Auftragsdatenverarbeitung nur bei Weisungsgebundenheit

Es liegt eine erlaubnisbedürftige Übermittlung personenbezogener Daten und keine Auftragsverarbeitung vor, wenn der Empfänger einen eigenen Bewertungs- und Ermessensspielraum hinsichtlich der Datenverarbeitung hat.

VGH München, Beschluss vom 26.09.2018 – 5 CS 18/1157 –
§§ 3 Abs. 1, Abs. 8, 4 Abs. 1, 11, 28 Abs. 1 S. 1 Nr. 2, Abs. 3, 38 Abs. 5 BDSG a.F.
§ 80 Abs. 5 VwGO

Leitsätze (amtl)

1. Die Übermittlung gehashter E-Mail-Adressen an ein soziales Netzwerk zur Ausspielung zielgerichteter Werbung erfolgt nicht im Rahmen einer Auftragsdatenverarbeitung, wenn der Datenempfänger einen eigenen Entscheidungs- und Ermessensspielraum bei der Ermittlung des zu bewerbenden Kundenkreises hat. (Rn. 11 ff.)
2. Sofern keine ausdrückliche Einwilligung des Betroffenen vorliegt, ist über die Rechtmäßigkeit der Weitergabe von E-Mail-Adressen zu Werbezwecken nach § 28 Abs. 1 Nr. 2 BDGS a.F. in unionsrechtskonformer Auslegung durch Interessenabwägung zu entscheiden. (Rn. 26 ff.)

Tenor

I. Die Beschwerde wird zurückgewiesen.
II. Die Antragstellerin trägt die Kosten des Verfahrens.
III. Der Streitwert wird für das Beschwerdeverfahren auf 7.500,00 Euro festgesetzt.

Gründe

I.
[1] Die Antragstellerin wendet sich gegen die Anordnung der sofortigen Vollziehung einer datenschutzrechtlichen Anordnung, mit der sie verpflichtet wurde, die unter ihrem Facebook-Konto erstellte Kundenliste („Custom Audience“) zu löschen.

[2] Die Antragstellerin betreibt einen Online-Shop und unterhält ein Konto bei Facebook. Zur Schaltung zielgerichteter Werbung auf diesem Netzwerk nutzt die Antragstellerin den Dienst „Facebook Custom Audience“. Im Rahmen dieses von Facebook generell angebotenen Dienstes lädt ein Unternehmen, so auch die Antragstellerin, eine Liste mit eigenen Kundendaten innerhalb des eigenen Facebook-Kontos hoch, berechnet mittels der kryptographischen Hashfunktion SHA-256 für jede einzelne E-Mail-Adresse der Kunden einen sogenannten Hashwert und übermittelt diesen an einen Facebook-Server. Facebook gleicht die erhaltenen Hashwerte mit den ebenfalls mit der Hashfunktion SHA-256 verarbeiteten E-Mail-Adressen aller Facebook-Mitglieder ab. Sind zwei Hashwerte identisch, ist anhand der übereinstimmenden E-Mail-Adresse das dazugehörige Facebook-Mitglied bestimmt. Alle auf diese Weise ermittelten Facebook-Mitglieder bilden eine sogenannte „Custom Audience“ (Kundenliste) und erhalten innerhalb ihres Facebook-Profils zielgerichtete Werbung des den Dienst „Facebook Custom Audience“ nutzenden Unternehmens. Die Zielgruppe der durch Facebook anzusprechenden Facebook-Nutzer kann das Unternehmen mittels verschiedener Merkmale näher spezifizieren. Um zu ermitteln, welche Merkmale oder Interessen dem einzelnen Facebook-Mitglied zuzuordnen sind, verarbeitet Facebook Informationen aus verschiedenen Quellen, z.B. der IP-Adresse, den Mobilgeräten, dem Facebook-Profil des Nutzers und dessen Aktivitäten oder Interaktionen mit Unternehmen. Welche konkreten Facebook-Mitglieder beworben werden, erfährt das werbetreibende Unternehmen, im konkreten Fall die Antragstellerin, nicht. Die Höhe des Entgelts für den Dienst „Custom Audiences“ richtet sich nach der Laufzeit der Werbekampagne.

[3] Mit Bescheid vom 16. Januar 2018 verpflichtete das Bayerische Landesamt für Datenschutzaufsicht (im Folgenden: Landesamt) die Antragstellerin unter Androhung eines Zwangsgelds binnen zwei Wochen nach Zustellung des Bescheids die unter ihrem Facebook-Konto erstellten „Custom Audiences“ zu löschen und ordnete die sofortige Vollziehung dieser Anordnung an. Gegen diesen Bescheid erhob die Antragstellerin am 1. Februar 2018 Klage.

[4] Den ebenfalls gestellten Antrag auf Wiederherstellung der aufschiebenden Wirkung der Klage lehnte das Verwaltungsgericht mit Beschluss vom 8. Mai 2018 wegen fehlender Erfolgsaussichten der Klage ab. Unter Bezugnahme auf die Begründung des streitgegenständlichen Bescheids führte das Verwaltungsgericht ergänzend aus, das Landesamt habe die streitgegenständliche Anordnung zu Recht auf § 38 Abs. 5 Satz 1 BDSG a.F. gestützt, weil die beanstandete Übermittlung der gehashten E-Mail-Adressen nach § 4 Abs. 1 BDSG a.F. mangels Einwilligung des Betroffenen oder gesetzlicher Erlaubnis datenschutzrechtlich unzulässig sei. Bei den E-Mail-Adressen handele es sich um personenbezogene Daten nach § 3 Abs. 1 BDSG a.F., die durch den Vorgang des Hashens nicht i.S.v. § 3 Abs. 6 BDSG a.F. anonymisiert würden. Durch das Hashen werde der Personenbezug nicht völlig aufgehoben und es sei ohne unverhältnismäßigen Aufwand möglich, die Daten einer bestimmten oder bestimmbaren Person zuzuordnen. Das zeige auch der Datenabgleich seitens Facebook. Die beanstandete Übermittlung der gehashten Daten erfolge an Facebook „als Dritten“ i.S.v. § 3 Abs. 8 Satz 2 BDSG a.F. und stelle eine Verarbeitung nach § 3 Abs. 4 Satz 1 BDSG a.F. dar. Durch Facebook erfolge keine Auftragsdatenverarbeitung (§ 11 BDSG a.F.), innerhalb der die Übermittlung der Kundendaten auch ohne Einwilligung der Betroffenen und ohne gesetzliche Erlaubnis zulässig wäre (§ 3 Abs. 8 Satz 3 BDSG a.F.). Facebook werde nicht gleichsam als verlängerter Arm der Antragstellerin tätig, sondern es liege allein im Ermessen von Facebook, wer konkret beworben werde. Eine konkrete Einwilligung des Betroffenen für die Übermittlung seiner Daten an Facebook liege nicht vor. Die Übermittlung der Daten könne auch nicht auf § 28 Abs. 3 BDSG a.F. gestützt werden, weil die Tatbestandsvoraussetzungen nicht gegeben seien. Die Antragstellerin könne sich nicht auf das sogenannte Listenprivileg des § 28 Abs. 3 Satz 2 BDSG a.F. berufen, weil E-Mail-Adressen nicht zu den sogenannten Listendaten i.S.v. § 28 Abs. 3 Satz 2 BDSG a.F. zählen würden. Eine Berechtigung zur Übermittlung ergebe sich auch nicht aus § 28 Abs. 3 Satz 3 BDSG a.F., weil diese Vorschrift lediglich die Vervollständigung der Informationen erlaube und keine eigene Übermittlungsbefugnis hinsichtlich weiterer Daten enthalte. Die Übermittlung der E-Mail-Adressen an Facebook sei auch nicht im Wege einer unionsrechtlich gebotenen Interessenabwägung auf der Grundlage von § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. als zulässig anzusehen, weil diese zu Gunsten der Betroffenen ausfalle.

[5] Gegen diesen Beschluss richtet sich die vorliegende Beschwerde der Antragstellerin.

[6] Der Antragsgegner tritt dem Vorbringen der Antragstellerin entgegen und beantragt, die Beschwerde zurückzuweisen.

[7] Wegen weiterer Einzelheiten wird auf die Gerichts- und Behördenakten verwiesen.

II.
[8] Die Beschwerde der Antragstellerin gegen den Beschluss des Verwaltungsgerichts Bayreuth vom 8. Mai 2018 hat keinen Erfolg. Das Verwaltungsgericht hat den Antrag auf Wiederherstellung der aufschiebenden Wirkung der Klage gegen die Anordnung, die unter dem Facebook-Konto der Antragstellerin erstellten Kundenlisten („Custom Audiences“) zu löschen, zu Recht abgelehnt. Die im Beschwerdeverfahren innerhalb der gesetzlichen Begründungsfrist dargelegten Gründe, auf deren Prüfung der Verwaltungsgerichtshof beschränkt ist (§ 146 Abs. 4 Satz 6 VwGO), geben keine Veranlassung, die angegriffene Entscheidung zu ändern. Es verbleibt bei der zutreffenden Einschätzung des Verwaltungsgerichts, dass die Klage nach der im Verfahren des einstweiligen Rechtsschutzes gemäß § 80 Abs. 5 VwGO allein möglichen und gebotenen summarischen Prüfung voraussichtlich erfolglos bleiben wird.

[9] 1. Für die Beurteilung der Rechtmäßigkeit des angefochtenen Verwaltungsakts kommt es auf die Rechtslage im Zeitpunkt der letzten behördlichen Entscheidung an, hier den Erlass des Bescheids vom 16. Januar 2018, so dass die Rechtmäßigkeit der streitgegenständlichen Löschungsanordnung auf der Grundlage des bis zum 24. Mai 2018 geltenden Bundesdatenschutzgesetzes (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl I S. 66), zuletzt geändert durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl I S. 2097), zu beurteilen ist. Zwar haben die Gerichte bei der Überprüfung von Dauerverwaltungsakten die Sach- und Rechtslage im Zeitpunkt der letzten mündlichen Verhandlung zu berücksichtigen, sofern nicht das materielle Recht die Maßgeblichkeit eines anderen Zeitpunkts bestimmt (BVerwG, U.v. 11.7.2011 – 8 C 11.10 – juris Rn. 17). Eine solche Fallgestaltung liegt hier aber nicht vor. Gegenstand des Verfahrens ist die durch das Landesamt angeordnete Löschungsverfügung, deren Regelungsgehalt sich in einem einmaligen Löschungsvorgang erschöpft. Im Übrigen hat auch die Antragstellerin selbst nicht vorgetragen, dass sich mit Inkrafttreten der Neufassung des Bundesdatenschutzgesetzes gemäß Art. 1 des Gesetzes vom 30. Juni 2017 (BGBl I S. 2097) zum 25. Mai 2018 die materielle Rechtslage zu ihren Gunsten verändert hat.

[10] 2. Entgegen der Auffassung der Antragstellerin hat das Landesamt das besondere öffentliche Interesse am Sofortvollzug im Sinn von § 80 Abs. 3 Satz 1 VwGO ausreichend begründet. Unter Gegenüberstellung der widerstreitenden Interessen hat das Landesamt ausführlich und unter Bezugnahme auf die Funktionsweise des genutzten Dienstes dargelegt, dass angesichts der Erklärung der Antragstellerin, den Dienst „Facebook Custom Audience“ weiterhin nutzen zu wollen, sowohl aus general- als auch aus spezialpräventiven Gesichtspunkten dem öffentlichen Interesse am Sofortvollzug Vorrang einzuräumen ist.

[11] 3. Das Verwaltungsgericht ist zutreffend davon ausgegangen, dass die Übermittlung der gehashten E-Mail-Adressen an Facebook im Rahmen des Dienstes „Custom Audience“ nicht im Wege einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F. erfolgte, sondern als Übermittlung an einen Dritten (§ 3 Abs. 8 Satz 2 BDSG a.F.) zu werten ist, die nach § 4 Abs. 1 BDSG a.F. einer entsprechenden Einwilligung der Betroffenen oder einer gesetzlichen Gestattung der Datenübermittlung bedurft hätte (a). Da weder eine Einwilligung der Betroffenen vorlag noch die Übermittlung der Daten gesetzlich gestattet war, konnte der Antragsgegner die Löschungsanordnung auf § 38 Abs. 5 Satz 1 BDSG a.F. stützen (b).

[12] a) Die Antragstellerin trägt zur Begründung ihrer Beschwerde vor, die Bewertung des Gerichts, Facebook habe die übermittelten Daten nicht als Auftragsdatenverarbeiter i.S.v. § 11 BDSG a.F., sondern als Dritter verarbeitet, sei fehlerhaft. Es sei zwar richtig, dass Facebook für die innerhalb des Netzwerks vorgenommene Bewerbung von Nutzern eine eigenständige rechtliche Zuständigkeit zugewiesen sei und dem Netzwerkbetreiber ein inhaltlicher Bewertungs- und Ermessensspielraum eingeräumt werde. Das gelte jedoch nicht für die Erstellung der Kundenliste im Wege der Überschneidungsanalyse. Die mit dem Dienst „Custom Audience“ verbundenen Datenverarbeitungsvorgänge (Überschneidungsanalyse und sonstige Verarbeitung durch Facebook) müssten getrennt betrachtet werden. Während Facebook bei der Ausspielung der Werbung an seine Nutzer völlig frei sei, erfolgte die Überschneidungsanalyse weisungsgebunden; ein eigenes finanzielles Interesse am Abgleich der Hashwerte schließe eine Auftragsdatenverarbeitung nicht aus. Diese Ausführungen, mit denen die Antragstellerin im Wesentlichen die bereits im Verwaltungs- und Gerichtsverfahren geäußerten Rechtsansichten wiederholt, sind nicht geeignet, die rechtliche Bewertung durch das Verwaltungsgericht zu widerlegen.

[13] aa) Für die Beurteilung, ob Facebook im Rahmen einer Auftragsdatenverarbeitung i.S.v. § 11 BDSG a.F. tätig wurde, kann nicht allein auf die Durchführung der Überschneidungsanalyse abgestellt werden. Vielmehr ist als datenschutzrechtlich zu bewertende Datenverarbeitung die vollständige und bestimmungsmäßige Nutzung des Dienstes „Facebook Custom Audience“ in den Blick zu nehmen.

[14] Das Verfahren „Facebook Custom Audience“ ermöglicht es Unternehmen, ihre Kunden, die zugleich Nutzer von Facebook sind, auf diesem sozialen Netzwerk von Facebook gezielt bewerben zu lassen. Welche Kunden zugleich Nutzer des sozialen Netzwerks sind, wird von Facebook durch Abgleich der jeweiligen E-Mail-Adresse ermittelt (sogenannte Überschneidungsanalyse). Die im Rahmen dieses Dienstes im Wege der Überschneidungsanalyse erstellte Kundenliste (Custom Audience) dient keinem eigenen, abtrennbaren Zweck, sondern ist Grundlage und Voraussetzung für die vertraglich vereinbarte, zielgerichtete Werbung durch Facebook. Der zwischen der Antragstellerin und Facebook geschlossene Verarbeitungsvertrag steht dem nicht entgegen. Maßgebend für die Einordnung eines Vorgangs als Auftragsdatenverarbeitung ist eine objektive Qualifikation der auf Grundlage der vertraglichen Vereinbarung stattfindenden tatsächlichen Abläufe. Andernfalls hätten es die Vertragsparteien selbst in der Hand, die rechtlichen Rahmenbedingungen für die Datenverarbeitung festzulegen (Working Paper 169 der Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, im Internet abrufbar unter: http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_de.pdf, S. 14; Spoerr in Wolff/Brink BeckOK Datenschutzrecht BDSG 2003 § 11 Rn. 41).

[15] bb) Facebook wird im Rahmen des Dienstes „Custom Audience“ nicht als Auftragsverarbeiter (§ 11 BDSG a.F.) tätig. Das Verwaltungsgericht hat unter Bezugnahme auf die Ausführungen im angegriffenen Bescheid zutreffend festgestellt, dass in der vorliegenden Fallkonstellation kein Auftragsdatenverarbeitungsverhältnis vorliegt und die Weitergabe der gehashten E-Mail-Adressen an Facebook als Übermittlung von Daten an einen Dritten (§ 3 Abs. 8 Satz 2 BDSG a.F.) zu werten ist.

[16] Für die Einordnung als Auftragsdatenverarbeitung kommt es maßgeblich darauf an, wer die Verantwortung für die Verarbeitung der Daten hat. Nur die vollständige Unterordnung bei der Erhebung, Verarbeitung und Nutzung der Daten unter die Vorgaben des Auftraggebers hinsichtlich Mittel und Zweck der Datenverarbeitung berechtigt dazu, die Datenübertragung an einen Auftragsdatenverarbeiter von den gesetzlichen Rechtfertigungsanforderungen an die Weitergabe von personenbezogenen Daten auszunehmen. Die Einschaltung weiterer Arbeitsschritte in den Verarbeitungsvorgang schließt eine Auftragsdatenverarbeitung dann nicht aus, wenn es sich um einfache Algorithmen handelt, die vom Auftraggeber klar definiert werden (Spoerr in Wolff/Brink, a.a.O., § 11 Rn. 38). Auch der Grad der tatsächlich von einer Partei ausgeübten Kontrolle, der den betroffenen Personen vermittelte Eindruck und deren berechtigte Erwartungen aufgrund der Außenwirkung sind in die Bewertung einzubeziehen (Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O., S. 14). Generell kann von Auftragsdatenverarbeitung ausgegangen werden, wenn sich der Auftraggeber die Entscheidungsbefugnis gegebenenfalls unter Vorgabe ausdifferenzierter Kriterien vorbehält und dem Dienstleister keinerlei inhaltlichen Bewertungs- und Ermessensspielraum einräumt (Gola/Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, § 11 Rn. 9). Anders liegt der Fall jedoch, wenn das beauftragte Unternehmen eigenständig und ohne Vorgaben über die technischen und organisatorischen Mittel der Datenverarbeitung entscheidet (Working Paper 169 der Art. 29-Datenschutzgruppe, a.a.O. S. 19).

[17] So liegt der Fall hier. Wie die Antragstellerin in der Beschwerdebegründung selbst vorträgt, entscheidet Facebook selbstständig unter Auswertung des Nutzungsverhaltens seiner Mitglieder, welche Nutzer der Zielgruppenbestimmung der Antragstellerin entsprechen und folglich beworben werden. Facebook trifft die Auswahl der zu Bewerbenden anhand der nur Facebook bekannten und verfügbaren Profildaten und ist allein in der Lage, die zu bewerbenden Kunden zu ermitteln und die Werbung auszuspielen. Facebook ist – nach Angaben der Antragstellerin – bei der Durchführung des Dienstes und der Auswertung des Verhaltens seiner Nutzer völlig frei. Sie erklärt selbst, auf die Datenerhebungs- und Verarbeitungsprozesse keinen Einfluss zu haben. Die Bewertung, dass Facebook als Auftragsdatenverarbeiter tätig wird, stützt die Antragstellerin ausschließlich auf die Aufspaltung der einzelnen Handlungsschritte des von Facebook angebotenen Dienstes. Da aber, wie ausgeführt, die Dienstleistung „Facebook Custom Audience über die Kundenliste“ unter datenschutzrechtlichen Gesichtspunkten einen einheitlichen Vorgang bildet, der nicht in verschiedene, rechtlich selbständig bewertbare Teile zerlegt werden kann, vermag dies das von der Antragstellerin behauptete Auftragsdatenverhältnis nicht begründen.

[18] b) Das Landesamt hat die Löschungsanordnung zutreffend auf § 38 Abs. 5 Satz 1 BDSG a.F. gestützt, weil die Übermittlung der gehashten E-Mail-Adressen an Facebook weder mit Einwilligung der Betroffen erfolgte noch aufgrund gesetzlicher Regelung erlaubt war (§ 4 Abs. 1 BDSG a.F.). Das Verwaltungsgericht hat überzeugend dargelegt, dass die Tatbestandsvoraussetzungen von § 28 Abs. 3 BDSG a.F. und § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. nicht vorliegen.

[19] aa) Zunächst ist darauf hinzuweisen, dass es entgegen der Auffassung der Antragstellerin nicht darauf ankommt, ob diese selbst die Kundendaten erheben und für eigene Werbezwecke verwenden durfte. Da Facebook die Daten als Dritter i.S.v. § 3 Abs. 8 Satz 2 BDSG a.F. verarbeitet, kommt es maßgeblich darauf an, ob die Übermittlung der gehashten E-Mail-Adressen an Facebook nach datenschutzrechtlichen Vorschriften zulässig ist.

[20] bb) Die Übermittlung der E-Mail-Adressen kann nicht auf § 28 Abs. 3 BDSG a.F. gestützt werden.

[21] (1) Da eine Einwilligung der Betroffenen (§ 28 Abs. 3 Satz 1 BDSG a.F.) unstrittig nicht vorlag, kommt als Rechtsgrundlage lediglich § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F. in Betracht. Das Verwaltungsgericht hat jedoch zutreffend festgestellt, dass sich die Antragstellerin bezüglich der Übermittlung der Daten zu Werbezwecken nicht auf das sogenannte Listenprivileg des § 28 Abs. 3 Satz 2 Nr. 1 BDSG a.F. berufen kann.

[22] (2) Die Antragstellerin trägt vor, bei den gehashten E-Mail-Daten handle es sich zwar um kein in § 28 Abs. 3 Satz 2 BDSG a.F. aufgeführtes Listendatum. Darauf komme es jedoch auch nicht an, weil keine E-Mail-Adressen, sondern lediglich Hashwerte an Facebook übertragen würden. Diese Daten enthielten lediglich die Information, dass eine bestimmte Person auf einer von der Antragstellerin übersandten Liste stehe. Die Information über die „Zugehörigkeit des Betroffenen zu einer Liste“ sei sehr wohl ein Listendatum im Sinne von § 28 Abs. 3 Satz 2 BDSG a.F.

[23] Dieser Auffassung ist nicht zu folgen. Die Übermittlung der Hashwerte stellt keinen eigenständigen datenschutzrechtlichen Vorgang dar. Gegenstand der streitgegenständlichen Datenübermittlung sind die E-Mail-Adressen der Kunden der Antragstellerin, die lediglich aus Gründen der Datenverarbeitung mittels einer Hashfunktion an Facebook übersandt werden. Anhand der identischen E-Mail-Adresse des Kunden wird das zu bewerbende Nutzerkonto ermittelt. Daher ist für die datenschutzrechtliche Prüfung maßgeblich darauf abzustellen, ob für die Weitergabe der E-Mail-Adressen eine rechtliche Grundlage besteht. Erst durch die Übermittlung dieser Daten ist im zweiten Schritt die Information „Zugehörigkeit des Betroffenen zu einer Liste“ möglich.

[24] Wie das Verwaltungsgericht zutreffend dargelegt hat, ist die Übermittlung der E-Mail-Adressen auch nicht im Wege des „Hinzuspeicherns“ nach § 28 Abs. 3 Satz 3 BDSG a.F. zulässig. Die mit dieser Bestimmung eröffnete Möglichkeit, weitere Daten zu den einzeln aufgeführten Listendaten hinzu zu speichern, setzt voraus, dass im Ausgangspunkt überhaupt ein Listendatum i.S.v. § 28 Abs. 3 Satz 2 BDSG betroffen ist. Daran fehlt es jedoch hier. Der von der Antragstellerin geltend gemachte Wertungswiderspruch, der darin liege, dass die Übermittlung gehashter E-Mail-Adressen – würde man der Auffassung des Verwaltungsgerichts folgen – zulässig sei, wenn die Antragstellerin Facebook auch noch andere Listendaten zur Verfügung stellt, liegt nicht vor. Denn in diesem Fall stünde die Zulässigkeit der Datenübermittlung unter dem Vorbehalt, dass die Verarbeitung und Nutzung sämtlicher betroffener Daten erforderlich ist (§ 28 Abs. 3 Satz 2 HS 2 BDSG a.F.). Es wäre in diesem Fall zunächst zu prüfen, ob die Übermittlung der Ausgangslistendaten, zu denen die E-Mail-Adressen hinzugespeichert werden könnten, unter Berücksichtigung dieser Einschränkung überhaupt zulässig wäre.

[25] (3) Eine Übermittlung wäre entgegen der Auffassung der Antragstellerin auch nicht nach § 28 Abs. 3 Satz 4 i.V.m. Satz 2 BDSG a.F. zulässig, weil dieses – wie die Antragstellerin selbst vorträgt – zur Voraussetzung hat, dass es sich um ein Listendatum i.S.v. § 28 Abs. 3 Satz 2 BDSG a.F. handelt. Daran fehlt es hier jedoch.

[26] cc) § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. kommt als Rechtsgrundlage für die Übermittlung der gehashten E-Mail-Adressen ebenfalls nicht in Betracht.

[27] (1) Unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH, U.v. 19.10.2016 – Breyer, C-582/14 – juris) ist das Verwaltungsgericht zutreffend davon ausgegangen, dass ein Mitgliedstaat die Verarbeitung bestimmter Kategorien personenbezogener Daten (hier die E-Mail-Adresse) nicht gänzlich ausschließen kann, ohne bezüglich der Zulässigkeit der Nutzung Raum für eine Interessenabwägung zu lassen. Dieser Vorgabe wird durch die unionsrechtskonforme Anwendung von § 28 Abs. 1 Satz 1 Nr. 2 BDSG a.F. in der Weise Rechnung getragen, dass die Zulässigkeit der Nutzung personenbezogener Daten zu Werbezwecken auch über den Anwendungsbereich des § 28 Abs. 3 BDSG a.F. hinaus im Wege einer Interessenabwägung zulässig sein kann. Wie das Verwaltungsgericht unter Bezugnahme auf die umfassende Interessenabwägung im streitgegenständlichen Bescheid (s. S. 14 – 15 des Bescheids) und darüber hinausgehend selbst (s. S. 30 – 31 des Beschlusses) überzeugend ausgeführt hat, fällt die Interessenabwägung zwischen den schutzwürdigen Interessen der Betroffenen (insb. dem Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 GG i.V.m Art. 1 Abs. 1 GG bzw. dem in Art. 8 Abs. 1 GRCh garantierten Schutz personenbezogener Daten) und dem Interesse der Antragstellerin an der Übermittlung der E-Mail-Adressen an Facebook zu Werbezwecken zulasten der Antragstellerin aus. Die Ausführungen im Beschwerdeschriftsatz, mit denen im Wesentlichen die bereits vorgetragenen Argumente wiederholt werden, geben keinen Anlass für eine Abwägung zu Gunsten der Antragstellerin. Zwar hat diese – wie das Verwaltungsgericht festgestellt hat – ein berechtigtes Interesse an zielgerichteter Werbung, diesem Interesse stehen jedoch die überwiegenden, schutzwürdigen Interessen der Betroffenen gegenüber, die insbesondere nicht damit rechnen, dass ihre im Rahmen eines Bestellvorgangs bei der Antragstellerin angegebene E-Mail-Adresse an Facebook übermittelt wird.

[28] Nicht zu folgen ist der Ansicht der Antragstellerin, die Interessenabwägung des Verwaltungsgerichts sei fehlerhaft, weil es sich nicht mit den schutzwürdigen Interessen der Betroffenen auseinandergesetzt habe. Es sei daher zweifelhaft, ob solche überhaupt bestünden. Das Verwaltungsgericht hat auf S. 24 des Beschlusses dargelegt, dass es in der Sache der Begründung der streitgegenständlichen Anordnung folgt, und hat insoweit von einer gesonderten Darstellung abgesehen. Das Gericht hat sich somit die Erwägungen im Bescheid, also auch die Ausführungen zu den schutzwürdigen Interessen der Betroffenen, zu Eigen gemacht und führte weitere rechtliche Erwägungen lediglich ergänzend aus.

[29] (2) Nicht zu beanstanden ist schließlich, dass das Verwaltungsgericht im Rahmen der Interessenabwägung die in § 28 Abs. 3 BDSG a.F. enthaltenen Wertungen ergänzend heranzog. Auch stellt das Verwaltungsgericht zutreffend darauf ab, dass die Datenverarbeitung nach § 28 Abs. 1 Satz 2 Nr. 2 BDSG a.F. nicht nur ein berechtigtes Interesse der Antragstellerin voraussetzt, sondern zusätzlich die Nutzung der personenbezogenen Daten zur Wahrung dieser Interessen auch erforderlich ist. § 28 Abs. 1 Satz 2 Nr. 2 BDSG a.F. kommt als Rechtsgrundlage daher nicht in Betracht, wenn die Antragstellerin ihr Informationsziel auch auf andere Weise erreichen kann. Da die E-Mail-Adressen im Zusammenhang mit Bestellvorgängen erhoben wurden, wäre es für die Antragstellerin ohne großen Aufwand möglich, die Einwilligung zur Übermittlung der E-Mail-Adresse an Facebook zu Werbezwecken bei den Betroffenen einzuholen. Der Auffassung der Antragstellerin, bei Vorliegen vertraglicher Beziehungen falle die Interessenabwägung dann in jeden Fall zu Lasten des Datennutzers aus, kann nicht gefolgt werden. Die Möglichkeit der Einwilligung ist nur ein Kriterium im Rahmen der Interessenabwägung. Es ist eine Frage des Einzelfalls, welche Auswirkungen die Ausgestaltung der rechtlichen Beziehungen auf die Interessenabwägung in der Gesamtheit haben.

[30] (3) Auch der Hinweis, die Antragstellerin dürfe Daten, die im Anwendungsbereich des Telemediengesetzes erhoben wurden, auf der Basis einer Interessenabwägung verarbeiten, führt nicht weiter, weil für die auch hier vorzunehmende Interessenabwägung keine anderen Kriterien gelten.

[31] 4. Die Kostenentscheidung ergibt sich aus § 154 Abs. 2 VwGO.

[32] 5. Die Streitwertfestsetzung beruht auf § 47 Abs. 1, § 53 Abs. 2 Nr. 2, § 52 Abs. 1 und Abs. 2 GKG. In Verfahren des vorläufigen Rechtsschutzes beträgt der Streitwert grundsätzlich die Hälfte des für das Hauptsacheverfahren anzunehmenden Streitwerts (Nr. 1.5 des Streitwertkatalogs 2013 für die Verwaltungsgerichtsbarkeit). Der Senat hält es für sachgerecht, den Streitwert in Anlehnung an Nr. 54.1 des Streitwertkatalogs zu bestimmen.

[33] Diese Entscheidung ist unanfechtbar (§ 152 Abs. 1 VwGO).

Vorinstanz

VG Bayreuth, Beschluss vom 08.05.2018 – B 1 S 18.105

Quelle: http://www.gesetze-bayern.de/ (Bayerische Staatskanzlei, Franz-Josef-Strauss-Ring 1, 80539 München)

Format und Rechtschreibung: http://www.debier.de (de-bier-datenbank, RA Torsten Mahncke, Berlin)