Hinweis
Dies stellt keine Rechtsberatung dar, sondern spiegelt lediglich mein Verständnis der DSGVO in Bezug auf ein Gewinnspiel wider. Wie immer kommt es auf den Einzelfall an.
Es gibt sie noch, die guten alten Gewinnspiele. Wer gern mehr Post aka SnailMail in seinen analogen Briefkasten erhalten möchte, muss nur bei einer Handvoll Gewinnspielen mitmachen und wird bis an sein Lebensende (und darüber hinaus) mit Werbung und weiteren Gewinnspielen bedacht.
Kürzlich habe ich mal wieder einen Gewinnspiel-Flyer in meine Patschehändchen gedrückt bekommen. Augenscheinlich ein handelsübliches Gewinnspiel, bei näherer Betrachtung fiel mir dann die Abfrage nach dem Geburtsdatum ins Auge und ich schaute mir den Flyer genauer an. Damit wir alle über das gleiche lesen, habe ich den Flyer schematisch nachgebaut – auch um einen Rückschluss auf den Veranstalter auszuschliessen.
(Die Rückseite des Flyers war leer)
Was haben wir hier?
Eine Anweisung
Abfrage von personenbezogenen Daten
Vorname
Nachname
Straße
PLZ und Ort
E-Mail Adresse
Geburtsdatum
eine Einwilligung
Teilnahmebedingungen
Durch den Text “Fülle die Karte vollständig aus”, sind vom Veranstalter alle Felder als Pflichtfelder definiert worden, obwohl nicht alle notwendig sind. Gleich im ersten Satz ein Verstoß gegen das Gebot der Datenminimierung. Geht schonmal gut los. :-)
Während ich die Abfrage von Vorname und Name noch nachvollziehen kann, fällt es mir bei der gleichzeitigen Abfrage von Post- und E-Mail Adresse schon schwerer. Da keine weitere Angabe darüber gemacht worden ist, auf welchen Weg der Gewinn verkündet wird, noch welcher Art der Gewinn ist (Gutscheine, Waren, digitale Items) ist es fragwürdig, warum beides abgefragt wird. Für die Zuordnung eines Gewinns zu einem/einer GewinnerIn ist die Abfrage beider Adressen nicht notwendig. Die E-Mail Adresse würde ausreichen und im Fall eines Gewinnes – sollte er postalisch verschickt werden – kann darüber die Postadresse abgefragt werden. Auf diese Weise werden lediglich die Adressen der GewinnerInnen verarbeitet und nicht aller TeilnehmerInnen.
Ich gehe sogar soweit und behaupte, dass weder Name noch irgendeine Art von Adresse notwenig ist. Weiter unten mehr dazu.
Die Angabe eines Geburtsdatums ist sicher nicht notwendig für ein Gewinnspiel. Das Mindestalter von 18 Jahren, wie es unten auf dem Flyer gefordert wird, kann über eine Checkbox “Ich bin 18 Jahre und älter” verifiziert werden.
Mit der Abfrage beider Adressen sowie des Geburtsdatums (ohne weitere Erklärung zum Hintergrund) verstößt der Verantwortliche hier gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit c DSGVO).
Denkbar wäre hier ein Hinweis wie: “Wir fragen Ihr Geburtsdatum ab, weil wir ihnen eine kleine Aufmerksamkeit zum Geburtstag schenken möchten. Die Angabe ist freiwillig.”
Ah, die Einwilligung, das Allheilmittel derer, die die DSGVO nicht gelesen und/oder nicht verstanden haben. Zugegeben, eine Einwilligung klingt ja erstmal gut. Erwachsene Menschen geben ihr Einverständnis. Was kann daran falsch sein? Nun, so schnell wie man sie erhalten hat, so schnell kann sie auch widerrufen werden.
Und ja, eine Einwilligung stellt laut Art. 6 Abs. 1 lit. a DSGVO einen gültigen Erlaubnistatbestand dar. Soll bedeuten, dass der Verantwortliche die Daten des Betroffenen verarbeiteten darf, wenn dessen Einwilligung vorliegt. Soweit so gut. Artikel 7 DSGVO nennt aber auch noch ein paar “Bedingungen für die Einwilligung”:
die Einwilligung muss nachweisbar sein (Art. 7 Abs. 1 DSGVO)
eine Einwilligung muss nach Sachverhalten getrennt sein (Art. 7 Abs. 2 DSGVO)
sie ist widerrufbar (Art. 7 Abs. 3 DSGVO)
betroffen Personen müssen vor Abgabe der Einwilligung über ihr Widerrufsrecht informiert werden (Art. 7 Abs. 1 DSGVO)
Schauen wir uns die Einwilligung mal genauer an: Ja, ich möchte am Gewinnspiel teilnehmen und in Zukunft über aktuelle Infos und besondere Angebote per E-Mail informiert werden.
Bis auf die Nachweisbarkeit erfüllt die Einwilligung hier keine der Bedingungen. Sie verstößt gegen das Kopplungsverbot, indem sie zwei unterschiedliche Zwecke der Datenverarbeitung (Gewinnspiel und Newsletter) miteinander verknüpft. Und sie verstößt gegen die Informationspflicht zum Widerruf – indem sie schlichtweg nicht informiert.
Bei den Informationspflichten macht der Flyer keine halben Sachen. Denn es fehlen auch die in Art. 13 DSGVO geforderten Informationspflichten vollständig. Neben den üblichen Angaben wie die des Verantwortlichen, wird auch nicht darüber informiert, wie die E-Mail Adressen für den Newsletter verarbeitet werden.
Der/die aufmerksame LeserIn wird es sicher schon ahnen: Die Einwilligungen sind allesamt Schall und Rauch. Mit anderen Worten: Sie sind unwirksam.
Mit ein paar Änderungen könnte man den Flyer DSGVO konform gestalten. Die Abfrage der personenbezogene Daten wird auf
Vorname
Name
und E-Mail Adresse
beschränkt, wobei nur die E-Mail Adresse ein Pflichtfeld ist.
Unten folgen dann die Einwilligungen:
Ich möchte am Gewinnspiel teilnehmen und versichere, dass ich das 18. Lebensjahr vollendet habe
Ich möchte in Zukunft über aktuelle Infos und besondere Angebote per E-Mail informiert werden.
Die Einwilligung kann jederzeit widerrufen werden. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die Einwilligung kann auch nur für den Newsletter abgegeben werden. Eine Teinahme am Gewinnspiel erfolgt dann nicht.
Den üblichen Informationspflichten kann auf unterschiedliche Wege Rechnung getragen werden:
Bereitstellung auf der Rückseite
Bereitstellung über einen Aushang, der – falls sich das Gewinnspiel auf einen Ort beschränkt – dort eingesehen werden kann
Angabe eines Links zu einer Unterseite der eigenen Website: example.de/dse-gewinnspiel.html
Zerlegt man ein Gewinnspiel in seine Bestandteile wird recht schnell klar, dass die Angabe von personenbezogenen Daten überhaupt nicht notwenig ist, um einen Gewinn auszulosen. Ein recht bekanntes Gewinnspiel kommt fast vollständig ohne personenbezogenen Daten aus.
Das Lotto.
In einem x-beliebigen Zeitschriftenladen mit Lottoecke, mache ich meine Kreuze auf dem Schein und gebe ihn ab. Die Zuordnung zu mir erfolgt durch die Scheinnummer. Im Gewinnfall kann ich in jeden Lottoladen mit meinem Kassenbon gehen. Erst dann wird der Gewinn mir – einer Person – zugeordnet. Bis dahin war der Gewinn zunächst einer Zahlenkombination zugeordnet, die wiederum mehreren Lottoscheinen zugeordnet werden konnte – nämlich denen, mit dieser Kombination. Dies zeigt, dass ein Personenbezug erst im letzten Augenblick und nur im Fall eines Gewinns hergestellt werden muss. Vorher ist das überhaupt nicht notwendig. Deshalb behaupte ich mal ganz keck, dass bei der Auslosung überhaupt keine personenbezogenen Daten erhoben und verarbeitet werden müssen.
P.S. Falls ihr erwägt ein Gewinnspiel zu veranstalten und personenbezogene Daten erheben wollt, informiert auch darüber in welcher Form die GewinnerInnen verkündet werden. Dann wissen die Betroffenen vorher, ob ihr Name in einem Sozialen Netzwerk verkündet wird oder sie einfach per E-Mail informiert werden.
Hinweis
Dies stellt keine Rechtsberatung dar, sondern spiegelt lediglich mein Verständnis der DSGVO in Bezug auf ein Gewinnspiel wider. Wie immer kommt es auf den Einzelfall an.