Online-Tippspiele im datenschutzrechtlichen Check

| Die EM 2024 steht vor der Tür. Die Euphorie steigt und die ersten Testspiele verliefen erfolgversprechend. Damit steigt auch wieder die Lust an Online-Tippspielen. Was müssen Unternehmen datenschutzrechtlich beachten, die ihren Mitarbeitern ein Tippspiel anbieten möchten? |

1. Einleitung

Das Einzige, was der Verfasser vom Fußballspiel verinnerlicht hat, ist die Weisheit: „Nach dem Spiel ist vor dem Spiel.“ Mit der EM 2024 wächst auch das Angebot an Tippspielen wieder. Die Suche bei Google nach dem Stichwort „Tippspiel EM 2024“ ergab 388.000 Ergebnisse. Egal, ob in der Familie, dem Freundeskreis oder mit Kunden des Unternehmens. Tippspiele gibt es kostenlos und kostenpflichtig, mit Gewinn oder ohne. Technisch umgesetzt auf Papier, als App, Webbasiert oder unter Einbindung der Smartphones der Mitarbeiter. Mit dem ein oder anderen Angebot hat sich der Verfasser berufsbedingt aus datenschutzrechtlicher Sicht beschäftigt. Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

2. Familiäre Zwecke

Nicht vom Datenschutzrecht werden Tippspiele erfasst, die unter das „Familienprivileg“ fallen. Die Verarbeitung personenbezogener Daten findet dann durch eine natürliche Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten statt. Ein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit besteht nicht. In diesen Bereich fallen üblicherweise Tippspiele innerhalb der Familie oder im Freundeskreis. Etwas anderes gilt jedoch, wenn z.B. der Sportverein selbst der Initiator des Tippspiels ist.

3. Webangebote

Viele Tippspiele gibt es als Webangebot oder App.

Für die Rechtmäßigkeit dieser Angebote sind § 25 TTDSG, die Regelungen der DSGVO und des TMG zu beachten. Die Speicherung von Informationen in oder das Auslesen von Informationen aus der Endeinrichtung des Nutzers ist nur zulässig, wenn er auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Für die Einwilligung nach dem TTDSG gelten die gleichen Vorgaben wie für die Einwilligung nach der DSGVO. Von Seiten der Aufsichtsbehörden sind für die Angebote die OH Telemedien 2021, Version 1.1 (Stand Dezember 2022) und die FAQ zu Cookies und Tracking (Stand März 2022) des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg aufschlussreiche Lektüren.

Für die Registrierung bei einem Tippspiel werden je nach Anbieter unterschiedliche personenbezogene Daten verarbeitet, wie z. B. die IP-Adresse des aufrufenden Rechners oder die E-Mail-Adresse. Sichergestellt sein muss für die Registrierung mit E-Mail-Adresse, dass das double Opt-in-Verfahren verwendet wird, was Anbieter auch machen. In der Regel sind die Anbieter Verantwortliche im Sinne des Datenschutzes. Bei einem Anbieter wurde der Nutzer als Verantwortlicher gesehen und ein Auftragsverarbeitungsvertrag zur Verfügung gestellt. Ob dies der Fall ist, wurde nicht geprüft. Aus rechtlicher Sicht wurde zumindest eine einfache und gute Lösung angeboten: die Standardvertragsklauseln der EU-Kommission zur Auftragsverarbeitung vom 4.6.21.

Datenschutzrechtlich weniger interessant sind die verarbeiteten Daten der Angebote für die Registrierung und spätere Nutzung.

Rechtlich interessanter sind die Banner und Datenschutzerklärungen:

• Bei den Bannern fällt auf, dass manche Anbieter zwar Ausführungen im Banner haben, aber der Inhalt nicht den Anforderungen an eine informierte Einwilligung entspricht. Zumindest funktionieren sie technisch, wie Tests ergaben. In einigen Fällen fehlt die aufsichtsrechtlich geforderte Möglichkeit zur Ablehnung aller Cookies auf der ersten Ebene als auch die geforderte einfache Widerrufsmöglichkeit der Einstellungen z. B. durch ein Overlay.

• Nicht alle Datenschutzerklärungen beinhalten die geforderten Pflichtinformationen nach Art. 13 DSGVO. Dies folgt aus dem Text allein, aber auch aus der Kombination von Banner und DSE. So fehlen z. B. die Rechte der betroffenen Personen oder Ausführungen zu den Empfängern. Manche Anbieter haben leider auch noch eine veraltete DSE, wie ihre eigenen Zeitangaben belegen. Der Rechtsstand von 2024 ist selten. Es entsteht eher der Eindruck, dass man sich im Archiv bediente. Von daher ist es nicht verwunderlich, dass bei manchen Anbietern noch die Google LLC der Vertragspartner ist. Ebenso nicht berücksichtigt wurde, dass für die Datenübermittlung in die USA das DPF gilt, das die üblichen amerikanischen Software-Unternehmen akzeptiert haben. Irreführend sind auch Ausführungen zur Verwendung von Google Analytics. Seit dem 1.7.23 werden in standardmäßigen Universal Analytics-Properties keine Daten mehr verarbeitet. Von daher dürfte keine Verarbeitung mehr stattfinden, auch wenn es auf der Webseite steht. Bei dem ein oder anderen Anbieter wäre es gut gewesen, wenn der Datenschutzbeauftragte vorab einen Blick auf das Banner und die DSE geworfen hätte.

4. Was ist mit Apps?

Bei den Apps sieht die Situation nicht viel besser aus. Auch Apps unterliegen uneingeschränkt den o. g. rechtlichen Anforderungen. Zu den wesentlichen Vorgaben gehören z. B. die gesetzlich vorgeschriebene Einwilligungspflicht bei Zugriffen auf das Endgerät des Nutzers, z. B. beim Auslesen der Werbe-IDs oder anderen Identifiern. Ebenso sind die Vorgaben des jeweiligen App-Stores einzuhalten. Die Apps enthalten zwar die Pflichtangaben der Stores zum Datenschutz, fügen bereits im Store aber selten eine Information nach Art. 13 DSGVO bei. Wenig hilfreich ist es, wenn von einer GmbH für eine deutschsprachige App auf eine englische Datenschutzerklärung verlinkt wird, die dann inhaltlich auch noch veraltet ist. Bei manchem Anbieter fehlen in der verlinkten DSE Teile der Pflichtinformationen nach Art. 13 DSGVO. Ebenfalls als Verstoß gegen die Transparenzpflichten kann eine Verlinkung auf Teile der allgemeinen Datenschutzerklärung auf der Webseite beurteilt werden, die mit den Verarbeitungen der App nur bruchstückhaft oder gar nichts zu tun hat. Es ist nicht Aufgabe des Nutzers herauszufinden, welche Teile der verlinkten Datenschutzerklärung für die App gelten. Positiv ist, dass bei dem ein oder anderen Anbieter eine „Datenschutzerklärung“ in der App leicht aufrufbar ist.

5. Fazit

Stand der Recherche war Anfang April 2024. Von daher bliebe noch Zeit, nachzubessern. Im Ergebnis ist allen Fans zu wünschen, dass die deutsche Mannschaft ein besseres Ergebnis erzielt, als die datenschutzrechtliche Prüfung der Tipp-Spielangebote.