1. Datenschutzkonformer Versand von Weihnachtskarten?
Man mag fast meinen, dass die DSGVO ihre Popularität etwas verloren hat, zumindest wenn man den Rückgang der Pressemitteilungen darüber als Indiz heranzieht. Doch gerade die Weihnachtszeit soll es nunmehr wieder sein, die dazu führt, dass die DSGVO wieder neuen Aufwind erhält. So dürfen beispielsweise Wunschzettel von Minderjährigen nicht mehr öffentlich und ohne Zustimmung der Erziehungsberechtigten am Weihnachtsbaum ausgehangen werden[1], Bedürftigen soll der weihnachtliche Zuschuss gestrichen werden, da die Daten nicht mehr DSGVO-konform an die Gemeinde weitergeleitet werden dürfen[2] und noch weitere weniger populäre Kuriositäten, die es im „Vor-DSGVO-Zeitalter“ sicherlich nicht gegeben hätte. Im Zuge dessen erreichten uns auch zahlreiche Anfragen von KMUs, denen sich immer wieder die gleiche Frage aufdrängte: Darf ich im „DSGVO-Zeitalter“ überhaupt noch personalisierte Weihnachtskarten/-grüße versenden?
2. Datenschutzrechtlicher Ausgangspunkt
Bei der Beantwortung der Frage ist zunächst zu beachten, dass personenbezogene Daten auf rechtmäßige Weise verarbeitet werden müssen, sog. Rechtmäßigkeitsgrundsatz im Sinne von Art. 5 Abs. 1 lit. a) DSGVO. Der Versand von personalisierten Weihnachtskarten ist damit datenschutzkonform, wenn sich gemäß Art. 6 DSGVO ein Erlaubnistatbestand finden lässt, der einen solchen Versand zulässt. Wichtig ist dabei in jedem Fall zu beachten, dass der Verantwortliche – d.h. das Unternehmen, welches sich für den Versand der Weihnachtskarten entscheidet – für die Einhaltung des Rechtmäßigkeitsgrundsatzes nicht nur verantwortlich ist, sondern auch nachweisen können muss, dass dieser eingehalten wurde, folglich ein Erlaubnistatbestand vorgelegen hat. So verlangt Art. 24 Abs. 1 DSGVO ausdrücklich, dass dieses Unternehmen den Nachweis dafür erbringen können muss, dass die Datenverarbeitung DSGVO-konform erfolgt.
3. Berechtigtes Interesse, Art. 6 Abs. 1 lit. f) DSGVO
In Betracht kommen wird damit bei vielen Unternehmen zunächst nur der Erlaubnistatbestand aus Art. 6 Abs. 1 lit. f) DSGVO, der den Versand der personalisierten Weihnachtskarten und die damit verbundene Datenverarbeitung legitimiert, wenn die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist und unter anderem die Interessen der betroffenen Person nicht überwiegen. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann insoweit als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden, so stellt es der 47. Erwägungsgrund der DSGVO in Satz 7 ausdrücklich klar. Viel interessanter für die geplante Weihnachtskartenaktion ist allerdings, dass nach dessen Satz 2 ein berechtigtes Interesse auch dann vorliegen kann, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, zum Beispiel wenn die betroffene Person ein Kunde des Verantwortlichen ist. Mit anderen Worten wird damit verlangt, dass die betroffene Person davon ausgehen können muss, dass ihre personenbezogenen Daten auch für den Versand von personalisierten Weihnachtskarten Verwendung findet, was man im Rahmen laufender Vertragsbeziehungen und mit dankbarem Rückblick auf das wirtschaftlich erfolgreiche Jahr 2018 mit guten Argumenten bejahen kann, auch wenn diese Abwägungsfrage sicherlich in jedem Einzelfall neu zu treffen ist und – gerade das ist das Problem – anders getroffen werden kann.
4. Einwilligungserklärung, Art. 6 Abs. 1 lit. a) DSGVO
Gerade diese Einzelfallbetrachtung ist es damit, die in der Praxis dazu geführt hat, dass viele Unternehmen auf den Versand von Weihnachtskarten verzichtet haben oder noch verzichten wollen, da das Ergebnis der datenschutzkonformen Datenverarbeitung zu ungewiss war und ist. Dies mag man ebenfalls wiederum mit guten Gründen vertreten können, insbesondere wenn man bedenkt, dass im Falle von „berechtigten Interessen“ zum Zeitpunkt der Erhebung der Daten über die berechtigten Interessen, die von dem Verantwortlichen verfolgt werden, zu informieren gewesen wäre, Art. 13 Abs. 1 lit. d) DSGVO. Spätestens zum Zeitpunkt der ersten Kommunikation mit der betroffenen Person wäre zudem auf das bestehende Widerspruchsrecht gemäß Art. 21 Abs. 4 DSGVO hinzuweisen. Sicherlich ließen sich auch hier Beispielsfälle bilden, die dann nicht mit dem Wunsch auf ein gesegnetes Weihnachtsfest enden, sondern mit der Belehrung über das zur Verfügung stehende Widerspruchsrecht aus Art. 21 DSGVO, insbesondere wenn man an Fälle denkt, in denen die Kontaktdaten über den Austausch von Visitenkarten erhoben worden sind. Unternehmen, denen der Erlaubnistatbestand des „berechtigten Interesses“ damit zu unsicher erschien, nahmen daraufhin entweder von Vornherein Abstand von den weihnachtlichen Grüßen oder mussten eine DSGVO-konforme Einwilligungserklärung nach Art. 6 Abs. 1 lit. a) DSGVO einholen, um datenschutzkonform Weihnachtsgrüße versenden zu können, wobei auch diesbezüglich zahlreiche DSGVO-Voraussetzungen – unter anderem aus Art. 7 DSGVO – zu erfüllen waren.
5. Online-Weihnachtsgrüße
Mag man dies nunmehr für überzogen erachten, so sei nur abschließend noch einmal für die IoT-Generation unter den Lesern und Leserinnen darauf hingewiesen, dass wir bisher nur über die analogen Weihnachtsgrüße per Karte gesprochen haben. Plant man dagegen die Weihnachtsgrüße unter Verwendung elektronischer Post – oder besser bekannt als E-Mail – zu versenden, so ist grundsätzlich eine vorherige ausdrückliche Einwilligung des Betroffenen erforderlich – so will und wollte es § 7 Abs. 2 Nr. 3 UWG bereits im „Vor-DSGVO-Zeitalter“.
6. Fazit: Es waren einmal … Weihnachtsgrüße?
Abschließend betrachtet, scheint der weihnachtliche Kartengruß im Lichte der DSGVO nunmehr fast schwieriger gestalteten zu sein als das zumindest den Tatbestand des Hausfriedensbruches (§ 123 StGB) erfüllende Eindringen des Weihnachtsmannes über den Schornstein in die Weihnachtsstube der Beschenkten.
Beruhigung erfährt die Thematik allerdings dadurch wieder, dass in Erinnerung zu rufen ist, dass auch und nicht nur das Versenden von Weihnachtsgrüßen durch ein „berechtigtes Interesse“ und damit datenschutzrechtlich legitimiert sein kann.
Autor: Gernot Kirchner | Dezember 2018
