Advent, Advent, ein Lichtlein brennt. Bald beginnt die gemütliche Jahreszeit und wir können wieder jeden Tag ein Türchen im Adventskalender öffnen. Unternehmen nutzen zunehmend die Online-Version zu Werbezwecken oder um die Bindung der Beschäftigten zu fördern. Dieser Beitrag soll darüber aufklären, worauf man hinsichtlich der DSGVO achten sollte.
Der Inhalt im Überblick
Die Qual der Wahl
Die Auswahl an Anbietern für die Online-Erstellung von Adventskalender ist enorm. Um den passenden Anbieter zu finden, ist es daher erforderlich, sich vorab über die konkrete Gestaltung und den Einsatz des Kalenders Gedanken zu machen. Folgende Fragen sollte man sich hierbei stellen:
- Soll der Kalender sich an Kunden oder Beschäftigte richten?
- Genügt eine webbasierte Lösung oder soll der Kalender auch via App verfügbar sein?
- Welche Inhalte wird der Kalender haben? Nur Weihnachtssprüche oder sogar Bilder und Videodateien?
- Soll es ein Gewinnspiel geben?
- Wo soll der Kalender eingebunden werden?
- Welches Budget steht zur Verfügung?
- Welche Sprachen werden benötigt?
Nicht jeder Online-Dienstleister wird die gestellten Anforderungen erfüllen, daher sollte sich die Auswahl bereits reduzieren. Eh man sich aber auf den günstigsten Dienstleister stürzt, darf man die Datensicherheit nicht aus den Augen verlieren. Je umfassender und sensibler die personenbezogenen Daten sind, umso höher werden die Anforderungen an die Datensicherheit.
Es sollte unter anderem darauf geachtet werden, wo die Daten gespeichert werden und wie die Kommunikation zwischen Websitebesucher und Website gesichert ist. Letzteres lässt sich z. B. durch ein SSL-Zertifikat schützen. Bei Cloud-Lösungen stellt sich zudem die Frage, in welchem Rechenzentrum und wie die Daten gespeichert werden. Innerhalb Deutschlands oder in der EU bzw. im EWR kann davon ausgegangen werden, dass die Datensicherheit hinreichend gewährleistet wird. Schließlich muss geklärt werden, inwieweit der Anbieter Zugriff auf die Daten der Türchenöffner hat und ob er diese zu eigenen Zwecken verarbeiten darf. Dies wirkt sich darauf aus, wie die Betroffenen zu informieren sind und welche datenschutzrechtliche Vereinbarungen zu treffen sind.
Auf die Füllung kommt es an
Da der konkreten Gestaltung eines Adventskalenders keine Grenzen gesetzt sind, lassen sich keine pauschalen Aussagen treffen, wann ein solcher Kalender datenschutzrechtlich unbedenklich ist. Nachfolgend kann daher nur allgemein auf einzelne Besonderheiten eingegangen werden.
Wer ist Verantwortlicher?
Aus Art. 4 Nr. 7 DSGVO ergibt sich, dass verantwortlich ist, wer
„allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.“
Bei Online-Adventskalendern, die kostenlos gestaltet werden, hat der Gestalter meist keinen oder kaum Einfluss darauf, wie der Online-Dienstleister mit den Daten der Türchenöffner umgeht. Der Ersteller entscheidet also meist nur über das Optische des Kalenders. Meist stammen Logo und URL der Website vom Dienstleister und dieser ist auch Herr darüber, wie Werbung eingebunden wird und Tracking erfolgt. Allerdings lotst der Kalender-Gestalter seine Kunden oder Beschäftigte auf die Website. Dies ist wohl vergleichbar mit einer sog. Facebook-Fanpage, sodass mit Blick auf die Rechtsprechung hierzu eine gemeinsame Verantwortlichkeit i. S. v. Art. 26 DSGVO anzunehmen ist.
Gegen Entgelt kann der Ersteller aber die Entscheidungsbefugnis über die konkrete technische Gestaltung des Kalenders erhalten. In diesem Falle darf dann der Online-Dienstleister nicht mehr frei über die Zwecke und Mittel der Datenverarbeitung entscheiden. Nur auf Wunsch des Erstellers werden Werbung, Google Analytics oder andere Tracking- und Analysetools eingebunden. Soweit man sich der Ansicht der bayrischen Aufsichtsbehörde anschließt, ist der Online-Anbieter in diesem Falle dann nicht als Auftragsverarbeiter gemäß Art. 28 DSGVO zu werten. Die Kerntätigkeit des Online-Anbieters liegt nicht in der weisungsgebundenen Datenverarbeitung, sondern vielmehr in der Bereitstellung der technischen Möglichkeiten zur Erstellung eines Online-Adventskalenders. Nur am Rande erfährt der Online-Anbieter ggf. die IP-Adresse der Kunden oder Beschäftigten. Etwas Anderes ergibt sich, wenn der Online-Anbieter auf Weisung von, sowie für den Adventskalender-Ersteller das Nutzerverhalten trackt und auswertet. Nur dann ist der Abschluss eines Auftragsverarbeitungsvertrages erforderlich.
Besonderheiten bei Adventskalendern für Kunden
Bei Adventskalendern für Kunden ist die Auswertung von dessen Reichweite besonders interessant, weshalb gerne Trackingtools eingebunden werden. Soweit der Online-Anbieter selber die Auswertung vornimmt, kann der Abschluss eines Auftragsverarbeitungsvertrages gemäß Art. 28 DSGVO, wie oben ausgeführt, angezeigt sein. Teilweise wird die Einbinung von Tools von Drittanbietern wie Google Analytics angeboten. Seit dem EuGH-Urteil zu Planet 49 sind hier gewisse Spielregeln zu beachten, um nicht bei den Aufsichtsbehörden negativ aufzufallen. Es empfiehlt sich daher die Einwilligung des Websitebesuchers einzuholen.
Soweit man iFrames, Social Plugins oder Ähnliches einbinden möchte, sollte man wiederum den Abschluss eines Vertrages zur gemeinsamen Verantwortlichkeit i. S. v. Art. 26 DSGVO im Hinterkopf behalten. Inwieweit dies erforderlich ist, kann hier nachgelesen werden.
Bei Gewinnspielen ist darauf zu achten, dass die Teilnahme nur unter engen Voraussetzungen mit einer Werbe-Einwilligung verknüpft werden kann. Insbesondere muss der Grundsatz der Freiwilligkeit der Einwilligungserklärung sowie das Kopplungsverbot gewahrt werden.
Besonderheiten bei Adventskalendern für Beschäftigte
Gerade bei Unternehmen, die eine hohe Anzahl an Beschäftigten und mehrere Standorte haben, ist das Erreichen aller Beschäftigter schwierig. Mit einem Online-Adventskalender ist dies leicht realisierbar, sodass die Online-Version auch zunehmend zu betriebsinternen Zwecken eingesetzt wird.
Bei Beschäftigtendaten ist zwar grundsätzlich § 26 BDSG Dreh- und Angelpunkt bei der Prüfung der Rechtmäßigkeit einer Datenverarbeitung. Allerdings kommt dieser hier nicht zu trage, weil ein Adventskalender nicht für die Durchführung des Beschäftigtenverhältnisses erforderlich ist. Die Rechtsgrundlage der Datenverarbeitung kann daher nur in Art. 6 Abs. 1 DSGVO gefunden werden. So hat der Arbeitgeber beispielweise ein überwiegend berechtigtes Interesse i. S. v. Art. 6 Abs. 1 S. 1 f DSGVO daran, dass nur Beschäftigte auf den Adventskalender zugreifen und kann dahingehend ein auf das erforderliche Maß beschränktes Tracking oder Überprüfen der IP-Adressen vornehmen. Dies umso mehr, soweit auch betriebsintern Sachpreise oder Ähnliches verlost werden.
Auch zur Weihnachtszeit gilt die DSGVO
Das Öffnen von Türchen bereitet Jung und Alt Freude. Als Türchenöffner sollte man sich aber bewusst sein, dass man bei vermeintlich kostenlosen Gewinnspiel-Adventskalender indirekt doch mit seinen Daten zahlt. Für Unternehmen ist es eine super Möglichkeit, neue Kunden zu gewinnen oder die Zufriedenheit ihrer Stammkunden und/ oder Beschäftigten zu erhöhen. Aber auch hier gilt es, den Datenschutz hinreichend zu beachten. Da die konkrete Gestaltung die datenschutzrechtliche Komplexität beeinflusst, sollte der Datenschutzbeauftragte frühzeitig in die Planung einbezogen werden.
Und wem das Thema Datenschutz schon wieder zu viel ist, der kann auch auf den traditionell mit Schokolade befüllten Adventskalender zurückgreifen. In diesem Sinne wünsche ich allen Lesern und Leserinnen eine besinnliche (Vor-)Weihnachtszeit.
