Weihnachten ist die Zeit der Besinnlichkeit. Man blickt auf das vergangene Jahr zurück und möchte sich vielleicht bei der ein oder anderen Person für die gute Zusammenarbeit bedanken und alles Gute für das kommende Jahr wünschen.
Doch geht das eigentlich noch zu Zeiten der Datenschutzgrundverordnung (DSGVO) – Weihnachtskarten versenden?
Vorüberlegung
Die DSGVO regelt den Umgang oder genauer gesagt die Verarbeitung von personenbezogenen Daten (Name, postalische Anschrift, Geburtsdatum etc.) einer natürlichen Person.
Es gelten hierbei sechs Grundsätze für die Datenverarbeitung:
1. Sie muss auf rechtmäßige Weise, nach Treu und Glauben sowie transparent erfolgen.
2. Sie darf nur für festgelegte, eindeutige und legitime Zwecke genutzt werden.
3. Sie muss dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datensparsamkeit).
4. Sie muss dem Prinzip der Richtigkeit folgen.
5. Daten dürfen nur über einen begrenzten Zeitraum gespeichert werden.
6. Das Prinzip der Integrität und Vertraulichkeit muss eingehalten werden.
Bei jeder Verarbeitung von personenbezogenen Daten muss sich der Verantwortliche an die datenschutzrechtlichen Bestimmungen der DSGVO und an diese sechs Grundsätze halten. Folglich auch beim Versand von Weihnachtsgrüßen.
Rechtsgrundlage: Weihnachtskarte per Post
Der Versand von Weihnachtskarten ist eine Verarbeitungstätigkeit und benötigt folglich eine Rechtsgrundlage nach Art. 6 DSGVO.
Zunächst kommt die Einwilligung des Empfängers nach Art. 6 Abs. 1 lit. a DSGVO in Betracht. Diese im Vorwege beim Empfänger einer Weihnachtskarte einzuholen ist eine eher unrealistische Aufgabe, die allerdings auch nicht notwendig ist. Denn die Kontaktpflege zu Bestandskunden, Kooperationspartnern usw. fällt unter Art. 6 Abs. 1 lit. f DSGVO, dem berechtigten Interesse.
Dieser Erlaubnistatbestand legitimiert eine Verarbeitungstätigkeit, wenn diese zur Wahrung berechtigter Interessen erforderlich ist und unter anderem die Interessen der betroffenen Person nicht überwiegen. Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung, folglich auch für einen Weihnachtsgruß, kann insoweit als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden. Zudem kann ein berechtigtes Interesse auch dann vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht (zum Beispiel wenn die betroffene Person ein Kunde des Verantwortlichen ist).
Sofern sich der Verantwortliche also mit seiner Weihnachtskarte für die Zusammenarbeit im vergangenen Jahr bedanken möchte, so kann er sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen.
Rechtsgrundlage: Weihnachtsgrüße per E-Mail
Beim Versand einer weihnachtlichen Grußbotschaft per Mail gestaltet sich es allerdings anders: Der Empfänger muss vorab seine Einwilligung zum Erhalt von Werbenachrichten gegeben haben. Denn ein Weihnachtsgruß per Mail gilt ja als Werbemaßnahme.
Eine Ausnahme gibt es allerdings: Sofern ein Unternehmen im Zusammenhang mit dem Verkauf einer Ware oder der Erbringung einer Dienstleistung die E-Mail-Adresse des Kunden erhalten hat, darf er diese zur Direktwerbung – und folglich auch für den Versand eines weihnachtlichen Grußes – verwenden.
Informationspflichten
Auch beim Versand von Weihnachtskarten sind die Informationspflichten nach Art. 12 ff. DSGVO zu erfüllen. Hat der Verantwortliche den Empfänger bislang noch nicht über den (allgemeinen) Umgang mit personenbezogenen Daten informiert, so ist es an der Zeit, dies nachzuholen. Denn nur wer weiß, dass über ihn Daten verarbeitet werden und welche Rechte er hierbei hat, kann diese Rechte auch in Anspruch nehmen.
Nachfolgende Angaben sind dabei regelmäßig zu machen:
• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten (sofern benannt)
• Zwecke, für die die personenbezogenen Daten erhoben und verarbeitet werden
• Rechtsgrundlage
• Dauer der Speicherung
• Empfänger oder Kategorien von Empfängern
• Verarbeitungsort/Speicherort
• das Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch und Datenübertragbarkeit
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde für Datenschutz
• ggf. das Bestehen eines Rechts, die Einwilligung jederzeit für die Zukunft zu widerrufen
Aber wie kann man dem Empfänger der Weihnachtsbotschaft diesen Informationstext ohne Aufwand zur Kenntnis geben? Auch hier empfiehlt sich die sogenannte Link-Lösung: Der Text wird auf der unternehmenseigenen Internetseite unter einer eingängigen Adresse (www.musterfirma.de/daten-schutzhinweise) veröffentlicht und dieser Link auf der Weihnachtskarte abgedruckt bzw. in der E-Mail aufgenommen.
Verarbeitungsverzeichnis
Der Verantwortliche ist nach Art. 30 Abs. 1 DSGVO dazu verpflichtet, über seine Verarbeitungstätigkeiten von personenbezogenen Daten ein Verzeichnis zu führen. Auch der Versand von Weihnachtspost sollte hier aufgenommen werden.
Praxistipp
Bevor die Weihnachtsgrüße auf Reisen gehen, ist eine Bestandsaufnahme sinnvoll.
Erstellen Sie eine Liste aller geplanten Empfänger und prüfen Sie diese nach oben genannten Kriterien: Möchten Sie sich beim Empfänger für die gute Zusammenarbeit im letzten Jahr bedanken? Ist der Empfänger im letzten Jahr noch Kunde/Dienstleister etc. gewesen? Hat der Empfänger dem Erhalt einer Direktwerbung bereits widersprochen?
Sofern Sie diese bereinigte Empfängerliste verwenden, sollte einem datenschutzkonformen Weihnachtsgruß nichts mehr im Wege stehen.