Besonders zur Weihnachtszeit und gegen Jahresende bereitet die DS-GVO vielen Unternehmen Kopfzerbrechen. Das Weihnachtsgeschäft steht vor der Tür und auf klassische Aktionen wie Weihnachtskarten und -präsente an Kunden, den Online-Adventskalender, Wunschzettelaktionen, Weihnachtsgewinnspiele und Co. soll nicht verzichtet werden. Selbstverständlich wird zum krönenden Abschluss mit den Mitarbeitern ausgiebig gefeiert und sich mit den Bildern in sozialen Netzwerken entsprechend verabschiedet.

Damit bei all diesen Aktionen nicht der teure Bumerang in Form von Abmahnungen, Beschwerden oder gar Bußgeldern aufgrund von Datenschutzverstößen zurückkommt, gilt es, einiges zu beachten. Unabhängig davon, welche Aktionen Unternehmen zur Weihnachtszeit planen, gelten bei der dafür notwendigen Verarbeitung personenbezogener Daten stets die gleichen drei Faustregeln:

  1. Für die Verarbeitung der personenbezogenen Daten wird eine Rechtsgrundlage benötigt. In Betracht kommt hierfür meist die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DS-GVO oder das überwiegende berechtigte Interesse des Unternehmens nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO.
  2. Die jeweilige Aktion muss im Verzeichnis der Verarbeitungstätigkeiten gelistet werden.
  3. Die betroffenen Personen müssen transparent über die Verarbeitung ihrer persönlichen Daten zu diesen Zwecken informiert und über ihre Rechte aufgeklärt werden.

Datenschutzvorgaben für die Weihnachtswerbung

Vorweihnachtszeit heißt insbesondere für Einzelhändler und deren Zulieferer Hochsaison. Bis zum 24. Dezember werden Weihnachtseinkäufe getätigt – sowohl in Onlineshops als auch in Ladengeschäften. Um möglichst viele Kunden in den eigenen Laden zu locken, bieten die meisten Unternehmen spezielle Weihnachtsangebote an, über die potenzielle Käufer natürlich auch informiert werden sollen. Beim Versand der Werbung sowohl an Firmen als auch an Privatpersonen ist allerdings Vorsicht geboten, wobei es im Ergebnis ausnahmsweise kaum einen Unterschied macht, an wen die Werbung verschickt wird. Lediglich die rechtlichen Grundlagen sind verschieden.

Werbung per Telefon oder E-Mail

Sowohl bei Firmen als auch bei Privatpersonen ist die Werbung per Telefon oder E-Mail ausschließlich mit einer Einwilligung des Empfängers zulässig. Das Erfordernis, eine Einwilligung einzuholen, beruht in diesem Fall aber weniger auf der DS-GVO als auf dem Gesetz gegen unlauteren Wettbewerb (UWG). Datenschutzrechtlich werden mit der Verwendung privater Telefonnummern und E-Mail-Adressen zum Versand von Werbung an Verbraucher zwar personenbezogene Daten verarbeitet, die Durchführung von Werbemaßnahmen wird in den Erwägungsgründen der DS-GVO aber explizit als ein mögliches berechtigtes Interesse erwähnt. Die Verwendung der Daten könnte daher auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gestützt werden. Um die datenschutzrechtlichen Vorgaben einzuhalten, würde es genügen, das Interesse der Personen, nicht mit Werbeanrufen und E-Mails überschüttet zu werden, gegen das Interesse des Unternehmens, mit Werbung Kunden anzulocken, abzuwägen.

Das Gleiche gilt für Telefon- und E-Mail-Werbung an Unternehmen, deren Kontaktdaten grundsätzlich nicht unter die DS-GVO fallen – sie sind keine natürlichen Personen. Auch in dieser Konstellation ordnet das UWG Werbeanrufe und Werbemails ohne vorherige Einwilligung als „unzumutbare Belästigung“ ein, die nach § 7 Abs. 1, 2 UWG untersagt ist. Bei Werbeanrufen gegenüber Unternehmen muss die Einwilligung allerdings nicht unbedingt ausdrücklich abgegeben werden, es reicht auch eine mutmaßliche Einwilligung. Diese muss das werbende Unternehmen im Zweifel jedoch beweisen können.

Liegt eine Einwilligung des Empfängers vor, ist die Werbung per Telefon und E-Mail grundsätzlich zulässig, solange diese Einwilligung nicht widerrufen wird. Dieses Widerrufsrecht steht sowohl Privatkunden als auch Unternehmen zu.

Werbung per Post

Nicht zwangläufig einwilligungsbedürftig ist dagegen die Werbung per Post. Hier gibt es grundsätzlich zwei Möglichkeiten: die nicht adressierte Werbung und die persönlich adressierte Werbung. Erstere ist sowohl aus datenschutzrechtlicher als auch aus wettbewerbsrechtlicher Sicht zunächst unproblematisch. Ist kein Name und keine Anschrift angegeben, werden keine personenbezogenen Daten verarbeitet, und Briefwerbung gilt nicht als „unzumutbare Belästigung“.

Wird die Werbepost persönlich an einen Empfänger versendet, muss zwischen Privatpersonen und Unternehmen unterschieden werden. Die Verwendung des Namens und der Anschrift natürlicher Personen fällt auch hier unter die DS-GVO. Die Werbung per Post hat gegenüber anderen Werbekanälen allerdings einen Vorteil: Eine Einwilligung ist für die Verarbeitung der Daten in vielen Fällen nicht erforderlich. Briefwerbung ohne vorherige Zustimmung ist z. B. zulässig, wenn es sich bei den Empfängern um Bestandskunden handelt, die bei Vertragsschluss eindeutig über diese Verwendung ihrer Daten informiert wurden, oder wenn die Adressen allgemein zugänglich sind, beispielsweise im Telefonbuch. In diesem Fall überwiegt bei der Interessenabwägung – die Sie zwingend durchführen müssen – das Werbeinteresse des Unternehmens.

Handelt es sich bei den Empfängern um Unternehmen, das heißt, ist nur die Firmenadresse angegeben, unterliegt der Vorgang nicht dem Datenschutz und ist unproblematisch. Bei diesem Adressatenkreis müssen Sie daher keine Interessenabwägung durchführen. Um auf Nummer sicher zu gehen, sollte allerdings auf die Nennung eines Ansprechpartners beim Empfänger sowohl auf dem Umschlag als auch im Anschreiben verzichtet werden.

Achtung: Unabhängig davon, ob die Werbung per Post an Privatpersonen oder Unternehmen verschickt wird, muss beachtet werden, dass Betroffene bzw. Empfänger der Zusendung von Werbung jederzeit widersprechen können. Machen sie von ihrem Widerspruchsrecht Gebrauch, darf ihnen keine Werbung mehr zugesendet werden.

Schärfere Spielregeln für Weihnachtsgewinnspiele

Weihnachten ist die gemütlichste Zeit im Jahr – entspanntes Zusammensitzen im Kreis der Familie, Plätzchen essen und Geschenke austauschen, um den Lieben eine Freude zu machen. Auch Unternehmen greifen gern auf das Verteilen von Geschenken zurück, um sich bei den Kunden für das Geschäftsjahr zu bedanken und die Kundenbindung zu stärken. Dabei sehr beliebt und bei vielen Unternehmen bereits seit Jahren Tradition: Weihnachtsgewinnspiele. Die DS-GVO hat die Anforderungen an die rechtskonforme Gestaltung solcher Gewinnspiele im Vergleich zur alten Rechtslage um einiges verschärft.

Weitgehend unproblematisch ist die reine Durchführung des Gewinnspiels, wenn die erhobenen Daten ausschließlich zu diesem Zweck erhoben werden. Bildlich gesprochen schreibt der Teilnehmer seinen Namen auf einen Zettel, der in einen Topf zu den anderen Karten kommt, und der Anbieter zieht am Ende einen Zettel, auf dem der Gewinner steht. Anschließend werden alle Karten vernichtet. Hierbei muss grundsätzlich nur darauf geachtet werden, dass lediglich Daten erhoben und gespeichert werden, die wirklich zur Durchführung des Gewinnspiels benötigt werden, bei Online-Gewinnspielen beispielsweise die E-Mail-Adresse und das Alter (über 18 Jahre). Das Abfragen von Informationen, die für die Durchführung des Gewinnspiels nicht zwingend notwendig sind, ist dagegen unzulässig. Eine Einwilligung zur Verwendung der Daten benötigen Sie in diesem Falle nicht, denn auch hier fällt eine Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO meist zu Ihren Gunsten aus. Sie müssen die Teilnehmer aber aufgrund der umfangreichen bestehenden Transparenzpflichten über die Verarbeitung ihrer Daten zur Durchführung des Gewinnspiels informieren und explizit auf die Möglichkeit des Widerspruchs hinweisen.

In der Praxis fallen jedoch die wenigsten Gewinnspiele in diese Kategorie – auch nicht zu Weihnachten. Die Teilnahme ist häufig nur möglich, wenn der Interessent gleichzeitig der Kontaktaufnahme zu Werbezwecken per Telefon oder E-Mail zustimmt. Die Daten werden folglich nicht ausschließlich zur Durchführung des Gewinnspiels abgefragt. Man spricht von einer Koppelung der Teilnahme an die Einwilligung – der Preis der Teilnahme sind folglich die Daten. Dieses Vorgehen ist datenschutzrechtlich zwar grundsätzlich zulässig, an die Einwilligung werden aber strenge Anforderungen gestellt.

Online-Adventskalender mit Sonderangeboten

Jeden Tag ein Türchen öffnen und eine neue Überraschung erhalten. Adventskalender sind in der Adventszeit nicht nur bei Kindern allseits beliebt. Für Firmen sind sie nicht nur zum absoluten Verkaufsschlager geworden, sondern die Online-Variante bietet auch unzählige Möglichkeiten, die Kunden zu binden. Ein Online-Adventskalender, bei dem sich hinter jedem Türchen ein Spezialschnäppchen verbirgt, ist daher zum Klassiker der Weihnachtswerbung geworden und in vielen Marketingabteilungen nicht mehr wegzudenken. Doch auch bei Online-Adventskalendern kann einem die DS-GVO den Spaß an der Freude gehörig vermiesen. Daher sollten sich Unternehmen vorab über die Gestaltung des Kalenders und daraus entstehende datenschutzrechtliche Anforderungen Gedanken machen. Es gilt zu überlegen:

  • Wer gestaltet den Kalender (das Unternehmen selbst oder ein Dienstleister)?
  • An welchen Empfängerkreis richtet sich der Adventskalender (nur Beschäftigte/Kunden/Lieferanten/etc. oder öffentlich)?
  • Welche Inhalte soll der Kalender haben und welche Daten des Nutzers werden dafür benötigt?
  • Sollen mit Cookies und anderen Anwendungen weitere Informationen über die Nutzer gesammelt werden (z. B. Werbetracking)?

Je nach Ausgestaltung des Kalenders knüpft die DS-GVO verschiedene Voraussetzungen an die Umsetzung des Kalenders, weshalb sich keine allgemeingültige Aussage treffen lässt. Insbesondere sollte aber darauf geachtet werden, wo die Daten der User genau gespeichert werden und inwieweit die Anbieter der Online-Adventskalender Zugriff auf die Daten der User haben. Je nach Ausgestaltung der Zuständigkeiten muss zwischen dem Anbieter und dem erstellenden Unternehmen eine datenschutzrechtliche Vereinbarung nach Art. 28 DS-GVO oder Art. 26 DS-GVO geschlossen werden. Werden Cookies eingesetzt, ist zudem zu prüfen, inwieweit diese einwilligungsbedürftig sind.

Tu Gutes und sprich darüber: Wunschzettelaktionen zur Imagepflege

Egal ob auf Weihnachtsmärkten oder als Weihnachtsaktion in Unternehmen – Weihnachtsbäume mit daran aufgehängten Wunschzetteln oder Wunschzettel per Mail gehören an vielen Stellen schon lange zur Tradition. Entgegen der weitverbreiteten Meinung will die DS-GVO dem nicht im Wege stehen. Mit der richtigen Gestaltung sind solche Wunschzettelaktionen durchaus mit dem Datenschutz vereinbar.

Damit die gewünschten Dinge auch bei der richtigen Person ankommen, müssen meist personenbezogene Daten – wie der Name und die Adresse – angegeben werden. Hierbei stößt man direkt auf die erste Frage: Ist das Ausfüllen von Wunschzetteln eine Verarbeitung personenbezogener Daten? Das reine Ausfüllen zunächst einmal nicht, ebenso wenig wie das Aufhängen am Weihnachtsbaum. Um von einer Datenerhebung durch einen datenschutzrechtlichen Verantwortlichen sprechen zu können, ist ein aktives Handeln des Unternehmens erforderlich, an dem es seitens des Organisators eben gerade fehlt. Dabei ist unerheblich, dass die Daten öffentlich einsehbar sind. Wird der Wunschzettel dann allerdings weitergegeben, also abgenommen, sortiert und an Partner, Sponsoren o. Ä. übermittelt, um die Wünsche zu erfüllen, liegt darin eine datenschutzrelevante Verarbeitung personenbezogener Daten.

Für eine solche Verarbeitung ist nach Auffassung der EU-Kommission stets die Einwilligung der Eltern erforderlich. Dies war bereits vor Inkrafttreten der DS-GVO so und hat sich nicht geändert. Zudem sollte gut sichtbar eine Datenschutzinformation gem. Art. 13 DS-GVO ausgehängt werden, die unter anderem ausführlich über die Art der betroffenen Daten, die Art der Verarbeitung und deren Zweck sowie ggfs. Informationen über die Weitergabe der personenbezogenen Daten enthält. Hingewiesen werden sollte außerdem auf die Gefahr, dass jeder die Zettel an sich nehmen kann und Zugriff auf die Daten hat.

Um zu vermeiden, dass Unbefugte die Wunschzettel an sich nehmen und die Daten einsehen können, beispielsweise um bessere Chancen auf den Gewinn zu haben, sollte insbesondere in öffentlich zugänglichen Bereichen eine abschließbare Wunschbox aufgestellt oder der Weihnachtsbaum regelmäßig im Blick behalten werden.

Datenschutzkonforme Weihnachtsgrüße?

In der Vorweihnachtszeit und gegen Ende des Jahres ist es üblich, die ein oder andere Grußkarte an Kunden und Geschäftspartner zu verschicken, um sich für die Zusammenarbeit im vergangenen Jahr zu bedanken. Doch seit die DS-GVO am 25. Mai 2018 in Kraft getreten ist, fragen sich immer noch viele Unternehmen, ob weihnachtliche Grüße überhaupt rechtens sind.

Beim Versand von Weihnachtsgrußkarten gilt das Gleiche wie beim Versand von Werbung: Der Versand per Post, der im Übrigen auch persönlicher ist, ist grundsätzlich zulässig, solange der Empfänger keinen Widerspruch einlegt. Das Versenden von Weihnachtsgrüßen gehört zum guten Ton und dient der Pflege von Kunden- und Lieferantenbeziehungen. Es stellt somit ein berechtigtes Interesse des Verantwortlichen, also des Unternehmens dar. Betroffene können mit der Verarbeitung ihrer Daten rechnen, da der Versand von Grüßen zu Weihnachten zur Tradition gehört. Dementsprechend kann auch der Versand von Weihnachtsgrüßen an Interessenten, die bereits ihre Kontaktdaten bei dem Unternehmen hinterlegt haben, auf das berechtigte Interesse gestützt werden und ist damit zulässig.

Sie können Ihren Kunden und Geschäftspartnern also getrost Weihnachtsgrüße zukommen lassen. Um gänzlich sicherzugehen, dass die Weihnachtsgrüße auch wirklich gewünscht sind, und um die Transparenzpflicht zu erfüllen, sollte der Betroffene auf der Weihnachtskarte einen Hinweis zur Datenschutzerklärung finden. Sollte der Empfänger tatsächlich dem Empfang von Weihnachtspost widersprechen, darf ihm im nächsten Jahr keine Weihnachtspost mehr zugesendet werden.

Weihnachtsgeschenke und Prämien für Mitarbeiter

An Weihnachten sollen selbstverständlich nicht nur die Geschäftsbeziehungen gepflegt werden, Unternehmen wollen sich meist auch bei ihren Mitarbeitern für ihren Einsatz im vergangenen Jahr bedanken und ihnen schöne Feiertage sowie ein erfolgreiches neues Jahr wünschen. Dafür werden an die Mitarbeiter gern Weihnachtsgeschenke und Prämien verteilt. Dabei stellt sich die Frage, ob es neben steuerlichen Aspekten auch datenschutzrechtlich etwas zu beachten gibt.

Wie so oft gilt der Grundsatz: Es kommt darauf an. Je nach Art und Gestaltung des Weihnachtspräsents werden personenbezogene Daten von Mitarbeitern verarbeitet, was in diesem Fall in den Anwendungsbereich der DS-GVO fällt. Werden die Geschenke im Büro oder während der Weihnachtsfeier verteilt und enthalten keine persönlich an die Mitarbeiter adressierte Grußkarte, werden keine personenbezogenen Daten verarbeitet. Das heißt, hier ist aus datenschutzrechtlicher Sicht nichts weiter zu beachten.

Erhalten die Mitarbeiter allerdings individuelle Weihnachtsgeschenke und Prämien, was aus organisatorischen Gründen in der Regel auch in speziell dafür geführten Listen festgehalten wird, unterliegt diese Verarbeitung dem Datenschutz. Der Umfang der verarbeiteten Daten richtet sich nach dem Geschenk bzw. der Prämie, beispielsweise können der Name, die berufliche Qualifikation, Dauer der Betriebszugehörigkeit, das Erbringen besonderer Leistungen oder Ehrungen betroffen sein. Werden die Weihnachtsgeschenke mit der Post an die Mitarbeiter verschickt, wird zudem die Adresse verwendet. Egal in welcher Form, die Verarbeitung der personenbezogenen Daten dient ausschließlich dazu, das Betriebsklima zu fördern, sich bei den Mitarbeitern zu bedanken und sie gegebenenfalls für besondere Leistungen zu ehren. Solche Maßnahmen zur Mitarbeiterbindung können auf das berechtigte Interesse des Unternehmens (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) gestützt werden und sind damit aus datenschutzrechtlicher Sicht absolut zulässig – zumal es für die Mitarbeiter nur Vorteile bringt.

Das Gleiche gilt für das wohl gängigste Weihnachtspräsent – das Weihnachtsgeld. Dieses muss allerdings nicht in allen Fällen auf das berechtigte Interesse (Art. 6 Abs. 1 S. 1 lit. f) DS-GVO) gestützt werden. Oft ist sogar im Arbeitsvertrag geregelt, dass den Mitarbeitern ein Weihnachtsgeld zusteht. Ist dies der Fall, beruht das Überweisen des Geldes als Verarbeitung auf der Erfüllung eines Vertrages (Art. 6 Abs. 1 S. 1 lit. b) DS-GVO).

Wie auch bei anderen Weihnachtsaktionen, die auf dem berechtigten Interesse des Verantwortlichen beruhen, haben Mitarbeiter als Betroffene auch hier grundsätzlich das Recht auf Widerspruch (Art. 21 DS-GVO). Allerdings wird wohl kaum ein Mitarbeiter auf sein Weihnachtsgeschenk verzichten wollen.

Datenschutzkonformer Umgang mit den Bildern von der Weihnachtsfeier

Um das Geschäftsjahr gemeinsam ausklingen zu lassen und die Kollegialität unter den Mitarbeitern bei einem fröhlichen Anlass zu stärken, ist es bei den meisten Unternehmen Tradition, nicht nur Geschenke zu verteilen, sondern für alle Mitarbeiter eine Weihnachtsfeier zu veranstalten. Im Zeitalter von Smartphones und Social Media werden bei solchen Veranstaltungen gern Fotos geschossen, und zwar sowohl von professionellen Fotografen als auch von den Feiernden selbst. Dabei gilt es in puncto Datenschutz allerdings einige Punkte zu beachten, damit die gemütliche Weihnachtsfeier nicht im neuen Jahr zum Streitfall wird.

Um Bilder von Mitarbeitern zu veröffentlichen, brauchen Unternehmen grundsätzlich die Einwilligung ihrer Mitarbeiter. Dabei ist es egal, ob die Bilder von der Weihnachtsfeier stammen oder den Arbeitsalltag der Mitarbeiter zeigen. Vor Inkrafttreten der DS-GVO waren hierfür insbesondere Voraussetzungen des Kunsturhebergesetzes entscheidend, nach denen Bilder grundsätzlich nur mit der Einwilligung des Fotografierten verbreitet werden durften.

Seit dem Inkrafttreten der DS-GVO benötigen Arbeitgeber zudem eine Einwilligung der Mitarbeiter, dass Bilder von ihnen veröffentlicht werden dürfen. Diese Einwilligung muss schriftlich oder elektronisch und auf freiwilliger Basis erfolgen. Dem Mitarbeiter dürfen also keine negativen Konsequenzen beim Nichtunterschreiben der Einwilligung seitens des Arbeitgebers drohen. Selbstverständlich muss die Einwilligung auch vor der Veröffentlichung von Bildern abgegeben werden und kann jederzeit widerrufen werden. Gibt der Mitarbeiter seine Einwilligung nicht oder widerruft sie, dürfen seine Bilder nicht (mehr) veröffentlicht werden.

Bei Familienangehörigen oder anderen Gästen der Weihnachtsfeier kann das Fotografieren in der Regel auch auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DS-GVO gestützt werden. Bei größeren Veranstaltungen rechnen die Teilnehmer damit, dass der Veranstalter einen professionellen Fotografen beauftragt hat und sie fotografiert werden. Ebenfalls zu erwarten ist die Veröffentlichung von Aufnahmen, auf denen eine große Anzahl von Personen zu sehen ist, wobei dann in der Regel keiner der Fotografierten sehr gut zu erkennen ist. Wohl nicht mehr von dieser vernünftigen Erwartungshaltung erfasst ist allerdings die Veröffentlichung von Gruppen- und Einzelaufnahmen. Hierzu ist wiederum eine Einwilligung notwendig. Auch steht den Fotografierten das Recht zu, Widerspruch gegen die Datenverarbeitung einzulegen – also dass von ihnen Aufnahmen gemacht werden. Tun sie das, dürfen die betreffenden Personen nicht mehr fotografiert werden. Um das praktisch umzusetzen, könnte ihnen bspw. eine bestimmt farbige Schleife zum Anstecken gegeben werden, damit der Fotograf sie erkennt.

In jedem Fall müssen die Fotografierten als die Betroffenen der Datenverarbeitung ausführlich nach Art. 13 DS-GVO informiert werden. Die Information muss unter anderem Angaben darüber enthalten, was mit den Aufnahmen geschieht, wer Zugriff auf sie hat und zu welchem Zweck die Fotos gemacht werden. Die Information kann dabei gestuft erfolgen, beispielsweise mit einem allgemeinen Informationsblatt am Eingang, das die wichtigsten Informationen enthält und für Näheres dann auf die Website verweist.

Aufnahmen, die die Gäste mit ihrer eigenen Kamera klar erkenntlich für private Zwecke machen, fallen grundsätzlich nicht in den Anwendungsbereich der DS-GVO. Allerdings gilt es auch hier, das allgemeine Persönlichkeitsrecht der Kollegen zu beachten, insbesondere wenn Sie die Aufnahmen auf Social-Media-Kanälen veröffentlichen wollen. Fragen Sie vorher nach, ob ihre Kollegen einverstanden sind, fotografieren Sie nicht quer durch die Veranstaltung und posten Sie keine kompromittierenden Aufnahmen. Ein einfacher Merksatz zur Orientierung ist: „Wenn ich zu sehen wäre, würde ich dieses Foto von mir im Internet sehen wollen?“

Drei Fragen aus dem Betriebsalltag

Wie auch beim Werbungsversand und bei Weihnachtsgrüßen gibt es bei der Einladung zu betrieblichen Weihnachtsfeiern einige Punkte zu beachten. Gegenüber Geschäftspartnern wird die Einladung zu Firmenveranstaltungen nämlich als Werbung eingeordnet, das heißt, es müssen die gleichen Vorgaben beachtet werden. Folglich dürfen Sie Ihre Kunden und Geschäftspartner nur per Telefon oder E-Mail zu Ihrer Weihnachtsfeier einladen, wenn Sie hierfür eine explizite Einwilligung haben, was wohl in der Praxis selten der Fall sein wird. Die Einladung per Post ist allerdings zulässig und ohnehin auch persönlicher als eine Rundmail, immerhin zeigt die Einladung eine gewisse persönliche Wertschätzung und soll die Geschäftsbeziehung fördern.

Ihre Mitarbeiter können Sie dagegen per E-Mail zur Weihnachtsfeier einladen, solange Sie hierfür die geschäftliche E-Mail-Adresse verwenden. Eine Einladung über die private E-Mail-Adresse ist wiederum nur mit Einwilligung zulässig. In jedem Fall sollten Sie bei einer Rundmail die Empfänger-Adressen im BCC-Feld eingeben, insbesondere wenn private E-Mail-Adressen enthalten sind. Das persönlichere Anschreiben auf postalischem Weg ist auch hier erlaubt.

Unabhängig davon, auf welchem Weg Sie Ihre Mitarbeiter und Geschäftspartner zur Weihnachtsfeier einladen, bietet es sich an, in die Einladung bereits einen Hinweis auf etwaige Fotoaufnahmen zu integrieren. Wissen Ihre Gäste bereits vor der Ankunft auf der Veranstaltung darüber Bescheid, dass Aufnahmen gemacht werden, können sie in jedem Fall damit rechnen, was Ihr berechtigtes Interesse wie oben beschrieben stärkt.

Beim Lesen denken Sie wahrscheinlich zunächst einmal darüber nach, wie das überhaupt ein Fall für den Datenschutz sein kann. Tatsächlich werden beim Wichteln aber personenbezogene Daten verarbeitet, denn der Name der Wichtel wird auf Zettel geschrieben und dann an Kollegen weitergegeben. Um beantworten zu können, ob hier datenschutzrechtlich etwas zu beachten ist, muss man unterscheiden, von wem das Wichteln zur Weihnachtszeit ausgeht und organisiert wird – von der Geschäftsleitung oder von den Mitarbeitern selbst.

Schließen sich die Angestellten zum Beispiel innerhalb einer Abteilung aus eignem Antrieb zusammen und wichteln untereinander, ist das ein Privatvergnügen der Mitarbeiter und fällt somit nicht in den Anwendungsbereich der DS-GVO. Dabei ist es unerheblich, wenn das Wichteln in den Geschäftsräumen stattfindet. Gehört es zur Tradition des Unternehmens, dass alle Mitarbeiter wichteln, geht die Initiative also von der Geschäftsleitung aus, unterliegt das dem Anwendungsbereich der DS-GVO. Da die Mitarbeiter mit der Verarbeitung rechnen können – immerhin schreiben sie ihren Namen auf den Zettel und geben ihn ab oder es ist zumindest allgemein bekannt, dass gewichtelt wird – und das Ganze auf freiwilliger Basis erfolgt, kann das Wichteln gut auf das überwiegende berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f) DS-GVO gestützt werden. Unternehmen sollten lediglich das Wichteln in die allgemeine Datenschutzinformation für Arbeitnehmer integrieren und darauf achten, die Freiwilligkeit auch gut zu vermitteln, damit kein großer „Gruppenzwang“ entsteht – dann steht dem Wichteln zu Weihnachten nichts im Wege.

Da betriebliche Weihnachtsfeiern, wie der Name schon vermuten lässt, vom Betrieb bzw. Unternehmen organisiert wird, sind diese auch die Veranstalter der Feier und gelten daher auch als Verantwortliche im Sinne der DS-GVO. Unternehmen müssen deshalb dafür sorgen, dass auf ihren Weihnachtsfeiern die Vorgaben des Datenschutzes eingehalten werden – angefangen mit der Einladung über die verschiedenen Gesprächsthemen bis hin zur Verwendung der Bildaufnahmen auf der Homepage oder in Social-Media-Kanälen. Dementsprechend wird bei Datenschutzverstößen auf der Weihnachtsfeier auch das Unternehmen zur Rechenschaft gezogen.

Zu dieser Regel gibt es allerdings Ausnahmen: Unter Umständen können nämlich auch einzelne Mitarbeiter die Verantwortung tragen. Dies ist dann der Fall, wenn Beschäftigte sich über Anweisungen und aufgestellte Regeln der Geschäftsführung hinwegsetzen und damit selbst über die Zwecke und Mittel der Datenverarbeitung entscheiden. Missbrauchen Angestellte also beispielsweise ihre Zugriffsrechte oder machen unerlaubt Fotos von Kollegen auf der Weihnachtsfeier, insbesondere wenn nicht erkennbar ist, ob sie dies im Auftrag der Geschäftsleitung tun oder nicht, wird der betreffende Beschäftigte selbst zur verantwortlichen Stelle nach Art. 4 Nr. 7 DS-GVO. Das bedeutet auch, dass gegen ihn ein Bußgeld nach Art. 83 DS-GVO verhängt werden kann. So wurde bereits vom Landesbeauftragten für den Datenschutz Baden-Württemberg gegen einen Polizisten ein Bußgeld verhängt, weil er dienstliche Datenbanken für private Abfragen nutzte. Um die Kontaktdaten einer Frau, die ihn interessierte, zu erfahren, hatte er zunächst das Kennzeichen und anschließend die Telefonnummer abgefragt. Allerdings ist diese Ansicht noch umstritten, weitere Bußgeldbeschlüsse der nationalen Aufsichtsbehörden bleiben abzuwarten, ebenso wie eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und ein Urteil des Europäischen Gerichtshofs (EuGH).