines Facebook-Kontos hoch oder kopiere eine Kundenliste und füge sie in die Benutzeroberfläche des Facebook-Kontos ein.
Die Listen könnten folgende Informationen über den Kunden enthalten: E-Mail-Adresse, Telefonnummer, Werbekunden-ID, Vorname, Nachname, Postleitzahl, Stadt, Bundesland, Land, Geburtsjahr, Geschlecht.
Nachdem das Unternehmen eine Textdatei mit Kundendaten ausgewählt habe, werde diese Kundendatei innerhalb des Browsers des Unternehmens verarbeitet, d.h. es werde u.a. für jede einzelne E-Mail-Adresse der Kunden mittels der kryptographischen Hashfunktion SHA-256 ein sogenannter Hashwert berechnet. Nachdem alle E-Mail-Adressen in Hashwerte transformiert worden seien, finde eine Übermittlung der einzelnen Hashwerte an einen Facebook-Server statt. Zusätzlich zu den gehashten Kundendaten würden auch Informationen zum Unternehmen sowie gegebenenfalls zur Werbemaßnahme übermittelt. Im Anschluss daran gleiche Facebook die erhaltenen Hashwerte mit den eigenen Hashwerten (SHA-256) der E-Mail-Adressen aller Facebook-Mitglieder ab. Seien zwei Hashwerte identisch, dann sei die E-Mail-Adresse und das dazugehörende Facebook-Mitglied ermittelt. Alle ermittelten Facebook-Mitglieder bildeten eine Custom Audience.
Nach Erstellung dieser Custom Audience entwerfe das Unternehmen Werbeanzeigen. Facebook-Mitglieder, die sich auf der Kundenliste des Unternehmens befänden, erhielten nun zielgerichtete Werbung, die durch Facebook innerhalb des Facebook-Profils des Nutzers ausgesendet werde. Die Zielgruppe der anzusprechenden Facebook-Mitglieder könne durch das Unternehmen näher spezifiziert werden, indem es die Zielgruppe unter Angabe eines oder mehrerer Merkmale definiere.
Darüber hinaus könne auch noch eine weitergehende, detaillierte Zielgruppenauswahl getroffen werden. Um zu bestimmen, welche Merkmale oder Interessen einem Facebook-Nutzer zuzuordnen seien, verarbeite Facebook Informationen aus verschiedenen Quellen (z.B. aktueller Wohnort aus Profilen, IP-Adresse, Daten von Mobilgeräten sowie zusammengefasste Informationen zum Standort von Freunden). Zudem würden weitere Informationen auf dem Facebook-Profil eines Nutzers, dessen Aktivitäten auf Facebook und die Interaktionen des Nutzers mit Unternehmen ausgewertet. Nach der Erstellung der Kundenliste und der Einschränkung der Zielgruppe erhielten die ausgewählten Facebook-Mitglieder Werbeanzeigen des Unternehmens innerhalb des Portals facebook.de. Welche konkreten Facebook-Mitglieder beworben worden seien, erfahre der Werbetreibende (das Unternehmen, das seine Kundendaten hochgeladen habe) nicht. Das Unternehmen könne anschließend festlegen, wie hoch das Budget sein solle. Es könne eine Custom Audience jederzeit innerhalb des Werbekontos löschen. Sobald eine Custom Audience gelöscht worden sei, erfolge keine Werbung mehr an Facebook-Mitglieder. Das Werbeangebot von Facebook stelle das wesentliche Geschäftsmodell der Muttergesellschaft dar. Für die Nutzer sei das soziale Netzwerk Facebook kostenlos nutzbar.
Mitglieder von Facebook könnten innerhalb ihres Facebook-Kontos in den Privatsphäre-Einstellungen die ihnen zugeordneten Interessen einsehen und verändern sowie erfahren, in welchen Custom Audiences sie seien. Das Facebook-Mitglied erfahre auf diese Weise, welche Unternehmen ihn über Facebook bewerben. Facebook schließe mit Werbetreibenden einen Vertrag, sogenanntes „Custom Audience Addendum“, in dem Art und Umfang der Datenverarbeitung geregelt seien. Weiterhin vereinbare der Werbetreibende „Nutzungsbedingungen für Custom Audience“ mit Facebook.
Die Antragstellerin betreibe einen Onlineshop und nutze den Dienst „Facebook Custom Audience“. Im Rahmen der Nutzung seien mehrfach Kundenlisten mit E-Mail-Adressen hochgeladen worden. Die Antragstellerin nutze für den Dienst Kundendaten, insbesondere E-Mail-Adressen, die z.B. im Rahmen von Bestellvorgängen erhoben worden seien. Eine Einwilligung von Kunden der Antragstellerin in die Nutzung ihrer E-Mail-Adressen im Rahmen des Dienstes „Facebook Custom Audience“ liege nicht vor.
Mit Schreiben vom 08.06.2017 sei die Antragstellerin zur Stellungnahme wegen des Einsatzes von Facebook Custom Audience aufgefordert worden. Diese habe daraufhin mitgeteilt, nach dortiger Ansicht sei zunächst strikt zwischen dem Hochladen der Kundenliste durch (...) für Werbezwecke und der weiteren Datenverarbeitung durch Facebook zu unterscheiden. Soweit die Kundendaten durch Facebook gehasht würden, sei laut Antragstellerin ein Auftragsdatenverarbeitungsverhältnis anzunehmen. Nachdem bei einem Gesprächstermin am 11.08.2017 keine einheitliche Rechtsauffassung erzielt worden sei, habe das Bayerische Landesamt für Datenschutzaufsicht darauf hingewiesen, dass es sich um einen datenschutzrechtlichen Verstoß handele und beabsichtigt sei, eine Anordnung zu erlassen, um diesen Verstoß zu beseitigen.
Daraufhin habe die Antragstellerin erklärt, den Dienst von Facebook auch künftig einsetzen zu wollen und mitgeteilt, die Rechtmäßigkeit ihres Handelns gegebenenfalls in einem gerichtlichen Verfahren klären zu lassen. Auf eine nochmalige Anhörung sei verzichtet worden.
Die Anordnung in Ziffer 1 des Bescheides stütze sich auf § 38 Abs. 5 Satz 1 des Bundesdatenschutzgesetzes (BDSG).
Bei der Kundenliste, die die Antragstellerin an Facebook übermittle, handele es sich um personenbezogene Daten. E-Mail-Adressen vermittelten, wenn der Inhaber eine natürliche Person sei, in der Regel einen Personenbezug. Durch die bisherige Verwendung im Rahmen der E-Mail-Kommunikation und durch Bekanntgabe auf Briefbögen, Visitenkarten, usw. sei der Inhaber einer E-Mail-Adresse oft vielen Personen bekannt.
Dadurch könnten die Inhaber von E-Mail-Adressen über Verzeichnisse und Suchmaschinen wie auch über die Profilseiten von sozialen Netzwerken mit Namen, aber mitunter auch mit Anschrift und mit Fotos abrufbar oder auffindbar sein. Darüber hinaus enthielten E-Mail-Adressen häufig Namensbestandteile des Nutzers. Es erfolge auch keine Anonymisierung der Kundendaten von … durch das Hashen. Das verwendete Hashverfahren SHA-256 sei kein geeignetes Anonymisierungsverfahren, weil die Daten nach dem Hashen zum Zwecke der personalisierten Werbung verwendet würden und einen Rückschluss auf einen konkreten Nutzer von Facebook möglich sei.
Facebook könne durch einen Vergleich der Hashwerte feststellen, welches Facebook-Mitglied auch Kunde der verantwortlichen Stelle, hier der Antragstellerin, sei. Dies sei immer dann der Fall, wenn zwei Hashwerte – ein übermittelter und ein von Facebook selbst berechneter – gleich seien. Da zu einem Facebook-Mitglied immer eine E-Mail-Adresse gehöre, könne Facebook dem Hashwert eine E-Mail-Adresse zuordnen, sofern deren Inhaber auch Facebook-Mitglied sei. Darüber hinaus könne der Hashwert der E-Mail-Adresse auch ohne verhältnismäßig hohen Aufwand zurückgerechnet werden.
Ein Verfahren zur Rückrechnung von Hashwerten bestehe darin, sog. Brute-Force-Methoden anzuwenden. Diese berechneten für eine Liste von Klartexten (z.B. E-Mail-Adressen) die dazugehörenden Hashwerte. Werde der berechnete Hashwert mit einem vorhandenen Hashwert verglichen und seien beide Hashwerte gleich, sei der passende Klartext zu dem Hashwert bekannt.
Durch diese Methode könne jeder Hashwert um den Klartext „zurückberechnet“ werden. Für die Beurteilung, ob das Hashverfahren zu einer Anonymisierung der E-Mail-Adresse führe, sei maßgeblich, wie groß der Aufwand an Rechenkapazitäten, Geld und Zeit für eine Rückrechnung sei. Da die meisten verwendeten E-Mail-Adressen einen Bezug zum eigenen Namen hätten sowie einem gewissen Regelwerk unterlägen, müsse bei der Transformation einer E-Mail-Adresse mit dem SHA-256-Verfahren davon ausgegangen werden, dass eine nicht unerhebliche Anzahl von Hashwerten zurückgerechnet werden könne. Diese Hashwerte erfüllten dann nicht die Anforderungen an die Anonymisierung gemäß § 3 Abs. 6 BDSG.
Facebook sei auch nicht Auftragsdatenverarbeiter. Bei Facebook handele es sich nicht um einen Auftragnehmer der Antragstellerin im Sinne des § 11 Abs. 1 BDSG, sondern um einen Dritten gemäß § 3 Abs. 8 Satz 2 BDSG. Eine Auftragsdatenverarbeitung liege dann vor, wenn die verantwortliche Stelle eine andere Stelle damit betraue, Daten zu erheben, zu verarbeiten oder zu nutzen. Die Voraussetzungen einer Auftragsdatenverarbeitung seien jedoch dann nicht mehr gegeben, wenn dem Serviceunternehmer eine eigenständige „rechtliche Zuständigkeit“ für die Aufgabe zugewiesen und ein inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt werde. Im konkreten Fall bestimme Facebook in eigenem Ermessen, welche seiner Facebook-Mitglieder beworben würden. Facebook werte das Verhalten seiner Mitglieder aus (z.B. Drücken des Like-Buttons).
Daraus ergäben sich Interessen, die den Zielgruppen der Custom Audience zugeordnet würden. Die Antragstellerin bestimme lediglich, welche Interessen eine Gruppe von Facebook-Mitgliedern haben solle. Welche konkreten Facebook-Mitglieder schließlich beworben würden, erfahre die Antragstellerin nicht. Sie habe auch keine Möglichkeiten, die zu Bewerbenden individuell auszuwählen. Darüber hinaus wäre die Antragstellerin auch nicht selbst in der Lage, die konkreten Betroffenen, die über ihr Facebook-Profil Werbung erhielten, auszuwählen. Facebook lasse bei der Auswahl der zu Bewerbenden eigenes Wissen anhand der Profildaten seiner Facebook-Mitglieder einfließen, so dass ausschließlich Facebook in der Lage sei, die ausgewählte Custom Audience zu bewerben. Zudem verfolge Facebook ein über den Auftrag hinausgehendes Eigeninteresse, da das soziale Netzwerk Facebook für alle Nutzer „kostenlos“ zur Verfügung stehe. Einnahmen würden hier ausschließlich über das Geschäftsmodell der Profilwerbung generiert. Schließlich spreche für die Annahme, dass es sich bei Facebook um einen Dritten im Sinne des § 3 Abs. 8 Satz 2 BDSG handele, dass Facebook seinen Mitgliedern (zu Recht) Betroffenenrechte einräume.
So könne der Nutzer innerhalb seines Facebook-Kontos in den Einstellungen zur Privatsphäre die ihm zugeordneten Interessen einsehen und verändern sowie erfahren, in welche Custom Audiences er aufgenommen worden sei. Der Abgleich der Kundenliste der Antragstellerin mit den eigenen Mitgliedern durch Facebook und das anschließende Bewerben der eigenen Mitglieder, die auch Kunden der Antragstellerin seien, sei ein einheitlicher Vorgang, auf den die Antragstellerin keinen Einfluss habe. Eine Aufspaltung dieses Vorgangs mit dem Ziel, den Abgleich der Kundenliste der Antragstellerin mit den eigenen Mitgliedern als Auftragsdatenverarbeitungsverhältnis und die anschließende Bewerbung als davon losgelöste Datenverarbeitung von Facebook in eigener Verantwortlichkeit zu bewerten, sei unzutreffend, führte aber im Ergebnis auch zu keiner anderen datenschutzrechtlichen Bewertung. Entscheidend für die Frage, ob ein Auftragsdatenverarbeitungsverhältnis vorliege, sei nicht die vertragliche Vereinbarung gemäß § 11 BDSG zwischen den Beteiligten. Die Einstufung als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter müsse jeweils im Hinblick auf spezifische Daten- oder Vorgangsreihen bewertet werden.
Die datenschutzrechtlich relevante Verarbeitung betreffe die vollständige und bestimmungsmäßige Nutzung des Dienstes Facebook Custom Audience über die Kundenliste zu Werbezwecken. Eine Aufspaltung dieses Dienstes in einerseits die Umwandlung der E-Mail-Adressen zu Hashwerten und andererseits den Abgleich der Hashwerte sowie die Auswahl der Custom Audience anhand spezifischer Merkmale und Interessen und die anschließende Ausspielung der Werbung auf Facebook sei nur künstlich und nicht sachgerecht. Dies würde dazu führen, dass ein einheitlicher Sachverhalt unnatürlich auseinandergerissen werde. Im Übrigen erfolge die Vergütung für den Dienst Facebook Custom Audience nicht allein für die Verarbeitung der E-Mail-Adressen zu Hashwerten, wie es der Auftragsdatenverarbeitungsvertrag vorsehe, sondern erstrecke sich vielmehr auf die Ausspielung der Werbung.
Eine Einwilligung i.S.v. § 4a BDSG, § 28 Abs. 3a BDSG, dass die Antragstellerin ihre Kundendaten an Facebook übermittle, liege nicht vor. Die allgemeinen Voraussetzungen für eine wirksame Einwilligung gemäß § 4a BDSG seien nicht erfüllt, da es schon an einer Information über die konkrete Datenverarbeitung fehle. Weder die Datenschutzhinweise der Antragstellerin noch die AGB hätten zum Zeitpunkt der Prüfung einen Hinweis über den Datenumgang mit E-Mail-Adressen im Zusammenhang mit Werbung über Facebook enthalten. Darüber hinaus fehle es an einer bewussten und eindeutigen Handlung, mit der der betroffene Kunde der Antragstellerin unmissverständlich zum Ausdruck bringe, dass er mit der Weitergabe seiner E-Mail-Adresse an Facebook einverstanden sei.
Die Übermittlung der Kundendaten an Facebook sei auch nicht aufgrund einer sonstigen Rechtsgrundlage zulässig. Als Rechtfertigung käme hier allenfalls § 28 Abs. 3 Satz 1 oder Satz 2 BDSG in Frage. Nach § 28 Abs. 3 Satz 1 BDSG sei die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung zulässig, soweit der Betroffene eingewilligt habe und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Abs. 3a verfahre. Eine Einwilligung habe jedoch nicht vorgelegen. Nach § 28 Abs. 3 Satz 2 BDSG sei darüber hinaus die Verarbeitung oder Nutzung personenbezogener Daten zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handele, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränkten und soweit die Verarbeitung oder Nutzung erforderlich sei.
Unabhängig davon, ob es sich bei den Kontakten in den Kundenlisten der Antragstellerin überhaupt um eine Personengruppe in diesem Sinne handele, gehöre die E-Mail-Adresse jedenfalls nicht zu den insoweit privilegierten Datenarten und dürfe somit nicht auf dieser Grundlage zu Zwecken der Werbung erhoben, verarbeitet oder genutzt werden. Zwar könnten gemäß § 28 Abs. 3 Satz 3 BDSG für Zwecke der Werbung für eigene Angebote weitere Daten zu den nach Satz 2 Nr. 1 genannten Daten hinzugespeichert werden. Allerdings sei eine Verarbeitung gemäß § 28 Abs. 3 Satz 2 Nr. 1 BDSG i.V.m. § 28 Abs. 3 Satz 3 BDSG nur zulässig, soweit schutzwürdige Interessen des Betroffenen nicht entgegenstünden (§ 28 Abs. 3 Satz 6 BDSG). Es sei daher eine Abwägung zwischen den Interessen der Antragstellerin und den Interessen der Betroffenen, d.h. der Kunden der Antragstellerin, vorzunehmen. Diese Interessenabwägung ergebe sich nach einer richtlinienkonformen Auslegung des § 28 Abs. 3 Satz 6 BDSG, wonach die Wertung des Art. 7 lit. f der Richtlinie 95/46/EG zu berücksichtigen sei.
Das Interesse der Antragstellerin an Werbung auf sozialen Netzwerken sei als berechtigt anzusehen. Demgegenüber stünden die Grundrechte der Kunden der Antragstellerin auf Achtung ihres Privat- und Familienlebens und Schutz personenbezogener Daten gemäß Art. 7 und 8 der EU-Grundrechtecharta sowie das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG. Indem die E-Mail-Adressen der Kunden der Antragstellerin an Facebook übermittelt würden, werde zugleich die Information preisgegeben, dass ein Nutzer auch Kunde der Antragstellerin sei. Diese Information werde von der Antragstellerin für die eigene Profilerstellung für kommerzielle Zwecke genutzt. Zwar sei vertraglich zwischen der Antragstellerin und Facebook vereinbart, dass die Hashwerte unverzüglich nach dem Abgleich gelöscht werden. Der Screenshot eines Profils eines Beschwerdeführers belege jedoch, dass die Information, dass er über die Kundenliste eines Unternehmens beworben werde, auch zum Profil des Nutzers hinzugefügt werde. Ohne das Hochladen der Kundenliste hätte Facebook diese Information nicht erhalten. Zudem erwarte ein …Kunde, der seine E-Mail-Adresse im Rahmen des Bestellvorgangs abgebe, nicht, dass diese E-Mail-Adresse an Facebook übermittelt werde.
Schließlich stehe dem überwiegenden Interesse der Antragstellerin entgegen, dass durch den Einsatz des Tools Facebook Custom Audience über die Kundenliste die Betroffenenrechte nicht gewahrt würden. Die Wahrung der Betroffenenrechte sei aber unabdingbare Voraussetzung für eine zulässige Datenverarbeitung. Die Antragstellerin könne ihre Hinweispflicht gemäß § 4 Abs. 3 BDSG nicht erfüllen. Verantwortliche Stellen seien hiernach verpflichtet, dem Betroffenen über die Identität der verantwortlichen Stelle, den Zweck der Verarbeitung und die Kategorien von Empfängern zu informieren, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen müsse.
Diese Informationspflicht könne die Antragstellerin nicht erfüllen, da sie keine Kenntnis darüber habe, welche Betroffenen der Kundenliste nach dem Abgleich durch Facebook ausgewählt und schließlich beworben würden. Aus dem gleichen Grund sei es der Antragstellerin auch nicht möglich, dem Betroffenen Auskunft über die Verarbeitung seiner personenbezogenen Daten zu geben. Da Facebook nicht mitteile, welche Mitglieder beworben werden, könne die Antragstellerin folglich auch ihrer Auskunftsverpflichtung aus § 34 BDSG nicht in dem vom Gesetz vorgeschriebenen Maß nachkommen. Schließlich sei auch die praktische Umsetzung eines Widerspruchs gegen die Verarbeitung nicht möglich. Zwar sei ein Widerspruchsrecht gesetzlich nicht zwingend vorgeschrieben. Allerdings würde die Möglichkeit, der Datenverarbeitung widersprechen zu können, die Schwere der Beeinträchtigung des Rechts auf informationelle Selbstbestimmung reduzieren. Eine Abwägung der Interessen im konkreten Einzelfall ergebe, dass die Interessen der betroffenen Kunden der Antragstellerin die Interessen der Antragstellerin selbst überwögen und folglich die Datenverarbeitung nicht gemäß § 28 Abs. 3 Satz 6 BDSG zulässig sei.
Darüber hinaus sei festzuhalten, dass die Übermittlung einer Liste mit personenbezogenen Daten von Kunden der Antragstellerin an Facebook unter Heranziehung der ab dem 25.05.2018 geltenden Rechtsgrundlage, der Datenschutz-Grundverordnung, ebenfalls unzulässig wäre und gemäß Art. 83 Abs. 5 DSGVO (der Datenschutz-Grundverordnung) einen Verstoß darstellen würde, der mit einer Geldbuße von bis zu 20 Mio. EUR bzw. 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht sei. Auf die weitere Begründung des Bescheides, insbesondere zur Anordnung der sofortigen Vollziehung und der Zwangsgeldandrohung, wird Bezug genommen.
Gegen diesen Bescheid ließ die Antragstellerin mit Schriftsatz ihrer Bevollmächtigten vom 01.02.2018 – bei Gericht eingegangen am selben Tag – Klage erheben, die unter dem Aktenzeichen B 1 K 18.106 geführt wird. Zugleich wurde um einstweiligen Rechtsschutz nachgesucht und beantragt, die aufschiebende Wirkung der mit (hiesigem) Schriftsatz vom 01.02.2018 erhobenen Klage der Antragstellerin gegen den Bescheid vom 16.01.2018 (...) wiederherzustellen.
Zur Begründung von Klage und Eilantrag wurde insbesondere ausgeführt, der für Custom Audiences verwendete SHA-256 Hash-Algorithmus werde vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) als sicher angesehen und empfohlen. Facebook könne auf Basis der Custom Audience für das jeweilige Unternehmen auch sogenannte „Vergleichsaudiences“ erstellen, die beispielsweise nur Facebook-Mitglieder erhielten, die ähnliche Interessen aufwiesen wie eine „Ausgangsaudience“ und daher vom Unternehmen zum Zweck der Neukundenakquise genutzt werden könnten.
Für die Bildung der Vergleichsaudiences würden ausschließlich Daten verwendet, die Facebook selbst erhoben habe. Gegenstand der Anordnung des Antragsgegners seien nach Verständnis der Antragstellerseite diese „Ausgangsaudiences“, die vom Antragsgegner als „Custom Audience (Kundenlisten)“ bezeichnet würden, hingegen nicht die von Facebook in eigener Verantwortung erstellten Vergleichsaudiences. In sämtlichen Custom Audiences befänden sich aufgrund der dargestellten Vorgehensweise nur Facebook-Mitglieder, die im Zuge ihrer Registrierung bei Facebook den Nutzungsbedingungen und der Datenrichtlinie von Facebook zugestimmt hätten. Diese könnten in ihrem Nutzerkonto bei Facebook in den Privatsphäre-Einstellungen jederzeit einsehen, welche Interessen ihnen zugeordnet seien und diese auch verändern.
Sie könnten darüber hinaus einsehen, welchen Custom Audiences (in Form von „Ausgangsaudiences“) sie aktuell zugeordnet seien und auf diese Weise erfahren, welche Unternehmen sie über Facebook gezielt bewerben. Hierdurch würden die Mitglieder (nochmals) darauf hingewiesen, welche Unternehmen ihre Daten zu Marketingzwecken im Zusammenhang mit dem Dienst Custom Audience nutzten und die Mitglieder hätten die Möglichkeit, den jeweiligen Unternehmen mitzuteilen, dass eine weitere Datennutzung zu dem genannten Zweck nicht erfolgen solle. Der Hinweis darauf, welchen Custom Audiences ein Mitglied zuzuordnen sei, sei daher positiv für das Mitglied. Insoweit sei allerdings festzuhalten, dass Facebook diese Information nicht zur Bewerbung des Nutzers außerhalb der jeweiligen Custom Audience verwende. Facebook-Mitglieder seien nicht auf die Privatsphäre-Einstellungen beschränkt, wenn sie ihre Rechte als Nutzer (etwa auf Auskunft) geltend machen möchten.
Die Antragstellerin habe zur Nutzung des Dienstes Custom Audience ausschließlich bereits von ihr gehashte E-Mail-Adressen zu Facebook hochgeladen, die sie (die Antragstellerin) zuvor als verantwortliche Stelle im datenschutzrechtlichen Sinne im Rahmen von eigenen Kundenbeziehungen direkt bei den Betroffenen erhoben habe.
Die Antragstellerin habe, anders als im Bescheid behauptet, zu keinem Zeitpunkt argumentiert, die Kundendaten würden durch Facebook gehasht und insoweit sei ein Auftragsdatenverarbeitungsverhältnis anzunehmen oder es bestünde zwischen ihr und Facebook ein Auftragsdatenverarbeitungsverhältnis, soweit es um die Umwandlung der E-Mail-Adressen von Klartext zu Hashwerten gehe.
Das Auftragsdatenverarbeitungsverhältnis beziehe sich vielmehr auf den Abgleich bereits von der Antragstellerin selbst gehashter E-Mail-Adressen durch Facebook. Vertragliche Grundlage für die von Facebook für die Antragstellerin durchgeführten Überschneidungsanalysen seien die sogenannten „Nutzungsbedingungen für Custom Audience“ von Facebook.
Facebook habe sich insofern vertraglich dazu verpflichtet, die Information, wessen Kunde ein Facebook-Mitglied sei, nicht für eigene Werbezwecke oder Werbezwecke Dritter und nicht zur Ergänzung der bei Facebook vorliegenden Informationen über das Mitglied zu verwenden. Facebook habe darüber hinaus gegenüber der Antragstellerin – zuletzt in einem Gespräch am 23.01.2018 – versichert, dass eine Verknüpfung tatsächlich nicht erfolge.
Facebook habe die Einhaltung der in den vorstehenden Nutzungsbedingungen getroffenen zentralen Aussagen durch die Wirtschaftsprüfungsgesellschaft (...) prüfen lassen (ein entsprechender Bericht wurde als Anlage K3 vorgelegt, worauf Bezug genommen wird). Dieser Report erhalte auf den Seite 4 bis 5 die Bestätigung, dass u.a. die folgenden Aussagen Facebooks aus dem Report zuträfen: Die für den Abgleichprozess vom zu bewerbenden Unternehmen zur Verfügung gestellten Daten würden von Facebook weder anderen Werbetreibenden noch sonstigen Dritten zur Verfügung gestellt und die gehashten Daten würden nach Durchführung des Abgleichs gelöscht.
Dabei ergebe sich auch aus dem Report, dass die Löschung der gehashten Daten nach maximal 48 Stunden erfolge. Der Antragstellerin lägen auch keine Anhaltspunkte dafür vor, dass Facebook im Zusammenhang mit dem Dienst Custom Audience gegen vertragliche Vereinbarungen verstoße. Insofern werde die im Bescheid getroffene Aussage, Facebook nutze das Zusatzwissen, dass Facebook-Mitglieder auch Kunden von … seien, für eigene Zwecke, indem sie deren bereits vorhandenes Profil mit weiteren Merkmalen anreichere, ausdrücklich bestritten.
Die Behauptung, der Screenshot eines nicht näher bestimmten Beschwerdeführers zeige, dass die Information, er werde über die Kundenliste eines Unternehmens beworben, zu seinem Profil hinzugefügt werde, werde zur Rechtswahrung mit Nichtwissen bestritten. Ebenso werde mit Nichtwissen bestritten, dass es sich bei dem im Screenshot genannten Unternehmen um die Antragstellerin handele. Unklar sei hierbei bereits, was der Antragsgegner unter „Profilinformationen“ verstehe. Es bestehe im Übrigen ein Unterschied zwischen den Informationen, die Facebook nutze, um Werbung an seine Mitglieder auszuspielen und der von Facebook bereitgestellten Möglichkeit, dass die Facebook-Mitglieder in ihren Privatsphäreeinstellungen feststellen könnten, in welchem Custom Audiences sie enthalten seien.
Relevant sei darüber hinaus die geschlossene Zusatzvereinbarung (als Anlage K4 nebst einer Übersetzung des wesentlichen Teils, Anlage K5, vorgelegt). Dieser könne entnommen werden, dass es sich um eine Vereinbarung zur Auftragsdatenverarbeitung handle, die schriftlich vereinbart worden sei und sämtliche diesbezüglichen Anforderungen des § 11 BDSG erfülle.
Der Vereinbarung lasse sich insbesondere entnehmen, dass die Antragstellerin sich in Bezug auf die gehashten Daten ein Weisungsrecht gegenüber Facebook habe einräumen lassen. Danach könne sie Facebook u.a. jederzeit anweisen, die gehashten Daten zu löschen. Gleichzeitig sei Facebook verpflichtet, die gehashten Daten nur im vertraglich definierten Umfang zu verwenden. Dementsprechend dürften die gehashten E-Mail-Adressen von Facebook ausschließlich für die Überschneidungsanalyse verwendet werden.
Von der Überschneidungsanalyse zur Erstellung der „Ausgangsaudience“ abzugrenzen sei die Nutzung von Daten, die Facebook als verantwortliche Stelle verarbeite (z. B. Nutzung von Like-Buttons, Nutzung von Account-Informationen). Diese Informationen flössen in die Interessen des Nutzers ein und würden von Facebook für werbliche Zwecke verwendet, nämlich u.a. zur gezielten Bewerbung der „Ausgangsaudiences“ und der Erstellung von „Vergleichsaudiences“, und zwar in alleiniger Verantwortung Facebooks. Stringent sei es daher, dass sich die Zusatzvereinbarung und somit die Vereinbarung einer Auftragsdatenverarbeitung zwischen der Antragstellerin und Facebook ausschließlich auf die Nutzung der gehashten E-Mail-Adressen, die die Antragstellerin bei Facebook hochlade, zur Durchführung der Überschneidungsanalyse beschränke.
Die Antragstellerin informiere ihre Kunden und sonstigen Website-Besucher über den Einsatz von Custom Audience. Der Datenschutzhinweis ihres Internetangebots enthalte hierzu an prominenter Stelle seit dem 22.08.2017 einen entsprechenden Hinweis. Diese Datenschutzhinweise stünden den Betroffenen bereits bei der Registrierung zur Verfügung und müssten bei Anlage eines Kundenkontos zwingend aktiv bestätigt werden. Darüber hinaus seien die Nutzer der Website … im Datenschutzhinweis der Website auch vor dem 22.08.2017 darüber informiert worden, dass ihre E-Mail-Adresse auch für eigene und fremde Werbezwecke genutzt und übermittelt würden und sie hiergegen jederzeit Widerspruch erheben könnten. Vor diesem Hintergrund sei die Behauptung, die Kunden der Antragstellerin seien nicht informiert gewesen (S. 14 des Bescheids), unzutreffend.
Unzutreffend sei es auch, dass die Betroffenen nicht hätten widersprechen können. Auch die weitere Behauptung, ein solcher Werbewiderspruch lasse sich im Zusammenhang mit den Kundenlisten nicht umsetzen, sei falsch. Tatsächlich könnten Betroffene jederzeit mit Wirkung für die Zukunft widersprechen. Sobald ein Kunde, der auf einer bei Facebook hochgeladenen Kundenliste stehe, widerspreche, könne die Antragstellerin die „Ausgangsaudience“ bei Facebook aktualisieren, in dem sie den widersprechenden Kunden von der zu hashenden Kundenliste entferne, die entsprechend bereinigte Kundenliste erneut hashe und bei Facebook wieder hochlade. Im Ergebnis entstehe so eine aktualisierte „Ausgangsaudience“ bei Facebook, die – bis auf die Daten der Personen, die zwischenzeitlich widersprochen hätten – dieselben Kunden betreffe wie vorher. Dies habe die Antragstellerin in der Vergangenheit auch getan.
Insofern sei für einen effektiven Widerspruch nicht entscheidend, dass die Antragstellerin keine einzelnen Betroffenen von dieser Liste löschen könne. Es werde mit Nichtwissen bestritten, dass sich aus der Eingabe eines einzelnen Facebook-Mitglieds, dessen gehashte Daten durch (irgendein) Unternehmen hochgeladen worden seien und der Teil einer Custom Audience geworden sei, schließen lasse, dass die Kunden nicht möchten, dass Facebook auch Informationen darüber erhalte, bei welchen Unternehmen sie Produkte oder Dienstleistungen erwürben. Auch werde mit Nichtwissen bestritten, dass das durchschnittliche Facebook-Mitglied nicht erwarte, dass die Information, dass er Kunde eines Onlineshops sei, an Facebook übermittelt werde. Weiterhin sei unzutreffend, dass die Antragstellerin im Zusammenhang mit dem Dienst Custom Audience nicht in der Lage sei, die Betroffenenrechte, namentlich das Recht auf Information und Auskunft, zu erfüllen. Die Betroffenenrechte seien lückenlos gewahrt. Wie bereits dargelegt, könne die Antragstellerin gegenüber Facebook festlegen, welche Zielgruppen innerhalb des von Facebook betriebenen sozialen Netzwerks Werbung des Unternehmens angezeigt erhalten sollen. Welche Interessen die Beworbenen hätten, ergebe sich wiederum aus deren Facebook-Nutzerkonto, auf das nur Facebook als Betreiber des Netzwerks und das jeweilige Facebook-Mitglied Zugriff hätten. Insofern seien die auf Seite 11 des Bescheids getätigten Ausführungen ebenfalls nicht zutreffend. Richtig sei vielmehr, dass die Antragstellerin festlege, welche Zielgruppen beworben werden sollten, also bestimme, welche Interessen die Facebook-Mitglieder haben sollen, die ihre Werbung angezeigt erhielten. Sie bestimme aber nicht, welche Interessen eine Gruppe von Facebook-Mitgliedern haben solle. Dies bestimmten allenfalls Facebook bzw. das jeweilige Mitglied.
Im Bescheid werde zutreffend erwähnt, dass die Antragstellerin nicht erfahre, wem ihre Anzeigen angezeigt würden. Klarstellend werde festgehalten, dass die Antragstellerin von Facebook auch nicht erfahre, welche ihrer Kunden in ihre „Custom Audiences“ aufgenommen worden seien, geschweige denn, welche Interessen ihren einzelnen Kunden als Facebook-Mitglieder zugeordnet seien. Diese personenbezogenen Daten verblieben bei Facebook Facebook stelle der Antragstellerin nur aggregierte statistische Informationen zu den generellen Eigenschaften der Gesamtheit ihrer Kunden bereit. Ergänzend halte die Antragstellerin fest, dass sie bei der Zielgruppenauswahl gegenüber Facebook zu keinem Zeitpunkt eine Auswahl anhand besonderer Arten von Daten im Sinne des § 3 Abs. 9 BDSG vorgenommen habe und dies auch zukünftig nicht beabsichtige.
Ein Verstoß gegen datenschutzrechtliche Vorgaben im Sinne des § 38 Abs. 5 Satz 1 BDSG liege nicht vor. Dies gelte sowohl unter derzeitigem Datenschutzrecht als auch unter der ab dem 25.05.2018 anzuwendenden DSGVO.
Die Antragstellerin habe Daten ausschließlich rechtmäßig verarbeitet. Anders als vom Antragsgegner angenommen, könnten und müssten die einzelnen mit dem Dienst „Custom Audience (Kundenliste)“ verbundenen Datenverarbeitungen getrennt betrachtet werden. Insofern sei die Weitergabe gehashter E-Mail-Adressen durch die Antragstellerin an Facebook zum Abgleich zur Erstellung einer „Ausgangsaudience“ im Rahmen einer Auftragsdatenverarbeitung möglich.
Es handele sich bei der Weitergabe der gehashten E-Mail-Adressen an Facebook zum Zwecke des Abgleichs mit Facebook-Nutzerdaten nicht um eine Übermittlung an Dritte im Sinne des § 3 Abs. 8 Satz 2 BDSG, sondern um eine Weitergabe von Daten im Rahmen einer (zulässigen) Auftragsdatenverarbeitung nach § 11 BDSG. Bei zutreffender Betrachtung sei strikt zu trennen zwischen der Verarbeitung der Daten, die die Antragstellerin (unstreitig) rechtmäßig erhoben, dann gehasht und in gehashter Form bei Facebook hochgeladen habe und der Verarbeitung von Daten, die Facebook selbst erhoben habe. Die geforderte informationelle Trennung sei gewährleistet.
Die gehashten Daten dürften von Facebook nur für die Überschneidungsanalyse genutzt werden und würden danach gelöscht. Facebook sei insoweit nach den zwischen der Antragstellerin und ihm geschlossenen Vereinbarungen weisungsgebunden. Eine Anreicherung von Daten, die Facebook als verantwortliche Stelle verarbeite, mit diesen gehashten Daten, sei insofern ausgeschlossen. Darüber hinaus wäre es sogar möglich, dass Facebook Daten, die die Antragstellerin erhoben habe, einerseits als Auftragsdatenverarbeiter und andererseits als verantwortliche Stelle verarbeite. Wenn eine solche Trennung bei den Daten eines Auftraggebers möglich sei, müsse dies erst Recht möglich sein, wenn es sich um Daten unterschiedlicher verantwortlicher Stellen handele. Eine strikte Trennung sei im vorliegenden Fall dadurch gegeben, dass die bei Facebook hochgeladenen gehashten E-Mail-Adressen ausschließlich für die Überschneidungsanalyse genutzt werden dürften und danach zu löschen seien.
Der Bildung der „Ausgangsaudience“ nachgelagert und hiervon auch unabhängig erfolge eine Bewerbung der darin enthaltenen Betroffenen. Hierfür verwende Facebook in eigener Verantwortung erhobene und verarbeitete Daten, die Vereinbarung über die Auftragsdatenverarbeitung greife hierbei insofern nicht. Die Antragstellerin habe zu keinem Zeitpunkt behauptet, für die Verarbeitung dieser Daten verantwortlich zu sein bzw. Facebook insoweit als Auftragsdatenverarbeiter einzuschalten. Daher sei es im Übrigen auch konsequent, dass die Antragstellerin nicht erfahre, welche konkreten Facebook-Nutzer schließlich beworben würden. Gleichzeitig sei Facebook insoweit auch eindeutig verpflichtet, seinen Mitgliedern gegenüber Betroffenenrechte einzuräumen und komme damit einer originären Verpflichtung nach, die unabhängig von der Verarbeitung der gehashten Daten der Antragstellerin bestehe. Im Bescheid werde zwar behauptet, dass die Verarbeitung der gehashten Daten durch Facebook einerseits und die nachgelagerte Bewerbung andererseits einen einheitlichen Vorgang darstelle, der nicht aufgespalten werden könne. Eine sachliche Begründung hierfür werde aber nicht geliefert.
Das zitierte „Working Paper Nr. 169 der Art. 29-Datenschutzgruppe“ spreche hingegen vielmehr für die Auffassung der Antragstellerin.
Facebook erfülle im Hinblick auf den Umgang mit den gehashten Daten beide dort genannten grundlegenden Bedingungen für eine Einstufung als Auftragsdatenverarbeiter. Facebook habe eine rechtlich eigenständige Stellung und verarbeite die von der Antragstellerin erhobenen gehashten E-Mail-Adressen ausschließlich im Auftrag der Antragstellerin als verantwortliche Stelle. Allein die Vorgabe der Antragstellerin gegenüber Facebook, Werbung an bestimmte Zielgruppen auszuspielen, ohne dass ihr Informationen zu den Betroffenen vorlägen bzw. an sie übermittelt würden, sei hingegen im Hinblick auf das zu bewerbende Unternehmen (hier also die Antragstellerin) kein datenschutzrechtlich relevanter Vorgang. Dies sei von den Behörden seit Jahren anerkannt. Dass eine Überschneidungsanalyse auf Basis einer Auftragsdatenverarbeitung zum Zweck der Vermeidung einer Mehrfachbewerbung möglich sei, werde von den Datenschutzbehörden im Bereich der Printwerbung seit vielen Jahren ebenfalls anerkannt. Datenschutzrechtlich sei bei der Bewertung dieses sogenannten „Waschabgleichs“ die Vorgabe der Selektionskriterien durch das zu bewerbende Unternehmen nicht als datenschutzrechtlich relevanter Vorgang anzusehen. Rechtsgrundlage für die Selektion der Daten und die Nutzung für den Versand der Werbung sei § 28 Abs. 3 Satz 5 BDSG. Eine Übermittlung von Daten an einen Dritten im Sinne des § 3 Abs. 4 Nr. 3 BDSG erfolge nicht.
Weder das zu bewerbende Unternehmen noch der Listeigner erhielten personenbezogene Informationen vom jeweils anderen. Der Letter-Shop wiederum unterstütze die jeweiligen Verantwortlichen lediglich bei der Nutzung seiner Daten für eigene bzw. fremde Werbezwecke, und zwar jeweils im Rahmen einer Auftragsdatenverarbeitung. Ein vergleichbarer Vorgang erfolge bei der streitgegenständlichen Überschneidungsanalyse. Die Antragstellerin ersuche Facebook, ihre Mitglieder nach bestimmten Kriterien zu bewerben. Facebook ermittle hierfür zunächst die zu bewerbende Ausgangsaudience für die Antragstellerin. Eine Übermittlung von Informationen an Facebook in Form einer Anreicherung der entsprechenden von Facebook für die Werbung für Dritte genutzten Informationen sei vertraglich ausgeschlossen.
Auch die Antragstellerin erhalte von Facebook keine Informationen zu deren Kunden und erfahren auch nicht, welcher ihrer Kunden gleichzeitig ein Facebook-Mitglied sei. Im Nachgang beauftrage die Antragstellerin Facebook damit, ihr Werbematerial auszuspielen. Dabei bestimme die Antragstellerin als zu bewerbendes Unternehmen lediglich die Kriterien, die die zu bewerbenden Personen erfüllen sollten, erfahre aber nicht, um wen es sich dabei handle. Facebook wiederum nutze die eigenen Datenbestände für die Selektion und bewerbe die Nutzer, die die vorgegebenen Kriterien erfüllten.
Die Vorgabe der Selektionskriterien durch die Antragstellerin sei kein datenschutzrechtlich relevanter Vorgang. Rechtsgrundlage sei § 28 Abs. 3 Satz 5 BDSG, wonach verantwortliche Stellen personenbezogene Daten für Zwecke der Werbung für fremde Angebote nützen dürfen, wenn für den Betroffenen bei der Ansprache zum Zwecke der Werbung die für die Nutzung der Daten verantwortliche Stelle eindeutig erkennbar sei. Eine Übermittlung von Daten an einen Dritten im Sinne des § 3 Abs. 4 Nr. 3 BDSG erfolge nicht. Weder die Antragstellerin noch Facebook erhielten personenbezogene Informationen vom jeweils anderen. Bei der Überschneidungsanalyse wiederum unterstütze Facebook die Antragstellerin lediglich bei der Vorbereitung von deren Werbung und zwar im Rahmen einer Auftragsdatenverarbeitung.
Auch das auf Seiten von Facebook bestehende, eigene wirtschaftliche Interesse an dem Abgleich der Hash-Werte zum Zweck der Bildung der Ausgangsaudience schließe das Vorliegen eines Auftragsdatenverarbeitungsverhältnisses nicht aus. Facebook könne die Überschneidungsanalyse daher durchaus als Auftragsdatenverarbeiter durchführen, auch wenn es ein finanzielles Interesse daran habe, dass die Antragstellerin im Nachgang bei ihr die Schaltung kostenpflichtiger Werbung beauftrage. Für die Rechtmäßigkeit der Verarbeitung der gehashten E-Mail-Adressen durch die Antragstellerin komme es allein darauf an, dass diese selbst die Daten als verantwortliche Stelle entsprechend nutzen dürfe, also eine Rechtsgrundlage im Sinne des § 4 Abs. 1 BDSG für ihre Datenverarbeitung vorliege. Die Antragstellerin dürfe die Daten für eigene Werbezwecke (§ 28 Abs. 3 Satz 3 BDSG) verwenden. Es werde auch von Datenschutzbehörden anerkannt, dass die Rechtsgrundlage für die Nutzung der E-Mail-Adresse zu werblichen Zwecken § 28 Abs. 3 Satz 3 BDSG sei. Diese Norm spreche zwar vom Wortlaut her lediglich davon, dass Daten „hinzugespeichert“ werden dürfen und erwähne eine Nutzung der Daten daher nicht. Hierbei handele es sich jedoch um ein redaktionelles Versehen, die Gesetzesbegründung sei insoweit eindeutig. Von dem bestehenden Selektionsrecht mache die Antragstellerin mit dem Hashen der E-Mail-Adressen und deren Hochladen in ihr Facebook-Konto zur Durchführung einer Überschneidungsanalyse und der nachfolgenden Erstellung einer Ausgangsaudience für die Bewerbung eigener Kunden Gebrauch. Aus Sicht der Datenschutzbehörden sei entscheidend für die Frage der Rechtmäßigkeit der Verarbeitung der E-Mail-Adressen nach § 28 Abs. 3 S. 3 BDSG, dass die nachfolgende werbliche Kommunikation selber rechtmäßig und insbesondere nicht unlauter sei, da andernfalls schutzwürdige Interessen der Betroffenen nach § 28 Abs. 3 Satz 6 BDSG entgegenstehen sollen. Ansatzpunkte für eine etwaige Unlauterkeit der hier vorbereiteten Online-Werbung auf Facebook lägen allerdings nicht vor.
Die Antragstellerin habe die E-Mail-Adressen ihrer Kunden bzw. Interessenten alternativ auch auf Basis einer Interessenabwägung (§ 28 Abs. 1 S. 1 Nr. 2 BDSG) für eigene Werbezwecke hashen, in ihr Facebook-Konto hochladen und von Facebook in ihrem Auftrag hiermit eine Überschneidungsanalyse durchführen lassen. Ein Rückgriff auf diese Regelung sei nicht durch die Regelung des § 28 Abs. 3 BDSG gesperrt. Denn das Hashen der E-Mail-Adressen, das Hochladen der gehashten E-Mail-Adressen in das Facebook-Konto und die Überschneidungsanalyse zur Erstellung der Ausgangsaudience seien reine Vorbereitungshandlungen, bei denen es sich weder um Adresshandel noch um Werbung handele (wird ausgeführt). Dass für die Interessenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG erforderliche berechtigte Interesse der Antragstellerin liege vor.
Der Verarbeitung der E-Mail-Adressen durch die Antragstellerin zu eigenen werblichen Zwecken stünden noch keine überwiegenden Interessen der Betroffenen entgegen. Anders als vom Antragsgegner vorgetragen, sei die Wahrung der Betroffenenrechte kein in der Abwägung zu berücksichtigender Faktor, obwohl diese vorliegend gewahrt seien. Die Folgen der Verarbeitung seien äußerst gering. Die einzige Konsequenz der Verarbeitung sei, dass die Betroffenen bei Facebook nur dann Werbung der Antragstellerin sähen, wenn sie bestimmte Kriterien erfüllten. Dies sei allenfalls eine neutrale Folge, gegebenenfalls sogar eine positive. Nach der Erfahrung der Antragstellerin zögen Betroffene nämlich interessenorientierte Werbung vor. Für Personen, die nicht Facebook-Mitglied seien, ergäben sich überhaupt keine Folgen. Deren E-Mail-Adressen würden lediglich gehasht, in gehashter Form zu Facebook hochgeladen und dann nach dem Abgleich von Facebook binnen maximal 48 Stunden wieder gelöscht. Indirekte Folgen, etwa durch Irritationen der Betroffenen, weil diese die Kontrolle über ihre Daten verlieren würden, seien ebenfalls nicht gegeben. Die Betroffenen seien schließlich von der Antragstellerin im Vorfeld über die Verarbeitung und über ihr Widerspruchsrecht informiert worden und könnten von diesem Recht jederzeit effektiv Gebrauch machen. Darüber hinaus seien Betroffene zu einhundert Prozent Facebook-Mitglieder und könnten sich in ihren Privatsphäre-Einstellungen unter http://www.facebook.de jederzeit darüber informieren, in welchen Custom Audiences sie seien und wer sie bewerbe und dies auch hier unterbinden.
Facebook-Mitgliedern sei auch bewusst, dass sie in dem kostenlos angebotenen Netzwerk Werbeanzeigen sähen. Soweit die Nutzung der E-Mail-Adressen mittelbar zur Folge habe, dass durch Facebook als verantwortliche Stelle individualisierte Online-Werbung ausgesteuert werde, würden die schutzwürdigen Interessen der Betroffenen nicht beeinträchtigt, da für die Ausspielung individualisierter Online-Werbung weder nach den Vorgaben des Telemediengesetzes noch nach den wettbewerbsrechtlichen Vorgaben grundsätzlich ein Opt-In erforderlich sei. Die Antragstellerin habe, anders als im Bescheid behauptet, die Betroffenen auch über die Identität der verantwortlichen Stelle, den Zweck der Verarbeitung und Kategorien von Empfängern informiert und dies ab dem 22. August unter ausdrücklichem Hinweis auf den Empfänger Facebook Der Antragsgegner scheine davon auszugehen, dass die Antragstellerin ihre Kunden darüber informieren müsse, wer von ihnen aus welchen Gründen welche Werbung unter http://www.facebook.de angezeigt bekomme.
Eine derartige rechtliche Verpflichtung bestehe jedoch nicht. Eine gegebenenfalls von Kunden nicht gewünschte Anreicherung von Informationen bei Facebook dazu, bei welchen Unternehmen sie Kunde sind, habe die Antragstellerin ebenfalls aufgrund einer entsprechenden vertraglichen Vereinbarung mit Facebook sicher unterbunden. Die Antragstellerin habe ausreichende Schutzvorkehrungen getroffen, namentlich die Betroffenen über ihr jederzeitiges und unbedingtes Widerspruchsrecht informiert und die E-Mail-Adressen vor dem Hochladen über eine verschlüsselte Verbindung zu Facebook durch Hashing sicher vor einer Identifizierung geschützt, so dass ein unbefugter Zugriff auf die Daten durch Dritte auf dem Transportweg ausgeschlossen sei.
Die Weitergabe der Hashwerte an Facebook habe lediglich zur Folge, dass Facebook die Information erhalte, dass ein Inhaber zu einer gehashten E-Mail-Adresse möglicherweise Kunde der Klägerin sei oder sonst zu ihr in Beziehung stehe. Dass es sich hierbei nicht um ein sonderlich schützenswertes Datum handele, ergebe sich bereits daraus, dass nach dem sogenannten Listendatenprivileg eine solche Information an Dritte zu Zwecken der Werbung ohne Vorliegen einer Einwilligung sogar übermittelt werden dürfe. Im Übrigen stehe auch der Erfüllung von Betroffenenrechten nichts entgegen. Selbstverständlich sei die Antragstellerin in der Lage, ihren Kunden auf Anfrage hin mitzuteilen, welche Daten des Kunden sie gespeichert, wem sie diese gegebenenfalls weitergegeben habe und zu welchem Zweck. Die Argumentation des Antrags zu den Betroffenenrechten insgesamt sei in sich widersprüchlich.
Einerseits solle Facebook für alle Verarbeitungsvorgänge die verantwortliche Stelle sein, zum anderen soll die Antragstellerin deshalb Daten an Facebook als verantwortliche Stelle rechtswidrig übertragen, weil sie keine Auskunft erteilen könne über (auch nach Logik des Antragsgegners) von Facebook verantwortete Datenbestände.
Auch wenn man sich auf den Standpunkt stellte, dass E-Mail-Adressen, die im Zusammenhang mit Online-Käufen erworben würden, als sogenannte Bestandsdaten im Sinne des § 14 Abs. 1 des Telemediengesetzes (TMG) zu qualifizieren seien, sei deren Verarbeitung durch die Antragstellerin zu eigenen werblichen Zwecken rechtmäßig (wird ausgeführt). Auch wenn eine Übertragung der gehashten E-Mail-Adressen an Facebook nicht im Rahmen einer Auftragsdatenverarbeitung durchführbar wäre, wäre die Übermittlung personenbezogener Daten gleichwohl nach § 4 Abs. 1 BDSG rechtmäßig. Die Übermittlung sei zulässig auf Basis des sogenannten Listenprivilegs (§ 28 Abs. 3 Satz 4 i. V. m. Satz 2 BDSG).
Das Listenprivileg umfasse nur ganz bestimmte Listendaten, zu denen die E-Mail-Adresse nicht zähle. Bei genauer Betrachtung würden Facebook zur Durchführung der Überschneidungsanalyse allerdings gar nicht gehashte E-Mail-Adressen übertragen, sondern die Information, wer möglicherweise Kunde der Antragstellerin sei. Selbst hierbei könne sich Facebook allerdings nicht sicher sein. Für Facebook-Mitglieder hingegen stehe Facebook deren E-Mail-Adresse bereits zur Verfügung. Tatsächlich erhalte Facebook durch das Hochladen der gehashten Daten insofern nur die Information, dass das jeweilige Facebook-Mitglied auch auf einer Liste der Antragstellerin stehe, dürfe diese Information aber nicht für eigene werbliche Zwecke bzw. werbliche Zwecke Dritter verwenden und tue dies auch nicht.
Hierfür sorge die enge Zweckbindung, wie sie in den Nutzungsbedingungen für Facebook Custom Audiences enthalten sei.
Die Übertragung der Information, ob jemand Kunde eines Unternehmens sei, könne ohne weiteres auf § 28 Abs. 3 Satz 2 BDSG gestützt werden. Dies müsse erst Recht für die Übermittlung der Information gelten, dass jemand – möglicherweise – Kunde eines Unternehmens sei. Eine Übermittlung von Listendaten im Sinne des § 28 Abs. 3 Satz 2 BDSG sei zulässig nach § 28 Abs. 3 Satz 4 BDSG, wenn die verantwortliche Stelle, die die Daten erstmalig erhoben habe, aus der Werbung eindeutig hervorgehe. Dies wiederum sei durch die Werbung an sich gewährleistet, die ja für die Antragstellerin geschaltet werde und in der sie ihre Leistungen bewerbe bzw. jedenfalls in Verbindung mit den Privatsphäre-Einstellungen, aus denen sich ergebe, dass der Beworbene die Werbung erhalte, weil er in einer Custom Audience der Antragstellerin enthalten sei. Des Weiteren sei anzumerken, dass die Einschränkung der Übermittlung von Daten zu Werbezwecken auf Listendaten nicht europarechtskonform sein dürfte, da es sich bei dieser nach der Entscheidung des EuGH im Fall Breyer um eine unzulässige Beschränkung handle.
Alternativ dazu sei die Übermittlung der Daten auch auf Basis von § 28 Abs. 1 Satz 1 Nr. 2 BDSG zulässig. Die Übermittlung der Daten müsse auf Basis einer Interessenabwägung bewertet werden, die zugunsten der Antragstellerin ausgehe (wird ausgeführt). Dem stehe auch die Vereinbarung einer Auftragsdatenverarbeitung nicht entgegen. Es liege schließlich auch keine Zweckänderung vor.
Jedenfalls aber sei die Zweckänderung rechtmäßig. Der Antragstellerin könnte eine unterstellte datenschutzwidrige Datenverarbeitung durch Facebook nicht zugerechnet werden. Denn sie sei für die Datenverarbeitung insoweit nicht verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG. Im Übrigen lägen auch keine Anhaltspunkte dafür vor, dass Facebook im Zusammenhang mit dem Dienst Custom Audience rechtswidrig handeln würde. Schließlich ergebe sich auch unter der ab 25.05.2018 zu beachten DSGVO keine abweichende Bewertung (wird im Einzelnen dargelegt).
Somit bestünden überwiegende Erfolgsaussichten in der Hauptsache. Darüber hinaus bestünde selbst bei als offen unterstellten Erfolgsaussichten der Hauptsache kein besonderes Interesse am sofortigen Vollzug des Bescheids. Ein besonderes Interesse, das über das Interesse am Erlass des Verwaltungsakts hinausgehe und ein Abweichen vom gesetzlich vorgesehenen Regelfall der aufschiebenden Wirkung rechtfertigen könnte, sei nicht ersichtlich. Insbesondere seien die mit der beanstandeten Datenverarbeitung verbundenen Folgen für die Betroffenen gering. Ein besonderes Interesse ergebe sich auch nicht aus dem Gedanken des effektiven Vollzugs des Gemeinschaftsrechts.
Mit Schriftsatz vom 12.02.2018 hat das Bayerische Landesamt für Datenschutzaufsicht für den Antragsgegner beantragt, den Antrag auf Wiederherstellung der aufschiebenden Wirkung abzulehnen.
Den Ausführungen der Antragstellerin zum Dienst Facebook Custom Audience werde weitestgehend zugestimmt. Es werde mit Nichtwissen bestritten, dass Facebook die Betroffenen, bei denen keine Übereinstimmung nach der Überschneidungsanalyse erzielt worden sei, nicht auch für eigene Zwecke verwende und die Daten nicht unverzüglich lösche. Soweit die Antragstellerin behaupte, der Algorithmus SHA-256 werde vom Bundesamt für Sicherheit in der Informationstechnik als sicher angesehen und empfohlen, treffe diese Behauptung für das konkrete Anwendungsszenario nicht zu.
Die Antragstellerin behaupte, dass Facebook-Mitglieder in ihrem Konto jederzeit einsehen könnten, welche Interessen ihnen zugeordnet seien, in welchem Custom Audience sie enthalten seien und dass es ihnen möglich sei, ihre Interessen zu verändern. Diese Aussage gelte jedoch nur eingeschränkt.
Soweit von einem Profil eines Facebook-Mitglieds gesprochen werde, sei strikt zu trennen zwischen dem Profil des Nutzers, welches er nach seinem Login in seinem Account einsehen könne und dem Profil, welches Facebook anhand sämtlicher Nutzeraktivitäten erstelle und mit weiteren Datenquellen anreichere, um anhand von Algorithmen dem jeweiligen Facebook-Mitglied Merkmale und Interessen zuzuordnen.
Im Nutzer-Account werde dem Facebook-Mitglied lediglich eine eingeschränkte Auswahl an Interessen und Merkmalen angezeigt. Der Nutzer erfahre jedoch nicht, welche Interessen ihm durch Facebook selbst, im Facebookprofil, durch Algorithmen zugeordnet worden seien. Facebook weise seinen Mitgliedern Merkmale zu, die mehr als 29.000 Eigenschaften und Interessen umfassten. Nur ein geringer Anteil dieser Merkmale werde dem Nutzer innerhalb seines Facebook-Accounts auch tatsächlich angezeigt. Weiterhin sei darauf hingewiesen, dass die Nutzungsbedingungen und die Datenschutzrichtlinien von Facebook, denen jeder Nutzer zustimmen müsse, keine detaillierte Aussage darüber enthielten, wie genau die Datenverarbeitung zu Marketingzwecken erfolge. Es sei für den Nutzer an keiner Stelle erkennbar, dass Facebook Daten von Dritten erhalte und diese weiterverarbeite.
Es werde nicht bestritten, dass der Vertrag zur Auftragsdatenverarbeitung zwischen der Antragstellerin und Facebook lediglich die Erhebung, Verarbeitung und Nutzung der gehasten Daten umfasse.
Ein Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG entfalte keine konstitutive Wirkung. Der Abschluss eines Vertrags zur Auftragsdatenverarbeitung sei lediglich eine Formvorschrift. Daher sei der Wortlaut der Vereinbarung nicht entscheidungsrelevant, sondern entfalte allenfalls Indizwirkung für das tatsächlich bestehende Rechtsverhältnis. Die Antragstellerin behaupte weiterhin, dass in den Nutzungsbedingungen für den Einsatz von Facebook Custom Audience vereinbart sei, dass die Information, wessen Kunde ein Facebook-Mitglied sei, nicht für eigene Werbezwecke vereinbart werde.
Dies sei jedoch schon eine Interpretation der Antragstellerin. Soweit Facebook von der „Custom Audience“ spreche, sei lediglich die Originalliste nach der Überschneidungsanalyse gemeint. Die Custom Audience selbst, also alle Kunden, die zugleich Facebooknutzer seien und gegebenenfalls bestimmte Merkmale der Zielgruppe erfüllten, würden nicht zu den Informationen hinzugefügt, die Facebook über die Nutzer habe. Von den genannten Nutzungsbedingungen nicht erfasst sei das Verbot, die Einzelinformation, dass ein bestimmter Nutzer Kunde eines Werbetreibenden sei, mit dem Nutzungsprofil anzureichern.
Unbestritten sei, dass Facebook die Liste unverzüglich bzw. spätestens nach 48 Stunden lösche. Dies sei aber unbeachtlich, da bis zum Zeitpunkt der Löschung Einzelinformationen der Kundenliste entnommen worden seien.
Die Antragstellerin verkenne, dass Daten nur eine Ansammlung von Einzelinformationen seien, die beliebig oft kopiert, verändert oder angereichert werden könnten. Facebook verwende die Information, dass ein Mitglied auch Kunde eines bestimmten Unternehmens sei, nach dem Abgleich für eigene Zwecke. Die Information, dass ein Nutzer in einer Custom Audience sei, befinde sich im Nutzer-Account. Dadurch werde die Information, die nach dem Abgleich der Kundenliste verwendet worden sei, untrennbarer Bestandteil des Facebook-Profils. Soweit Facebook vertraglich zugesichert habe, die Information, wessen Kunde ein Facebook-Mitglied sei, nicht für eigene Werbezwecke und nicht zur Ergänzung der über Facebook vorliegenden Informationen über das Mitglied zu verwenden, entspreche dies nicht den Tatsachen. Die Antragstellerin verkenne den Unterschied zwischen den Daten, die die Kundenliste selbst beinhalte, und den Informationen, die diesen Kundenlisten entnommen werden können. Die Tatsache, dass ein Mitglied zugleich auch Kunde der Antragstellerin sei, könne Facebook auch nach dem Löschen der Kundenliste verwenden. Dies sei sogar zwingend notwendig, da anderenfalls keine Zuordnung mehr zum Werbetreibenden bestünde. Anderenfalls könnte die Werbekampagne gar nicht erst ausgespielt werden.
Es werde nicht bestritten, dass Facebook die Nutzungsbedingungen einhalte. Vielmehr betreffe die Nutzungsvereinbarung nur einen geringen Auszug aus der vollständigen Datenverarbeitung.
Der von der Antragstellerin zitierte Auszug aus den Nutzungsbedingungen enthalte gerade keine Aussage über die Verwendung der Einzelinformation durch Facebook Unbestritten sei auch, dass die Zusatzvereinbarung zwischen der Antragstellerin und Facebook ein Weisungsrecht hinsichtlich des Umgangs mit den gehashten Daten enthalte. Diese umfasse jedoch nicht die Weiterverarbeitung der Einzelinformation, dass ein Facebookmitglied auch Kunde der Antragstellerin sei. Soweit die Antragstellerin darauf abstelle, dass die vertraglichen Vereinbarungen nur die Überschneidungsanalyse umfassten und die weitere Verarbeitung der Daten durch Facebook als eigene verantwortliche Stelle erfolge, sei ergänzt, dass die Antragstellerin Facebook nicht für die Überschneidungsanalyse vergüte, sondern für die erfolgreiche Ausspielung der Werbung. Es werde darauf hingewiesen, dass die Datenschutzhinweise des Internetangebots der Antragstellerin erst seit dem 22.08.2017 eine Information darüber enthielten, dass für Marketingzwecke E-Mail-Adressen an Facebook zum Abgleich übermittelt würden.
Zu Beginn der Prüfung bzw. zu dem Zeitpunkt, als erstmalig eine Kundenliste an Facebook übermittelt worden sei, habe die Datenschutzbestimmung keine vollständigen Angaben über die konkrete Verwendung der Daten enthalten. Insbesondere habe es keinen Hinweis auf den Einsatz des Marketing-Tools Facebook Custom Audience gegeben.
Es werde mit Nichtwissen bestritten, dass die Betroffenen jederzeit mit Wirkung für die Zukunft widersprechen könnten und dies durch eine Aktualisierung der Ausgangskundenliste erfolge.
Aus Sicht der Antragsgegnerin gestalte sich ein möglicher Widerspruch eines Kunden wie folgt: Widerspreche ein Betroffener der Nutzung seiner E-Mail-Adresse für Werbezwecke, so sei der Betroffene in eine separate Opt-Out-Liste aufzunehmen. Der Werbetreibende könne diese Liste mit Kunden, die der Datenverarbeitung widersprochen hätten, erneut in seinem Facebook-Konto hochladen. Hiernach könne er festlegen, dass Kunden der Liste von der Custom Audience ausgeschlossen werden sollten. Facebook gleiche dann diese Opt-Out-Liste mit den bereits vorhandenen Custom Audiences ab. Hierdurch werde sichergestellt, dass ein Kunde, der widersprochen habe, keine Werbung erhalte.
Es handele sich damit lediglich um einen Widerspruch, keine Werbung mehr auf Facebook zu erhalten. Dies stelle jedoch keinen Widerspruch gegen die Verarbeitung zu Werbezwecken dar, da erneut eine Liste mit bereits vorhandenen Kundendaten an Facebook übermittelt werde. Das bedeute konkret, dass jedes Opt-Out eines Kunden zu einer erneuten Übermittlung an Facebook führe und wiederum eine erneute Beeinträchtigung seiner Rechte und Freiheiten darstelle. Es sei zwar anerkannt, dass Unternehmen sogenannte Blacklists mit Betroffenen führten, die einer Datenverarbeitung widersprochen hätten. In diesen Fällen verblieben die Blacklists jedoch bei der verantwortlichen Stelle und würden gerade nicht an einen Dritten übermittelt.
Es werde bestritten, dass die Antragstellerin vollumfassend die Betroffenenrechte wahren könne. Sie habe an keiner Stelle detailliert dazu Stellung genommen, wie sie beispielsweise das Auskunftsrecht eines Betroffenen wahre. Wenn die Antragstellerin nicht wisse, welcher ihrer Kunden zugleich Facebook-Nutzer sei, könne sie auch nicht darüber informieren, ob ein Kunde in der Überschneidungsanalyse ermittelt worden sei und wenn ja, warum er dennoch nicht in einer Custom Audience sei und keine Werbung erhalten habe. Indem die Antragstellerin darauf verweise, dass es auch nur stringent sei, wenn die Datenverarbeitung zwischen ihr und Facebook getrennt ablaufe und kein Rückschluss auf beworbene Nutzer möglich sei, gestehe sie zugleich ein, dass sie das Auskunftsrecht und das Widerspruchsrecht gerade nicht vollständig ausüben könne.
Das Auskunftsrecht gemäß § 34 BDSG umfasse auch die Angabe über die konkrete Verwendung der Daten und des Zwecks der Verarbeitung. Soweit die Antragstellerin darauf verweise, dass die Betroffenen im Rahmen des Nutzer-Accounts Auskunft erhalten würden, werde verkannt, dass es sich hierbei teilweise um die Erfüllung der Pflichten durch Facebook als eigene verantwortliche Stelle selbst handle und Facebook zu keinem Zeitpunkt die Wahrnehmung der Betroffenenrechte für die Antragstellerin wahrnehme. Dies habe Facebook auf Nachfrage der Antragsgegnerin in einem Erörterungstermin am 31.08.2017 versichert.
Die Antragstellerin verweise auf eine Kommentierung, in der es heiße, dass es eine Auftragsdatenverarbeitung nicht ausschließe, dass der Beauftragte auch andere Aufgaben für den Verantwortlichen wahrnehme. Hierbei seien jedoch nur solche Tätigkeiten gemeint, die entweder einem anderweitigen Verarbeitungszweck dienten oder mit der ursprünglichen Beauftragung keinerlei Verknüpfung bestehe. Nicht gemeint seien einzelne Verarbeitungsschritte bzw. Teilprozesse einer Verarbeitung.
Bei dem Einsatz des Marketing-Tools Facebook Custom Audience handele es sich nicht nur um eine einheitliche Geschäftsbeziehung, sondern der gesamte Marketingprozess, beginnend vom Hochladen der Liste bis zur Ausspielung der Werbung, sei als einheitlicher Verarbeitungsprozess zu betrachten.
Eine informationelle Trennung der Daten sei lediglich eine technische und organisatorische Maßnahme, um Datensicherheit zu gewährleisten. Zu dieser technischen Maßnahme sei der Verantwortliche gemäß § 9 BDSG i.V.m. der Anlage 9 zu Satz 1 BDSG gesetzlich verpflichtet.
Es dürfe jedoch nicht der Rückschluss gezogen werden, dass eine physische Trennung der Daten zugleich auch unterschiedliche Verarbeitungsvorgänge indiziere. Für die Frage der Rechtswidrigkeit einer Übermittlung sei es irrelevant, ob die Daten anschließend wieder durch den Datenempfänger gelöscht würden. Der Tatbestand der Übermittlung sei bereits erfüllt, wenn die in den Daten enthaltene Information in dem Bereich des Adressaten gelange, gleichgültig wie dies im Einzelnen geschehe. Die Weitergabe sei erfolgt, sobald der Empfänger die Möglichkeit habe, unbehindert vom Weitergebenden die Information zur Kenntnis zu nehmen. Das Datenschutzrecht kenne keine „Datenidentität“ in dem Sinne, dass nur dieselben Daten der Custom Audience unverändert genutzt würden. Vielmehr sei der Begriff „Daten“ als Summe aus Einzelangaben zu definieren (wird ausgeführt). Zudem unterschlage die Antragstellerin, dass sich die Vergütung für das Marketing-Tool Facebook Custom Audience nach der erfolgreichen Ausspielung der Werbung an Facebook-Nutzer richte. Soweit die Antragstellerin das Marketing-Tool und das vollständige Verfahren mit dem des Letter-Shops vergleiche, sei dieser Vergleich mit der analogen Welt nicht geeignet. Es werde verkannt, dass im konkreten Letter-Shop-Fall drei Akteure involviert seien und die Aufsichtsbehörden seit jeher den Adresshändler als eigenverantwortliche Stelle bewerteten. Lediglich der Letter-Shop, der für den Druck und den Versand des Werbematerials zuständig sei, werde als Auftragnehmer anerkannt.
Soweit die Antragstellerin die Datenverarbeitung auf § 28 Abs. 3 Satz 3 BDSG stütze, umfasse die Datenverarbeitung durch sie selbst ihrer Auffassung nach lediglich die Umwandlung der Kundendaten und das Hochladen der Kundenliste im Facebook-Konto, so dass Facebook in ihrem Auftrag eine Überschneidungsanalyse durchführen könne. Betrachte man diesen Teilprozess isoliert, erschließe sich der Antragsgegnerin nicht, inwiefern diese Teilverarbeitungsvorgänge dem Zwecke der Werbung dienen sollten. Sie könne lediglich dann geltend machen, sie verarbeite die Daten für Werbezwecke, wenn sie oder ein Auftragnehmer in ihrem Auftrag Werbung ausspielten und dazu personenbezogene Daten verarbeitet würden.
Sie mache jedoch gerade geltend, dass Facebook selbst für die Ausspielung der Werbung und die vorhergehende Profilbildung als eigene verantwortliche Stelle agiere. Die fehlerhafte Argumentation der Antragstellerin offenbare, dass die Teilbearbeitungsvorgänge eben nicht nur isoliert betrachtet werden dürften, sondern der gesamte Verarbeitungsvorgang zu einem bestimmten Zweck, nämlich dem Werbezweck durch die Antragstellerin, zu beurteilen sei. Soweit die Antragstellerin auf eine Interessenabwägung abstelle (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG), und hierzu auf das Positionspapier WP 217 der Art. 29 Datenschutz-Gruppe Bezug nehme, werde angemerkt, dass es sich hierbei um unverbindliche Auslegungsempfehlung handele. Das Positionspapier stelle keinesfalls abschließend alle Kriterien für eine fehlerfreie Interessenabwägung zusammen.
Soweit erwähnt werde, dass bei Nicht-Facebook-Mitgliedern überhaupt keine Folgen zu erwarten seien, werde vollständig vernachlässigt, dass die Weitergabe der E-Mail-Adresse an einen Dritten gerade eine unzulässige Datenverarbeitung ungeachtet des Zwecks darstelle.
Diese E-Mail-Adressen würden gerade nicht für Werbezwecke benötigt und dennoch zwangsläufig an Facebook weitergegeben. Auch die Tatsache, dass Facebook die Daten binnen 48 Stunden lösche, verdeutliche die gravierende Beeinträchtigung der Rechte des Betroffenen, da der zeitliche Umfang keinesfalls gering sei. Da eine Interessenabwägung zu Gunsten des Betroffenen und somit gegen die Datenverarbeitung der Antragstellerin ausfalle, könne diese Wertung auf die Anwendbarkeit von TMG-Daten übertragen werden. Soweit die Antragstellerin erklärt habe, dass eine Übermittlung der Daten auch auf Basis von § 28 Abs. 3 Satz 4 BDSG zulässig wäre, sei aber auch diese Norm europarechtskonform auszulegen, so dass eine Interessenabwägung erneut erfolgen müsse.
Wenn sie behaupte, dass der Übermittlung der E-Mail-Adressen an Dritte, im konkreten Fall an Facebook, keine überwiegenden Interessen des Betroffenen entgegenstünden, verkenne sie einerseits die Wertung des § 7 UWG. Hiernach dürften E-Mail-Adressen für Werbezwecke ohne Einwilligung des Betroffenen durch die verantwortliche Stelle nur dann verwendet werden, wenn ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen E-Mail-Adresse erhalten habe. Dies sei hier jedoch nicht der Fall. Schließlich verkenne die Antragstellerin, dass die gesamte Datenverarbeitung unter Verbot mit Erlaubnisvorbehalt stehe.
Soweit die berechtigten Interessen der Antragstellerin nicht überwögen, sei die Datenverarbeitung unzulässig. Die Auffassung, dass die Interessen der Betroffenen durch die Weitergabe der E-Mail-Adressen nicht beeinträchtigt seien, sei für eine Verarbeitung der Daten gemäß § 28 Abs. 3 Satz 4 BDSG nicht ausreichend. Auch unter zukünftigem Recht (Datenschutz-Grundverordnung) ergebe sich keine abweichende Beurteilung (wird ausgeführt).
Dem trat der Bevollmächtigte der Antragstellerin mit Schriftsatz vom 14.03.2018, auf den Bezug genommen wird, nochmals entgegen und vertiefte und ergänzte das bisherige Vorbringen.
Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichts- und Behördenakte ergänzend Bezug genommen (§ 117 Abs. 3 Satz 2 VwGO analog).
- Der zulässige Antrag auf Wiederherstellung der aufschiebenden Wirkung der Klage bleibt in der Sache ohne Erfolg.
Gemäß § 80 Abs. 5 Satz 1 VwGO kann das Gericht auf Antrag die aufschiebende Wirkung eines Rechtsbehelfs ganz oder teilweise wiederherstellen bzw. anordnen. Bei der Entscheidung hat das Gericht entsprechend § 80 Abs. 2 Nr. 4 VwGO das Interesse der Allgemeinheit an der sofortigen Vollziehung gegen das Interesse des Betroffenen an der aufschiebenden Wirkung abzuwägen. Dabei sind auch die überschaubaren Erfolgsaussichten des Rechtsbehelfs zu berücksichtigen.
Bei Zugrundelegung dieser Maßstäbe ist der Antrag abzulehnen, da die in der Hauptsache erhobene Klage der Antragstellerin nach summarischer Prüfung voraussichtlich ohne Erfolg bleiben wird. Das öffentliche Interesse an der sofortigen Vollziehung des angefochtenen Bescheides wiegt insoweit schwerer als das Interesse der Antragstellerin an der Wiederherstellung der aufschiebenden Wirkung ihrer Klage. In der Sache selbst folgt das Gericht den Gründen der angegriffenen Anordnung vom 16.01.2018 und sieht insoweit von einer gesonderten Darstellung der Gründe ab (§ 117 Abs. 5 VwGO analog). Ergänzend hierzu sind zum Antragsvorbringen sowie zur Sache noch die folgenden Ausführungen veranlasst:
- Zutreffend hat das Bayerische Landesamt für Datenschutzaufsicht die Anordnung in Ziffer 1 des Bescheids auf § 38 Abs. 5 Satz 1 BDSG gestützt.
Hiernach kann die Aufsichtsbehörde zur Gewährleistung der Einhaltung des Bundesdatenschutzgesetzes und anderer Vorschriften über den Datenschutz Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Die Voraussetzungen des § 38 Abs. 5 Satz 1 BDSG liegen vor, weil die beanstandete Übermittlung der gehashten E-Mail-Adressen datenschutzrechtlich unzulässig ist.
- a) Nach § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das Bundesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.
Personenbezogene Daten sind nach § 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). Wie in der streitgegenständlichen Anordnung zutreffend ausgeführt wurde, ist über E-Mail-Adressen jedenfalls ein Personenbezug herstellbar (vgl. Plath/Schreiber in: Plath, BDSG/DSGVO, 2. Aufl. 2016, § 3 BDSG, Rn. 17 m.w.N.), weswegen es sich um personenbezogene Daten handelt. Durch den Vorgang des „Hashens“ werden die Daten auch nicht i.S.v. § 3 Abs. 6 BDSG anonymisiert, da der Personenbezug hierdurch nicht völlig aufgehoben wird. Vielmehr ist es weiterhin mit nicht nur unverhältnismäßigem Aufwand möglich, sie einer bestimmten oder bestimmbaren Person zuzuordnen, zumal andernfalls auch ein sich an die Übermittlung anschließender Datenabgleich seitens Facebook nicht möglich wäre.
Unter dem „Verarbeiten“ ist gem. § 3 Abs. 4 Satz 1 das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten zu verstehen. „Übermitteln“ ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an Dritte weitergegeben werden oder der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft (§ 4 Abs. 1 Satz 2 Nr. 3 a) und b) BDSG). Die hier beanstandete Übermittlung der gehashten E-Mail-Adressen von der Antragstellerin an Facebook stellt somit eine Verarbeitung i.S.v. § 3 Abs. 4 Satz 1 BDSG dar.
Zwar ist anerkannt, dass Personen und Stellen, die im räumlichen Anwendungsbereich des § 11 BDSG als Auftragsdatenverarbeiter tätig sind, keine „Dritten“ i.S.d. BDSG sind, weswegen die Übertragung der Daten an einen derartigen Auftragnehmer datenschutzrechtlich keine Übermittlung darstellt und daher auch ohne Einwilligung oder gesetzliche Erlaubnis zulässig ist (vgl. § 3 Abs. 8 Satz 3 BDSG). Die Kammer tritt jedoch dem Standpunkt des Antragsgegners bei, wonach es sich bei der Übermittlung der gehashten E-Mail-Adressen der Kunden der Antragstellerin nicht um eine Übermittlung im Rahmen einer Auftragsdatenverarbeitung handelt, sondern eine Übermittlung an Dritte stattfindet und in der Folge eine Datenverarbeitung i.S.v. § 3 Abs. 4 Satz 1 BDSG vorliegt.
Eine Auftragsdatenverarbeitung i.S.v. § 11 BDSG liegt vor, wenn die verantwortliche Stelle (hier: die Antragstellerin) eine andere Stelle damit betraut, Daten zu erheben, zu verarbeiten oder zu nutzen. Auf die Rechtsnatur dieser Betrauung kommt es nicht an, ein Auftrag i.S.v. § 662 BGB ist nicht erforderlich.
Entscheidend ist, dass der Auftragnehmer ohne eigenen Wertungs- und Entscheidungsspielraum für den Auftraggeber tätig wird (vgl. BGH, Urt. v. 13.07.2016 – IV ZR 292/14 – juris Rn. 39 m.w.N.).
In der vorliegenden Sachverhaltsgestaltung ist hingegen nicht von einer Auftragsdatenverarbeitung, sondern vielmehr von einer sog. „Funktionsübertragung“ auszugehen. Auch wenn es zutreffen mag, dass nach der Vereinbarung zwischen der Antragstellerin und Facebook festgelegt worden ist, dass der Zweck der Auftragsdatenverarbeitung hier in der Durchführung einer Überschneidungsanalyse bzw. Erstellung einer Vergleichsaudience liegt, fungiert Facebook in der Konstellation nicht gleichsam als „verlängerter Arm“ der Antragstellerin. Wer schließlich konkret beworben wird, liegt hier allein im Ermessen Facebooks, dem insoweit ein entsprechender Spielraum eingeräumt wird.
Es mag zwar die Gestaltungsmöglichkeit geben, dass eine Stelle eine Doppelfunktion einnimmt und nebeneinander zugleich Auftragsdatenverarbeiter und verantwortliche Stelle ist.
Dies ist hier aber nicht der Fall. Zutreffend geht der Antragsgegner insoweit davon aus, dass das Marketing Tool „Facebook Custom Audience über die Kundenliste“ einen einheitlichen Vorgang bildet.
Dieses Instrument kann nicht in verschiedene Teile zerlegt werden, sondern bildet eine Einheit, auch wenn sich dieser Werbemechanismus aus mehreren datenschutzrechtlich relevanten Vorgängen zusammensetzt. Die Übermittlung der (gehashten) E-Mail-Adressen ist integraler Bestandteil der Werbemaßnahme. Eine eigenständige Bedeutung der bloßen Durchführung eines Datenabgleichs ist nicht zu erkennen. Insoweit verfängt auch der Vergleich mit dem sog. „Letter-Shop-Verfahren“ (vgl. hierzu Plath a.a.O., § 28 Rn. 148 und § 11 Rn. 33) nicht.
Bei einem Letter-Shop kann es sich um einen Auftragsdatenverarbeiter handeln, zwingend ist dies jedoch nicht (vgl. hierzu Petri in Simitis, Bundesdatenschutzgesetz, 8. Auflage 2014, § 11 Rn. 36 m.w.N.). Die Rolle, die Facebook hier einnimmt, entspricht nicht der eines „Letter-Shops“.
Denn auch insoweit würde die Auftragsdatenverarbeitung voraussetzen, dass der (vorgebliche) Auftragnehmer keine eigenen Spielräume hat (s.o.). Hier erschöpft sich das Tätigwerden nicht in der bloßen Ausspielung von Sendungen der Antragstellerin an bestimmte Personen. Es geht auch über die Durchführung eines „Waschabgleichs“ und die Wahrnehmung bloßer technischer Hilfsfunktionen (vgl. OLG Düsseldorf, Urt. v. 13.02.2015 – I-16 U 41/14 – juris Rn. 36) hinaus, da es für die Bewerbung einzelner Personen maßgeblich darauf ankommt, dass Facebook diesen bestimmte Eigenschaften zuschreibt, die von Facebook nach detaillierter Auswertung des Nutzungsverhaltens erfolgt.
Insoweit liegt ein erheblicher Spielraum Facebooks vor, der über eine rein datenverarbeitende Hilfsfunktion, durch die eine Auftragsdatenverarbeitung gekennzeichnet ist, deutlich hinausgeht.
Zwischen den Beteiligten streitig und im hiesigen Verfahren des einstweiligen Rechtsschutzes nicht abschließend zu klären ist die Frage, ob und gegebenenfalls in welchem Umfang Facebook zu einer weiteren Nutzung der Daten berechtigt ist bzw. dies stattfindet (etwa durch eine „Anreicherung des Profils“ etc.). Bei einer Überlassung der Nutzungsrechte an den Daten wäre unzweifelhaft vom Vorliegen einer Funktionsübertragung auszugehen (vgl. Petri a.a.O. § 11 Rn. 23: „typische Fallgestaltung“ der Aufgabenübertragung).
Hier werden jedenfalls nach Durchführung des Abgleichs die übermittelten Informationen nicht vollständig gelöscht, sondern es ist weiterhin bei Facebook hinterlegt, dass der Betroffene Teil der Custom Audience der Antragstellerin ist. Dies spricht in diesem Zusammenhang nicht für eine auf einen Abgleich beschränkte Auftragsdatenverarbeitung (vgl. auch § 11 Abs. 2 Satz 1 Nr. 10 BDSG).
Soweit sich die Antragstellerin auf den Standpunkt stellt, dass die Schritte, die nach dem Datenabgleich stattfinden, sich allein in der Zuständigkeit Facebooks vollziehen, spricht dies nach den vorstehend genannten Grundsätzen im Gegenteil für eine außerhalb des Rahmens der Auftragsdatenverarbeitung stattfindende Funktionsübertragung.
Nachdem die Übermittlung der gehashten E-Mail-Adressen daher nicht im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG erfolgt, handelt es sich um eine Übermittlung an einen Dritten (vgl. § 3 Abs. 8 Satz 3 BDSG).
- b) Eine konkrete, den gesetzlichen Anforderungen entsprechende Einwilligung der Betroffenen, die zur Zulässigkeit der Datenübermittlung führen würde, liegt nicht vor (vgl. § 4 Abs. 1 BDSG, § 4a BDSG). Auch die Antragstellerin selbst scheint im Übrigen nicht vom Vorliegen einer wirksamen Einwilligung auszugehen (S. 24 des Klage-/Antragsschriftsatzes vom 01.02.2018).
- c) Demzufolge wäre hier eine gesetzliche Gestattung der Datenübermittlung notwendig. Es kann offen bleiben, ob es im Falle einer „gescheiterten“ Auftragsdatenverarbeitung möglich ist, die Datenverarbeitung auf die allgemeinen Erlaubnisnormen des Bundesdatenschutzgesetzes zu stützen (vgl. hierzu Plath a.a.O., § 11 Rn. 20 m.w.N.). Denn die Voraussetzungen der in Betracht kommenden Normen sind nicht erfüllt.
- aa) Die Antragstellerin kann die Zulässigkeit der Datenübermittlung nicht auf das sog. „Listenprivileg“ stützen. Nach § 28 Abs. 3 Satz 2 BDSG ist die Verarbeitung oder Nutzung personenbezogener Daten ohne Einwilligung des Betroffenen zulässig, soweit es sich um listenmäßig oder sonst zusammengefasste Daten über Angehörige einer Personengruppe handelt, die sich auf die Zugehörigkeit des Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbezeichnung, seinen Namen, Titel, akademischen Grad, seine Anschrift und sein Geburtsjahr beschränken (und außerdem die Voraussetzungen des § 28 Abs. 3 Satz 2 Nrn. 1, 2 oder 3 BDSG erfüllt sind). Bei E-Mail-Adressen handelt es sich jedoch nicht um sog. Listendaten, da sie in der abschließenden Aufzählung des § 28 Abs. 3 Satz 2 BDSG nicht enthalten sind (vgl. Plath a.a.O., § 28 Rn. 119 m.w.N.).
Soweit die Antragstellerin vortragen lässt, dass bei genauer Betrachtung nicht eine Übertragung gehashter E-Mail-Adressen erfolge, sondern der Information, dass jemand (möglicherweise) Kunde der Antragstellerin sei, was auf Grundlage von § 28 Abs. 3 Satz 2 BDSG ohne Weiteres möglich sei, kann dem nicht gefolgt werden. Zwar nimmt der Gesetzgeber – wie in der zitierten Kommentarstelle ausgeführt wird (Simitis a.a.O., § 28 Rn. 232) – die Verwendung einer zusätzlichen Angabe in KauFacebook § 28 Abs. 3 Satz 2 BDSG ermächtigt jedoch nicht isoliert dazu, einer anderen Stelle mitzuteilen, dass gewisse Personen Kunden der übermittelnden Stelle sind. Vielmehr wird diese (implizite) Angabe ermöglicht, wenn es sich im Ausgangspunkt überhaupt um Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG handelt, was bei E-Mail-Adressen nicht der Fall ist.
Eine Berechtigung zur Übermittlung ergibt sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG, da dieser lediglich das „Hinzuspeichern“ und somit allein die Vervollständigung der Informationen erlaubt, jedoch keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthält (vgl. Wolff in BeckOK DatenschutzR, 23. Ed. 01.08.2015 § 28 Rn. 132; Plath a.a.O., § 28 Rn. 128; BT-Drs. 16/12011, S. 21: „Absatz 3 Satz 3 ist keine eigene Erhebungs- oder Übermittlungsbefugnis. Absatz 3 Satz 3 soll es der verantwortlichen Stelle ermöglichen, einen eigenen Datenbestand, der direkt beim Betroffenen erhoben wurde, für Zwecke der Eigenwerbung oder der eigenen Markt- oder Meinungsforschung zu selektieren, um die bestehenden Kunden gezielter ansprechen zu können.“).
Auf § 28 Abs. 3 Satz 4 BDSG kann die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht gestützt werden, weil sich auch diese Norm explizit auf Daten nach Satz 2, mithin auf sog. Listendaten, bezieht, zu denen E-Mail-Adressen nicht zählen.
Im vorliegenden Fall kann die Datenübermittlung auch nicht mit der Regelung des § 28 Abs. 3 Satz 5 BDSG gerechtfertigt werden. Diese Norm berechtigt nur zur Werbung für fremde Angebote (die zudem an weitere Voraussetzungen geknüpft ist). Dies betrifft aber nicht die Befugnis der Antragstellerin, die Daten an einen Dritten zu übermitteln. Unmittelbar berechtigt § 28 Abs. 3 Satz 5 BDSG nur zur Verwendung zur Werbung durch einen Dritten (hier ggFacebook Facebook), würde aber vorgelagert eine rechtmäßige Datenerhebung Facebooks voraussetzen. Der hier zu würdigende Übermittlungsakt von der Antragstellerin an Facebook wird seinerseits durch § 28 Abs. 3 Satz 5 BDSG nicht gestattet (vgl. Plath a.a.O., § 28 Rn. 144).
Aus den vorstehenden Gründen kommt eine einwilligungsfreie Übermittlung auf Grundlage von § 28 Abs. 3 BDSG somit nicht in Betracht. Darüber hinaus wäre jedoch auch insoweit eine zugunsten der Antragstellerin ausgehende Interessenabwägung notwendig (§ 28 Abs. 3 Satz 6 BDSG). In der vorliegenden Konstellation geht die Interessenabwägung jedoch zum Nachteil der Antragstellerin aus (dazu nachfolgend unter II. 1. a) bb)).
Es ist auch nicht davon auszugehen, dass die Ausnahme von E-Mail-Adressen im Rahmen des sog. Listenprivilegs unionsrechtswidrig wäre.
Soweit in diesem Zusammenhang auf die Entscheidungen des Europäischen Gerichtshofs Bezug genommen wird, ist hierzu auszuführen, dass nach dessen Rechtsprechung Art. 7 Buchst. f der Richtlinie 95/46/EG einen Mitgliedstaat daran hindert, kategorisch und ganz allgemein die Verarbeitung bestimmter Kategorien personenbezogener Daten auszuschließen, ohne Raum für eine Abwägung der im konkreten Einzelfall einander gegenüberstehenden Rechte und Interessen zu lassen (EuGH, Urt. v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62 unter Bezugnahme auf Urt. v. 24.11.2011 – ASNEF und FECEMD, C-468/10 und C-469/10 – juris Rn. 47 Facebook).
Auch wenn E-Mail-Adressen nicht unter das sog. Listenprivileg fallen, schließt die Anwendung des Bundesdatenschutzgesetzes, insbesondere des § 28 BDSG, eine Übermittlung von E-Mail-Adressen nicht schlechthin und ohne Raum für eine Abwägung zu lassen aus, da in diesem Fall eine Rechtfertigung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG auf Basis einer Interessenabwägung in Betracht kommt. Eine unionsrechtskonforme Auslegung und Anwendung des § 28 BDSG ist im vorliegenden Fall daher dadurch möglich, dass insoweit nicht von einer Sperrwirkung des § 28 Abs. 3 BDSG hinsichtlich des Rückgriffs auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG ausgegangen wird.
- bb) Auch durch § 28 Abs. 1 Satz 1 Nr. 2 BDSG kann die Übermittlung der (gehashten) E-Mail-Adressen jedoch nicht gerechtfertigt werden. Hiernach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen überwiegt. Im Rahmen der insoweit vorzunehmenden Interessenabwägung sind jedoch die im § 28 Abs. 3 BDSG getroffenen Wertungen des Gesetzgebers zu berücksichtigen. Wie der Europäische Gerichtshof in seiner oben zitierten Rechtsprechung ausgeführt hat, gebietet das Unionsrecht lediglich, im Einzelfall Raum für eine Abwägung zu lassen.
Die dem Regelungsregime des § 28 Abs. 3 BDSG zugrundeliegenden grundsätzlichen Wertungen zu unterlaufen oder auszuhöhlen ist weder aufgrund der Richtlinie 95/46/EG (Datenschutz-Richtlinie) noch aus sonstigen Gründen geboten. Der Europäische Gerichthof fordert lediglich, dass das nationale Recht eines Mitgliedstaats das Ergebnis der einander gegenüberstehenden Rechte und Interessen nicht abschließend vorschreiben darf, „ohne Raum für ein Ergebnis zu lassen, das aufgrund besonderer Umstände des Einzelfalls anders ausfällt“ (EuGH, Urt. v. 19.10.2016 – Breyer, C-582/14 – juris Rn. 62).
Nach der grundsätzlichen Wertung des § 28 Abs. 3 Satz 1 BDSG ist die Verarbeitung und Nutzung personenbezogener Daten für Zwecke der Werbung nur zulässig, wenn der Betroffene eingewilligt hat. Die dem nachfolgenden Regelungen zu sog. Listendaten (vgl. dazu oben) bilden eine Ausnahme von diesem Grundsatz, wobei der Gesetzgeber nur für die dort genannten Arten von Daten Privilegierungen geregelt und diese darüber hinaus an weitere Voraussetzungen geknüpft hat.
In der hiesigen Fallgestaltung ist festzustellen, dass die hier beanstandete Übermittlung der E-Mail-Adressen nach den dezidierten Regelungen in § 28 Abs. 3 BDSG selbst dann rechtswidrig wäre, wenn man insoweit die Privilegierungen für Listendaten zugrunde legen würde. Dies spricht im Rahmen der Interessenabwägung für das Überwiegen der Betroffenenrechte. So dürfen Listendaten zwar gem. § 28 Abs. 3 Satz 2 Nr. 1 BDSG für eigene Werbezwecke verwendet werden.
Dies erlaubt jedoch gerade nicht die – hier erfolgende – Übermittlung an Dritte (vgl. Plath a.a.O., § 28 Rn. 124). Darüber hinausgehend ist die Übermittlung von Listendaten an Dritte zum Zwecke der Werbung (§ 28 Abs. 2 Satz 4 BDSG) insbesondere an die Bedingung geknüpft, dass die Stelle, die die Daten erstmalig erhoben hat (hier: die Antragstellerin) aus der Werbung „eindeutig hervorgehen“ muss (sog. Transparenzgebot); anders als nach Abs. 3 Satz 5 muss sie nicht (lediglich) „eindeutig erkennbar“ sein. Es muss an geeigneter Stelle der Hinweis enthalten sein, woher der Werbende die Listen hat, etwa durch Angabe des Namens und der Anschrift des Adresshändlers.
Der Betroffene muss aufgrund dieses Hinweises in der Lage sein, sein Widerspruchsrecht gem. § 28 Abs. 4 BDSG geltend zu machen (Wolff a.a.O., § 28 Rn. 135; vgl. auch Plath a.a.O., § 28 Rn. 139 Facebook). Allein der Umstand, dass es sich um Angebote der Antragstellerin handelt, die dem Betroffenen bei Facebook angezeigt werden, reicht insoweit nicht aus, zumal die Stelle, die die Daten zum Zwecke der Werbung verwendet und die, zu deren Gunsten die Werbung erfolgt, auseinanderfallen können (etwa bei der Beipack- und Empfehlungswerbung, vgl. § 28 Abs. 3 Satz 5 BDSG).
Auch die konkrete Ausgestaltung der Widerspruchsmöglichkeit führt nicht zu einem überwiegenden Interesse der Antragstellerin (auch wenn sich die konkrete Umsetzung des Widerspruchs anders vollziehen mag als vom Antragsgegner angenommen). Wie die Antragstellerin selbst ausführt, besteht (erst) seit dem 22.08.2017 ein konkreter Hinweis auf die Übermittlung der E-Mail-Adressen an Facebook Personen, die ihre Daten vor diesem Datum an die Antragstellerin übermittelt und im Zuge dessen von den Datenschutzbestimmungen Kenntnis erlangt haben, waren auf diese konkrete Maßnahme der Datenverarbeitung nicht hingewiesen worden. Ihre Daten befinden sich eventuell jedoch nach wie vor auf der hochgeladenen Kundenliste, ohne dass sichergestellt ist, dass sie von den aktuellen Datenschutzhinweisen Kenntnis genommen haben – für die Betroffenen bestand unter Umständen keine Veranlassung dazu, sich erneut mit den Datenschutzhinweisen der Antragstellerin zu befassen (z.B. wenn keine erneute Bestellung erfolgt ist). Ob die Listen (zuletzt) nach dem 22.08.2017 bei Facebook hochgeladen worden sind, ist somit unerheblich.
Generell setzt die Zulässigkeit einer Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG voraus, dass diese zur Wahrung berechtigter Interessen der verantwortlichen Stelle „erforderlich“ ist – nicht etwa lediglich aus Sicht der verantwortlichen Stelle geeignet oder zweckmäßig. Gemeint sind Verwendungen, zu denen es keine objektiv zumutbare Alternative gibt. Eine Berufung der verantwortlichen Stelle auf § 28 Abs. 1 Satz 1 Nr. 2 BDSG kommt so lange nicht in Betracht, wie diese ihr Informationsziel anders erreichen kann (vgl. Simitis a.a.O., § 28 Rn. 108 m.w.N.). Zu berücksichtigen ist daher auch, dass die Antragstellerin die Daten insbesondere im Rahmen von Bestellvorgängen erwirbt und es ihr deswegen ohne einen unverhältnismäßig großen Aufwand möglich wäre, im Einzelfall eine Einwilligung zur Übermittlung der Daten an Facebook einzuholen.
Somit geht auch die Interessenabwägung zu Ungunsten der Antragstellerin aus (§ 28 Abs. 1 Satz 1 Nr. 2 bzw. § 28 Abs. 3 Satz 6 BDSG), sodass eine Rechtfertigung auf Grundlage des § 28 BDSG ausscheidet. Andere Vorschriften, die eine entsprechende Datenübermittlung rechtfertigen oder anordnen sind nicht ersichtlich.
- d) Die Datenübermittlung an Facebook ist daher rechtswidrig, weswegen das Bayerische Landesamt für Datenschutzaufsicht wie in ZifFacebook 1 des streitgegenständlichen Bescheids verfügt die Beseitigung des festgestellten Verstoßes verlangen konnte. Auch sonst bestehen hinsichtlich der Löschungsanordnung keine Rechtmäßigkeitsbedenken. Insbesondere sind Ermessensfehler i.S.v. § 114 Satz 1 VwGO nicht ersichtlich. Das Bayerische Landesamt für Datenschutzaufsicht hat das ihm zustehende Ermessen (Art. 40 BayVwVfG) erkannt und im Bescheid in nicht zu beanstandender Art und Weise ausgeübt.
Letztlich geht somit auch die im Rahmen des Verfahrens nach § 80 Abs. 5 VwGO vorzunehmende Interessenabwägung zwischen dem öffentlichen Vollziehungsinteresse und dem Suspensivinteresse der Antragstellerin zu deren Nachteil aus. Nachdem die derzeitigen Zustände sich voraussichtlich als datenschutzwidrig darstellen, ist es geboten, diesen Zustand auch schon vor einer (rechtskräftigen) Entscheidung in der Hauptsache zu beenden.
- Die Anordnung des Sofortvollzugs genügt ferner den formellen Anforderungen des § 80 Abs. 3 Satz 1 VwGO. Das Bayerische Landesamt für Datenschutzaufsicht hat in der streitgegenständlichen Anordnung hinreichend ausführlich und auf den Einzelfall abstellend seine Gründe für eine Anordnung des Sofortvollzugs dargelegt. Hierbei hat es sich nicht auf lediglich formelhafte Ausführungen beschränkt, sondern insbesondere unter Bezugnahme auf die Interessen der Betroffenen dargetan (S. 17/18 des Bescheids), weswegen aus seiner Sicht dem öffentlichen Vollziehungsinteresse der Vorrang einzuräumen ist (zu den Anforderungen vgl. Schoch in Schoch/Schneider/Bier, VwGO, 33. EL Juni 2017, § 80 Rn. 247 Facebook).
- Auch die kraft Gesetzes sofort vollziehbare Zwangsgeldandrohung (Art. 21a des Bayerischen Verwaltungszustellungs- und Vollstreckungsgesetzes – VwZVG) in ZifFacebook 3 des Bescheids, hinsichtlich derer die Anordnung der aufschiebenden Wirkung der Klage zu beantragen wäre (§ 80 Abs. 5 Satz 1 Var. 1 i.V.m. Abs. 2 Satz 1 Nr. 3 VwGO), ist rechtlich nicht zu beanstanden. Soweit sich der vorliegende Antrag bei Auslegung nach § 122 Abs. 1, § 88 VwGO auch hierauf erstreckt, bleibt er daher gleichfalls ohne Erfolg.
- Nach alledem ist der Antrag mit der Kostenfolge aus § 154 Abs. 1 VwGO abzulehnen. Die Streitwertfestsetzung basiert auf § 63 Abs. 2 Satz 1, § 53 Abs. 2 und § 52 Abs. 1 Gerichtskostengesetz (GKG) i.V.m. ZifFacebook 1.5 und in Anlehnung an ZifFacebook 54.2 des Streitwertkatalogs für die Verwaltungsgerichtsbarkeit 2013 (NVwZ-Beilage 2013, 57).