Onlineshop-Kund:innen des Discountunternehmens Lidl haben kürzlich eine E-Mail bekommen. Betreff: „Aktualisierung unserer Datenschutzbestimmungen“. Wer diese E-Mail nicht gelesen hat, für den gelten die Änderungen jetzt trotzdem. Denn sie beinhaltete einen Link zum Widerrufen, nicht aber, um den neuen Bedingungen zuzustimmen.
Ist eine Nicht-Antwort also schon eine Einwilligung? Da Lidl Deutschland in Stuttgart sitzt, ist die Datenschutzbehörde Baden-Württembergs unter Leitung von Stefan Brink zuständig. Auf Nachfrage von netzpolitik.org hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) den Fall angeschaut und kommt zu dem Schluss: „Die Möglichkeit des Widerspruchs reicht nicht.“ Nutzer:innen müssten sich aktiv für eine Weitergabe ihrer Daten entscheiden.
Bei der Änderung in den Datenschutzbestimmungen geht es um die Verwendung von personalisierten Daten zu Werbezwecken auf anderen Plattformen wie Facebook:
Wenn Sie mit uns einen Vertrag abgeschlossen haben, nutzen wir die Information zu Ihrem Einkauf in unserem Online-Shop gemeinsam mit Daten zu Ihrer Identifizierung (Name und Kontaktdaten einschließlich Ihrer E-Mail-Adresse), um Ihnen in Sozialen Netzwerken, wie z.B. www.facebook.de, oder anderen Werbeplattformen für Sie individualisierte Werbung zu unseren Lidl-Angeboten anzuzeigen. Die Betreiber der sozialen Netzwerke und der anderen Werbeplattformen erhalten dabei neben pseudonymisierten Informationen zu Ihrer Identifizierung lediglich den Auftrag zum Ausspielen bestimmter Werbung.
Auf Anfrage von netzpolitik.org teilt Lidl Deutschland mit, dass sich das Unternehmen aus seiner Sicht mit den Änderungen an die Datenschutzgrundverordnung (DSGVO) halte und begründet das so:
„Die Datenverarbeitung zum Ausspielen von Werbung in einem sozialen Netzwerk ist auf Grundlage des berechtigten Interesses von Lidl an der Durchführung von Direktwerbung zulässig und damit auch nicht einwilligungsbedürftig. Wir haben die Nutzer vorab über die Änderungen informiert. Sie können gegen diese Datenverarbeitung jederzeit Widerspruch einlegen. Der Hinweis darauf sowie ein Link zur Ausübung des Widerspruchsrechts findet sich zudem in unseren Datenschutzbestimmungen.“
Der LfDI kommt jedoch zu einer anderen Einschätzung: „Ein solches berechtigtes Interesse liegt zwar vor, kann nach der notwendigen Abwägung mit den Rechten der App-Nutzenden aber nicht als Rechtsgrundlage für die Übermittlung von Nutzerdaten an z.B. Facebook herangezogen werden.“
Einwilligung erforderlich
Es sei zu überprüfen, „ob die Übermittlung von Namen, Kontaktdaten einschließlich E-Mailadressen, an Facebook und andere ungenannte ‚Werbeplattformen‘ erforderlich ist. Außerdem müsse eine Abwägung mit den Rechten der Nutzenden stattfinden. Bei dieser Interessenabwägung komme man „regelmäßig zum Schluss, dass auf Basis des berechtigten Interesses eine solche Übermittlung nicht möglich ist.“
Daher bleibe als Rechtsgrundlage grundsätzlich nur „die vorherige, informierte, freiwillige, aktiv und separat von anderen Erklärungen abgegebene Einwilligung der betroffenen Personen.“
Wenn es sich lediglich um Datenschutzhinweise handelt, reiche aus, dass Informationen ohne Einwilligung einfach nur zur Verfügung gestellt werden. Solche Datenschutzhinweise könnten aber keine neue Rechtsgrundlage abbilden, so die Datenschutzbehörde. Genau das sei aber „stets notwendig“, wenn es – wie in diesem Fall – um die Verarbeitung personenbezogener Daten geht.
Umstrittene Funktion bei Facebook
Damit folgt die Baden-Württembergische Datenschutzbehörde in diesem Fall der Linie des Bayerischen Landesamtes für Datenschutzaufsicht, das bereits 2017 erklärt hatte, dass die Custom-Audience-Funktion bei Facebook grundsätzlich eine Zustimmung erfordere. So nennt Facebook seine Funktion, mit der Unternehmen Informationen über ihre Kund:innen bereitstellen, damit die Plattform diesen gezielte Werbung der Unternehmen ausspielt. Die Idee dahinter: Punktgenau jene erreichen, die eh schon mal im eigenen Shop eingekauft haben.
Dafür laden die teilnehmenden Unternehmen eine Liste mit den Kontaktdaten ihrer Onlineshop-Kund:innen bei Facebook hoch. „Vor der Verwendung versieht Facebook diese Informationen mit einem Hash“, also einer Art kryptografischem Fingerabdruck, der unverwechselbar einem Kundenprofil zugeordnet werden kann, beschreibt der Konzern das Vorgehen. Dann gleicht er die Kundenlisten mit existierenden Facebook-Profilen ab, sodass den Profilen mit Übereinstimmungen personalisierte Werbung für den jeweiligen Onlineshop angezeigt wird.
Sind die Daten damit ausreichend geschützt? Auch die Umwandlung der persönlichen Daten in Hashwerte vor dem Abgleich anonymisiere die Daten nicht, sagte 2019 die bayerische Datenschutzbeauftragte Kristin Benedikt in einem Interview mit netzpolitik.org. Schließlich gebe es mittlerweile viele Möglichkeiten, Hashwerte wieder zurückzurechnen und die dahinterstehenden Informationen erkenntlich zu machen.
Wer sind „andere Werbeplattformen“?
Lidl teilt die Daten laut seiner neuen Bestimmungen neben Facebook mit „anderen Werbeplattformen“, die das Unternehmen in den Datenschutzbedingungen nicht weiter benennt. Erst auf unsere Anfrage teilt Lidl mit, dass es für personalisierte Werbung auch mit Google und den beiden Online-Vermarktern United Internet Media und Addition/Active Agent zusammenarbeitet. United Internet betreibt unter anderem die Portale 1&1, web.de und GMX.
Der LfDI Baden-Württembergs ist der Meinung, dass in den Datenschutzbestimmungen grundsätzlich alle Empfänger personenbezogener Daten genannt werden müssten. „Ebenso muss informiert werden, welche Daten genau für welche Zwecke (auch die Zwecke der Plattformen) verarbeitet werden.“
Nun werde man auf Lidl zugehen, um die Rechtslage zu besprechen, heißt es von der Datenschutzbehörde aus Stuttgart. „Über weitere Maßnahmen werden wir im Anschluss entscheiden.“
Na sowas. Ausgerechnet das BayLDA hat mir schriftlich bestätigt, dass es vollkommen O.K. ist, wenn ein Unternehmen meine (postalische) Adresse an ein anderes Unternehmen verkauft, ohne dass ich explizit darauf hingewiesen werde.
Die Meinung des BayLDAs scheint wohl davon abzuhängen, wo ein Unternehmen seinen Sitz hat. :-) Dass E-Mail-Adressen heute noch anders betrachtet werden als Anschriften, ist doch gaga.
Es gibt eine einfache Möglichkeit sich vor dem Zugriff durch Facebook zu schützen: die mit dem Facebook-Konto verknüpfte Email-Adresse nur für Facebook/Instagram verwenden aber nicht für andere Konten. Dann wird die Email-Adresse von Lidl zwar trotzdem weitergegeben, aber sie ist für Facebook wertlos.
noch einfacher: Erst gar kein Konto bei F.c.book (oder einer seiner Töchter) haben!
Nur ein Verbot hilft.
Das auch durchgesetzt wird.
Gegen Personen.
Auf jedweden Landes Boden.
Danke für die gute Berichterstattung!
Nachdem ich direkt widersprochen habe folgt nun
1. Anfrage Datenauskunft nach Art. 15 DSGVO
2. Nach erhalt der Auskunft Löschung des Lidl Accounts
3. Keinerlei Bestellungen mehr im Lidl Onlineshop
Wenn das nun viele Kunden machen wird sich Lidl und Co das in Zukunft vielleicht vorher überlegen wie sie ihre Kunden behandeln, mit denen sie ihr Geld verdienen
Danke für den Bericht. Bin zwar kein Lidl-Kunde, aber bei den vielen Online-Accounts die man heute so hat, fragt man sich schon ob noch Andere auf solche tollen Ideen kommen.
Bleibt dran und findet die Übeltäter!
„Vor der Verwendung versieht Facebook diese Informationen mit einem Hash“
Ich sehe in der Quelle keine Information darüber, ob die ursprünglichen Daten danach gelöscht werden. Doch selbst wenn: Einem Unternehmen, das aus Versehen Passwörter im Klartext in Log-Dateien speichert, vertraut man nicht. Facebook hat immer wieder bewiesen, dass es kein vertrauenswürdiger Empfänger für persönliche Daten ist.
Es gibt eine Browser-Erweiterung „disconnect facebook pixel“. Diese sollte sich JEDER installieren.
Dieser kriminellen Datenkrake Facebook muss das Handwerk gelegt werden.