Viele Unternehmen locken ihre Kunden zur Teilnahme an Gewinnspielen, um in erster Linie die Daten zu sammeln und diese im Nachhinein für Ihre Werbung zu nutzen.
Datenschutzrechtlich stellen sich in diesem Zusammenhang viele Fragen. Die Gestaltungsmöglichkeiten eines Gewinnspiels können sehr unterschiedlich sein. Was muss ein Unternehmen berücksichtigen, um ein Gewinnspiel datenschutzrechtlich konform zu gestalten?
Die ähnliche Problematik stellt sich bei der sog. Wunschzettelaktion im öffentlich-rechtlichen Bereich. Über die Veranstaltung der Wunschbaumaktion in der Bayerischen Stadt Roth haben wir bereits in unserem Blogbeitrag „Macht die DSGVO unser Weihnachten kaputt?“ berichtet.
Was muss der Veranstalter beachten?
Da die Gewinnspielteilnehmer ihre personenbezogenen Daten dem Unternehmen für die Teilnahme preisgeben, sind für die Durchführung des Gewinnspiels folgende datenschutzrechtliche Grundsätze zu berücksichtigen:
Verbot mit Erlaubnisvorbehalt
Eine Erhebung und Weiterverarbeitung der personenbezogenen Daten der Gewinnspielteilnehmer bedarf immer einer Rechtsgrundlage nach Art. 6 DSGVO. In vielen Fällen kommt als Rechtsgrundlage die Einwilligung in Frage
Die Einwilligung des Kunden muss vor Beginn der Datenverarbeitung, freiwillig, zweckgebunden und nachweisbar erhoben werden. Die Gewinnspielteilnehmer sind transparent und in verständlicher Sprache über die Verarbeitung ihrer Daten und ihr Widerrufsrecht zu informieren.
Neben der Einwilligung der Teilnehmer kommen als Rechtsgrundlagen für die Datenverarbeitung auch Art. 6 Abs.1 lit b (Erfüllung des Vertrages) und Art. 6 Abs.1 lit f (berechtigte Interessen) in Betracht. Allerdings sind diese Varianten mit Vorsicht zu genießen. Bei Gewinnspielen ist die Einwilligung aus datenschutzrechtlicher Sicht weniger risikobehaftet.
Eine separate Einwilligung ist zudem für die Veröffentlichung der Gewinnerdaten etwa an einem öffentlich zugänglichen Ort oder im Internet erforderlich.
Grundsatz der Datensparsamkeit
„So viel wie nötig, so wenig wie möglich“ – dieser Grundsatz ist immer bei der Datenerhebung zu berücksichtigen. Für die Gestaltung eines Gewinnspiels bedeutet das, dass nur die für Durchführung des Gewinnspiels erforderliche Daten zu erfragen sind. In der Regel sind die Daten wie Name, Vorname und eine Kontaktmöglichkeit (E-Mail-Adresse, Telefonnummer oder Adresse) ausreichend. Alles was darüber hinaus geht, ist überflüssig.
Zweckbindung und Kopplungsverbot
Die personenbezogenen Daten dürfen nur für den Zweck benutzt werden, für den sie erhoben wurden. Die erhobene Telefonnummer darf etwa nur für die Benachrichtigung des Gewinners verwendet werden, denn nur zu diesem Zweck wurde sie erhoben.
Die Verarbeitung der Daten zu anderen Zwecken (z.B. Werbung) ist grundsätzlich unzulässig. Will ein Unternehmen die Daten eines Kunden nicht nur zur Teilnahmezwecken, sondern auch zu Werbezwecken verwenden, muss eine separate Einwilligung erfolgen.
Die überraschende Entscheidung des OLG Frankfurt a. M. darüber, dass die Teilnahmen an einem Gewinnspiel mit einer Werbeeinwilligung gekoppelt werden darf, haben wir bereits in einem unserer Blogbeiträge „Teilnahme am Gewinnspiel darf mit Werbeeinwilligung gekoppelt werden“ diskutiert. Trotz dieser Entscheidung ist es empfehlenswert auf die Kopplung der Teilnahmen an einem Gewinnspiel an die Verwendung der Daten zu Werbezwecken zu verzichten.
Grundsatz der Speicherbegrenzung (Löschung)
Alle personenbezogenen Daten sollten nach der Beendigung des Gewinnspiels gelöscht oder sorgfältig vernichtet werden. Ausnahmen können nur hinsichtlich der Dauer von gesetzlichen Aufbewahrungsfristen der Gewinner gelten.
Informationspflichten des Unternehmens (Transparenzgrundsatz)
Werden die Daten einer Person für die Teilnahme an einem Gewinnspiel erhoben, ist der Verantwortliche nach Art.13 DSGVO verpflichtet über die Datenverarbeitung ausreichend zu informieren. Die Gestaltung der Datenschutzhinweise kann unterschiedlich erfolgen. Zum einen kann die vollständige Datenschutzerklärung in der auszufüllenden Karte neben der anzukreuzenden Einwilligung abgebildet sein. Es bietet sich aber auch der zweistufige Aufbau an. Der kurze Satz in der Gewinnspielkarte kann auf die auf der Homepage hinterlegte vollständige Datenschutzerklärung des Unternehmens verweisen (z.B. durch einen Link). Diese Lösung halten wir datenschutzrechtlich für vertretbar und praxisorientiert. Zu berücksichtigen ist dabei, dass die allgemeinen Datenschutzhinweise des Unternehmens einen eigenen Abschnitt zu Durchführung der Gewinnspiele enthalten sollten. Für den teilnehmenden Kunden soll ohne weiteres ersichtlich sein, was mit seinen Daten geschieht und wann diese gelöscht werden. Die Datenschutzhinweise sollten transparent und in einer einfachen Sprache gehalten werden.
Übermittlung der Daten an Dritte:
Ist es geplant, dass die Daten an Unternehmen oder Sponsoren weitergeleitet werden, ist der Kunde vollumfänglich darauf hinzuweisen. Seine Einwilligung muss sich unmissverständlich darauf erstrecken. Alle Empfänger der Daten sind zu offenbaren. Deren Anzahl muss überschaubar sein.
Was ist noch zu beachten?
Die weiteren Empfehlungen hat der Landesbeauftragter für Datenschutz und Informationssicherheit in Baden-Württemberg in seinem Tätigkeitsbericht Datenschutz 2019 veröffentlicht. Zu bemängeln seien oft die Kuvertierung der Gewinnspielkarten und die Schriftgröße der Einwilligungen und Datenschutzhinweise.
Die Gewinnspielteilnehmer sind darauf hinzuweisen für das Absenden der Gewinnspielkarten die Briefumschläge zu verwenden. Denkbar ist es, die Briefumschläge als verantwortliches Unternehmen selbst zur Verfügung zu stellen. Je mehr personenbezogene Daten sich auf einer Karte bzw. dem Formular befinden, desto wichtiger ist der Schutz vor unberechtigter Einsichtnahme.
Die Schriftgröße im Fließtext der Gewinnspielkarten darf laut der DIN 5008 nicht unter 10 Punkt liegen. Der Text muss auch „ohne Lupe“-so der Landesbeauftragter- lesbar sein. Die ausreichende Schärfe und eine gut wahrnehmbare Farbe der Schrift sind ebenfalls zu berücksichtigen.
Zusammenfassung:
Bei der Gestaltung eines Gewinnspiels gibt es Einiges zu berücksichtigen. Sind jedoch die oben beschriebenen Vorgaben umgesetzt, steht der Datenschutz dem Spiel und Spaß nicht entgegen.
Delf
18. Februar 2020 @ 20:13
Falls euch noch dazu passende Artikel Themen fehlen:
Es wäre schön, wenn das Thema Löschfristen besser bzw. gesondert beleuchtet wird. Was genau darf wie lange und nach welcher RGL. gespeichert werden? Ist es ein Handelsbrief? Klingt absurd, ist aber bei genauer Prüfung korrekt.
Viel Spaß