Stand: 13.11.2023

Das Weihnachtsgeschäft steht vor der Tür und auf klassische Aktionen wie Weihnachtskarten und -präsente an Kunden, den Online-Adventskalender, Wunschzettelaktionen, Weihnachtsgewinnspiele und Co. soll auch dieses Jahr nicht verzichtet werden. Nach Möglichkeit soll der Absatz mit Werbeaktionen noch einmal angekurbelt und die Beziehungen zu Kunden und Lieferanten gestärkt werden. Viele wollen auch die Gelegenheit nutzen und – zumindest in kleinem Rahmen – den Mitarbeitern zum Jahresabschluss für ihren Einsatz zu danken, insbesondere da die immer noch spürbare Inflation die meisten Unternehmen und ihre Mitarbeiter vor besondere Herausforderungen gestellt hat.

Damit bei all diesen Aktionen nicht der teure Bumerang in Form von Abmahnungen, Beschwerden oder gar Bußgeldern aufgrund von Datenschutzverstößen zurückkommt, gilt es, einiges zu beachten. Unabhängig davon, welche Aktionen Unternehmen zur Weihnachtszeit planen, gelten bei der dafür notwendigen Verarbeitung personenbezogener Daten stets die gleichen drei Faustregeln:

  1. Für die Verarbeitung der personenbezogenen Daten wird eine Rechtsgrundlage benötigt. In Betracht kommt hierfür meist die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO oder das überwiegende berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO.
  2. Die jeweilige Aktion muss im Verzeichnis der Verarbeitungstätigkeiten gelistet werden.
  3. Die betroffenen Personen müssen transparent über die Verarbeitung ihrer persönlichen Daten zu diesen Zwecken informiert und über ihre Rechte aufgeklärt werden.

Gut zu wissen

Es gibt nicht nur Stellen, die ihren Kunden, Beschäftigten oder anderen Betroffenen zur Advents- und Weihnachtszeit etwas Gutes tun wollen. Einige Cyberkriminelle nutzen diese Zeit auch für Angriffe und versenden beispielsweise Phishing-Mails, in denen sie mit Sonderangeboten o. Ä. locken, um Daten von Betroffenen abzugreifen und/oder Angriffspunkte bei Unternehmen zu finden. Mehr Informationen hierzu finden Sie in unserem Artikel „Cybersicherheit in der Adventszeit“.

Datenschutzvorgaben für die Weihnachtswerbung

Vorweihnachtszeit heißt insbesondere für Einzelhändler und deren Zulieferer Hochsaison. Bis zum 24. Dezember werden Weihnachtseinkäufe getätigt – sowohl in Onlineshops als auch in Ladengeschäften. Um möglichst viele Kunden in den eigenen Laden zu locken, bieten die meisten Unternehmen spezielle Weihnachtsangebote an, über die potenzielle Käufer natürlich auch informiert werden sollen. Beim Versand der Werbung sowohl an Firmen als auch an Privatpersonen ist allerdings Vorsicht geboten, wobei es im Ergebnis ausnahmsweise kaum einen Unterschied macht, an wen die Werbung verschickt wird. Lediglich die rechtlichen Grundlagen sind verschieden.

Werbung per Telefon oder E-Mail

Sowohl bei Firmen als auch bei Privatpersonen ist die Werbung per Telefon oder E-Mail ausschließlich mit einer Einwilligung des Empfängers zulässig. Das Erfordernis, eine Einwilligung einzuholen, beruht in diesem Fall aber weniger auf der DS-GVO als auf dem Gesetz gegen unlauteren Wettbewerb (UWG). Datenschutzrechtlich werden mit der Verwendung privater Telefonnummern und E-Mail-Adressen zum Versand von Werbung an Verbraucher zwar personenbezogene Daten verarbeitet, die Durchführung von Werbemaßnahmen wird in den Erwägungsgründen der DS-GVO aber explizit als ein mögliches berechtigtes Interesse erwähnt. Die Verwendung der Daten könnte daher auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gestützt werden. Um die datenschutzrechtlichen Vorgaben einzuhalten, würde es genügen, das Interesse der Personen, nicht mit Werbeanrufen und E-Mails überschüttet zu werden, gegen das Interesse des Unternehmens, mit Werbung Kunden anzulocken, abzuwägen.

Das Gleiche gilt für Telefon- und E-Mail-Werbung an Unternehmen, deren Kontaktdaten grundsätzlich nicht unter die DS-GVO fallen – sie sind keine natürlichen Personen. Auch in dieser Konstellation ordnet das UWG Werbeanrufe und Werbemails ohne vorherige Einwilligung als „unzumutbare Belästigung“ ein, die nach § 7 Abs. 1, 2 UWG untersagt ist. Bei Werbeanrufen gegenüber Unternehmen muss die Einwilligung allerdings nicht unbedingt ausdrücklich abgegeben werden, es reicht auch eine mutmaßliche Einwilligung. Diese muss das werbende Unternehmen im Zweifel jedoch beweisen können.

Liegt eine Einwilligung des Empfängers vor, ist die Werbung per Telefon und E-Mail grundsätzlich zulässig, solange diese Einwilligung nicht widerrufen wird. Dieses Widerrufsrecht steht sowohl Privatkunden als auch Unternehmen zu.

Einwilligung bei Telefonwerbung

Seit dem 1. Oktober 2021 müssen zur Einwilligung in Telefonwerbung gegenüber Verbrauchern die besondere Vorgaben des § 7a UWG beachtet werden. Diese Regelung dient der effizienteren Gestaltung der Sanktionierung von unlauterer Telefonwerbung.
Aufgrund der Vorgaben der DS-GVO und des UWG, ist eine vorab informiert und nachweisbar eingeholte Einwilligung i. S. d. Art. 6 Abs. 1 lit. a), 7 DS-GVO bzw. 7 Abs. 2 Nr. UWG von der betroffenen Person sicherzustellen. Diese muss bereits vor dem Start des Werbeanrufs eingeholt worden sein. Zu beachten ist, dass die Einwilligung nachweisbar sein muss, d. h. sie muss in Text- oder Schriftform angemessen dokumentiert sein. Die Aufbewahrungsfrist beträgt gem. § 7a Abs. 2 S. 1 UWG jeweils 5 Jahre ab Erteilung der Einwilligung sowie nach jeder Verwendung.
Mehr Informationen finden Sie in unserem Artikel „Wichtige Spielregeln bei Werbemaßnahmen„.

Werbung per Post

Nicht zwangsläufig einwilligungsbedürftig ist dagegen die Werbung per Post. Hier gibt es grundsätzlich zwei Möglichkeiten: die nicht adressierte Werbung und die persönlich adressierte Werbung. Erstere ist sowohl aus datenschutzrechtlicher als auch aus wettbewerbsrechtlicher Sicht zunächst unproblematisch. Ist kein Name und keine Anschrift angegeben, werden keine personenbezogenen Daten verarbeitet, und Briefwerbung gilt nicht als „unzumutbare Belästigung“.

Wird die Werbepost persönlich an einen Empfänger versendet, muss zwischen Privatpersonen und Unternehmen unterschieden werden. Die Verwendung des Namens und der Anschrift natürlicher Personen fällt auch hier unter die DS-GVO. Die Werbung per Post hat gegenüber anderen Werbekanälen allerdings einen Vorteil: Eine Einwilligung ist für die Verarbeitung der Daten in vielen Fällen nicht erforderlich. Briefwerbung ohne vorherige Zustimmung ist z. B. zulässig, wenn es sich bei den Empfängern um Bestandskunden handelt, die bei Vertragsschluss eindeutig über diese Verwendung ihrer Daten informiert wurden, oder wenn die Adressen allgemein zugänglich sind, beispielsweise im Telefonbuch. In diesem Fall überwiegt bei der Interessenabwägung – die Sie zwingend durchführen müssen – das Werbeinteresse des Unternehmens.

Handelt es sich bei den Empfängern um Unternehmen, das heißt, ist nur die Firmenadresse angegeben, unterliegt der Vorgang nicht dem Datenschutz und ist unproblematisch. Bei diesem Adressatenkreis müssen Sie daher keine Interessenabwägung durchführen. Um auf Nummer sicher zu gehen, sollte allerdings auf die Nennung eines Ansprechpartners beim Empfänger sowohl auf dem Umschlag als auch im Anschreiben verzichtet werden.

Achtung: Unabhängig davon, ob die Werbung per Post an Privatpersonen oder Unternehmen verschickt wird, muss beachtet werden, dass Betroffene bzw. Empfänger der Zusendung von Werbung jederzeit widersprechen können. Machen sie von ihrem Widerspruchsrecht Gebrauch, darf ihnen keine Werbung mehr zugesendet werden.

Lettershop-Verfahren datenschutzrechtlich zulässig

Das Landgericht (LG) Stuttgart entschied in seinem Urteil vom 25.02.2022 (Az.: 17 O 807/21). dass die Verarbeitung personenbezogener Daten zur postalischen Direktwerbung mit dem Ziel der Pflege von Bestandskunden und der Gewinnung von Neukunden rechtmäßig sei – auch im Rahmen des Lettershop-Verfahrens. Mehr Informationen zu den Hintergründen und der Entscheidung des Gerichts finden Sie in unserer Rechtssprechungsübersicht.

Schärfere Spielregeln für Weihnachtsgewinnspiele

Weihnachten ist die gemütlichste Zeit im Jahr – ein Feuer im Kamin anzünden, Plätzchen essen und Geschenke austauschen, um den Lieben eine Freude zu machen. Auch Unternehmen greifen gern auf das Verteilen von Geschenken zurück, um sich bei den Kunden für das Geschäftsjahr zu bedanken und die Kundenbindung zu stärken. Dabei sehr beliebt und bei vielen Unternehmen bereits seit Jahren Tradition: Weihnachtsgewinnspiele. Die DS-GVO hat die Anforderungen an die rechtskonforme Gestaltung solcher Gewinnspiele im Vergleich zur alten Rechtslage um einiges verschärft.

Weitgehend unproblematisch ist die reine Durchführung des Gewinnspiels, wenn die erhobenen Daten ausschließlich zu diesem Zweck erhoben werden. Bildlich gesprochen schreibt der Teilnehmer seinen Namen auf einen Zettel, der in einen Topf zu den anderen Karten kommt, und der Anbieter zieht am Ende einen Zettel, auf dem der Gewinner steht. Anschließend werden alle Karten vernichtet. Hierbei muss grundsätzlich nur darauf geachtet werden, dass lediglich Daten erhoben und gespeichert werden, die wirklich zur Durchführung des Gewinnspiels benötigt werden, bei Online-Gewinnspielen beispielsweise die E-Mail-Adresse und das Alter (über 18 Jahre). Das Abfragen von Informationen, die für die Durchführung des Gewinnspiels nicht zwingend notwendig sind, ist dagegen unzulässig. Eine Einwilligung zur Verwendung der Daten benötigen Sie in diesem Falle nicht, denn auch hier fällt eine Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO meist zu Ihren Gunsten aus. Sie müssen die Teilnehmer aber aufgrund der umfangreichen bestehenden Transparenzpflichten über die Verarbeitung ihrer Daten zur Durchführung des Gewinnspiels informieren und explizit auf die Möglichkeit des Widerspruchs hinweisen.

In der Praxis fallen jedoch die wenigsten Gewinnspiele in diese Kategorie – auch nicht zu Weihnachten. Die Teilnahme ist häufig nur möglich, wenn der Interessent gleichzeitig der Kontaktaufnahme zu Werbezwecken per Telefon oder E-Mail zustimmt. Die Daten werden folglich nicht ausschließlich zur Durchführung des Gewinnspiels abgefragt. Man spricht von einer Koppelung der Teilnahme an die Einwilligung – der Preis der Teilnahme sind folglich die Daten. Dieses Vorgehen ist datenschutzrechtlich zwar grundsätzlich zulässig, an die Einwilligung werden aber strenge Anforderungen gestellt.

Mehr Informationen zur Einwilligung

Die Notwendigkeit der Schriftform bzw. der elektronischen Form folgt aus dem Beschäftigtendatenschutz und gilt nicht für andere Teilnehmer der Weihnachtfeier wie bspw. Familienangehörige der Mitarbeiter oder Geschäftspartner. Für deren Einwilligung gibt es keine Formvorschrift, das heißt, sie kann grundsätzlich auch konkludent erfolgen, wobei die Erfüllung der Nachweispflicht in diesem Fall kaum möglich ist. Detaillierte Informationen zur Einwilligung und Anforderungen, die es zu beachten gilt, können Sie der Begriffsdefinition unserem Datenschutz-ABC entnehmen: Definition Einwilligung

Nach einer Entscheidung des OLG Frankfurt darf die Teilnahme an einem Gewinnspiel auch explizit von der Zustimmung zu Werbemaßnahmen abhängig gemacht werden. Die Einwilligung scheitert nach Ansicht der Richter in dieser Konstellation nicht an der Freiwilligkeit, denn Lockmittel wie kleine Geschenke oder Gewinnchancen alleine führten nicht zu einer unfreiwilligen oder erzwungenen Einwilligung. Ausführliche Informationen zu der Entscheidung finden Sie in unserem Blogartikel „Absolutes Koppelungsverbot durch die DS-GVO – oder doch nicht?

Online-Adventskalender mit Sonderangeboten

Jeden Tag ein Türchen öffnen und eine neue Überraschung erhalten. Adventskalender sind in der Adventszeit nicht nur bei Kindern allseits beliebt. Für Firmen sind sie nicht nur zum absoluten Verkaufsschlager geworden, sondern die Online-Variante bietet auch unzählige Möglichkeiten, die Kunden zu binden. Ein Online-Adventskalender, bei dem sich hinter jedem Türchen ein Spezialschnäppchen verbirgt, ist daher zum Klassiker der Weihnachtswerbung geworden und in vielen Marketingabteilungen nicht mehr wegzudenken. Doch auch bei Online-Adventskalendern kann einem die DS-GVO den Spaß an der Freude gehörig vermiesen. Daher sollten sich Unternehmen vorab über die Gestaltung des Kalenders und daraus entstehende datenschutzrechtliche Anforderungen Gedanken machen. Es gilt zu überlegen:

  • Wer gestaltet den Kalender (das Unternehmen selbst oder ein Dienstleister)?
  • An welchen Empfängerkreis richtet sich der Adventskalender (nur Beschäftigte/Kunden/Lieferanten/etc. oder öffentlich)?
  • Welche Inhalte soll der Kalender haben und welche Daten des Nutzers werden dafür benötigt?
  • Sollen mit Cookies und anderen Anwendungen weitere Informationen über die Nutzer gesammelt werden (z. B. Werbetracking)?

Je nach Ausgestaltung des Kalenders knüpft die DS-GVO verschiedene Voraussetzungen an die Umsetzung des Kalenders, weshalb sich keine allgemeingültige Aussage treffen lässt. Insbesondere sollte aber darauf geachtet werden, wo die Daten der User genau gespeichert werden und inwieweit die Anbieter der Online-Adventskalender Zugriff auf die Daten der User haben. Je nach Ausgestaltung der Zuständigkeiten muss zwischen dem Anbieter und dem erstellenden Unternehmen eine datenschutzrechtliche Vereinbarung nach Art. 28 DS-GVO oder Art. 26 DS-GVO geschlossen werden. Werden Cookies eingesetzt oder Informationen vom Endgerät des Users abgerufen, ist zudem zu prüfen, inwieweit nach §25 TTDSG eine Einwilligung erforderlich ist.

Tu Gutes und sprich darüber: Wunschzettelaktionen zur Imagepflege

Egal ob als Weihnachtsaktion für Kinder oder in Unternehmen – Weihnachtsbäume mit daran aufgehängten Wunschzetteln oder Wunschzettel per Mail gehören an vielen Stellen schon lange zur Tradition. Entgegen der weitverbreiteten Meinung will die DS-GVO dem nicht im Wege stehen. Mit der richtigen Gestaltung sind solche Wunschzettelaktionen durchaus mit dem Datenschutz vereinbar.

Frühzeitige Auseinandersetzung mit dem Datenschutz

Wie wichtig die frühzeitige Auseinandersetzung mit den Pflichten des Datenschutzes ist, zeigte eindrucksvoll eine im Jahr 2021 zunächst abgesagte Wunschbaumaktion aus Werne. Das erste Mal seit 12 Jahren konnte die beliebte Hilfsaktion für rund 400 Kinder nicht wie gewohnt stattfinden, weil bei der Gestaltung der Wunschsterne die Aspekte des Datenschutzes zu wenig beachtet worden und Hinweise zum Datenschutz nicht eingeplant waren. Nachdem die Fehler beim Datenschutz mit einer Expertin auf diesem Gebiet besprochen und eine Lösung gefunden wurde, konnte die Aktion im Jahr 2021 – wenn auch leicht abgewandelt – doch noch durchgeführt werden. Im Jahr 2022 fand die Aktion – unter Beachtung des Datenschutzes – wieder ohne Probleme statt und wird auch im Jahr 2023 wieder durchgeführt werden.

Damit die gewünschten Dinge auch bei der richtigen Person ankommen, müssen meist personenbezogene Daten – wie der Name und die Adresse – angegeben werden. Hierbei stößt man direkt auf die erste Frage: Ist das Ausfüllen von Wunschzetteln eine Verarbeitung personenbezogener Daten? Das reine Ausfüllen zunächst einmal nicht, ebenso wenig wie das Aufhängen am Weihnachtsbaum. Um von einer Datenerhebung durch einen datenschutzrechtlichen Verantwortlichen sprechen zu können, ist ein aktives Handeln des Unternehmens erforderlich, an dem es seitens des Organisators eben gerade fehlt. Dabei ist unerheblich, dass die Daten öffentlich einsehbar sind. Wird der Wunschzettel dann allerdings weitergegeben, also abgenommen, sortiert und an Partner, Sponsoren o. Ä. übermittelt, um die Wünsche zu erfüllen, liegt darin eine datenschutzrelevante Verarbeitung personenbezogener Daten.

Für eine solche Verarbeitung ist nach Auffassung der EU-Kommission stets die Einwilligung der Eltern erforderlich. Dies war bereits vor Inkrafttreten der DS-GVO so und hat sich nicht geändert. Zudem sollte gut sichtbar eine Datenschutzinformation gem. Art. 13 DS-GVO ausgehängt werden, die unter anderem ausführlich über die Art der betroffenen Daten, die Art der Verarbeitung und deren Zweck sowie ggfs. Informationen über die Weitergabe der personenbezogenen Daten enthält. Hingewiesen werden sollte außerdem auf die Gefahr, dass jeder die Zettel an sich nehmen kann und Zugriff auf die Daten hat.

Um zu vermeiden, dass Unbefugte die Wunschzettel an sich nehmen und die Daten einsehen können, beispielsweise um bessere Chancen auf den Gewinn zu haben, sollte insbesondere in öffentlich zugänglichen Bereichen eine abschließbare Wunschbox aufgestellt oder der Weihnachtsbaum regelmäßig im Blick behalten werden. Auch eine Pseudonymisierung der Wunschzettel durch ein einfaches Nummernsystem ist möglich.

Datenschutzkonforme Weihnachtsgrüße?

In der Vorweihnachtszeit und gegen Ende des Jahres ist es üblich, die ein oder andere Grußkarte an Kunden und Geschäftspartner zu verschicken, um sich für die Zusammenarbeit im vergangenen Jahr zu bedanken. Doch seit die DS-GVO am 25. Mai 2018 in Kraft getreten ist, fragen sich immer noch viele Unternehmen, ob weihnachtliche Grüße überhaupt rechtens sind.

Beim Versand von Weihnachtsgrußkarten gilt das Gleiche wie beim Versand von Werbung: Der Versand per Post, der im Übrigen auch persönlicher ist, ist grundsätzlich zulässig, solange der Empfänger keinen Widerspruch einlegt. Das Versenden von Weihnachtsgrüßen gehört zum guten Ton und dient der Pflege von Kunden- und Lieferantenbeziehungen. Es stellt somit ein berechtigtes Interesse des Verantwortlichen, also des Unternehmens dar. Betroffene können mit der Verarbeitung ihrer Daten rechnen, da der Versand von Grüßen zu Weihnachten zur Tradition gehört. Dementsprechend kann auch der Versand von Weihnachtsgrüßen an Interessenten, die bereits ihre Kontaktdaten bei dem Unternehmen hinterlegt haben, auf das berechtigte Interesse gestützt werden und ist damit zulässig.

Sie können Ihren Kunden und Geschäftspartnern also getrost Weihnachtsgrüße zukommen lassen. Um gänzlich sicherzugehen, dass die Weihnachtsgrüße auch wirklich gewünscht sind, und um die Transparenzpflicht zu erfüllen, sollte der Betroffene auf der Weihnachtskarte einen Hinweis zur Datenschutzerklärung finden. Sollte der Empfänger tatsächlich dem Empfang von Weihnachtspost widersprechen, darf ihm im nächsten Jahr keine Weihnachtspost mehr zugesendet werden.

Weihnachtsgrüße per Videobotschaft

In vielen Branchen ist es insbesondere bei Mitarbeitern im Außendienst üblich, in der Vorweihnachtszeit persönlich Grüße und kleine Geschenke an Kunden und Geschäftspartner zu übergeben. Aufgrund der besonderen Situation in den letzten Jahren finden noch immer viele Termine digital statt, da das Arbeiten von Zuhause aus („Homeoffice“) noch immer weit verbreitet ist. Ist ein persönlicher Besuch nicht möglich, können Unternehmen aber auf ein anderes Medium zurückgreifen: Grüße per Videobotschaft. Im Gegensatz zum persönlichen Besuch müssen beim digitalen Weihnachtsgruß allerdings einige Datenschutzaspekte beachtet werden.

Zum einen sind in den Videos in der Regel Mitarbeiter zu sehen, zum Teil werden auch Tonaufnahmen gemacht. Um die Aufzeichnungen veröffentlichen und an die Geschäftspartner verschicken zu dürfen, sind hier die Einwilligungen der Mitarbeiter erforderlich. Bei der Einwilligungserklärung sind die besonderen Vorgaben des Beschäftigtendatenschutz zu beachten. Das heißt, die Mitarbeiter müssen schriftlich oder in elektronischer Form zustimmen. Allein die Tatsache, dass der Mitarbeiter sich an der Produktion beteiligt, ist nicht ausreichend.

Wird die Videobotschaft an den Geschäftspartner versendet, gilt dies wiederum als Werbemaßnahme, weshalb die oben genannten Vorgaben des UWG eingehalten werden müssen. Wer die Videobotschaft nicht auf CD brennen und per Post verschicken möchte, braucht meist die Einwilligung des Empfängers. Soll das Weihnachtsvideo beispielsweise auf der Homepage veröffentlicht werden, um die wettbewerbsrechtlichen Vorgaben zu umgehen, muss darauf geachtet werden, dass die Einwilligung der betreffenden Mitarbeiter die Veröffentlichung im Internet umfasst.

Weihnachtsgeschenke und Prämien für Mitarbeiter

An Weihnachten sollen selbstverständlich nicht nur die Geschäftsbeziehungen gepflegt werden, Unternehmen wollen sich meist auch bei ihren Mitarbeitern für ihren Einsatz im vergangenen Jahr bedanken und ihnen schöne Feiertage sowie ein erfolgreiches neues Jahr wünschen. Dafür werden an die Mitarbeiter gern Weihnachtsgeschenke und Prämien verteilt. Dabei stellt sich die Frage, ob es neben steuerlichen Aspekten auch datenschutzrechtlich etwas zu beachten gibt.

Wie so oft gilt der Grundsatz: Es kommt darauf an. Je nach Art und Gestaltung des Weihnachtspräsents werden personenbezogene Daten von Mitarbeitern verarbeitet, was in diesem Fall in den Anwendungsbereich der DS-GVO fällt. Werden die Geschenke im Büro oder während der Weihnachtsfeier verteilt und enthalten keine persönlich an die Mitarbeiter adressierte Grußkarte, werden keine personenbezogenen Daten verarbeitet. Das heißt, hier ist aus datenschutzrechtlicher Sicht nichts weiter zu beachten.

Erhalten die Mitarbeiter allerdings individuelle Weihnachtsgeschenke und Prämien, was aus organisatorischen Gründen in der Regel auch in speziell dafür geführten Listen festgehalten wird, unterliegt diese Verarbeitung dem Datenschutz. Der Umfang der verarbeiteten Daten richtet sich nach dem Geschenk bzw. der Prämie, beispielsweise können der Name, die berufliche Qualifikation, Dauer der Betriebszugehörigkeit, das Erbringen besonderer Leistungen oder Ehrungen betroffen sein. Werden die Weihnachtsgeschenke mit der Post an die Mitarbeiter verschickt, wird zudem die Adresse verwendet. Egal in welcher Form, die Verarbeitung der personenbezogenen Daten dient ausschließlich dazu, das Betriebsklima zu fördern, sich bei den Mitarbeitern zu bedanken und sie gegebenenfalls für besondere Leistungen zu ehren. Solche Maßnahmen zur Mitarbeiterbindung können auf das berechtigte Interesse des Unternehmens (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) gestützt werden und sind damit aus datenschutzrechtlicher Sicht absolut zulässig – zumal es für die Mitarbeiter nur Vorteile bringt.

Das Gleiche gilt für das wohl gängigste Weihnachtspräsent – das Weihnachtsgeld. Dieses muss allerdings nicht in allen Fällen auf das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) gestützt werden. Oft ist sogar im Arbeitsvertrag geregelt, dass den Mitarbeitern ein Weihnachtsgeld zusteht. Ist dies der Fall, beruht das Überweisen des Geldes als Verarbeitung auf der Erfüllung eines Vertrages (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO).

Wie auch bei anderen Weihnachtsaktionen, die auf dem berechtigten Interesse des Verantwortlichen beruhen, haben Mitarbeiter als Betroffene auch hier grundsätzlich das Recht auf Widerspruch (Art. 21 DS-GVO). Allerdings wird wohl kaum ein Mitarbeiter auf sein Weihnachtsgeschenk verzichten wollen.

Achtung beim Erstellen der Listen

Bei der Erstellung von Listen, um die Ausschüttung und Verteilung von Prämien zu ermitteln, müssen neben der Rechtmäßigkeit auch die übrigen Datenschutzgrundsätze beachtet werden. Hierzu gehören unter anderem die Zweckbindung, Datenminimierung, Speicherbegrenzung und Transparenz sowie die Vertraulichkeit. Achten Sie darauf, dass Ihnen hier – sei es auch durch Unachtsamkeit im stressigen Jahresendgeschäft – keine Fallstricke entstehen, weil die Listen beispielweise in unbefugte Hände geraten oder mehr Daten als für die Zweckerfüllung erforderlich enthalten.

Datenschutzkonformer Umgang mit den Bildern von der Weihnachtsfeier

Um das Geschäftsjahr gemeinsam ausklingen zu lassen und die Kollegialität unter den Mitarbeitern bei einem fröhlichen Anlass zu stärken, ist es bei den meisten Unternehmen Tradition, nicht nur Geschenke zu verteilen, sondern für alle Mitarbeiter eine Weihnachtsfeier zu veranstalten. Soweit möglich werden sich einige Unternehmen wohl wieder eine besondere Aktion einfallen lassen, um den Mitarbeitern für Ihren Einsatz in den vergangenen Monaten zu danken. Im Zeitalter von Smartphones und Social Media werden bei solchen Aktionen gern Fotos geschossen, und zwar sowohl von professionellen Fotografen als auch von den Mitarbeitern selbst. Dabei gilt es in puncto Datenschutz allerdings einige Punkte zu beachten, damit die gemütliche Weihnachtsfeier nicht im neuen Jahr zum Streitfall wird.

Um Bilder von Mitarbeitern zu veröffentlichen, brauchen Unternehmen grundsätzlich deren Einwilligung. Dabei ist es egal, ob die Bilder von der Weihnachtsfeier stammen oder den Arbeitsalltag der Mitarbeiter zeigen. Vor Inkrafttreten der DS-GVO waren hierfür insbesondere Voraussetzungen des Kunsturhebergesetzes entscheidend, nach denen Bilder grundsätzlich nur mit der Einwilligung des Fotografierten verbreitet werden durften.

Seit dem Inkrafttreten der DS-GVO benötigen Arbeitgeber zudem eine Einwilligung der Mitarbeiter, dass Bilder von ihnen veröffentlicht werden dürfen. Diese Einwilligung muss schriftlich oder elektronisch und auf freiwilliger Basis erfolgen. Dem Mitarbeiter dürfen also keine negativen Konsequenzen beim Nichtunterschreiben der Einwilligung seitens des Arbeitgebers drohen. Selbstverständlich muss die Einwilligung auch vor der Veröffentlichung von Bildern abgegeben werden und kann jederzeit widerrufen werden. Gibt der Mitarbeiter seine Einwilligung nicht oder widerruft sie, dürfen seine Bilder nicht (mehr) veröffentlicht werden.

Digitalkamera mit Fotos der Weihnachtsfeier gestohlen

Auf den meisten Weihnachtsfeiern werden Fotos von Mitarbeitern mit Digitalkameras aufgenommen. Diese Fotos werden dabei auf einer internen Speicherkarte gespeichert. Da solche Geräte aber häufig im Interesse von Dieben liegen, müssen sich Unternehmen aus datenschutzrechtlicher Hinsicht die Frage stellen, welche technischen und organisatorischen Maßnahmen zur Aufbewahrung dieser Digitalkameras ergriffen werden müssen.

Kurz zusammengefasst bietet sich folgendes Vorgehen an:

  • Aufbewahrung der Kamera in einem verschlossenen Schrank
  • Getrennte Aufbewahrung von Kamera und Speicherkarte
  • Unmittelbare Übertragung von gespeicherten Fotos auf den Server und Löschung der Speicherkarte mit spezieller Lösch-Software ohne Wiederherstellungsfunktion

Dieses Vorgehen sollte grundsätzlich eingehalten werden – unabhängig davon, wer zu welchem Zweck fotografiert worden ist.

Drei Fragen aus dem Betriebsalltag

Wie auch beim Werbungsversand und bei Weihnachtsgrüßen gibt es bei der Einladung zu betrieblichen Weihnachtsfeiern einige Punkte zu beachten. Gegenüber Geschäftspartnern wird die Einladung zu Firmenveranstaltungen nämlich als Werbung eingeordnet, das heißt, es müssen die gleichen Vorgaben beachtet werden. Folglich dürfen Sie Ihre Kunden und Geschäftspartner nur per Telefon oder E-Mail zu Ihrer Weihnachtsfeier einladen, wenn Sie hierfür eine explizite Einwilligung haben, was wohl in der Praxis selten der Fall sein wird. Die Einladung per Post ist allerdings zulässig und ohnehin auch persönlicher als eine Rundmail, immerhin zeigt die Einladung eine gewisse persönliche Wertschätzung und soll die Geschäftsbeziehung fördern.

Ihre Mitarbeiter können Sie dagegen per E-Mail zur Weihnachtsfeier einladen, solange Sie hierfür die geschäftliche E-Mail-Adresse verwenden. Eine Einladung über die private E-Mail-Adresse ist wiederum nur mit Einwilligung zulässig. In jedem Fall sollten Sie bei einer Rundmail die Empfänger-Adressen im BCC-Feld eingeben, insbesondere wenn private E-Mail-Adressen enthalten sind. Das persönlichere Anschreiben auf postalischem Weg ist auch hier erlaubt.

Unabhängig davon, auf welchem Weg Sie Ihre Mitarbeiter und Geschäftspartner zur Weihnachtsfeier einladen, bietet es sich an, in die Einladung bereits einen Hinweis auf etwaige Fotoaufnahmen zu integrieren. Wissen Ihre Gäste bereits vor der Ankunft auf der Veranstaltung darüber Bescheid, dass Aufnahmen gemacht werden, können sie in jedem Fall damit rechnen, was Ihr berechtigtes Interesse wie oben beschrieben stärkt.

Beim Lesen denken Sie wahrscheinlich zunächst einmal darüber nach, wie das überhaupt ein Fall für den Datenschutz sein kann. Tatsächlich werden beim Wichteln aber personenbezogene Daten verarbeitet, denn der Name der Wichtel wird auf Zettel geschrieben und dann an Kollegen weitergegeben. Um beantworten zu können, ob hier datenschutzrechtlich etwas zu beachten ist, muss man unterscheiden, von wem das Wichteln zur Weihnachtszeit ausgeht und organisiert wird – von der Geschäftsleitung oder von den Mitarbeitern selbst.

Schließen sich die Angestellten zum Beispiel innerhalb einer Abteilung aus eigenem Antrieb zusammen und wichteln untereinander, ist das ein Privatvergnügen der Mitarbeiter und fällt somit nicht in den Anwendungsbereich der DS-GVO. Dabei ist es unerheblich, wenn das Wichteln in den Geschäftsräumen stattfindet. Gehört es zur Tradition des Unternehmens, dass alle Mitarbeiter wichteln, geht die Initiative also von der Geschäftsleitung aus, unterliegt das dem Anwendungsbereich der DS-GVO. Da die Mitarbeiter mit der Verarbeitung rechnen können – immerhin schreiben sie ihren Namen auf den Zettel und geben ihn ab oder es ist zumindest allgemein bekannt, dass gewichtelt wird – und das Ganze auf freiwilliger Basis erfolgt, kann das Wichteln gut auf das überwiegende berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gestützt werden. Unternehmen sollten lediglich das Wichteln in die allgemeine Datenschutzinformation für Arbeitnehmer integrieren und darauf achten, die Freiwilligkeit auch gut zu vermitteln, damit kein großer „Gruppenzwang“ entsteht – dann steht dem Wichteln zu Weihnachten nichts im Wege.

Da betriebliche Weihnachtsfeiern, wie der Name schon vermuten lässt, vom Betrieb bzw. Unternehmen organisiert wird, sind diese auch die Veranstalter der Feier und gelten daher auch als Verantwortliche im Sinne der DS-GVO. Unternehmen müssen deshalb dafür sorgen, dass auf ihren Weihnachtsfeiern die Vorgaben des Datenschutzes eingehalten werden – angefangen mit der Einladung über die verschiedenen Gesprächsthemen bis hin zur Verwendung der Bildaufnahmen auf der Homepage oder in Social-Media-Kanälen. Dementsprechend wird bei Datenschutzverstößen auf der Weihnachtsfeier auch das Unternehmen zur Rechenschaft gezogen.

Zu dieser Regel gibt es allerdings Ausnahmen: Unter Umständen können nämlich auch einzelne Mitarbeiter die Verantwortung tragen. Dies ist dann der Fall, wenn Beschäftigte sich über Anweisungen und aufgestellte Regeln der Geschäftsführung hinwegsetzen und damit selbst über die Zwecke und Mittel der Datenverarbeitung entscheiden. Missbrauchen Angestellte also beispielsweise ihre Zugriffsrechte oder machen unerlaubt Fotos von Kollegen auf der Weihnachtsfeier, insbesondere wenn nicht erkennbar ist, ob sie dies im Auftrag der Geschäftsleitung tun oder nicht, wird der betreffende Beschäftigte selbst zur verantwortlichen Stelle nach Art. 4 Nr. 7 DS-GVO. Das bedeutet auch, dass gegen ihn ein Bußgeld nach Art. 83 DS-GVO verhängt werden kann. So wurde bereits vom Landesbeauftragten für den Datenschutz Baden-Württemberg gegen einen Polizisten ein Bußgeld verhängt, weil er dienstliche Datenbanken für private Abfragen nutzte. Um die Kontaktdaten einer Frau, die ihn interessierte, zu erfahren, hatte er zunächst das Kennzeichen und anschließend die Telefonnummer abgefragt. Allerdings ist diese Ansicht noch umstritten, weitere Bußgeldbeschlüsse der nationalen Aufsichtsbehörden bleiben abzuwarten, ebenso wie eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und ein Urteil des Europäischen Gerichtshofs (EuGH).