Personenbezogene Daten bei der Durchführung von Gewinnspielen – was erlaubt die DSGVO?

Gewinnspiele sind nach wie vor ein beliebtes Marketing-Mittel von (Online-)Händlern, um die Attraktivität des eigenen Unternehmens zu steigern. Mit der Durchführung eines Gewinnspiels gehen jedoch auch datenschutzrechtliche Risiken einher, denn die Erhebung und Verarbeitung personenbezogener Daten ist bei der Durchführung von Gewinnspielen quasi unvermeidbar.

Millionen-Bußgeld für die AOK Baden-Württemberg 

Wegen eines Verstoßes gegen die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) bei der Durchführung eines Gewinnspiels muss die AOK Baden-Württemberg nun ein Bußgeld in Höhe von 1,24 Millionen Euro zahlen. Grund dafür war ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung, die in Art. 32 DSGVO festgelegt sind. Die AOK verwendete personenbezogene Daten zu Werbezwecken ohne Vorliegen der dafür notwendigen Einwilligung zur Datenverarbeitung. Bei besagtem Gewinnspiel erhob sie die Kontaktdaten der Teilnehmenden und bei welcher Krankenkasse sie versichert waren. Grundsätzlich wollte die AOK Gewinnspiele zwar datenschutzkonform ausgestalten, was bedeutet hätte, nur die Daten der Teilnehmenden für Werbung zu verwenden, die in diese Verwendung auch eingewilligt hatten. Die von der AOK vorgesehenen internen Richtlinien und Schulungen waren jedoch nicht ausreichend, um dies sicherzustellen.

Welche Anforderungen gibt es im Hinblick auf die Verwendung personenbezogener Daten zu Werbezwecken?

Im Hinblick auf Werbemaßnahmen sind nicht nur die datenschutzrechtlichen Vorgaben von Bedeutung, sondern auch wettbewerbsrechtliche Regelungen zu beachten. Insbesondere regelt § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), dass Werbung unzulässig ist, wenn sie von den Rezipierenden erkennbar nicht gewünscht ist. Weiterhin konkretisiert § 7 UWG, wann bei bestimmten Werbe-Kanälen (z.B. Telefon, E-Mail) immer von einer Belästigung ausgegangen werden muss. Werbung per Post kann ohne Einwilligung erfolgen, sofern die Empfangenden nicht „unzumutbar belästigt“ wird oder dem Anrufenden zu erkennen gegeben hat, dass er oder sie die Werbung nicht mehr wünscht. Etwas anderes gilt grundsätzlich für Werbung per Telefon oder elektronischer Post (E-Mail, SMS, Whatsapp etc.) – wie im Fall der AOK. Diese ist nur mit vorheriger, ausdrücklicher Einwilligung der Betroffenen erlaubt.

Eine Ausnahme für E-Mail-Werbung gilt nur unter den strengen Voraussetzungen der sog. Bestandskundenausnahme, nach denen Werbung unter Verwendung elektronischer Post ohne Einwilligung dann möglich ist, wenn alle der in § 7 Abs. 3 Nr. 1-4 UWG geregelten Voraussetzungen vorliegen: 

  1. Das Unternehmen hat die E-Mailadresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung erhalten, 
  2. das Unternehmen verwendet die Adresse ausschließlich für Direktwerbung ähnlicher Waren oder Dienstleistungen, 
  3. die Kundschaft hat der Verwendung nicht widersprochen und 
  4. der Kundschaft wird bei jeder Verwendung ein klar erkennbares Widerspruchsrecht eingeräumt. 

Fehlt nur eine dieser Voraussetzungen, greift die Ausnahmeregelung nicht und es muss eine ausdrückliche Einwilligung der Kundschaft eingeholt werden.

Was ist unabhängig von der Werbeform immer zu beachten?

Die Identität der Werbenden darf nicht verschleiert werden. Insbesondere der vollständige Name und die Adresse (kein Postfach!) müssen für die empfangende Person unmissverständlich erkennbar sein. Sofern eine Eintragung im Handelsregister vorliegt, ist der dort eingetragene vollständige Handelsregistername anzugeben. Darüberhinaus dürfen Werbeanrufe nicht mit unterdrückter Rufnummer durchgeführt werden. Außerdem muss der werbende Charakter eindeutig und sofort ersichtlich sein. Zudem muss die empfangere Person jederzeit die Möglichkeit haben, der werblichen Ansprache kostenlos zu widersprechen.

Was bedeutet das für die Teilnahme an Gewinnspielen?

Da mit der Durchführung eines Gewinnspiels zwingend die Erhebung und Verarbeitung personenbezogener Daten einhergeht, sind auch die datenschutzrechtlichen Vorgaben immer im Blick zu behalten. Neben den oben genannten Vorgaben gilt es darüber hinaus Folgendes zu beachten:

Das grundsätzliche Erfordernis des Vorliegens einer Einwilligung für eine werbliche Ansprache folgt aus § 7 UWG. Diese Einwilligung muss aber auch den inhaltlichen und formalen Anforderungen des Art. 6 Abs. 1 lit. a), Art. 7 DSGVO entsprechen.

Sofern keine Einwilligungspflicht nach § 7 UWG besteht (also etwa bei Bestandskundenwerbung oder Postwerbung), ermöglicht Art. 6 Abs. 1 lit. f) DSGVO die Datenverarbeitung ohne Einwilligung, wenn eine ausführliche Interessenabwägung zugunsten der Unternehmer ausfällt. Konkret erlaubt diese Vorschrift die Verarbeitung personenbezogener Daten, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ sind, „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“.

Ferner ist dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO Rechnung zu tragen. Danach muss jede Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Das bedeutet, dass die personenbezogenen Daten nur erhoben werden dürfen, wenn sie für die Durchführung des Gewinnspiels erforderlich, d.h. unabdingbar, sind. Daneben ist der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO zu beachten. Er stellt sicher, dass die Verarbeitung der personenbezogenen Daten nur zu dem vorab festgelegten Zweck – hier der Durchführung und Abwicklung eines Gewinnspiels – verarbeitet werden dürfen. Die Daten dürfen anschließend nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Das sog. Kopplungsverbot vs. „Daten gegen Leistung“

Als eine weitere Besonderheit bei der Durchführung von Gewinnspielen ist Art. 7 Abs. 4 DSGVO, das sog. Kopplungsverbot, zu beachten. Hintergrund der Regelung ist, dass eine Einwilligung grundsätzlich immer freiwillig abgegeben werden muss, d.h. ohne jeglichen Druck und Zwang. Problematisch bei der Teilnahme an Gewinnspielen ist, dass für die Verbraucher Anreize geschaffen werden, aufgrund derer die Verbraucher eher geneigt sind, der Verarbeitung von personenbezogenen Daten zuzustimmen, auch wenn diese Einwilligung gar nicht zwangsläufig erforderlich ist, um den eigentlichen Gewinnspielvertrag zu erfüllen.

Das bedeutet aber nicht, dass die Werbe-Einwilligung, z.B. für einen Newsletter, nicht trotzdem an die Teilnahme an einem Gewinnspiel gebunden sein darf. Wichtig ist grundsätzlich, dass die Teilnahme an dem Gewinnspiel und die Werbe-Einwilligung voneinander „entkoppelt“ werden. Das heißt, der Gewinnspielvertrag und die Abfrage der personenbezogenen Daten zwecks Werbe-Einwilligung werden getrennt voneinander abgefragt, sodass die „Entkopplung“ dieser beiden Vorgänge für die Verbraucher erkennbar ist.

Das OLG Frankfurt hat mit seiner Entscheidung vom 27.06.2019 (Az.: 6 U 6/19) jedoch zumindest nicht beanstandet, dass ein Gewinnspiel an die Preisgabe von Kontaktdaten zu Werbezwecken gebunden war. Danach können Gewinnspiele grundsätzlich auch unter Geltung der DSGVO in der Konstellation „Daten gegen Leistung“ durchgeführt werden. Das Schaffen bloßer Anreize schränkt die Wahlmöglichkeit der Betroffenen nicht ein und lässt daher die Freiwilligkeit seiner Einwilligung nicht zwangsläufig entfallen. Die Betroffenen können immer noch selbst entscheiden, ob sie  ihre Daten preisgeben, um an dem Gewinnspiel teilzunehmen oder nicht. Allerdings sollte hier klar sein, dass die Werbeeinwilligung im Gegenzug für die Gewinnspielteilnahme erteilt wird.

Was sind die Anforderungen an die datenschutz- und wettbewerbsrechtliche Einwilligungserklärung?

Grundsätzlich ist die Einwilligungserklärung formfrei, aber nichtsdestotrotz sollten die vorliegenden Anforderungen in jedem Fall beachtet und umgesetzt werden:

  • Einfache und verständliche Sprache verwenden
  • Die Einwilligung muss freiwillig erfolgen (Kopplungsverbot!)
  • Es muss klar hervorgehen, welche Produkte oder Dienstleistungen davon umfasst sind (keine Pauschal-Einwilligungen!)
  • Die Einwilligungserklärung muss zum Zeitpunkt der Datenerhebung und bis zum Zeitpunkt der Werbeaktion vorliegen 

Weitere Informationen zu den Einwilligungen nach DSGVO finden Sie hier.

Technische und organisatorische Maßnahmen

Im Fall der AOK Baden-Württemberg kam es zu einem solchen Datenschutzverstoß, weil die nach Art. 32 DSGVO verlangten technischen und organisatorischen Maßnahmen zur Herstellung der Sicherheit der Datenverarbeitung nicht ausreichten. Die AOK wollte u.a. mithilfe interner Richtlinien und Datenschutzschulungen sicherstellen, dass nur Daten solcher Gewinnspielteilnehmenden zu Werbezwecken verwendet werden, die zuvor wirksam eingewilligt hatten. Diese von der AOK festgelegten Maßnahmen genügten jedoch den datenschutzrechtlichen Anforderungen nicht, weshalb die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmenden ohne deren Einwilligung verwendet wurden.

Aus Art. 32 DSGVO leitet sich die Pflicht zur risikobasierten Implementierung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten ab. Art. 32 DSGVO selbst gibt hierfür erste Anstöße, welche Maßnahmen hier erforderlich sein können, etwa Pseudonymisierung oder Verschlüsselung. Die Auflistung ist beispielhaft und nicht als abschließend anzusehen. 

Zu den technischen Maßnahmen gehören sämtliche Maßnahmen, die die Sicherheit der eingesetzten IT-Systeme, bis hin zur Sicherheit eines Gebäudes, in dem sie sich befinden, gewährleisten. Beispielsweise zählen dazu die Verschlüsselung von Datenträgern, das Einsetzen einer Firewall und auch fenster- und Türsicherungen. Die organisatorischen Maßnahmen beeinflussen die Rahmenbedingungen der Verarbeitung, also alle Prozesse und nichttechnischen Maßnahmen. Beispiele hierfür sind die regelmäßigen Datenschutz-Schulungen und die Vertraulichkeitsverpflichtung der Mitarbeitenden sowie das „Vier-Augen-Prinzip“ für bestimmte Abläufe, Aufgaben oder Entscheidungen.

Die technischen und organisatorischen Maßnahmen sind auf Grundlage verschiedener Faktoren einzurichten. Dazu gehört die Berücksichtigung des aktuellen Stands der Technik sowie der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung von personenbezogenen Daten. Auch die Schwere des Risikos für die Rechte von betroffenen Personen sowie ihre Wirtschaftlichkeit und die Implementierungskosten können in die Abwägung miteinbezogen werden.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Dokumentationspflichten

Unternehmen müssen auf Kontrollen der Aufsichtsbehörden vorbereitet sein, denn Art. 5 Abs. 2 DSGVO normiert die sog. „Rechenschaftspflicht“. Diese Pflicht besteht aus zwei Bestandteilen: Die Verantwortlichkeit für die Einhaltung der in Art. 5 Abs. 1 DSGVO niedergelegten Grundsätze (u.a. die Datenminimierung und die Zweckbindung) und die Nachweispflicht über deren Einhaltung. Daraus folgt, dass auch eine erteilte Werbeeinwilligung nachgewiesen werden können muss, daher ist eine ordnungsgemäße Dokumentation der Einwilligungserklärungen unverzichtbar.

Ein Verfahren, um die Einwilligung im E-Mail-Kontext bestmöglich zu dokumentieren, ist das sog. Double-Opt-In-Verfahren. Hierbei wird zuerst die E-Mailadresse, die beworben werden soll, von den Betroffenen bei der Anmeldung (etwa zum Newsletter) angegeben („Opt-in“). Anschließend erhält die betroffene Person eine Bestätigungsmail, die einen Link enthält, der angeklickt werden muss. Dadurch wird noch einmal bestätigt („Double-Opt-in“), dass die E-Mailadresse verwendet werden und zukünftig Werbenachrichten erhalten darf. Vor allem kann dadurch auch sichergestellt werden, dass sich Personen nicht mit der E-Mailadresse eines unbeteiligten Dritten registriert.

Handlungsempfehlung & Fazit

Grundsätzlich gilt: Einwilligungen in Werbung per E-Mail oder Telefon können mit der Teilnahme an einem Gewinnspiel verknüpft werden. Die Kombination aus „Daten gegen Leistung“ ist möglich, denn die DSGVO sieht kein absolutes Kopplungsverbot vor.

Um eine praktische und rechtssichere Umsetzung zu gewährleisten, sind vor allem erhöhte Anforderungen an die Dokumentation und Bestimmtheit der Werbe-Einwilligung zu stellen:

  1. Die Einwilligung muss immer freiwillig erfolgen.
  2. Die Einwilligung muss eindeutig sein. 
  3. Das Double-Opt-In-Verfahren als eine sichere Maßnahme bei der Verwendung personenbezogener Daten muss durchgeführt werden. 
  4. Die Nachweisbarkeit der Einwilligung des Betroffenen muss sichergestellt werden.

Abschließend ist das Augenmerk auch immer auf die Implementierung der technischen und organisatorischen Maßnahmen zu richten. Denn an dem Beispiel der AOK Baden-Württemberg wird deutlich, dass deren Vernachlässigung teure Konsequenzen nach sich zieht. Alle Prozesse müssen so ausgestaltet sein, dass eine Verarbeitung entgegen der datenschutzrechtlichen Regelungen grundsätzlich nicht möglich ist und ihre Einhaltung überwacht wird. Nur durch eine sorgfältige und intensive Verhältnismäßigkeitsprüfung lassen sich technische und organisatorische Maßnahmen ordnungsgemäß einrichten. Jedes Unternehmen sollte hierzu seinen eigenen, spezifischen Maßnahmenkatalog entwickeln.

Wir beraten Sie und Ihr Unternehmen gerne bei der datenschutzkonformen Umsetzung von Gewinnspielen und der Werbung per E-Mail, Telefon und Post. Gemeinsam mit Ihnen klären wir, wie eine Werbeeinwilligung ausgestaltet wird und welche möglichen Risiken mit der Werbung verbunden sind. Sprechen Sie uns gerne an und wir unterstützen Sie dabei, Ihr konkretes Vorhaben DSGVO-konform umzusetzen.

Mehr zum Thema

  • Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung

    In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.

    Weiterlesen

  • Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download

    Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.

    Weiterlesen

  • Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling

    In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.

    Weiterlesen

Wir melden uns bei Ihnen!

In unserer Datenschutzerklärung finden Sie weitere Informationen, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.