In wenigen Tagen startet die Fußball-Europameisterschaft (UEFA EURO 2024) in Deutschland. Zu diesem Ereignis wird es nicht nur volle Stadien und viele Events in den Austragungsorten geben, sondern auch wieder einige „Tipprunden“. Zahlreiche Unternehmen veranstalten mittlerweile interne oder gar öffentliche Online-Tippspiele – häufig auch mit Preisen und entsprechender Bekanntgabe der Gewinner*innen. Doch was ist dabei datenschutzrechtlich zu beachten?

Webbasierte Tippspiele und der Datenschutz

Die meisten EM-Tippspiele dürften durch den Einsatz entsprechend hierauf spezialisierter Dienstleister realisiert werden. Das könnten lokal installierte Anwendungen sein, zumeist sind es aber webbasierte Systeme, die einen individuellen Login auf der Website des Anbieters vorsehen und über das Internet zugänglich sind. Mit diesem Geschäftsmodell haben sich in den letzten Jahren einige deutsche Anbieter einen Namen gemacht.

Für die datenschutzrechtliche Bewertung spielen u. a. folgende Fragestellung eine Rolle:

  • Werden bei dem Tippspiel personenbezogene Daten verarbeitet oder ist eine Teilnahme unter einem Pseudonym möglich?
  • Wenn personenbezogenen Daten verarbeitet werden, welche Daten werden erhoben?
  • Werden die Daten auf den eigenen Systemen oder bei einem externen Anbieter verarbeitet?
  • Können die Teilnehmer*innen die Daten selbst verwalten und bspw. jederzeit wieder löschen?
  • Ist eine Löschung der Daten nach Abschluss des Tippspiels möglich bzw. vorgesehen?

Was sollten Arbeitgeber bei der Einladung zu einem Tippspiel beachten?

Von entscheidender Bedeutung ist neben der Frage des Umfangs der bei dem Tippspiel erhobenen Daten auch eine eventuelle Auftragsverarbeitung gem. Art. 28 DSGVO. Die Annahme einer Auftragsverarbeitung drängt sich auf, wenn umfangreiche personenbezogene Daten, mindestens aber die E-Mail-Adresse und der Name bei der persönlichen Teilnahme durch den hierfür vorgesehenen externen Dienstleister im Auftrag des Arbeitgebers verarbeitet werden. Dies gilt umso mehr, wenn der Anbieter auch noch regelmäßige E-Mails, z. B. erstmals die Einladung zur Anmeldung und im späteren Verlauf auch weitere E-Mails als Erinnerung zur Abgabe des Tipps bzw. sonstige Benachrichtigungen verschickt.

Einige Anbieter von Tippspielen bieten daher einen Mustervertrag zur Auftragsverarbeitung (auch AV-Vertrag genannt) an, um den Unternehmen einen datenschutzrechtlichen Rahmen für diese Datenverarbeitung zu geben. Als ein Beispiel wäre das Unternehmen Kicktipp zu nennen (siehe Vertrag zur Auftragsverarbeitung als Muster). Ein solcher Vertrag wird oftmals elektronisch über die Erstellung einer Tipprunde oder die AGB abgeschlossen. Diese Verträge regeln nicht nur die Auftragsverarbeitung und somit die Kontrollmöglichkeiten des Verantwortlichen, sondern sollten durch die Angabe von etwaigen Unterauftragnehmern und der getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO hinreichend Transparenz zur Datenverarbeitung und Datensicherheit bieten.

Noch komplexer wird es allerdings, wenn eine externe Agentur vom Unternehmen mit der Veranstaltung und Durchführung eines Tippspiels beauftragt wird. Die Agentur wird dann i. d. R. zum Auftragsverarbeiter nach Art. 28 DSGVO und der eventuelle Tippspiel-Betreiber zum Unterauftragnehmer. Hier müssen die Verantwortlichkeiten konsequent abgegrenzt und der Abschluss der notwendigen Verträge in der Kette sichergestellt werden.

Datenschutzhinweise für die Beschäftigten bereitstellen

Sofern sich Unternehmen bei der Veranstaltung eines Tippspiels für eine eher umfangreichere Datenverarbeitung entschieden haben, bspw. beim Einsatz von Plattformen mit Nutzer*innen-Profilen und Foren, wären auch die Datenschutzhinweise gem. Art. 13 DSGVO zu erstellen und den betroffenen Personen bei Erhebung der Daten zur Verfügung zu stellen. So bietet es sich an, diese Datenschutzhinweise z. B. im Rahmen einer internen „Rund-Mail“ oder auf einer Intranetseite zu veröffentlichen, um hiermit die betroffenen Personen vor der Anmeldung bei dem Tippspiel die allgemeinen Hinweise, u. a. zum Zweck sowie der Dauer der Datenverarbeitung und auch den Empfänger*innen (bspw. durch Benennung des eingesetzten externen Dienstleiters) leicht zugänglich zu machen. Die weiteren Informationen sollten den Beschäftigten ohnehin bekannt sein, können der Vollständigkeit halber aber auch enthalten sein.

Spätestens zu diesem Zeitpunkt sollten sich die Unternehmen auch im Klaren sein, ob die Verarbeitung auf die Rechtsgrundlage der Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), der Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder des berechtigten Interesses (Art. 6 Abs. 1. S. 1 lit. f DSGVO) gestützt wird. Bei der Wahl der Rechtsgrundlage sollten bspw. die Verbindlichkeit der Teilnahme und die Ausschüttung von hochwertigen Preisen berücksichtigt werden. In der Praxis dürfte die Einwilligung durch die freiwillige, individuelle Teilnahme der Beschäftigten bei der „Tipprunde“ heranzuziehen und auch gut zu beweisen sein. Grundsätzlich sollte auch keinerlei Druck auf die Beschäftigten ausgeübt werden, an der Tipprunde teilzunehmen.

Und es geht los

Großes Augenmerk ist auf die richtige Konfiguration des Systems zu legen, um hier jederzeit eine „geschlossene Benutzergruppe“ mit zwingender Freischaltung durch den Administrator („Spielleiter“) zu etablieren. Sofern Profile der teilnehmenden Personen möglich sind, müssten die Personen hierüber informiert werden. Es sollte in diesem Zusammenhang darauf geachtet werden, dass die Teilnehmer*innen keine sensiblen Informationen oder private Fotos im Profil veröffentlichen – und vielleicht ein Pseudonym als Namen wählen. Selbst bei einem allein intern genutzten Angebot sind alle Personen im Umgang mit den eigenen Daten zu sensibilisieren.

Die Übergabe der Preise sollte intern durch das händische Überreichen erfolgen oder – nur in besonderen Ausnahmefällen – per Versand an die postalisch bekannte Wohnadresse der Beschäftigten. In jedem Fall sind die Daten der Gewinner*innen intern vertraulich zu behandeln und die Nutzung des Datums zu diesem Zweck ggf. auch in den Teilnahmebedingungen und Datenschutzhinweisen zu beschreiben. Eine öffentliche Bekanntgabe des Gewinns mit medienwirksamen Fotos auf den sozialen Netzwerken ist nur mit zusätzlicher Einwilligung vorzunehmen.

Zuletzt sollte sichergestellt sein, dass die Betroffenenrechte gewahrt und auch Löschkonzepte, und sei es die händische Löschung der Datenbank nach Beendigung des Tippspiels durch den Administrator, umgesetzt werden.

Eigene Interessen des Tippspiel-Betreibers

Dabei ist es auch denkbar, dass der Betreiber des Tippspiels mit der Datenverarbeitung zusätzlich noch eigene Zwecke verfolgt, z. B. die Daten der Teilnehmer*innen für Werbung nutzen möchte oder aber auf der Plattform ein eigenes Webtracking, bspw. durch Google Analytics betreibt. Teilweise gehen solche kostenlosen Angebote auf Websites mit der Einwilligung in Werbung und Tracking einher.

Derartige Prozesse erschweren die Abgrenzung der Verantwortlichkeiten: Verfolgt der Betreiber eigene Zwecke autonom, wäre dies nicht Bestandteil der Auftragsverarbeitung und insofern anders zu bewerten. Dies hat zur Folge, dass der Dienstleister im Hinblick auf diese eigene Datenverarbeitung zum einen eine eigene Rechtsgrundlage sowie die Rechtmäßigkeit dieser Datenverarbeitung vorzuweisen hat, andererseits auch hierfür gem. Art. 13 DSGVO in einer eigenen Datenschutzerklärung informieren muss. Und sollen die Teilnehmer*innen nach Beendigung der Tipprunde über zukünftige, weitere Tippspiele vom Betreiber per E-Mail informiert werden, wären solche Nachrichten i. d. R. nur mit einer vorherigen Einwilligung zulässig, die aber gesondert einzuholen wäre – woran dieses Vorhaben mutmaßlich in der Praxis scheitern dürfte. Es bietet sich daher an, genau im AV-Vertrag zu beschreiben, was konkret Gegenstand des Auftrags bzw. der Auftragsverarbeitung für den Verantwortlichen ist (siehe dazu hier).

Fazit

Um ein möglichst datenschutzkonformes Tippspiel zu gewährleisten, sollte die Teilnahme freiwillig und auch durch Pseudonyme möglich sein. Dies gilt umso mehr, wenn im Fall des Gewinns auch der gewählte Name im Intranet oder gar im Web (und auf den sozialen Netzwerken) veröffentlicht werden soll.

Angepasste Datenschutzhinweise sind vor Anmeldung oder Zusendung der Anmeldung bereitzustellen. Mit entsprechenden externen Betreibern des Tippspiels wäre ein Vertrag über die Auftragsverarbeitung abzuschließen, wenn E-Mail-Adressen und weitere Daten für die Nutzung der Plattform erforderlich sind. Zuletzt wäre darauf zu achten, dass die Daten der Teilnehmer*innen nicht für Werbezwecke genutzt werden.