Wie kürzlich bekannt wurde, hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bereits im Oktober 2023 ein Bußgeld in Höhe von rund 3,2 Millionen Euro gegen ein bayerisches Onlinemarketing-Unternehmen verhängt.
Dem – namentlich nicht genannten – Unternehmen wurde vorgeworfen, im Zeitraum von 2019 bis 2021 gehashte E-Mail-Adressen ohne Einwilligung der betroffenen Personen zum Zweck der gezielten Anzeige von Online-Werbung (targeted advertising) verarbeitet zu haben. Zunächst stellte das BayLDA bei seiner Bußgeldentscheidung wenig überraschend fest, dass es sich bei den gehashten, also in pseudonyme Zeichenketten umgewandelten E-Mail-Adressen weiterhin um personenbezogene Daten im Sinne der DSGVO handele, für deren Verarbeitung eine Rechtsgrundlage, hier eine Einwilligung erforderlich gewesen wäre.
Konkret spielte das nun sanktionierte Unternehmen bestimmten Personengruppen spezifische Online-Werbung aus. Dazu leitete das Unternehmen die in gehashter Form vorhandenen E-Mail-Adressen dieser Personen an ein US-Unternehmen weiter, was diesem ermöglichte, bestimmte Nutzer mit derselben gehashten E-Mail-Adresse zu identifizieren. Da dem amerikanischen Unternehmen bereits bekannt war, welchen Zielgruppen diese so identifizierten Nutzer angehörten, konnte das sanktionierte Unternehmen sodann zielgruppenoptimierte Werbung ausspielen lassen. Dieses Prinzip ist seit Langem zum Beispiel über den Dienst „Facebook Custom Audiences“ bekannt.
Der Fall zeigt, dass im Bereich der Online-Werbung die Vorgaben des Datenschutzes auch bei der Verwendung gehashter Nutzerdaten eingehalten werden müssen. Typischerweise ist in diesen Fällen eine vorherige und zweckbezogene Einwilligung der betroffenen Personen erforderlich, zum Beispiel über eine Consent Management Platform („Cookie-Banner“), die heutzutage typischerweise nach dem Branchenstandard TCF aufgebaut ist.
(Dr. Lukas Mezger, Unverzagt Law)