VG Bayreuth, Beschluss v. 08.05.2018 – B 1 S 18.105

1. Das Hochladen von gehashten E-Mail-Adresslisten an ein soziales Netzwerk zur Durchführung einer Überschneidungsanalyse zwischen Nutzerdaten des sozialen Netzwerks und gehashten Daten und der Erstellung einer Ausgangsaudience für Werbezwecke ist nach BDSG rechtswidrig, wenn keine Einwilligung des Betroffenen gegenüber demjenigen vorliegt, der die gehashten Daten hochlädt. (Rn. 41 – 70) (redaktioneller Leitsatz)

2. Gehashte E-Mail-Adressen sind personenbezogene Daten gem. § § 3 Abs. 1 BDSG, da das Hashen keine Anonymisierung darstellt. (Rn. 45) (redaktioneller Leitsatz)

3. Die Weitergabe der gehashten E-Mail-Adressen ist eine Übermittlung an Dritte iSd § 3 Abs. 8 S. 3 BDSG (hier sog. Funktionsübertragung) und keine Auftragsdatenverarbeitung gem. § 11 BDSG, wenn der Empfänger über bloße technische Hilfsfunktionen hinaus mit einem eigenen Wertungs- und Entscheidungsspielraum tätig wird. (Rn. 47 – 51) (redaktioneller Leitsatz)

4. Das Listenprivileg des § 28 Abs. 3 S. 3, S. 4 BDSG findet beim Hochladen gehashter E-Mail-Adresslisten keine Anwendung. Dies verstößt nicht gegen Unionsrecht, da auf § 28 Abs. 1 S. 1 Nr. 2 BDSG zurückgegriffen werden kann (Interessenabwägung). (Rn. 54 – 60) (redaktioneller Leitsatz)

5. Auch die Interessenabwägung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG kann die Übermittlung der gehashten E-Mail-Adressen nicht rechtfertigen. Das berechtigte Interesse der verantwortlichen Stelle an der Übermittlung gehashter E-Mail-Adressdaten kann auch durch eine im Einzelfall einzuholende Einwilligung des Betroffenen, zB Rahmen eines Bestellvorgangs, ohne unverhältnismäßigen Aufwand gewahrt werden. Demgegenüber stehen die überwiegend schutzwürdigen Persönlichkeitsrechte des Betroffenen.  (Rn. 61 – 65) (redaktioneller Leitsatz)