Stand: 13.11.2023
Das Weihnachtsgeschäft steht vor der Tür und auf klassische Aktionen wie Weihnachtskarten und -präsente an Kunden, den Online-Adventskalender, Wunschzettelaktionen, Weihnachtsgewinnspiele und Co. soll auch dieses Jahr nicht verzichtet werden. Nach Möglichkeit soll der Absatz mit Werbeaktionen noch einmal angekurbelt und die Beziehungen zu Kunden und Lieferanten gestärkt werden. Viele wollen auch die Gelegenheit nutzen und – zumindest in kleinem Rahmen – den Mitarbeitern zum Jahresabschluss für ihren Einsatz zu danken, insbesondere da die immer noch spürbare Inflation die meisten Unternehmen und ihre Mitarbeiter vor besondere Herausforderungen gestellt hat.
Damit bei all diesen Aktionen nicht der teure Bumerang in Form von Abmahnungen, Beschwerden oder gar Bußgeldern aufgrund von Datenschutzverstößen zurückkommt, gilt es, einiges zu beachten. Unabhängig davon, welche Aktionen Unternehmen zur Weihnachtszeit planen, gelten bei der dafür notwendigen Verarbeitung personenbezogener Daten stets die gleichen drei Faustregeln:
- Für die Verarbeitung der personenbezogenen Daten wird eine Rechtsgrundlage benötigt. In Betracht kommt hierfür meist die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO oder das überwiegende berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO.
- Die jeweilige Aktion muss im Verzeichnis der Verarbeitungstätigkeiten gelistet werden.
- Die betroffenen Personen müssen transparent über die Verarbeitung ihrer persönlichen Daten zu diesen Zwecken informiert und über ihre Rechte aufgeklärt werden.
Datenschutzvorgaben für die Weihnachtswerbung
Vorweihnachtszeit heißt insbesondere für Einzelhändler und deren Zulieferer Hochsaison. Bis zum 24. Dezember werden Weihnachtseinkäufe getätigt – sowohl in Onlineshops als auch in Ladengeschäften. Um möglichst viele Kunden in den eigenen Laden zu locken, bieten die meisten Unternehmen spezielle Weihnachtsangebote an, über die potenzielle Käufer natürlich auch informiert werden sollen. Beim Versand der Werbung sowohl an Firmen als auch an Privatpersonen ist allerdings Vorsicht geboten, wobei es im Ergebnis ausnahmsweise kaum einen Unterschied macht, an wen die Werbung verschickt wird. Lediglich die rechtlichen Grundlagen sind verschieden.
Werbung per Telefon oder E-Mail
Sowohl bei Firmen als auch bei Privatpersonen ist die Werbung per Telefon oder E-Mail ausschließlich mit einer Einwilligung des Empfängers zulässig. Das Erfordernis, eine Einwilligung einzuholen, beruht in diesem Fall aber weniger auf der DS-GVO als auf dem Gesetz gegen unlauteren Wettbewerb (UWG). Datenschutzrechtlich werden mit der Verwendung privater Telefonnummern und E-Mail-Adressen zum Versand von Werbung an Verbraucher zwar personenbezogene Daten verarbeitet, die Durchführung von Werbemaßnahmen wird in den Erwägungsgründen der DS-GVO aber explizit als ein mögliches berechtigtes Interesse erwähnt. Die Verwendung der Daten könnte daher auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gestützt werden. Um die datenschutzrechtlichen Vorgaben einzuhalten, würde es genügen, das Interesse der Personen, nicht mit Werbeanrufen und E-Mails überschüttet zu werden, gegen das Interesse des Unternehmens, mit Werbung Kunden anzulocken, abzuwägen.
Das Gleiche gilt für Telefon- und E-Mail-Werbung an Unternehmen, deren Kontaktdaten grundsätzlich nicht unter die DS-GVO fallen – sie sind keine natürlichen Personen. Auch in dieser Konstellation ordnet das UWG Werbeanrufe und Werbemails ohne vorherige Einwilligung als „unzumutbare Belästigung“ ein, die nach § 7 Abs. 1, 2 UWG untersagt ist. Bei Werbeanrufen gegenüber Unternehmen muss die Einwilligung allerdings nicht unbedingt ausdrücklich abgegeben werden, es reicht auch eine mutmaßliche Einwilligung. Diese muss das werbende Unternehmen im Zweifel jedoch beweisen können.
Liegt eine Einwilligung des Empfängers vor, ist die Werbung per Telefon und E-Mail grundsätzlich zulässig, solange diese Einwilligung nicht widerrufen wird. Dieses Widerrufsrecht steht sowohl Privatkunden als auch Unternehmen zu.
Werbung per Post
Nicht zwangsläufig einwilligungsbedürftig ist dagegen die Werbung per Post. Hier gibt es grundsätzlich zwei Möglichkeiten: die nicht adressierte Werbung und die persönlich adressierte Werbung. Erstere ist sowohl aus datenschutzrechtlicher als auch aus wettbewerbsrechtlicher Sicht zunächst unproblematisch. Ist kein Name und keine Anschrift angegeben, werden keine personenbezogenen Daten verarbeitet, und Briefwerbung gilt nicht als „unzumutbare Belästigung“.
Wird die Werbepost persönlich an einen Empfänger versendet, muss zwischen Privatpersonen und Unternehmen unterschieden werden. Die Verwendung des Namens und der Anschrift natürlicher Personen fällt auch hier unter die DS-GVO. Die Werbung per Post hat gegenüber anderen Werbekanälen allerdings einen Vorteil: Eine Einwilligung ist für die Verarbeitung der Daten in vielen Fällen nicht erforderlich. Briefwerbung ohne vorherige Zustimmung ist z. B. zulässig, wenn es sich bei den Empfängern um Bestandskunden handelt, die bei Vertragsschluss eindeutig über diese Verwendung ihrer Daten informiert wurden, oder wenn die Adressen allgemein zugänglich sind, beispielsweise im Telefonbuch. In diesem Fall überwiegt bei der Interessenabwägung – die Sie zwingend durchführen müssen – das Werbeinteresse des Unternehmens.
Handelt es sich bei den Empfängern um Unternehmen, das heißt, ist nur die Firmenadresse angegeben, unterliegt der Vorgang nicht dem Datenschutz und ist unproblematisch. Bei diesem Adressatenkreis müssen Sie daher keine Interessenabwägung durchführen. Um auf Nummer sicher zu gehen, sollte allerdings auf die Nennung eines Ansprechpartners beim Empfänger sowohl auf dem Umschlag als auch im Anschreiben verzichtet werden.
Achtung: Unabhängig davon, ob die Werbung per Post an Privatpersonen oder Unternehmen verschickt wird, muss beachtet werden, dass Betroffene bzw. Empfänger der Zusendung von Werbung jederzeit widersprechen können. Machen sie von ihrem Widerspruchsrecht Gebrauch, darf ihnen keine Werbung mehr zugesendet werden.
Schärfere Spielregeln für Weihnachtsgewinnspiele
Weihnachten ist die gemütlichste Zeit im Jahr – ein Feuer im Kamin anzünden, Plätzchen essen und Geschenke austauschen, um den Lieben eine Freude zu machen. Auch Unternehmen greifen gern auf das Verteilen von Geschenken zurück, um sich bei den Kunden für das Geschäftsjahr zu bedanken und die Kundenbindung zu stärken. Dabei sehr beliebt und bei vielen Unternehmen bereits seit Jahren Tradition: Weihnachtsgewinnspiele. Die DS-GVO hat die Anforderungen an die rechtskonforme Gestaltung solcher Gewinnspiele im Vergleich zur alten Rechtslage um einiges verschärft.
Weitgehend unproblematisch ist die reine Durchführung des Gewinnspiels, wenn die erhobenen Daten ausschließlich zu diesem Zweck erhoben werden. Bildlich gesprochen schreibt der Teilnehmer seinen Namen auf einen Zettel, der in einen Topf zu den anderen Karten kommt, und der Anbieter zieht am Ende einen Zettel, auf dem der Gewinner steht. Anschließend werden alle Karten vernichtet. Hierbei muss grundsätzlich nur darauf geachtet werden, dass lediglich Daten erhoben und gespeichert werden, die wirklich zur Durchführung des Gewinnspiels benötigt werden, bei Online-Gewinnspielen beispielsweise die E-Mail-Adresse und das Alter (über 18 Jahre). Das Abfragen von Informationen, die für die Durchführung des Gewinnspiels nicht zwingend notwendig sind, ist dagegen unzulässig. Eine Einwilligung zur Verwendung der Daten benötigen Sie in diesem Falle nicht, denn auch hier fällt eine Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO meist zu Ihren Gunsten aus. Sie müssen die Teilnehmer aber aufgrund der umfangreichen bestehenden Transparenzpflichten über die Verarbeitung ihrer Daten zur Durchführung des Gewinnspiels informieren und explizit auf die Möglichkeit des Widerspruchs hinweisen.
In der Praxis fallen jedoch die wenigsten Gewinnspiele in diese Kategorie – auch nicht zu Weihnachten. Die Teilnahme ist häufig nur möglich, wenn der Interessent gleichzeitig der Kontaktaufnahme zu Werbezwecken per Telefon oder E-Mail zustimmt. Die Daten werden folglich nicht ausschließlich zur Durchführung des Gewinnspiels abgefragt. Man spricht von einer Koppelung der Teilnahme an die Einwilligung – der Preis der Teilnahme sind folglich die Daten. Dieses Vorgehen ist datenschutzrechtlich zwar grundsätzlich zulässig, an die Einwilligung werden aber strenge Anforderungen gestellt.
Online-Adventskalender mit Sonderangeboten
Jeden Tag ein Türchen öffnen und eine neue Überraschung erhalten. Adventskalender sind in der Adventszeit nicht nur bei Kindern allseits beliebt. Für Firmen sind sie nicht nur zum absoluten Verkaufsschlager geworden, sondern die Online-Variante bietet auch unzählige Möglichkeiten, die Kunden zu binden. Ein Online-Adventskalender, bei dem sich hinter jedem Türchen ein Spezialschnäppchen verbirgt, ist daher zum Klassiker der Weihnachtswerbung geworden und in vielen Marketingabteilungen nicht mehr wegzudenken. Doch auch bei Online-Adventskalendern kann einem die DS-GVO den Spaß an der Freude gehörig vermiesen. Daher sollten sich Unternehmen vorab über die Gestaltung des Kalenders und daraus entstehende datenschutzrechtliche Anforderungen Gedanken machen. Es gilt zu überlegen:
- Wer gestaltet den Kalender (das Unternehmen selbst oder ein Dienstleister)?
- An welchen Empfängerkreis richtet sich der Adventskalender (nur Beschäftigte/Kunden/Lieferanten/etc. oder öffentlich)?
- Welche Inhalte soll der Kalender haben und welche Daten des Nutzers werden dafür benötigt?
- Sollen mit Cookies und anderen Anwendungen weitere Informationen über die Nutzer gesammelt werden (z. B. Werbetracking)?
Je nach Ausgestaltung des Kalenders knüpft die DS-GVO verschiedene Voraussetzungen an die Umsetzung des Kalenders, weshalb sich keine allgemeingültige Aussage treffen lässt. Insbesondere sollte aber darauf geachtet werden, wo die Daten der User genau gespeichert werden und inwieweit die Anbieter der Online-Adventskalender Zugriff auf die Daten der User haben. Je nach Ausgestaltung der Zuständigkeiten muss zwischen dem Anbieter und dem erstellenden Unternehmen eine datenschutzrechtliche Vereinbarung nach Art. 28 DS-GVO oder Art. 26 DS-GVO geschlossen werden. Werden Cookies eingesetzt oder Informationen vom Endgerät des Users abgerufen, ist zudem zu prüfen, inwieweit nach §25 TTDSG eine Einwilligung erforderlich ist.
Tu Gutes und sprich darüber: Wunschzettelaktionen zur Imagepflege
Egal ob als Weihnachtsaktion für Kinder oder in Unternehmen – Weihnachtsbäume mit daran aufgehängten Wunschzetteln oder Wunschzettel per Mail gehören an vielen Stellen schon lange zur Tradition. Entgegen der weitverbreiteten Meinung will die DS-GVO dem nicht im Wege stehen. Mit der richtigen Gestaltung sind solche Wunschzettelaktionen durchaus mit dem Datenschutz vereinbar.
Damit die gewünschten Dinge auch bei der richtigen Person ankommen, müssen meist personenbezogene Daten – wie der Name und die Adresse – angegeben werden. Hierbei stößt man direkt auf die erste Frage: Ist das Ausfüllen von Wunschzetteln eine Verarbeitung personenbezogener Daten? Das reine Ausfüllen zunächst einmal nicht, ebenso wenig wie das Aufhängen am Weihnachtsbaum. Um von einer Datenerhebung durch einen datenschutzrechtlichen Verantwortlichen sprechen zu können, ist ein aktives Handeln des Unternehmens erforderlich, an dem es seitens des Organisators eben gerade fehlt. Dabei ist unerheblich, dass die Daten öffentlich einsehbar sind. Wird der Wunschzettel dann allerdings weitergegeben, also abgenommen, sortiert und an Partner, Sponsoren o. Ä. übermittelt, um die Wünsche zu erfüllen, liegt darin eine datenschutzrelevante Verarbeitung personenbezogener Daten.
Für eine solche Verarbeitung ist nach Auffassung der EU-Kommission stets die Einwilligung der Eltern erforderlich. Dies war bereits vor Inkrafttreten der DS-GVO so und hat sich nicht geändert. Zudem sollte gut sichtbar eine Datenschutzinformation gem. Art. 13 DS-GVO ausgehängt werden, die unter anderem ausführlich über die Art der betroffenen Daten, die Art der Verarbeitung und deren Zweck sowie ggfs. Informationen über die Weitergabe der personenbezogenen Daten enthält. Hingewiesen werden sollte außerdem auf die Gefahr, dass jeder die Zettel an sich nehmen kann und Zugriff auf die Daten hat.
Um zu vermeiden, dass Unbefugte die Wunschzettel an sich nehmen und die Daten einsehen können, beispielsweise um bessere Chancen auf den Gewinn zu haben, sollte insbesondere in öffentlich zugänglichen Bereichen eine abschließbare Wunschbox aufgestellt oder der Weihnachtsbaum regelmäßig im Blick behalten werden. Auch eine Pseudonymisierung der Wunschzettel durch ein einfaches Nummernsystem ist möglich.
Datenschutzkonforme Weihnachtsgrüße?
In der Vorweihnachtszeit und gegen Ende des Jahres ist es üblich, die ein oder andere Grußkarte an Kunden und Geschäftspartner zu verschicken, um sich für die Zusammenarbeit im vergangenen Jahr zu bedanken. Doch seit die DS-GVO am 25. Mai 2018 in Kraft getreten ist, fragen sich immer noch viele Unternehmen, ob weihnachtliche Grüße überhaupt rechtens sind.
Beim Versand von Weihnachtsgrußkarten gilt das Gleiche wie beim Versand von Werbung: Der Versand per Post, der im Übrigen auch persönlicher ist, ist grundsätzlich zulässig, solange der Empfänger keinen Widerspruch einlegt. Das Versenden von Weihnachtsgrüßen gehört zum guten Ton und dient der Pflege von Kunden- und Lieferantenbeziehungen. Es stellt somit ein berechtigtes Interesse des Verantwortlichen, also des Unternehmens dar. Betroffene können mit der Verarbeitung ihrer Daten rechnen, da der Versand von Grüßen zu Weihnachten zur Tradition gehört. Dementsprechend kann auch der Versand von Weihnachtsgrüßen an Interessenten, die bereits ihre Kontaktdaten bei dem Unternehmen hinterlegt haben, auf das berechtigte Interesse gestützt werden und ist damit zulässig.
Sie können Ihren Kunden und Geschäftspartnern also getrost Weihnachtsgrüße zukommen lassen. Um gänzlich sicherzugehen, dass die Weihnachtsgrüße auch wirklich gewünscht sind, und um die Transparenzpflicht zu erfüllen, sollte der Betroffene auf der Weihnachtskarte einen Hinweis zur Datenschutzerklärung finden. Sollte der Empfänger tatsächlich dem Empfang von Weihnachtspost widersprechen, darf ihm im nächsten Jahr keine Weihnachtspost mehr zugesendet werden.
Weihnachtsgrüße per Videobotschaft
In vielen Branchen ist es insbesondere bei Mitarbeitern im Außendienst üblich, in der Vorweihnachtszeit persönlich Grüße und kleine Geschenke an Kunden und Geschäftspartner zu übergeben. Aufgrund der besonderen Situation in den letzten Jahren finden noch immer viele Termine digital statt, da das Arbeiten von Zuhause aus („Homeoffice“) noch immer weit verbreitet ist. Ist ein persönlicher Besuch nicht möglich, können Unternehmen aber auf ein anderes Medium zurückgreifen: Grüße per Videobotschaft. Im Gegensatz zum persönlichen Besuch müssen beim digitalen Weihnachtsgruß allerdings einige Datenschutzaspekte beachtet werden.
Zum einen sind in den Videos in der Regel Mitarbeiter zu sehen, zum Teil werden auch Tonaufnahmen gemacht. Um die Aufzeichnungen veröffentlichen und an die Geschäftspartner verschicken zu dürfen, sind hier die Einwilligungen der Mitarbeiter erforderlich. Bei der Einwilligungserklärung sind die besonderen Vorgaben des Beschäftigtendatenschutz zu beachten. Das heißt, die Mitarbeiter müssen schriftlich oder in elektronischer Form zustimmen. Allein die Tatsache, dass der Mitarbeiter sich an der Produktion beteiligt, ist nicht ausreichend.
Wird die Videobotschaft an den Geschäftspartner versendet, gilt dies wiederum als Werbemaßnahme, weshalb die oben genannten Vorgaben des UWG eingehalten werden müssen. Wer die Videobotschaft nicht auf CD brennen und per Post verschicken möchte, braucht meist die Einwilligung des Empfängers. Soll das Weihnachtsvideo beispielsweise auf der Homepage veröffentlicht werden, um die wettbewerbsrechtlichen Vorgaben zu umgehen, muss darauf geachtet werden, dass die Einwilligung der betreffenden Mitarbeiter die Veröffentlichung im Internet umfasst.
Weihnachtsgeschenke und Prämien für Mitarbeiter
An Weihnachten sollen selbstverständlich nicht nur die Geschäftsbeziehungen gepflegt werden, Unternehmen wollen sich meist auch bei ihren Mitarbeitern für ihren Einsatz im vergangenen Jahr bedanken und ihnen schöne Feiertage sowie ein erfolgreiches neues Jahr wünschen. Dafür werden an die Mitarbeiter gern Weihnachtsgeschenke und Prämien verteilt. Dabei stellt sich die Frage, ob es neben steuerlichen Aspekten auch datenschutzrechtlich etwas zu beachten gibt.
Wie so oft gilt der Grundsatz: Es kommt darauf an. Je nach Art und Gestaltung des Weihnachtspräsents werden personenbezogene Daten von Mitarbeitern verarbeitet, was in diesem Fall in den Anwendungsbereich der DS-GVO fällt. Werden die Geschenke im Büro oder während der Weihnachtsfeier verteilt und enthalten keine persönlich an die Mitarbeiter adressierte Grußkarte, werden keine personenbezogenen Daten verarbeitet. Das heißt, hier ist aus datenschutzrechtlicher Sicht nichts weiter zu beachten.
Erhalten die Mitarbeiter allerdings individuelle Weihnachtsgeschenke und Prämien, was aus organisatorischen Gründen in der Regel auch in speziell dafür geführten Listen festgehalten wird, unterliegt diese Verarbeitung dem Datenschutz. Der Umfang der verarbeiteten Daten richtet sich nach dem Geschenk bzw. der Prämie, beispielsweise können der Name, die berufliche Qualifikation, Dauer der Betriebszugehörigkeit, das Erbringen besonderer Leistungen oder Ehrungen betroffen sein. Werden die Weihnachtsgeschenke mit der Post an die Mitarbeiter verschickt, wird zudem die Adresse verwendet. Egal in welcher Form, die Verarbeitung der personenbezogenen Daten dient ausschließlich dazu, das Betriebsklima zu fördern, sich bei den Mitarbeitern zu bedanken und sie gegebenenfalls für besondere Leistungen zu ehren. Solche Maßnahmen zur Mitarbeiterbindung können auf das berechtigte Interesse des Unternehmens (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) gestützt werden und sind damit aus datenschutzrechtlicher Sicht absolut zulässig – zumal es für die Mitarbeiter nur Vorteile bringt.
Das Gleiche gilt für das wohl gängigste Weihnachtspräsent – das Weihnachtsgeld. Dieses muss allerdings nicht in allen Fällen auf das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) gestützt werden. Oft ist sogar im Arbeitsvertrag geregelt, dass den Mitarbeitern ein Weihnachtsgeld zusteht. Ist dies der Fall, beruht das Überweisen des Geldes als Verarbeitung auf der Erfüllung eines Vertrages (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO).
Wie auch bei anderen Weihnachtsaktionen, die auf dem berechtigten Interesse des Verantwortlichen beruhen, haben Mitarbeiter als Betroffene auch hier grundsätzlich das Recht auf Widerspruch (Art. 21 DS-GVO). Allerdings wird wohl kaum ein Mitarbeiter auf sein Weihnachtsgeschenk verzichten wollen.
Datenschutzkonformer Umgang mit den Bildern von der Weihnachtsfeier
Um das Geschäftsjahr gemeinsam ausklingen zu lassen und die Kollegialität unter den Mitarbeitern bei einem fröhlichen Anlass zu stärken, ist es bei den meisten Unternehmen Tradition, nicht nur Geschenke zu verteilen, sondern für alle Mitarbeiter eine Weihnachtsfeier zu veranstalten. Soweit möglich werden sich einige Unternehmen wohl wieder eine besondere Aktion einfallen lassen, um den Mitarbeitern für Ihren Einsatz in den vergangenen Monaten zu danken. Im Zeitalter von Smartphones und Social Media werden bei solchen Aktionen gern Fotos geschossen, und zwar sowohl von professionellen Fotografen als auch von den Mitarbeitern selbst. Dabei gilt es in puncto Datenschutz allerdings einige Punkte zu beachten, damit die gemütliche Weihnachtsfeier nicht im neuen Jahr zum Streitfall wird.
Um Bilder von Mitarbeitern zu veröffentlichen, brauchen Unternehmen grundsätzlich deren Einwilligung. Dabei ist es egal, ob die Bilder von der Weihnachtsfeier stammen oder den Arbeitsalltag der Mitarbeiter zeigen. Vor Inkrafttreten der DS-GVO waren hierfür insbesondere Voraussetzungen des Kunsturhebergesetzes entscheidend, nach denen Bilder grundsätzlich nur mit der Einwilligung des Fotografierten verbreitet werden durften.
Seit dem Inkrafttreten der DS-GVO benötigen Arbeitgeber zudem eine Einwilligung der Mitarbeiter, dass Bilder von ihnen veröffentlicht werden dürfen. Diese Einwilligung muss schriftlich oder elektronisch und auf freiwilliger Basis erfolgen. Dem Mitarbeiter dürfen also keine negativen Konsequenzen beim Nichtunterschreiben der Einwilligung seitens des Arbeitgebers drohen. Selbstverständlich muss die Einwilligung auch vor der Veröffentlichung von Bildern abgegeben werden und kann jederzeit widerrufen werden. Gibt der Mitarbeiter seine Einwilligung nicht oder widerruft sie, dürfen seine Bilder nicht (mehr) veröffentlicht werden.