Gewinnspiele sind eine beliebte Methode, an personenbezogene Daten zu Werbezwecken zu gelangen. Im Austausch für die Gelegenheit einen werthaltigen Preis zu gewinnen sind viele Verbraucher bereit, ihre Daten rauszugeben und sich zu Werbezwecken kontaktieren zu lassen. Dass dabei auch vieles schiefgehen kann, zeigt sich in einem aktuellen Verfahren in Baden-Württemberg, das der örtlichen AOK ein Bußgeld in Höhe von 1.240.000 Euro eingehandelt hat.
In diesem Artikel beschreiben wir den Hintergrund des Falls, die rechtliche Einordnung, die Höhe des Bußgeldes und was das für Unternehmer heute bedeutet (Sprung direkt zu den Handlungsempfehlungen).
Hintergrund
Im Rahmen mehrerer Gewinnspiele hat die AOK zwischen 2015 und 2019 Daten gesammelt, die sie mit expliziter Einwilligung der Teilnehmer auch für Werbezwecke nutzen wollte. Dazu hat sie auf den Formularen die Möglichkeit angeboten, durch Ankreuzen die Zustimmung zur Nutzung ihrer Daten zu Werbezwecken zu erteilen.
Später wurden die Teilnehmer dieser Gewinnspiele dann angeschrieben, um sie auf Angebote der AOK Baden Württemberg aufmerksam zu machen. Dabei sollte mithilfe geeigneter interner Maßnahmen sichergestellt werden, dass solche Schreiben nur an die Teilnehmer rausgingen, die auch entsprechend zugestimmt haben. Teilnehmer, die kein Kreuzchen gesetzt hatten, sollten von den Werbeaktionen ausgenommen werden. Tatsächlich wurden die Schreiben aber auch an 500 Teilnehmer versandt, die der Nutzung für Werbezwecke nicht zugestimmt hatten.
Rechtliche Einordnung
Personenbezogene Daten dürfen nur verarbeitet werden, wenn es dafür eine Rechtsgrundlage gibt (Art. 6 DSGVO). Im Falle von Gewinnspielen kommen hierfür regelmäßig die Einwilligung, die Vertragserfüllung oder das berechtigte Interesse des Anbieters infrage. Im vorliegenden Fall hat sich die AOK für die Rechtsgrundlage der Einwilligung entschieden.
Wer personenbezogene Daten verarbeitet ist verpflichtet, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die Daten im gesetzlichen Umfang geschützt sind (Art 32. DSGVO). Beruht die Verarbeitung auf der Rechtsgrundlage der Einwilligung, muss gewährleistet werden, dass tatsächlich nur die Daten verarbeitet werden, für die eine Einwilligung vorliegt. Die Nachweispflicht dafür trägt das Unternehmen.
Kann ein Unternehmen nicht nachweisen, dass geeignete Maßnahmen getroffen wurden oder dass die getroffenen Maßnahmen tatsächlich geeignet sind, kann hierfür von der zuständigen Datenschutzbehörde ein Bußgeld verhängt werden (Art. 83 DSGVO).
Im vorliegenden Fall konnte festgestellt werden, dass die Daten von 500 Teilnehmern zu Werbezwecken ohne deren Einwilligung verarbeitet wurden, indem sie zu Angeboten der AOK kontaktiert wurden. Die Maßnahmen, die von der AOK getroffen wurden, waren daher im Ergebnis nicht geeignet, ein angemessenes Schutzniveau sicherzustellen.
Höhe des Bußgeldes: kein gutes Zeichen
Die Höhe von Datenschutz-Bußgeldern ist vom Einzelfall abhängig, muss jedoch immer „wirksam, verhältnismäßig und abschreckend“ sein. Zusammen mit der hier anzuwendenden Obergrenze von 2 % des Vorjahresumsatzes oder 10 Mio Euro (je nachdem, was höher ist) ergeben sich empfindliche Sanktionen, die nicht auf die leichte Schulter genommen werden können.
Auf den ersten Blick erscheinen 1,2 Mio. Euro für 500 Fälle, also 2.480 Euro pro Fall hoch: die abschreckende Wirkung wäre wohl auch gewährleistet worden, wenn nur ein Bruchteil davon festgesetzt worden wäre. Schließlich zahlt die Gesetzliche Krankenversicherung auch maximal ca. 93 Euro Provision pro vermittelten Beitragszahler, der TKP liegt sicherlich weit darunter.
Im Vergleich zum Vorjahresumsatz der AOK Baden-Württemberg (2019: 14,1 Mrd Euro) hält sich das Bußgeld aber am untersten Rand des Möglichen auf. Dafür gibt es auch einen Grund: Die Landesdatenschutzbehörde hat einige Faktoren identifiziert, die es zugunsten der AOK gewertet hat. Dazu gehörten:
- umfassende interne Überprüfungen und Anpassungen des Umgangs mit personenbezogenen Daten durch die AOK
- konstruktive Zusammenarbeit mit der Behörde
- zusätzliche interne Kontrollmechanismen für Vertriebstätigkeiten
- Bedeutung der Krankenkasse als Bestandteil des Gesundheitssystems
- Gefährdung der gesetzlichen Pflichten der Krankenkasse durch ein zu hohes Bußgeld, auch in Bezug zur Corona-Pandemie
Insbesondere die letzten beiden Faktoren geben jedoch zu denken: Den meisten Unternehmen der Privatwirtschaft wird es nicht möglich sein, eine ähnliche öffentliche Bedeutung oder eine Gefährdung gesetzlicher Pflichten durch die Bußgeldhöhe zu beweisen. Das heißt: selbst wenn ein Unternehmen im vergleichbaren Fall umfassend intern aufgeklärt, Verbesserungen umgesetzt und vollständig mit der Behörde kooperiert hätte, müsste es mit einem höheren Bußgeld als 1,2 Mio Euro rechnen. Um so wichtiger ist es daher dafür zu sorgen, dass ein Fall wie dieser gar nicht eintreten kann.
Handlungsempfehlungen bei Gewinnspielen
Die Nutzung von Gewinnspielen zum Sammeln von Daten potenzieller Kunden ist nicht per se rechtswidrig. Im Gegenteil wird die Nutzung personenbezogener Daten für Werbezwecke explizit von der DSGVO als mögliche Grundlage eines berechtigten Interesses genannt. Der Teufel steckt jedoch im Detail.
Wer Gewinnspiele durchführen möchte, hält sich am besten an folgende Regeln:
- Die Teilnahme am Gewinnspiel sollte per Formular erfolgen. In diesem Formular sollten verpflichtend die Daten abgefragt werden, die für eine Kontaktaufnahme und für die Teilnahme am Gewinnspiel notwendig sind.
- Das Formular sollte keine allgemeine Einwilligung zur Verwendung der Daten zu Werbezwecken einfordern. Es sollte aber deutlich darauf hinweisen, dass die Daten zu Werbezwecken verwendet werden können.
- Das Formular sollte separate Möglichkeiten zur Kontaktaufnahme zu werblichen Zwecken per E-Mail und per Telefon enthalten, die vom Teilnehmer angekreuzt werden müssen. Hintergrund hier ist nicht die DSGVO sondern § 7 UWG, wonach sowohl Telefonanrufe als auch E-Mails (aber keine Postsendungen) zu Werbezwecken bei Verbrauchern ohne vorherige ausdrückliche Zustimmung als unzumutbare Belästigung angesehen werden.
- Zusammen mit dem Formular sollte eine Datenschutzbelehrung zur Verfügung gestellt werden, aus der hervorgeht, dass die Daten der Teilnehmer zur Durchführung des Gewinnspiels und zu Werbezwecken verwendet werden. Die Rechtsgrundlage hierfür ist das berechtigte Interesse des Unternehmens an der Durchführung des Gewinnspiels sowie zur Akquise neuer Kunden. Auf das unbeschränkte Widerspruchsrecht muss explizit hingewiesen werden
- Im CRM bzw. in der Interessentendatenbank muss sorgfältig gespeichert werden, wozu der Teilnehmer alles seine Zustimmung erteilt hat.
Wir als Partner für wirtschaftlichen Datenschutz empfehlen, den Datenschutzbeauftragten im Unternehmen oder einen externen Datenschutzbeauftragten beim Entwurf von Gewinnspielen bereits frühzeitig einzubinden. So beugen Sie Bußgeldern infolge zu Unrecht genutzter Datensätze vor und können Gewinnspiele rechtssicher zur Adressakquise nutzen.