Im Onlineshop von Lidl gelten neue Regeln. Das Unternehmen gibt nun auch Namen und E-Mailadressen an Werbeplattformen wie Facebook weiter, sofern man nicht widerspricht. Die zuständige Datenschutzbehörde sieht die Rechtslage etwas anders.

Onlineshop-Kund:innen des Discountunternehmens Lidl haben kürzlich eine E-Mail bekommen: Betreff: „Aktualisierung unserer Datenschutzbestimmungen“. Wer diese E-Mail nicht gelesen hat, für den gelten die Änderungen jetzt trotzdem. Denn sie beinhaltete einen Link zum Widerrufen, nicht aber, um den neuen Bedingungen zuzustimmen.

Ist eine Nicht-Antwort also schon eine Einwilligung? Da Lidl Deutschland in Stuttgart sitzt, ist die Datenschutzbehörde Baden-Württembergs unter Leitung von Stefan Brink zuständig. Auf Nachfrage von netzpolitik.org hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) den Fall angeschaut und kommt zu dem Schluss: „Die Möglichkeit des Widerspruchs reicht nicht.“ Nutzer:innen müssten sich aktiv für eine Weitergabe ihrer Daten entscheiden.

Bei der Änderung in den Datenschutzbestimmungen geht es um die Verwendung von personalisierten Daten zu Werbezwecken auf anderen Plattformen wie Facebook:

Wenn Sie mit uns einen Vertrag abgeschlossen haben, nutzen wir die Information zu Ihrem Einkauf in unserem Online-Shop gemeinsam mit Daten zu Ihrer Identifizierung (Name und Kontaktdaten einschließlich Ihrer E-Mail-Adresse), um Ihnen in Sozialen Netzwerken, wie z.B. http://www.facebook.de, oder anderen Werbeplattformen für Sie individualisierte Werbung zu unseren Lidl-Angeboten anzuzeigen. Die Betreiber der sozialen Netzwerke und der anderen Werbeplattformen erhalten dabei neben pseudonymisierten Informationen zu Ihrer Identifizierung lediglich den Auftrag zum Ausspielen bestimmter Werbung.

Auf Anfrage von netzpolitik.org teilt Lidl Deutschland mit, dass sich das Unternehmen aus seiner Sicht mit den Änderungen an die Datenschutzgrundverordnung (DSGVO) halte und begründet das so:

„Die Datenverarbeitung zum Ausspielen von Werbung in einem sozialen Netzwerk ist auf Grundlage des berechtigten Interesses von Lidl an der Durchführung von Direktwerbung zulässig und damit auch nicht einwilligungsbedürftig. Wir haben die Nutzer vorab über die Änderungen informiert. Sie können gegen diese Datenverarbeitung jederzeit Widerspruch einlegen. Der Hinweis darauf sowie ein Link zur Ausübung des Widerspruchsrechts findet sich zudem in unseren Datenschutzbestimmungen.“

Der LfDI kommt jedoch zu einer anderen Einschätzung: „Ein solches berechtigtes Interesse liegt zwar vor, kann nach der notwendigen Abwägung mit den Rechten der App-Nutzenden aber nicht als Rechtsgrundlage für die Übermittlung von Nutzerdaten an z.B. Facebook herangezogen werden.“

Es sei zu überprüfen, „ob die Übermittlung von Namen, Kontaktdaten einschließlich E-Mailadressen, an Facebook und andere ungenannte ‚Werbeplattformen‘ erforderlich ist. Außerdem müsse eine Abwägung mit den Rechten der Nutzenden stattfinden. Bei dieser Interessenabwägung komme man „regelmäßig zum Schluss, dass auf Basis des berechtigten Interesses eine solche Übermittlung nicht möglich ist.“

Daher bleibe als Rechtsgrundlage grundsätzlich nur „die vorherige, informierte, freiwillige, aktiv und separat von anderen Erklärungen abgegebene Einwilligung der betroffenen Personen.“

Wenn es sich lediglich um Datenschutzhinweise handelt, reiche aus, dass Informationen ohne Einwilligung einfach nur zur Verfügung gestellt werden. Solche Datenschutzhinweise könnten aber keine neue Rechtsgrundlage abbilden, so die Datenschutzbehörde. Genau das sei aber „stets notwendig“, wenn es – wie in diesem Fall – um die Verarbeitung personenbezogener Daten geht.

Damit folgt die Baden-Württembergische Datenschutzbehörde in diesem Fall der Linie des Bayerischen Landesamtes für Datenschutzaufsicht, das bereits 2017 erklärt hatte, dass die Custom-Audience-Funktion bei Facebook grundsätzlich eine Zustimmung erfordere. So nennt Facebook seine Funktion, mit der Unternehmen Informationen über ihre Kund:innen bereitstellen, damit die Plattform diesen gezielte Werbung der Unternehmen ausspielt. Die Idee dahinter: Punktgenau jene erreichen, die eh schon mal im eigenen Shop eingekauft haben.

Dafür laden die teilnehmenden Unternehmen eine Liste mit den Kontaktdaten ihrer Onlineshop-Kund:innen bei Facebook hoch. „Vor der Verwendung versieht Facebook diese Informationen mit einem Hash“, also einer Art kryptografischem Fingerabdruck, der unverwechselbar einem Kundenprofil zugeordnet werden kann, beschreibt der Konzern das Vorgehen. Dann gleicht er die Kundenlisten mit existierenden Facebook-Profilen ab, sodass den Profilen mit Übereinstimmungen personalisierte Werbung für den jeweiligen Onlineshop angezeigt wird.

Sind die Daten damit ausreichend geschützt? Auch die Umwandlung der persönlichen Daten in Hashwerte vor dem Abgleich anonymisiere die Daten nicht, sagte 2019 die bayerische Datenschutzbeauftragte Kristin Benedikt in einem Interview mit netzpolitik.org. Schließlich gebe es mittlerweile viele Möglichkeiten, Hashwerte wieder zurückzurechnen und die dahinterstehenden Informationen erkenntlich zu machen.

Lidl teilt die Daten laut seiner neuen Bestimmungen neben Facebook mit „anderen Werbeplattformen“, die das Unternehmen in den Datenschutzbedingungen nicht weiter benennt. Erst auf unsere Anfrage teilt Lidl mit, dass es für personalisierte Werbung auch mit Google und den beiden Online-Vermarktern United Internet Media und Addition/Active Agent zusammenarbeitet. United Internet betreibt unter anderem die Portale 1&1, web.de und GMX.

Der LfDI Baden-Württembergs ist der Meinung, dass in den Datenschutzbestimmungen grundsätzlich alle Empfänger personenbezogener Daten genannt werden müssten. „Ebenso muss informiert werden, welche Daten genau für welche Zwecke (auch die Zwecke der Plattformen) verarbeitet werden.“

Nun werde man auf Lidl zugehen, um die Rechtslage zu besprechen, heißt es von der Datenschutzbehörde aus Stuttgart. „Über weitere Maßnahmen werden wir im Anschluss entscheiden.“