Icon Datenschutzbeauftragter
Datenschutz

Sicher Tippen, sicher gewinnen – Datenschutz beim EM-Tippspiel

Avatar
Verfasst von: David Armbrust
Berater für Datenschutz und Informationssicherheit

In wenigen Tagen startet die Fußball-Europameisterschaft 2024 in Deutschland und viele Unternehmen bzw. ihre Mitarbeitenden fiebern jetzt schon dem ersten Anstoß entgegen. Zu diesem Ereignis werden viele Unternehmen ein Tippspiel anbieten. Was viele Unternehmen hierbei vergessen, sind datenschutzrechtliche Vorkehrungen zu treffen. Was ist also bei Tippspielen datenschutzrechtlich zu beachten?

Datenschutzrechtliche Bewertung

Aufgrund der Einfachheit der Bereitstellung werden viele Unternehmen auf den Einsatz von Dienstleistern zurückgreifen, die fertige Tippspiel-Umgebungen bieten. Das können sowohl lokal zu installierende Applikationen sein (z. B. Smartphone-Apps) als auch webbasierte Systeme auf den Webseiten der jeweiligen Anbieter.

Ob und wie so ein Anbieter genutzt werden kann, sollte durch eine datenschutzrechtliche Bewertung im Vorfeld geklärt werden:

  • Werden personenbezogenen Daten werden bei der Nutzung des Tippspiels verarbeitet? Wenn ja, welche?
  • Ist eine Nutzung via Pseudonym möglich?
  • Wo werden die erhobenen Daten verarbeitet?
  • Verarbeitet der Anbieter des Tippsiels personenbezogene Daten zu eigenen Zwecken?
  • Können die Nutzer des Tippspiels die bereitgestellten Daten eigenständig Löschen bzw. wird eine Löschung der Daten nach Beendigung des Tippspiels ermöglicht?

Was sollte zudem beachtet werden?

Bei Verwendung eines Tippspiels durch einen Anbieter können sich neben der Frage, ob es möglich ist unter einem Pseudonym teilzunehmen, die Frage einer Auftragsverarbeitung gem. Art. 28 DSGVO stellen. Eine Auftragsverarbeitung ist dann zu bejahen, wenn personenbezogene Daten (z. B. die E-Mail-Adresse und der Name) der Teilnehmenden durch den Dienstleister im Auftrag des Unternehmens verarbeitet werden. Dies ist zum Beispiel der Fall, wenn der Anbieter zusätzlich E-Mails für die Bestätigung zur Anmeldung verschickt, ebenso um zusätzliche E-Mails als Erinnerung zur Abgabe des Tipps versendet. Ein Auftragsverarbeitungsvertrag ist in diesem Fall zwingend abzuschließen, denn dieser bietet neben der Auftragsverarbeitung an sich auch Informationen zu getroffenen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO oder Angaben zu möglichen Unterauftragsverarbeitern.

Sofern sich Unternehmen bei der Veranstaltung von Tippspielen für einen externen Anbieter entschieden haben, ist es ebenfalls wichtig Datenschutzhinweise gem. Art. 13 DSGVO zu erstellen und um die betroffenen Personen vor der Anmeldung bei dem Tippspiel die allgemeinen Hinweise, u. a. zum Zweck sowie der Dauer der Datenverarbeitung und auch den Empfänger (bspw. durch Benennung des eingesetzten externen Dienstleiters). Solche Hinweise lassen sich über eine interne Rund-Mail oder auf der Intranetseite des Unternehmens veröffentlichen. Hierbei sollten sich Unternehmen auch im Klaren sein, auf welche Rechtsgrundlage sich die Verarbeitung stützen lässt. Hierbei kämen die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder das berechtigte Interesse (Art. 6 Abs. 1. S. 1 lit. f DSGVO) in Frage. Zudem ist es wichtig, dass sich niemand gedrängt fühlt, bei einer Tipprunde teilzunehmen. Daher dürfte die Einwilligung in der Praxis auch die Grundlage sein, die individuelle bzw. freiwillige Teilnahme der Beschäftigten für das Tippspiel zu stützen und zu belegen.

Geht das Tippspiel in Verbindung mit einem Gewinn einher, sollte Übergabe der Gewinne entweder durch das händische Überreichen intern erfolgen oder ausnahmsweise per Versand an die postalisch bekannte Wohnadresse der Beschäftigten. Die Daten der Gewinner sind in jedem Fall vertraulich zu behandeln. Zusätzlich sollte die Zweckbindung ebenfalls in den Teilnahmebedingungen und Datenschutzhinweisen zu finden sein. Die Bekanntgabe eines Gewinners (ggf. mit Foto) in sozialen Netzwerken darf hierbei nur mit ausdrücklicher Zustimmung des Gewinners erfolgen.

Es ist auch möglich, dass der Anbieter des Tippspiels eigene Ziele verfolgt, wie die Nutzung der Daten für Werbezwecke oder das Betreiben von Webtracking auf der Plattform. Manchmal sind solche kostenlosen Angebote mit der Zustimmung zu Werbung und Tracking verbunden, worauf die Mitarbeitenden im Vorfeld hingewiesen werden müssen.

Zuletzt ist sicherzustellen, dass die Betroffenenrechte gewahrt werden. Dazu gehören unter anderem Löschkonzepte, die nach Beendigung des Tippspiels umgesetzt werden müssen.

Fazit

Damit Unternehmen ein Tippspiel zur Verfügung stellen können, welches im Einklang mit Spaß und dem Datenschutz ist, ist es wichtig, dass jeder frei entscheiden kann, ob und unter welchem Namen er teilnimmt. Besonders wichtig wird dies, wenn der Name des Gewinners öffentlich bekannt gegeben wird, sei es im Intranet oder gar im Web und den sozialen Netzwerken. Vor dem Start sollten klare Datenschutzinformationen bereitstehen. Wenn für die Teilnahme E-Mail-Adressen und andere Informationen nötig sind, ist es zudem notwendig, einen Vertrag zur Auftragsverarbeitung mit den Plattformbetreibern zu schließen. Nicht zuletzt, um sicherzustellen, dass zweckfremde Interessen des Anbieters unterbunden werden.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.