Gewinnspiele oder Verlosungen sind altbewährte Marketingstrategien zum Datensammeln, um sie für Werbezwecke zu verwenden.
Gemäß dem Datenschutz dürfen diese Daten nur für das Gewinnspiel verwendet werden!
Ist das nicht eine übliche Marketingstrategie, was kann da schon passieren?
Die AOK zahlte ein Bußgeld von 1,24 Millionen Euro
Am 25.06.2021 verhängte die LfDI (Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg) der AOK ein Bußgeld von 1,24 Millionen €.
- Vernachlässigung eines angemessen Schutzniveaus der Daten
- Missbrauch der Daten für 500 nicht bewilligte Werbemaßnahmen
Sicherlich wäre das Bußgeld nicht in der Höhe ausgefallen, wenn das Unternehmen sorgfältiger mit den sogenannten TOMs (technische und organisatorische Maßnahmen) der Datenverarbeitung umgegangen wäre.
Datensicherheit ist eine „Daueraufgabe“, alle implementierten TOMs sollten regelmäßig überprüft und ggf. aktualisiert werden.
Durch die schnelle Reaktion (Sofortige Einstellung des Gewinnspiels), Strukturierte Herangehensweise (Gründung einer internen „Task-Force“), sowie die enge Zusammenarbeit mit der LfDI haben der AOK vor einen noch höheren Bußgeldbetrag bewahrt.
https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld
Gewinnspiel zwingt den User zur Newsletteranmeldung
Gemäß der DSGVO gilt das Koppelungsverbot, das heißt Gewinnspielteilnahme im Tausch gegen Daten für Werbezwecke sind nicht erlaubt.
Die Option auf die Newsletterabmeldung (Opt-out) ist ebenfalls nicht gegeben.
Aber wie ist es rechtlich korrekt?
Hier unser Leitfaden:
- Datensparsamkeit:
Niemals mehr als die erforderlichen Daten verlangen, um an den Gewinnspiel teilzunehmen: Name, Alter oder Geburtsdatum, E-Mail-Adresse - Ablauf definieren:
Veranstalter, Beginn, Dauer, Art und Tag der Gewinnermittlung, Benachrichtigung des Gewinners - Hinweis der Altersfreigabe: Mindestalter vollendetes 14.Lebensjahr, je nachdem welches Produkt oder Dienstleistung man gewinnt ab 18. Lebensjahr.
Keine Werbung an Minderjährige - Aktives opt-in einbauen: Kästchen zum Ankreuzen erstellen, um den User aktiv dazu zu bewegen, dass man mit den Werbemaßnahmen einverstanden ist und gleichzeitig darüber aufklären, dass dies jederzeit widerrufen werden kann (Opt-out)
Achtung: Nicht ausreichend ist das bereits angekreuzte Kästchen für Werbemaßnahmen. - Datenschutzerklärung möglichst klar und eindeutig formulieren:
Welche Daten werden zu welchem Zweck verarbeitet?
Was geschieht mit den Daten?
Wo werden die Daten gespeichert?
Datenübermittlungen wie zum Beispiel in die USA oder in andere Drittländer müssen nun anstelle des US Privacy Shield durch eine Schutzmaßnahme nach Art. 46 DSGVO abgesichert werden.
https://www.bfdi.bund.de/DE/Auswirkungen-Schrems-II-Urteil.html
Eine Übersicht was man speziell in diesen Fall beachten sollte als Prüfschema vom BfDI (Bundesamt für Datenschutz und die Informationsfreiheit)
Weitere Blogbeiträge
Mehr erfahren zu den Themen der Online-Welt
