Datenschutzrechtliche Bewertung
Aufgrund der Einfachheit der Bereitstellung werden viele Unternehmen auf den Einsatz von Dienstleistenden zurückgreifen, die fertige Tippspiel-Umgebungen bieten. Das können sowohl lokal zu installierende Applikationen sein (z. B. Smartphone-Apps) als auch webbasierte Systeme auf den Webseiten der jeweiligen Anbietenden.
Ob und wie so ein Anbieter genutzt werden kann, sollte durch eine datenschutzrechtliche Bewertung im Vorfeld geklärt werden:
- Werden personenbezogenen Daten werden bei der Nutzung des Tippspiels verarbeitet? Wenn ja, welche?
- Ist eine Nutzung via Pseudonym möglich?
- Wo werden die erhobenen Daten verarbeitet?
- Verarbeitet der Anbieter des Tippsiels personenbezogene Daten zu eigenen Zwecken?
- Können die Nutzenden des Tippspiels die bereitgestellten Daten eigenständig löschen bzw. wird eine Löschung der Daten nach Beendigung des Tippspiels ermöglicht?
Was sollte zudem beachtet werden?
Bei Verwendung eines Tippspiels durch einen Anbieter können sich neben der Frage, ob es möglich ist, unter einem Pseudonym teilzunehmen, die Frage einer Auftragsverarbeitung gem. Art. 28 DSGVO stellen. Eine Auftragsverarbeitung ist dann zu bejahen, wenn personenbezogene Daten (z. B. die E-Mail-Adresse und der Name) der Teilnehmenden durch den Dienstleistenden im Auftrag des Unternehmens verarbeitet werden. Dies ist zum Beispiel der Fall, wenn der Anbieter zusätzlich E-Mails zur Bestätigung der Anmeldung verschickt, ebenso wie zusätzliche E-Mails als Erinnerung zur Abgabe des Tipps versendet. Ein Auftragsverarbeitungsvertrag ist in diesem Fall zwingend abzuschließen, denn dieser bietet neben der Auftragsverarbeitung an sich auch Informationen zu getroffenen technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO oder Angaben zu möglichen Unterauftragsverarbeitenden.
Sofern sich Unternehmen bei der Veranstaltung von Tippspielen für einen externen Anbieter entschieden haben, ist es ebenfalls wichtig, Datenschutzhinweise gem. Art. 13 DSGVO zu erstellen und um die betroffenen Personen vor der Anmeldung bei dem Tippspiel die allgemeinen Hinweise zu geben, u. a. zum Zweck sowie der Dauer der Datenverarbeitung und auch den Empfänger (bspw. durch Benennung des eingesetzten externen Dienstleisters). Solche Hinweise lassen sich über eine interne Rund-Mail oder auf der Intranetseite des Unternehmens veröffentlichen. Hierbei sollten sich Unternehmen auch im Klaren sein, auf welche Rechtsgrundlage sich die Verarbeitung stützen lässt. Hier kämen die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), die Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO) oder das berechtigte Interesse (Art. 6 Abs. 1. S. 1 lit. f DSGVO) in Frage. Zudem ist es wichtig, dass sich niemand gedrängt fühlt, an einer Tipprunde teilzunehmen. Daher dürfte die Einwilligung in der Praxis auch die Grundlage sein, die individuelle bzw. freiwillige Teilnahme der Beschäftigten am Tippspiel zu stützen und zu belegen.
Geht das Tippspiel in Verbindung mit einem Gewinn einher, sollte die Übergabe der Gewinne entweder durch das händische Überreichen intern erfolgen oder ausnahmsweise per Versand an die postalisch bekannte Wohnadresse der Beschäftigten. Die Daten der Gewinner sind in jedem Fall vertraulich zu behandeln. Zusätzlich sollte die Zweckbindung ebenfalls in den Teilnahmebedingungen und Datenschutzhinweisen zu finden sein. Die Bekanntgabe eines Gewinners (ggf. mit Foto) in sozialen Netzwerken darf hierbei nur mit ausdrücklicher Zustimmung der Gewinner erfolgen.
Es ist auch möglich, dass der Anbieter des Tippspiels eigene Ziele verfolgt, wie die Nutzung der Daten für Werbezwecke oder das Betreiben von Webtracking auf der Plattform. Manchmal sind solche kostenlosen Angebote mit der Zustimmung zu Werbung und Tracking verbunden, worauf die Mitarbeitenden im Vorfeld hingewiesen werden müssen.
Zuletzt ist sicherzustellen, dass die Betroffenenrechte gewahrt werden. Dazu gehören unter anderem Löschkonzepte, die nach Beendigung des Tippspiels umgesetzt werden müssen.
Fazit
Damit Unternehmen ein Tippspiel zur Verfügung stellen können, welches im Einklang mit Spaß und dem Datenschutz steht, ist es wichtig, dass jede Person frei entscheiden kann, ob und unter welchem Namen teilgenommen wird. Besonders wichtig wird dies, wenn der Name der Gewinner öffentlich bekannt gegeben wird, sei es im Intranet oder gar im Web und den sozialen Netzwerken. Vor dem Start sollten klare Datenschutzinformationen bereitstehen. Wenn für die Teilnahme E-Mail-Adressen und andere Informationen nötig sind, ist es zudem notwendig, einen Vertrag zur Auftragsverarbeitung mit den Plattformbetreibenden zu schließen. Nicht zuletzt, um sicherzustellen, dass zweckfremde Interessen des Anbieters unterbunden werden.