DSGVO Strafen

Gewinnspiele und Datenschutz bei Unternehmen in NRW

Bereits im Juni 2020 wurde bekannt, dass eine Krankenkasse ohne Einwilligung der Betroffenen, deren Daten zu Werbezwecken genutzt hatte. Daraufhin verhängte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg ein Bußgeld von 1,2 Mio. Euro.

Damit Ihrem Unternehmen nicht ähnliche Fehler beim Datenschutz unterlaufen, erklärt Ihnen das Team von Datenschutzberater.NRW, wie es soweit kommen konnte und wie Sie erfasste Daten DS-GVO-konform in NRW für Ihr Unternehmen verarbeiten können.

Was war passiert?

Die Krankenkasse hatte im Zeitraum von mehreren Jahren verschiedene Gewinnspiele veranstaltet. Dabei wurden entsprechende personenbezogene Daten erfasst. Für die Verwendung der personenbezogenen Daten konnten die Betroffenen eben auch eine Einwilligung erteilen, um die Daten für weitere Werbezwecke freizugeben.

Soweit war das Gewinnspiel nach den Vorgaben der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) umgesetzt worden. In der weiteren Ausführung der Werbemaßnahmen wurden allerdings auch Daten von Betroffenen genutzt, die keine Einwilligung zu dieser weiteren Verarbeitung gegeben hatten.

Obwohl die Krankenkasse sich kooperativ bei der Prüfung und Bearbeitung des Vorfalls gezeigt hatte, sah der LfDI Baden-Württemberg eine besondere Schwere bei der Art des Verstoßes und verhängte das hohe Bußgeld.

Die Krankenkasse hatte im Zuge des Verstoßes dann alle Abläufe entsprechend geprüft und eine Task Force für Datenschutz im Vertrieb gegründet. Außerdem aktualisierten die Verantwortlichen entsprechend die Einwilligungserklärungen. Prozesse und Kontrollstrukturen im Unternehmen wurden angepasst.

Die Pressemitteilung des LfDI Baden-Württemberg finden Sie auf dem offiziellen Internetauftritt.

Datenschutz muss immer weiterentwickelt werden

Der Fall der Krankenkasse zeigt, wie wichtig es ist, dass der Datenschutz in allen Bereichen stetig weiterentwickelt und überprüft werden muss. Dadurch, dass Prozesse und Mitarbeiter in einem Unternehmen oft einem Wandel unterliegen, müssen diese immer wieder auf den Datenschutz angepasst werden.

Bei jeder Einführung von neuen Verarbeitungsprozessen von personenbezogenen Daten sollte daher auch immer der (externe) Datenschutzbeauftragte einbezogen werden.

Die Verarbeitung von personenbezogenen Daten ist grundsätzlich verboten. Die Ausnahmen bilden hierbei gesetzliche Vorgaben und Notwendigkeiten der Datenerfassung oder aber auch das Einverständnis zur Datenverarbeitung durch den Betroffenen. Dieses muss klar verständlich und einfach formuliert sein.

Gewinnspiele und die Nutzung der Daten für Werbezwecke in NRW

Am Beispiel von Gewinnspielen muss man die Datenverarbeitung genau betrachten. Erst einmal muss klar sein, dass nach den Vorgaben des Datenschutzes nur so viele Daten gesammelt und verarbeitet werden dürfen, wie für das Gewinnspiel notwendig sind (Grundsatz der Datenminimierung). Außerdem muss klar hervorgehen, für welchen Zweck der Betroffene seine personenbezogenen Daten weitergibt und an wen (Informationspflichten). Das muss bei der Erhebung der Daten geschehen.

Personenbezogene Daten, die erfasst werden, unterliegen einer Zweckbindung. Wer die Daten also darüber hinaus zum Beispiel für weitere Werbezwecke nutzen möchte, der muss zwingend das Einverständnis des Betroffenen einholen. Ebenso müssen Löschfristen eingehalten werden.

Eine Verwendung der Daten darüber hinaus oder eine Speicherung der Daten ist nicht zulässig.

IP-Adressen, E-Mail-Adressen und Telefonnummern im Datenschutz

Wenn man von personenbezogenen Daten spricht, sollte gerade bei Gewinnspielen auch klar sein, was genau diese darstellen. Was sind personenbezogene Daten laut DS-GVO in NRW? Lesen Sie dazu unseren Artikel.

Aber auch IP-Adressen, E-Mail-Adressen und Telefonnummern können personenbezogene Daten darstellen, wenn Sie einer bestimmten natürlichen Person zugeordnet werden können. Daher sollten Sie auch hier genau prüfen, welche Daten notwendig sind, um ein Gewinnspiel ordnungsgemäß durchzuführen.

Achten Sie auch hier auf den gesetzlich vorgegebenen Umgang mit den Daten.

Achtung bei der Weitergabe von Daten – Datenschutz in NRW

In der heutigen Zeit werden die Daten für ein Gewinnspiel nicht selten durch einen Dritten verarbeitet. Gerade auch, wenn die Daten online über ein Formular erfasst werden, handelt es sich unter anderem um eine Auftragsdatenverarbeitung (ADV).

Sobald Daten durch einen Dritten im Auftrag auf irgendeine Weise verarbeitet werden, muss dies durch einen ADV-Vertrag festgelegt sein. Prüfen Sie also genau, wie die personenbezogenen Daten verarbeitet werden und ob ein Auftrag zur Datenverarbeitung abgeschlossen werden muss.

Grundlagen der DS-GVO gelten auch für Gewinnspiele in NRW

Man kann also noch einmal festhalten, dass es bei Gewinnspielen grundsätzlich, wie bei anderen Prozessen zur Erhebung und Verarbeitung von personenbezogenen Daten auch, diese nur für den Zweck des Gewinnspiels genutzt werden dürfen. Eine Datenschutzerklärung muss darlegen, welche Daten erhoben werden und zu welchem Zwecke. Außerdem beinhaltet diese, wie lange die Daten gespeichert werden, wer Verantwortlicher und (externer) Datenschutzbeauftragter ist, aber auch, ob die Daten an Dritte zur weiteren Verarbeitung im Zuge des Gewinnspiels weitergegeben werden.

Die weitere Nutzung der Daten ohne Einverständnis des Betroffenen ist nicht erlaubt. Achten Sie auch darauf, dass die Daten sicher und unzugänglich aufbewahrt und danach nach den gesetzlichen Vorgaben vernichtet werden.

Auch die Mitarbeiter, die die Daten erheben und verarbeiten, müssen entsprechend im Umgang geschult werden. Ihnen muss bewusst sein, wie Sie die Daten schützen, aber auch welche Daten Sie überhaupt nutzen dürfen.

Alle Vorgaben, die den Datenschutz betreffen, greifen auch bei der Datenerhebung bei einem Gewinnspiel. Dazu gehören für Unternehmen, Vereine, Schulen, Praxen und alle, die personenbezogene Daten in NRW verarbeiten u.a. folgende Punkte:

  • Einhaltung der Betroffenenrechte
  • Führen vom Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Erstellung von technischen und organisatorischen Maßnahmen (TOMs)
  • Verträge für die Auftragsdatenverarbeitung (ADV-Verträge)
  • Entwicklung eines Datenschutzmanagementsystems zur Einhaltung und Weiterentwicklung des Datenschutzes

Die Dokumentation der verschiedenen Schritte ist zwingend notwendig.

Datenschutz ist Weiterentwicklung und Anpassung der Unternehmensprozesse

Um den Datenschutz im Unternehmen einzuhalten, muss dieser immer wieder auf einen Prüfstand gestellt werden. Sie sollten daher regelmäßig jene Prozesse überprüfen, in denen personenbezogene Daten erfasst werden.

Hilfreich kann dabei die Unterstützung durch ein Datenschutz-Audit sein, dass neben einer Datenschutz-Erstberatung, welche einen ersten Überblick über den Datenschutz im Unternehmen gibt, eine regelmäßige Überprüfung des Datenschutzes ermöglicht.

Die Beratung durch einen (externen) Datenschutzbeauftragten ist bei der Nutzung von personenbezogenen Daten unverzichtbar. Wer nach den Vorgaben der DS-GVO keinen (externen) Datenschutzbeauftragten stellen muss, für den kann zusätzlich die Zusammenarbeit mit einem Datenschutzberater hilfreich sein.

Datenschutzberater.NRW bietet zusätzlich auch noch eine GoBD-Beratung (Verfahrensdokumentation) und ein IT-Audit an. Gerne erstellen wir Ihnen auch einen Website-Scan zur Beurteilung der Umsetzung der DS-GVO auf Ihrer Homepage.

Wir betreuen bereits erfolgreich Mandanten in Köln, Bonn, Düsseldorf, Siegen und ganz NRW. Gerne erstellen wir auch Ihnen ein individuelles und praxisnahes Konzept für Ihr Projekt.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in NRW? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.

Datenschutz aktuell – Krankenkasse nutzt Gewinnspieldaten für Werbezwecke und erhält Bußgeld