Frage nach personalisierten Reisegutscheinen
Auch nach Inkrafttreten der DSGVO gilt: personalisierte Reisegutscheine können verschenkt werden, wenn die Grundsätze der DSGVO eingehalten werden. Entscheidend ist, dass ausschließlich die Daten des Beschenkten genutzt werden, die zwingend erforderlich sind, um die Reise zu buchen, dass diese Daten nur für den Vertragsschluss (Reisebuchung) genutzt werden und dass der Beschenkte über die Datenverarbeitung im Rahmen der Frist nach Art. 14 DSGVO informiert wird.
Den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) erreichte die Frage eines Reiseunternehmens, ob es noch personalisierte Reisegutscheine ausstellen dürfte. Dabei bucht ein Dritter (der Schenker) für den Beschenkten beim Reisebüro eine bestimmte Reise, übermittelt in diesem Zusammenhang die Kontaktdaten des Beschenkten an das Reisebüro, ohne dessen Einwilligung. Es stellt sich mithin die Frage, ob der Schenker die Daten des Beschenkten an das Reisebüro übermitteln darf und ob das Reisebüro diese Daten, ohne Einwilligung des Beschenkten, nutzen kann, um die Reise verbindlich für den Beschenkten zu buchen.
Der Schenker möchte in aller Regel nicht einen allgemeinen Reisegutschein verschenken, sondern eine bestimmte Reise. Zur Sicherung verfügbarer Reiseplätze zum Zeitpunkt der Übergabe des Gutscheins ist es erforderlich, dass die Reise durch das Reisebüro gebucht wird. Dabei müssen mindestens Name, Vorname, Adresse und Geburtsdatum des künftig Reisenden verarbeitet werden, um die Reise verbindlich zu buchen.
Zunächst hat der TLfDI die Zulässigkeit der Datenverarbeitung durch das Reisebüro geprüft. Die Datenverarbeitung durch das Reisebüro ist nach Art. 6 Abs. 1 Satz 1 Buchstabe f) Datenschutz-Grundverordnung (DSGVO) zulässig. Danach ist die Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Zu den berechtigten Interessen des Reisebüros zählt das wirtschaftliche Interesse an der Durchführung des Vertrages zugunsten eines Dritten (Beschenktem) zwischen dem Dritten (Schenker) und dem Reisebüro. Im Rahmen der Abwägung sind die schutzwürdigen Interessen des Betroffenen, hier das Interesse des Beschenkten, selbst zu bestimmen, wer seine personenbezogenen Daten verarbeitet, zu berücksichtigen. Im Rahmen der Interessensabwägung sind, entsprechend Erwägungsgrund 47, die vernünftigen Erwartungen der betroffenen Personen (Beschenkter) zu berücksichtigen. Entscheidend ist, ob die betroffene Person vernünftigerweise absehen kann, dass es zur Datenverarbeitung kommen wird. Einerseits hat der Betroffene (Beschenkte) zum Zeitpunkt der Datenverarbeitung keine Kenntnis von der Datenverarbeitung. Natürlich ist einem Geschenk immanent, dass der Beschenkte von den Vorkehrungen keine Kenntnis hat. Andererseits entspricht es dem weit verbreiteten Handeln, Gutscheine, auch personalisierte, ohne Einwilligung des Beschenkten zu erwerben. Dabei ist allgemein bekannt, dass bei personalisierten Gutscheinen auch personenbezogene Daten verarbeitet werden. Es muss im Rahmen der Abwägung berücksichtigt werden, dass die Daten ausschließlich zur Erfüllung des Reisevertrages verwendet werden. In diesen Grenzen ist auch, soweit es sich bei dem Reisebüro nicht selbst um einen Reiseveranstalter handelt, die Übermittlung der Daten an Dritte (Reiseveranstalter) zulässig. Die anderweitige Nutzung der Daten des Beschenkten, wie beispielsweise für Werbung, ist nicht von Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO gedeckt. Auch sollten, entsprechend dem Grundsatz der Datenminimierung, ausschließlich die Daten verarbeitet werden, die zwingend erforderlich sind, um die Reise zu buchen. Weitergehende Daten sollten erst vom Beschenkten angegeben werden.
In jedem Fall ist der Betroffene über die Datenverarbeitung entsprechend Art. 14 Abs. 1 DSGVO zu informieren. Dabei ist die Frist entsprechend Art. 14 Abs. 3 DSGVO zu beachten. Der Verantwortliche muss den Betroffenen unter Berücksichtigung der spezifischen Umstände der Verarbeitung der personenbezogenen Daten innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, über die Datenverarbeitung informieren. Es handelt sich dabei um eine Höchstfrist, die nur ausgeschöpft werden darf, wenn nach den Umständen keine frühere Information geboten ist. Eine Überschreitung der Höchstfrist ist nicht zulässig (Kühling/Buchner, Kommentar zum Datenschutz, 2. Aufl. Art. 14 Rn. 31).
Nach Art. 14 Abs. 3 Buchstabe c) DSGVO hat die Information, falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung zu erfolgen.
Entsprechend der zuvor dargelegten Grundsätze ist auch die Datenübermittlung zwischen dem Schenker und dem Reisebüro nach Art. 6 Abs. 1 Satz 1 Buchstabe f) DSGVO zulässig. Das berechtigte Interesse des Schenkers, dem Betroffenen (Beschenktem) einen personalisierten Gutschein zu verschaffen, überwiegt in diesem speziellen Fall das schutzwürdige Interesse des Beschenkten, vorab zu wissen, an wen seine personenbezogenen Daten übermittelt werden. In jedem Fall muss auch hier der Betroffene nach Art. 14 DSGVO nachträglich über die Datenverarbeitung informiert werden und die Daten des Beschenkten dürfen lediglich zur Vertragserfüllung genutzt werden.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks