Gewinne, Gewinne, Gewinne | Arroba IT
Zum Inhalt springen
dsgvo

Gewinne, Gewinne, Gewinne

5. Apr 2019

Hinweis

Dies stellt keine Rechtsberatung dar, sondern spiegelt lediglich mein Verständnis der DSGVO in Bezug auf ein Gewinnspiel wider. Wie immer kommt es auf den Einzelfall an.

Es gibt sie noch, die guten alten Gewinnspiele. Wer gern mehr Post aka SnailMail in seinen analogen Briefkasten erhalten möchte, muss nur bei einer Handvoll Gewinnspielen mitmachen und wird bis an sein Lebensende (und darüber hinaus) mit Werbung und weiteren Gewinnspielen bedacht.

Kürzlich habe ich mal wieder einen Gewinnspiel-Flyer in meine Patschehändchen gedrückt bekommen. Augenscheinlich ein handelsübliches Gewinnspiel, bei näherer Betrachtung fiel mir dann die Abfrage nach dem Geburtsdatum ins Auge und ich schaute mir den Flyer genauer an. Damit wir alle über das gleiche lesen, habe ich den Flyer schematisch nachgebaut – auch um einen Rückschluss auf den Veranstalter auszuschliessen.

Schematische Darstellung der Gewinnspielkarte

(Die Rückseite des Flyers war leer)

Was haben wir hier?

  • Eine Anweisung

  • Abfrage von personenbezogenen Daten

    • Vorname

    • Nachname

    • Straße

    • PLZ und Ort

    • E-Mail Adresse

    • Geburtsdatum

  • eine Einwilligung

  • Teilnahmebedingungen

Pflichtfelder! Alles Pflichtfelder!

Durch den Text “Fülle die Karte vollständig aus”, sind vom Veranstalter alle Felder als Pflichtfelder definiert worden, obwohl nicht alle notwendig sind. Gleich im ersten Satz ein Verstoß gegen das Gebot der Datenminimierung. Geht schonmal gut los. :-)

Vorname, Name und Adressen

Während ich die Abfrage von Vorname und Name noch nachvollziehen kann, fällt es mir bei der gleichzeitigen Abfrage von Post- und E-Mail Adresse schon schwerer. Da keine weitere Angabe darüber gemacht worden ist, auf welchen Weg der Gewinn verkündet wird, noch welcher Art der Gewinn ist (Gutscheine, Waren, digitale Items) ist es fragwürdig, warum beides abgefragt wird. Für die Zuordnung eines Gewinns zu einem/einer GewinnerIn ist die Abfrage beider Adressen nicht notwendig. Die E-Mail Adresse würde ausreichen und im Fall eines Gewinnes – sollte er postalisch verschickt werden – kann darüber die Postadresse abgefragt werden. Auf diese Weise werden lediglich die Adressen der GewinnerInnen verarbeitet und nicht aller TeilnehmerInnen.

Ich gehe sogar soweit und behaupte, dass weder Name noch irgendeine Art von Adresse notwenig ist. Weiter unten mehr dazu.

Das Geburtsdatum

Die Angabe eines Geburtsdatums ist sicher nicht notwendig für ein Gewinnspiel. Das Mindestalter von 18 Jahren, wie es unten auf dem Flyer gefordert wird, kann über eine Checkbox “Ich bin 18 Jahre und älter” verifiziert werden.

Mit der Abfrage beider Adressen sowie des Geburtsdatums (ohne weitere Erklärung zum Hintergrund) verstößt der Verantwortliche hier gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit c DSGVO).
Denkbar wäre hier ein Hinweis wie: “Wir fragen Ihr Geburtsdatum ab, weil wir ihnen eine kleine Aufmerksamkeit zum Geburtstag schenken möchten. Die Angabe ist freiwillig.”

Die Einwilligung

Ah, die Einwilligung, das Allheilmittel derer, die die DSGVO nicht gelesen und/oder nicht verstanden haben. Zugegeben, eine Einwilligung klingt ja erstmal gut. Erwachsene Menschen geben ihr Einverständnis. Was kann daran falsch sein? Nun, so schnell wie man sie erhalten hat, so schnell kann sie auch widerrufen werden.

Und ja, eine Einwilligung stellt laut Art. 6 Abs. 1 lit. a DSGVO einen gültigen Erlaubnistatbestand dar. Soll bedeuten, dass der Verantwortliche die Daten des Betroffenen verarbeiteten darf, wenn dessen Einwilligung vorliegt. Soweit so gut. Artikel 7 DSGVO nennt aber auch noch ein paar “Bedingungen für die Einwilligung”:

  • die Einwilligung muss nachweisbar sein (Art. 7 Abs. 1 DSGVO)

  • eine Einwilligung muss nach Sachverhalten getrennt sein (Art. 7 Abs. 2 DSGVO)

  • sie ist widerrufbar (Art. 7 Abs. 3 DSGVO)

  • betroffen Personen müssen vor Abgabe der Einwilligung über ihr Widerrufsrecht informiert werden (Art. 7 Abs. 1 DSGVO)

Schauen wir uns die Einwilligung mal genauer an: Ja, ich möchte am Gewinnspiel teilnehmen und in Zukunft über aktuelle Infos und besondere Angebote per E-Mail informiert werden.

Bis auf die Nachweisbarkeit erfüllt die Einwilligung hier keine der Bedingungen. Sie verstößt gegen das Kopplungsverbot, indem sie zwei unterschiedliche Zwecke der Datenverarbeitung (Gewinnspiel und Newsletter) miteinander verknüpft. Und sie verstößt gegen die Informationspflicht zum Widerruf – indem sie schlichtweg nicht informiert.

Fehlender Hinweis auf Datenschutz

Bei den Informationspflichten macht der Flyer keine halben Sachen. Denn es fehlen auch die in Art. 13 DSGVO geforderten Informationspflichten vollständig. Neben den üblichen Angaben wie die des Verantwortlichen, wird auch nicht darüber informiert, wie die E-Mail Adressen für den Newsletter verarbeitet werden.

Fazit

Der/die aufmerksame LeserIn wird es sicher schon ahnen: Die Einwilligungen sind allesamt Schall und Rauch. Mit anderen Worten: Sie sind unwirksam.

Eine DSGVO-konforme Alternative

Mit ein paar Änderungen könnte man den Flyer DSGVO konform gestalten. Die Abfrage der personenbezogene Daten wird auf

  • Vorname

  • Name

  • und E-Mail Adresse

beschränkt, wobei nur die E-Mail Adresse ein Pflichtfeld ist.

Unten folgen dann die Einwilligungen:

  • Ich möchte am Gewinnspiel teilnehmen und versichere, dass ich das 18. Lebensjahr vollendet habe

  • Ich möchte in Zukunft über aktuelle Infos und besondere Angebote per E-Mail informiert werden.

Die Einwilligung kann jederzeit widerrufen werden. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die Einwilligung kann auch nur für den Newsletter abgegeben werden. Eine Teinahme am Gewinnspiel erfolgt dann nicht.

Informationspflichten

Den üblichen Informationspflichten kann auf unterschiedliche Wege Rechnung getragen werden:

  • Bereitstellung auf der Rückseite

  • Bereitstellung über einen Aushang, der – falls sich das Gewinnspiel auf einen Ort beschränkt – dort eingesehen werden kann

  • Angabe eines Links zu einer Unterseite der eigenen Website: example.de/dse-gewinnspiel.html

Mein Favorit – Ein Gewinnspiel ohne die DSGVO

Zerlegt man ein Gewinnspiel in seine Bestandteile wird recht schnell klar, dass die Angabe von personenbezogenen Daten überhaupt nicht notwenig ist, um einen Gewinn auszulosen. Ein recht bekanntes Gewinnspiel kommt fast vollständig ohne personenbezogenen Daten aus.

Das Lotto.

In einem x-beliebigen Zeitschriftenladen mit Lottoecke, mache ich meine Kreuze auf dem Schein und gebe ihn ab. Die Zuordnung zu mir erfolgt durch die Scheinnummer. Im Gewinnfall kann ich in jeden Lottoladen mit meinem Kassenbon gehen. Erst dann wird der Gewinn mir – einer Person – zugeordnet. Bis dahin war der Gewinn zunächst einer Zahlenkombination zugeordnet, die wiederum mehreren Lottoscheinen zugeordnet werden konnte – nämlich denen, mit dieser Kombination. Dies zeigt, dass ein Personenbezug erst im letzten Augenblick und nur im Fall eines Gewinns hergestellt werden muss. Vorher ist das überhaupt nicht notwendig. Deshalb behaupte ich mal ganz keck, dass bei der Auslosung überhaupt keine personenbezogenen Daten erhoben und verarbeitet werden müssen.

P.S. Falls ihr erwägt ein Gewinnspiel zu veranstalten und personenbezogene Daten erheben wollt, informiert auch darüber in welcher Form die GewinnerInnen verkündet werden. Dann wissen die Betroffenen vorher, ob ihr Name in einem Sozialen Netzwerk verkündet wird oder sie einfach per E-Mail informiert werden.

Hinweis

Dies stellt keine Rechtsberatung dar, sondern spiegelt lediglich mein Verständnis der DSGVO in Bezug auf ein Gewinnspiel wider. Wie immer kommt es auf den Einzelfall an.